Deception-платформа

Мираж

Спрячьте дерево в лесу

Ловушки и приманки, неотличимые от реальных ресурсов.
Любой контакт атакующего — мгновенный детект с нулём ложных срабатываний.

Запросить демо Как это работает
srv-web-01 192.168.1.10
deception
db-master PostgreSQL
deception
fs-backup-02 SMB Share
gw-core 10.0.0.1
deception
rdp-admin-03 RDP 3389
k8s-node-04 Kubernetes
deception
mail-relay SMTP
deception
ssh-jump-01 SSH 22
vpn-endpoint WireGuard
Zero FP
Без ложных срабатываний
<5 мин
Развёртывание ловушки
10+
Типов сервисов
Air-Gap
Автономный режим
Периметр

Периметр защищён

Firewall, IDS, IPS — внешние атаки блокируются

Прорыв

Атакующий внутри

Традиционные средства не детектируют lateral movement

Мираж

Мгновенный детект

Любой контакт с ловушкой — инцидент

Инцидент обнаружен только что
Событие Сканирование сети
Источник 10.0.41.37
Цель trap-pg-01.internal
Детали Подключение к PostgreSQL со стандартным паролем
Угрозы

Один механизм — четыре сценария

Мираж детектирует любой тип внутренней угрозы по единому принципу: контакт с ловушкой = инцидент

Легитимный сервис Deception-ловушка
Critical Только что
Подключение к SSH-ловушке
Источник10.0.15.42
ХостIT-ADMIN-PC
Учётные данныеadmin / P@ssw0rd123
Цельtrap-ssh-01.internal
ДействиеВход по паролю
MITRET1021.004
Zero false positives Контакт с ловушкой = инцидент
Традиционный подход

Тысячи событий.
Какое из них реальное?

Zero False Positives

Не шум, а факт

Технология

Как работает решение

Два типа deception-ресурсов работают вместе: ловушки имитируют серверы, приманки ведут к ним атакующего

Реальные серверы
Ловушки Мираж
Приманки
Атакующий

Ловушки (Honeypots)

Поддельные серверы, имитирующие реальные сервисы вашей инфраструктуры. Атакующий не может отличить ловушку от настоящего сервера.

SSH HTTP SMB RDP MySQL PostgreSQL FTP MSSQL WinRM
Фиксация сканирования портов, попыток авторизации и действий атакующего

Приманки (Breadcrumbs)

Поддельные артефакты: файлы паролей, конфигурации, токены. Размещаются на реальных хостах и ведут атакующего к ловушкам.

passwords.txt .env SSH config AWS creds Docker config Canary URL
Трекинг каждого обращения к приманке с полным контекстом источника
Витрина артефактов

То, мимо чего нельзя пройти

Каждая приманка выглядит как настоящий артефакт инфраструктуры. Атакующий не может отличить подделку от реального ресурса.

passwords.txt
/home/admin/backup/
.env
/var/www/production/
id_rsa
/home/devops/.ssh/
prod_db_admin.rdp
C:\Users\admin\Desktop\
docker-compose.yml
/opt/services/
Saved: admin@10.0.1.50
Chrome -> Passwords
canary-token.url
Meeting_Notes_Q4.docx
credentials
/home/deploy/.aws/

Файловые приманки

Поддельные файлы конфигураций и учётных данных, размещаемые на реальных хостах

passwords.txt .ssh/config .env id_rsa docker-compose.yml kubeconfig .pgpass .aws/credentials

Canary-токены

Уникальные URL-токены, встраиваемые в документы и конфигурации. Срабатывают при любом обращении

Canary URL Word/PDF Tracking pixel

Credential-приманки

Поддельные сохранённые пароли в браузерах, Windows Credential Manager, SSH-ключи — ведущие к ловушкам

Browser passwords Windows Vault SSH keys RDP shortcuts

Интеллектуальное размещение

Система анализирует домен, группы и роли пользователей в AD. Приоритетные цели определяются автоматически — приманки размещаются там, где они нужнее всего

Приоритет по роли AD-группы Анализ покрытия Рекомендации
Архитектура

Архитектура платформы

Разделение на Control Plane и Data Plane обеспечивает безопасность, масштабируемость и изоляцию ловушек

#Control Plane
Управление
API сервер Админ-панель Управление ловушками
Хранение
БД событий Кэш сессий Сертификаты
Аналитика
MITRE маппинг Аудит Покрытие
Безопасность
2FA / TOTP Active Directory Whitelist
Приманки (Breadcrumbs)
.env AWS creds Kubeconfig SSH keys Git creds Canary URL
mTLS
Шифрованный канал
Mutual TLS аутентификация между компонентами
Data Plane
Ловушки
Honeypots
Контейнеры
Сервисы ловушек
SSH RDP SMB HTTP FTP MySQL MSSQL PostgreSQL WinRM
Сетевое размещение
VLAN 10
VLAN 20
VLAN 30
DMZ
Детекторы
Responder / LLMNR Brute-force Port Scan
Управление и конфигурация
События и алерты
Интеграции
Автономность

