Mandiant
Mandiant to notowana na giełdzie amerykańska firma zajmująca się bezpieczeństwem cybernetycznym - wg najnowszego raportu Forrester z 2021 roku światowy lider w zakresie dostępu do informacji „Intelligence” oraz analizy incydentów „Incident Response”.
Firma zasłynęła wykryciem chińskich ataków szpiegowskich w 2013 r., a następnie w 2019 wykrywając rosyjski cyberatak „SolarWinds”.
Flagowy produkt firmy – platforma Mandiant Advantage pomaga przygotować firmy i instytucje na współczesne zagrożenia cybernetyczne rekomendując priorytety i weryfikując poprawność działania systemów bezpieczeństwa pochodzących od różnych producentów. Rozwiązanie jest rezultatem tysięcy zrealizowanych projektów konsultingowych dla największych Klientów na świecie.
Passus S.A. jest platynowym partnerem firmy Mandiant w Polsce (najwyższy status partnerski).
Jest on potwierdzeniem kompetencji i doświadczenia niezbędnego do skutecznej realizacji wdrożeń rozwiązań firmy Mandiant. Posiadamy własny zespołów programistów i inżynierów (obecnie 5 certyfikowanych inżynierów Mandiant) dostosowujących istniejące rozwiązania oraz realizujących projekty na indywidualne zamówienie.
MANDIANT ADVANTAGE
Mandiant Advantage to usługa dostępu do informacji z zakresu cyberbezpieczeństwa dedykowana dla zespołów SOC. Umożliwia dostęp do kompletnych danych na temat ataku, jego przebiegu, możliwych skutków i sposobów reakcji na nie. Dane są dostarczane od Mandiant Incident Response Teams - zespołów, które codziennie pomagają firmom na całym świecie reagować na wykryte incydenty (łącznie ponad 3000 specjalistów na całym świecie).
Mandiant Advantage to:
- możliwość integracji usługi z systemami trzecimi
- pełny wgląd w IoC (wskaźniki kompromitacji)
- dostęp do informacji kontekstowej na temat zagrożeń, które analizuje zespół Mandiant Intelligence.
Usługa Mandiant Advantage może być wykorzystywana w formie:
- dostępu do portalu (brak limitów dla liczby zalogowanych osób),
- wtyczki do przeglądarki ułatwiającej pracę analitykom bezpieczeństwa,
- integracji z rozwiązaniami trzecimi (np. SIEM, TIP, EDR, SOAR, etc.).
Na portalu Mandiant oferuje możliwość przejrzenia informacji medialnych (tych tworzonych przez Mandiant jak i z innych źródeł, m.in. OSINT) związanych z najnowszymi zagrożeniami w zakresie bezpieczeństwa IT.
Dedykowany pulpit związany z przeglądem atakujących pozwala na szybkie znalezienie odpowiedniej informacji. Mandiant wyróżnia grupy:
- APT – Zaawansowane grupy charakteryzujące się spójną taktyką i często autorskimi metodami włamań,
- FIN – Grupy skupiające się na atakach finansowych (np. Ransomware),
- TEMP – Tymczasowe grupy działające bardzo często w ramach grup APT,
- UNC – Niesklasyfikowane grupy o spójnym celu ataku.
Mandiant Advantage to dostęp do najnowszych informacji o aktywnościach grup hakerskich, szczegółowe informacje na temat ataków malware ich charakterystyki, pełen wgląd w IoC (identyfikatory kompromitacji).
SECURITY VALIDATION
Mandiant Security Validation to system klasy Breach and Attack Simulation (BAS), który w połączeniu z platformą Mandiant Advantage weryfikuje aktualny stan zabezpieczeń poprzez symulację i testy ataków w izolowanej infrastrukturze Klienta. Wszystkie symulacje cyberataków są wykonywane z wykorzystaniem dedykowanych elementów rozwiązania dostarczonych przez Mandiant, które odzwierciedlają konfiguracje, wersje i systemy posiadane przez Klienta.
Dzięki unikalnej wiedzy z Mandiant Advantage system jest w stanie w prosty sposób zasymulować różne typy ataków bazujących na podatnościach lub złej konfiguracji:
- sieci,
- aplikacji (desktop, web),
- systemów operacyjnych Linux, Mac, Windows,
- systemu operacyjnych chmurowych (AWS, Azure, GCP),
- przeglądarek internetowych (Chrome, FireFox, IE, Safari),
- baz danych (DB2, MS-SQL, MySQL, Oracle, PostgreSQL)
- serwerów www (apache, ISS, Nginx),
- protokołów (DNS, http/S, ICMP, SMB, SNMP),
- zdalnego dostępu (RDP, SSH, VPN),
- infrastruktury chmurowej (Cloud API, cloud storage, IAM).
Ataki można symulować w różnych systemach operacyjnych, w tym: Windows, MacOS oraz Linux (zarówno stacje robocze jak i serwery) oraz na bazie róznych frameworków bezpieczeństwa (MITRE, NIST, NSA).
System zawiera zarówno pojedyczne działania w ramach ataków, np. wykradzenie danych uwierzytelniających, przesłanie droppera, phishing, przejęcie hasła, wykorzystanie podatności konkretnego systemu, jak i kompleksowych całościowo ataków śledzonych przez Mandiant: Ransoware, grupy APT/FIN.
Dzięki wbudowanym mechanizmom automatyzacji system pozwala zarówno na przeprowadzanie jednostkowych ataków pomocnych dla zespołów „Red Teaming” oraz „Blue Teaming” jak i całego procesu walidacji aktualnego środowiska bezpieczeństwa w róznych domenach technologicznych (sieć, poczta email, stacje robocze, serwery, część OT/IoT).
Security Validation umożliwia walidację infrastruktury bezpieczeństwa, pozwala także edukować zespół i ustalać priorytety rozwoju SOC
ATTACK SURFACE MANAGEMENT
Attack Surface Management to usługa pozwalająca spojrzeć na infrastrukturę Klienta wystawioną do Internetu "oczami hakera". System za pomocą technik typu machine learning oraz bazy wiedzy zaciągniętej z platformy Advantage automatycznie skanuje zasoby Klienta celem oszacowania ich złożoności, wykorzystanych technologii oraz ryzyka kompromitacji przez atakującego, który może wykorzystać określone podatności.
Attack Surface Management pozwala na inwentaryzację zasobów zewnętrznych (asset management) poprzez skanowanie:
- adresów IP,
- domen,
- certyfikatów,
- kont GitHUB,
- adresów email,
- serwerów nazw,
- bloków sieciowych CIDR,
oraz określenie listy technologii oraz wersji oprogramowania, którą wykorzystuje Klient.
Dzięki wbudowanemu modułowi podatności jesteśmy w stanie okreslić, które z usług czy systemów powinny zostać zaktualizowane lub zrekonfigurowane w pierwszej kolejności i jakie niesie to ryzyko potencjalnego ataku.