Гарда Deception

«Гарда Deception» – DDP-платформа (Distributed Deception Platform) создаёт фиктивный слой объектов ИТ-инфраструктуры предприятия, которые неотличимы от защищаемых узлов сети. Интерактивные ловушки отвлекают внимание злоумышленника, позволяя выиграть время для нейтрализации кибератаки. Продукт зарегистрирован в Реестре российского программного обеспечения.

2025

Поддержка безагентного метода доставки и обновления приманок через групповые политики инструмента Microsoft Active Director

Обновленная версия «Гарда Deception» снижает нагрузку на ИТ-подразделения заказчиков за счет расширения автоматизации и повышения устойчивости системы. Решение помогает компаниям своевременно выявлять действия злоумышленников, минимизировать простои инфраструктуры и усиливать сетевую безопасность. Об этом Гарда Технологии сообщили 28 ноября 2025 года.

Одним из главных улучшений обновления стала поддержка безагентного метода доставки и обновления приманок через групповые политики инструмента Microsoft Active Directory (AD GPO). Теперь ИБ-специалисты могут централизованно управлять приманками, не вмешиваясь в рабочие процессы сотрудников. Обновления выполняются по расписанию и в скрытом режиме, что исключает влияние на пользовательские станции и повышает стабильность корпоративной сети.

Для точности детектирования атак в систему добавлена ловушка MiTM-детектор для протокола LLMNR (Link-Local Multicast Name Resolution). Этот механизм позволяет распознавать попытки атак типа Man-in-The-Middle на широковещательные протоколы, фиксируя большее количество тактик злоумышленников.

В географически распределенных сетях заказчики смогут использовать модуль «Филиал/Branch». Он обеспечивает автономную работу ловушек при отсутствии связи с центральным узлом и сохраняет непрерывность мониторинга. Это решение особенно полезно для компаний с несколькими офисами или удаленными производственными площадками.Как построить цифровой фундамент для мебельного ритейла будущего 8 т Сопоставление инцидентов с техниками из матрицы MITRE ATT&CK ускоряет анализ событий безопасности в «Гарда Deception». Интеграция с международной базой тактик и техник атак помогает аналитикам быстрее связывать события с известными сценариями, выстраивая цепочку действий злоумышленников.

Расширены возможности по созданию ложных персон. Теперь можно загружать данные через CSV-файл, например, с отключенными учетными записями сотрудников, а также использовать регулярные выражения для генерации ID и добавлять отчества для большей реалистичности. Такие функции повышают скрытность и адаптивность работы приманок в инфраструктуре.

Мы видим, что заказчики стремятся повысить точность обнаружения атак без усложнения инфраструктуры. Новые возможности "Гарда Deception" позволяют автоматизировать рутинные операции и одновременно углубить уровень анализа угроз, сохраняя баланс между безопасностью, производительностью и удобством работы, – отметила Екатерина Харитонова, руководитель продукта «Гарда Deception».

Совместимость с Astra Linux 1.8

«Гарда Deception» позволяет заказчикам применять системы обнаружения и отвлечения злоумышленников в инфраструктуре на базе Astra Linux 1.8. Совместимость решений упрощает интеграцию и эксплуатацию, снижает затраты на проверку технической сопряженности и ускоряет принятие решений при выборе средств защиты.

Результаты испытаний в рамках программы технологического партнерства Ready for Astra подтверждают корректную и стабильную работу «Гарда Deception» в указанной среде. Astra Linux 1.8 предназначена для использования в ИТ-инфраструктурах любого масштаба и включает ряд технологических обновлений, влияющих на стабильность, управляемость и уровень защищенности. «Гарда Deception» формирует ложный слой сетевой инфраструктуры, что позволяет выявлять несанкционированную активность и предотвращать целевые атаки.

Совместимость с Astra Linux расширяет возможности заказчиков по созданию технологически однородной и предсказуемой ИБ-среды на базе российских решений, соответствующих требованиям к импортонезависимости и надежност, – сказала Екатерина Харитонова, руководитель продукта «Гарда Deception».

