Podstawą architektury rozwiązania ThreatDefend® jest matryca różnego rodzaju przynęt i wabików, umieszczonych w różnych punktach infrastruktury, imitujących prawdziwe środowisko IT. Platforma daje możliwość wykorzystania już gotowych maszyn wabiących, a także stwarza warunki do stworzenia własnej wersji infrastruktury z wykorzystaniem zarówno systemu operacyjnego, jak i aplikacji i poświadczeń. Wykorzystując dynamiczne techniki oszustwa, wabiki szybko identyfikują cyberprzestępcę, skłaniają go do wejścia z nimi w interakcję i natychmiast generują alerty o zagrożeniu. Główny serwer BOTsink®  precyzyjnie i w czasie rzeczywistym śledzi wszelkie ruchy cyberprzestępcy, jednocześnie odpowiadając mu fikcyjnymi danymi. Dzięki zaangażowaniu atakującego w infiltrację fałszywych zasobów zespoły cyberbezpieczeństwa zyskują czas na efektywną reakcję obronną i wydajne zarządzanie incydentami. Alerty są poparte dokładną analizą ataków, a tworzone raporty są zgodne ze standardami IOC, PCAP i STIX. Pozwala to na łatwe udostępnianie informacji i może zostać wykorzystane do automatyzacji przeciwdziałania cyberprzestępcy, odizolowania zainfekowanego systemu i poszukiwania innych zagrożeń w celu zupełnej eliminacji zagrożeń.

Rozwiązanie Attivo wykrywa zagrożenia, które ominęły inne zabezpieczenia, niezależnie od metod zastosowanych do włamania się do sieci. Ponadto nie opiera się na sygnaturach ani wyszukiwaniu w bazie danych, a zamiast tego ostrzega wyłącznie o potwierdzonym ataku. Dzięki temu platforma Attivo jest skalowalna i zdolna do niezawodnego wykrywania napastników przy użyciu ciągle zmieniających się metod i kierowania na szybko zmieniające się powierzchnie ataków.

Moduły składowe platformy ThreatDefend® :

• serwer Attivo BOTsink® – system wabików i pułapek wraz z niezbędną infrastrukturą służące zarządzaniu zdarzeniami i raportowaniu
• ThreatStrike® – umożliwia automatyczne tworzenie pakietów sfingowanych zestawów poświadczeń użytkowników, udziałów sieciowych, stacji i serwerów
• ThreatPath® – pozwala zwizualizować potencjalne ścieżki ataku przy wykorzystaniu dostępnych poświadczeń użytkowników
• ThreatDirect® – daje możliwość przekształcenia w wabik dowolną stację końcową/serwer znajdujący się nawet w dużej odległości, zwiększając tym samym skalowalność całej platformy
• ThreatOps® – zestaw playbook’ów służących do zautomatyzowanego reagowania na wykryte incydenty
• Attivo Central Manager ACM – pozwala na zarządzanie wieloma serwerami BOTsink w dużych podmiotach posiadających złożoną strukturę organizacyjną

Attivo ThreatDefend® Deception and Response to:

• Zautomatyzowana implementacja wykorzystująca uczenie maszynowe
• Szeroka gama integracji
• Skalowalność i kompleksowość technologii
• Detekcja incydentów bezpieczeństwa na bardzo wczesnym etapie, w czasie rzeczywistym
• Syntetyczny wgląd we wszystkie dane dotyczące ataku
• Szczegółowe raporty i dogłębna analiza ataków

Korzyści z płynące zastosowania ThreatDefend® Deception and Response:

• Łatwość wdrożenia i intuicyjna obsługa
• Redukcja kosztów operacyjnych działalności
• Zwiększenie efektywności pracy zasobów ludzkich zaangażowanych w ochronę środowiska IT
• Zmniejszenie czasu reakcji na zagrożenia do minimum i możliwość szybkiego wdrożenia skutecznej strategii obronnej
• Dogłębna wiedza analityczna umożliwiająca ograniczenie przyszłych incydentów bezpieczeństwa do minimum