Работает в полной изоляции

Мираж не требует доступа к интернету. Все компоненты функционируют автономно — даже в air-gapped сегментах сети

Интернет
Облачные обновления
Внешние API
Периметр изоляции
Мираж
Control Plane
Honeypots
Детекция
Алертинг
Нет зависимости от облака Все компоненты работают локально
Оффлайн-обновления Сигнатуры доставляются через защищённый канал
Соответствие требованиям КИИ, государственные сети, режимные объекты
Алертинг

Мгновенная доставка событий

Каждое касание ловушки — мгновенный сигнал по всем настроенным каналам

Детекция
SIEM CEF / LEEF формат
Syslog RFC 5424 / UDP / TCP
Email / Telegram / Max Мгновенные уведомления
Сравнение

Мираж vs Традиционные IDS/SIEM

Традиционный подход

IDS / SIEM

  • Обнаружение по сигнатурам и правилам
  • Высокий процент ложных срабатываний
  • Требуется корреляция событий
  • Необходим штат аналитиков для верификации
  • Не видит новые и неизвестные угрозы
  • Сложная настройка и поддержка
False Positive Rate: 30-90%
Deception

Мираж

  • Обнаружение по факту контакта с ловушкой
  • Zero False Positives — каждый алерт реальный
  • Мгновенная детекция без корреляции
  • Автономная работа без аналитиков
  • Ловит любые угрозы — известные и новые
  • Развёртывание за минуты
False Positive Rate: 0%
Внедрение

Запуск за 4 шага

От первичного аудита до полноценного мониторинга — быстрый и прозрачный процесс

01

Аудит сети

Анализ инфраструктуры, определение критичных сегментов и точек размещения ловушек

02

Планирование

Выбор типов ловушек и приманок, маппинг на VLAN-ы и пользовательские роли

03

Развёртывание

Установка платформы, деплой ловушек и распределение breadcrumbs по инфраструктуре

04

Мониторинг

Настройка интеграций, запуск алертов и переход в режим боевой эксплуатации

Почему нам можно доверять

Экспертиза Red Team
внутри каждой ловушки

Более 8 лет в практической кибербезопасности. Команда T.Hunter проводит тесты на проникновение для бизнеса любого масштаба — классический пентест, Red Team, Purple Team.

Мы точно знаем, как работают злоумышленники: какие техники и тактики они применяют, куда смотрят первым делом и что ищут в сети. Именно поэтому каждая ловушка и приманка в Мираже спроектирована так, чтобы атакующий гарантированно обратил на неё внимание — и раскрыл своё присутствие.

200+
Пентестов проведено
8+
Лет практики в кибербезопасности
50+
Техник MITRE ATT&CK покрыто
0
Ложных срабатываний
Перед тем, как приобрести

Частые вопросы

Ловушки Мираж работают на реальных сервисах (SSH, SMB, RDP и др.) внутри изолированных контейнеров. Они выглядят и ведут себя как настоящие серверы, включая баннеры, промпты и ответы на запросы. Без специального знания инфраструктуры отличить ловушку от реального сервера практически невозможно.

Минимально. Ловушки — это легковесные контейнеры, не участвующие в производственном трафике. Приманки — статические файлы, не создающие нагрузки. Платформа не анализирует сетевой трафик и не требует зеркалирования — она только ждёт обращений к ловушкам.

Нет. Мираж поддерживает режим Air-Gap — полную автономную работу без подключения к интернету. Это идеально для закрытых контуров, ОПК и критической инфраструктуры. Обновления доставляются через защищённый канал или оффлайн.

Рекомендуется размещать минимум 1 ловушку на каждый сетевой сегмент (VLAN). Оптимальное покрытие достигается при соотношении 1 ловушка на 20-50 реальных хостов. Модуль анализа покрытия помогает определить оптимальное количество и размещение.

Мираж поддерживает передачу событий через Syslog и Webhook. Все алерты обогащены контекстом: IP-адрес источника, целевой сервис, использованные учётные данные, маппинг на MITRE ATT&CK. Эти данные бесшовно интегрируются в ваш SIEM для единой картины безопасности.

Базовое развёртывание — от 1 дня. Установка платформы, деплой первых ловушек и настройка алертов занимает несколько часов. Полноценное покрытие с размещением breadcrumbs и интеграцией с SIEM — от 1 до 2 недель.

Начать

Попробуйте Мираж

Получите демо-доступ на 14 дней и оцените возможности deception-платформы в вашей инфраструктуре

Запросить демо +7 (812) 677-17-05

Тестовая лицензия на 14 дней предоставляется бесплатно.
Итоговая стоимость решения рассчитывается индивидуально.