Поддержание совместимости с отечественными средствами защиты информации остается приоритетом для нашей платформы. Интеграция с «Гарда Deception» усиливает возможности заказчиков в области активной кибербезопасности, позволяя им выстраивать более устойчивую и адаптивную ИТ-инфраструктуру. Это решение хорошо вписывается в стратегию безопасного импортозамещения, где каждое звено экосистемы проверено на технологическую сопряженность и эффективность, – отметил Кирилл Синьков, директор департамента по работе с технологическими партнерами «Группы Астра».

Возможность быстрее развертывать ловушки и управлять ими

Обновленная версия «Гарда Deception» позволяет быстрее развертывать ловушки и управлять ими, охватывает больше элементов инфраструктуры и лучше выявляет разведывательные действия злоумышленников. Приманки и ловушки распространяются автоматически, что сокращает ручную работу, ускоряет внедрение и повышает шансы детектирования угроз. Система также обнаруживает скрытую разведку и сообщает о ней. Об этом разработчик сообщил 24 июня 2025 года.

Ускорить и упростить развертывание ловушек в инфраструктуре позволяет добавленный безагентский метод распространения приманок. В отличие от ранее доступного агентского способа, теперь распространение возможно автоматически через WinRM на устройствах с ОС Windows. Администратор может задать расписание распространения, что снижает ручные трудозатраты и повышает управляемость процесса.

Для повышения вероятности взаимодействия злоумышленника с ловушками в продукт добавлена поддержка DNS-приманок. Интеграция с DNS-серверами позволяет автоматически добавлять поддельные ресурсные записи (А-записи) в зону, что делает ловушки более реалистичными. Это расширяет охват инфраструктуры и помогает выявлять атаки, использующие сканирование DNS.

Чтобы увеличить видимость пассивных разведывательных действий хакеров в сети внедрена ловушка ICMP. Она позволяет фиксировать попытки обнаружения систем злоумышленником через эхо-запросы. При включенной опции генерации событий ICMP, продукт регистрирует пинг-запросы как потенциально подозрительную активность.

Обновления в «Гарда Deception» позволяют не только сократить ручные операции при развертывании ловушек, но и значительно повысить достоверность ложной инфраструктуры. Расширение видов приманок и автоматизация их распространения усиливают вероятность взаимодействия атакующего с ловушкой, а новые механизмы фиксации скрытой активности — такие как DNS- и ICMP-ловушки — помогают своевременно выявлять подготовительные этапы атаки, когда у защитников еще есть время на реагирование, ‒ сказала Екатерина Харитонова, руководитель продукта «Гарда Deception».

«Гарда Deception» 1.12.0 с разделом «Компрометация»

Обновление «Гарда Deception» повышает эффективность работы служб ИБ и ускоряет анализ инцидентов. Обновленная версия системы упрощает управление приманками и автоматизирует сбор данных о подозрительных активностях. Заказчики смогут быстрее обнаруживать угрозы, точнее анализировать действия злоумышленников и минимизировать риски простоев. Решение подходит для внедрения в организациях с высокими требованиями к информационной безопасности. Об этом Гарда Технологии сообщили 26 февраля 2025 года.

«Гарда Deception 1.12.0» упрощает анализ инцидентов и повышает скорость реагирования на угрозы – в систему добавлен раздел «Компрометация». В нем собирается вся информация о компрометации ложных учетных записей. Это IP-адрес источника, с которого происходило взаимодействие с ловушкой; время события; ловушка, в которой были введены логин и пароль ложной учетной записи. Ранее эти данные были распределены по разным разделам системы, что требовало времени на их сведение.

Быстрее устранять ошибки и минимизировать простои позволяет мониторинг статусов доставки, обновления и удаления приманок в реальной ИТ-инфраструктуре, который реализован в обновленном разделе «Распространение». Для удобства работы с системой добавлена возможность указывать директорию для размещения текстовых и файловых приманок в процессе их создания.

