Система раннего обнаружения внутренних угроз «Мираж»
Платформа «Мираж» предназначена для раннего обнаружения внутренних угроз информационной безопасности. Продукт размещается на виртуальных машинах в корпоративной сети. Система работает на основе технологии обмана (Deception Technology) и предназначена для выявления несанкционированной активности внутри периметра. Доступ к функциям выполняется с использованием веб-интерфейса через браузер. Система поддерживает ролевую модель, благодаря которой каждый пользователь получает доступ только к разрешённым функциям.
Система разработана с использованием языков программирования Python и TypeScript.
Система используется:
— в среднем и крупном бизнесе с выделенной командой ИБ,
— в государственных организациях, компаниях финансового и промышленного сектора, организациях, уже имеющих базовую защиту (SIEM, EDR).
Возможности системы
— развёртывание ловушек, эмулирующих 9 сетевых протоколов (SSH, HTTP, SMB, RDP, FTP, MySQL, PostgreSQL, MSSQL, WinRM);
— создание приманок — файловых артефактов и canary-токенов, ведущих атакующего к ловушкам;
— сбор и обработка событий безопасности по принципу Zero False Positives;
— автоматический маппинг событий на фреймворк MITRE ATT&CK;
— мониторинг в реальном времени через веб-интерфейс с дашбордом;
— интеграция с внешними системами (SIEM, Email, Telegram, Webhook, Active Directory);
— ролевое управление доступом (RBAC), аудит действий, лицензирование.;
Решение проблем
— инсайдерская активность — сотрудник сканирует сеть или использует найденные приманки;
— скомпрометированные хосты — вредоносное ПО выполняет lateral movement, сканирует подсети;
— APT внутри периметра — продвинутые атакующие исследуют сеть после проникновения;
— Red Team / Pentest — пентестеры попадаются на ловушки (валидация защиты);
— Ransomware — шифровальщик пытается обращаться к файловым ресурсам ловушек;
— LLMNR/NBT-NS Poisoning — атаки на протоколы резолвинга имён (Responder, Inveigh).
Основные функции
— авторизация и аутентификация пользователей (JWT, 2FA TOTP), управление пользователями;
— управление ловушками — создание, развёртывание, запуск, остановка, перезапуск, удаление LXD-контейнеров с эмуляцией 9 сетевых протоколов;
— управление приманками — создание файловых приманок и URL canary-токенов, скачивание для ручного размещения, размещение с использованием AD интеграции;
— управление сетями — создание и настройка сетевых профилей (VLAN/bridge) для размещения ловушек;
— анализ покрытия — контроль охвата сетевых сегментов ловушками (реестр подсетей с классификацией по категории и важности, анализ достижимости, рекомендации по развёртыванию) и охвата пользователей AD приманками (профилирование по ролям, выявление высокоценных целей, статистика и рекомендации по размещению);
— сбор и обработка событий безопасности по принципу Zero False Positives с классификацией по severity;
— автоматический маппинг событий на тактики и техники MITRE ATT&CK;
— мониторинг в реальном времени — дашборд с карточками статистики, timeline, heatmap, top источников, MITRE ATT&CK;
— фильтрация, поиск, подтверждение (acknowledge) и экспорт событий (CSV, JSON, PDF);
— интеграции — настройка каналов оповещения (Email, Telegram, Webhook, SIEM Syslog) и обогащение событий через Active Directory;
— белый список — управление IP/подсетями, исключёнными из мониторинга, с типизацией и сроком действия;
— диагностические отчёты — автоматическая отправка ежедневных/еженедельных отчётов о состоянии системы;
— аудит действий пользователей — полный журнал с экспортом в CSV;
— лицензирование — привязка к hardware fingerprint, поддержка офлайн-активации, ограниченный режим.