Обеспечить раннее выявление атак, разнообразить количество и качество ловушек, а значит, повысить достоверность ложной инфраструктуры и лучше изучить действия злоумышленников позволяет целый ряд обновлений. В систему добавлены ловушка и приманка Telnet, имитирующие удаленный доступ к сетевым устройствам через протокол Telnet. Также в данной версии «Гарда Deception» реализована возможность настройки кастомизируемого ASCII арт-баннера для ловушек SSH и Telnet – в сетевом оборудовании есть штатные команды для создания псевдографических баннеров. Добавление этой функции повышает достоверность ложного слоя инфраструктуры. Для оперативного отслеживания состояния ловушек реализован их автоматический перезапуск.

Расширены возможности использования «Гарда Deception» в организациях с высокими требованиями к защите информации, обновленная версия теперь совместима с отечественной ОС Astra Linux 1.8.1.

Обновление "Гарда Deception" делает защиту более гибкой и адаптивной, позволяет компаниям не просто обнаруживать атаки, а понимать тактику злоумышленников и выстраивать проактивную стратегию защиты. Инструменты мониторинга и анализа угроз становятся удобнее, снижают нагрузку на специалистов и повышают эффективность работы ИБ-подразделений, ‒ сказала Екатерина Харитонова, руководитель продукта «Гарда Deception» «Гарда».

2024

«Гарда Deception» 1.11.0 с поддержкой «Яндекс.Браузера»

Обновленная версия «Гарда Deception» 1.11.0 позволяет создавать максимально приближенную к инфраструктуре заказчика эмулируемую среду с поддержкой новых типов ловушек и приманок PostgreSQL и Kubernetes. Система снижает нагрузку на администраторов. Об этом разработчик сообщил 26 ноября 2024 года.

Данная версия системы снижает нагрузку на администраторов и минимизирует вероятность ошибок на этапе настройки. За это отвечают функции автоматической проверки доступности в подсетях IP-адресов для эмулируемых машин, а также автоматическая проверка настроек при подключении к SIEM.

«Гарда Deception 1.11.0» работает на базе ОС Debian 12, к перечню поддерживаемых браузеров добавлен Яндекс.Браузер.

«Гарда Deception 1.10.0» с брокером сообщений Apache Kafka

Разработчики интегрировали «Гарда Deception 1.10.0» с брокером сообщений Apache Kafka. Теперь система обнаруживает подозрительные попытки авторизации в домене и автоматически создает инцидент информационной безопасности с уведомлением ответственных лиц. Обновления помогают повысить оперативность реагирования на угрозы. Об этом разработчик сообщил 26 августа 2024 года.

Обновленная версия «Гарда Deception 1.10.0» детектирует подозрительные попытки авторизации на рабочих местах пользователей, создает инцидент информационной безопасности (ИБ), отправляет его в SIEM в режиме реального времени и дополнительно уведомляет ответственных сотрудников по электронной почте и в Telegram.

Функционал реализован за счет распространения в инфраструктуре приманок с ложными данными авторизации в домене. Контроллер домена регистрирует все попытки входа, брокер Kafka выгружает логи, а «Гарда Deception» сверяет данные авторизации с фейковыми. Так, система определяет злоумышленника еще до его взаимодействия с ловушкой.

Кроме прочего, в обновленной версии системы расширены возможности создания и настройки политик распространения приманок. Теперь их можно привязать к конкретным супервизорам и конкретным машинам на каждом супервизоре, делая процесс управления приманками более гибким. «Гарда Deception 1.10.0» позволяет создавать настраиваемые шаблоны форматов фиктивных учетных записей. Так, генерация фальшивых логинов и паролей в приманки становится более прозрачной.

Разработчики «Гарда Deception 1.10.0» обогатили пользовательский опыт: система позволяет эмулировать сетевые устройства и создавать ловушки типов «сетевой маршрутизатор» и «коммутатор».

Данная версия продукта поддерживает распространение приманок во всех существующих операционных системах: Windows, Linux, MacOS.

«Гарда Deception 1.10.0» помогает соблюдать внутренние правила информационной безопасности – в релизе предусмотрено ограничение продолжительности пользовательской сессии от 4 до 12 часов. По истечению предусмотренного времени сессии система запрашивает повторную авторизацию.

Совместимость с Astra Linux Special Edition

Группа компаний «Гарда» подтвердила соответствие системы для создания ложного слоя сетевой инфраструктуры предприятия «Гарда Deception» требованиям программы технологического партнерства Ready for Astra. Об этом компания сообщила 1 июля 2024 года.

Сертификат совместимости «Гарда Deception» с ОС Astra Linux гарантирует корректную бесперебойную работу решения и отсутствие ограничений при использовании в связке с операционной системой.

«Гарда Deception» создает ложный слой сетевой инфраструктуры предприятия, позволяя дезинформировать злоумышленников и детектировать вредоносную активность в режиме реального времени. Система защищает от таргетированных атак и атак нулевого дня.

Наши партнеры нацелились на то, чтобы создать экосистему отлаженно работающих друг с другом ИТ-продуктов для эффективного решения задач заказчиков, – сказала руководитель «Гарда Deception» Екатерина Харитонова. – Испытания и сертификация по программе Ready for Astra – один из способов облегчить российским компаниям выбор систем и программно-аппаратных комплексов, которые, доказано, интегрируются друг с другом, помогают в достижении целей импортозамещения.

В рамках развития нашей ИБ-стратегии, мы пристально следим за продуктами партнеров, способных качественно дополнить и усилить экосистему наших собственных решений. Уверены, что ключевые заказчики оценят удобство совместного использования продуктов «Группы Астра» и группы компаний «Гарда», – отметил Кирилл Синьков, директор департамента по работе с технологическими партнерами «Группы Астра».

Соответствие требованиям ФСТЭК России по 4 уровня доверия

Программный комплекс «Гарда Deception» (ранее «Гарда Лабиринт») прошел сертификационные испытания и соответствует требованиям информационной безопасности ФСТЭК России 4 уровня доверия. Продукт может использоваться для защиты государственных информационных систем и предприятий, не работающих с государственной тайной. Об этом Гарда сообщила 19 апреля 2024 года.

«Гарда Deception» (ранее «Гарда Лабиринт») – это DDP-платформа (Distributed Deception Platform), которая создаёт фиктивный слой объектов ИТ-инфраструктуры предприятия, не отличимый от защищаемых узлов сети. Интерактивные ловушки отвлекают внимание злоумышленников, позволяя оперативно нейтрализовывать кибератаки. Продукт зарегистрирован в Реестре российского программного обеспечения (№10040).

Успешность испытаний во ФСТЭК в том числе зависит от совместимости продукта с одной из сертифицированных российских операционных систем, – сказал Дмитрий Филиппов, руководитель отдела сертификации и лицензирования группы компаний «Гарда». – В части имитации ИТ-инфраструктуры это требование прежде всего касается серверной части, на которой развертывается платформа. Так, «Гарда Deception» совместима с операционной системой Astra Linux Special Edition.

Система «Гарда Deception» уже показала свою эффективность для заказчиков из различных отраслей бизнеса. Она способна определять вредоносную активность, незаметную для других СЗИ, и защищать от атак нулевого дня и атак повышенной сложности в режиме близком к реальному времени. Платформа позволяет сотрудникам служб ИБ соблюдать правило 1-10-60, которое предполагает обнаружение угрозы в течение первой минуты, понимание ее в течение 10 минут, ответ на нее в течение 60 минут.

Интеграция с Гарда Threat Intelligence

Группа компаний «Гарда» обновила платформу для создания ложного слоя сетевой инфраструктуры предприятия «Гарда Deception». Улучшенная версия продукта позволяет оптимизировать использование вычислительных и информационных ресурсов ИБ-систем заказчика. Она интегрируется с сервисом обогащения данных о киберугрозах «Гарда Threat Intelligence» и увеличивает скорость детектирования и реагирования на атаки, усиливает защиту от уязвимостей нулевого дня и минимизирует ущерб от действий злоумышленников. Об этом Гарда сообщила 16 апреля 2024 года.

Интеграция обновленной версии платформы «Гарда Deception» 1.9.0 с сервисом «Гарда Threat Intelligence» (TI) позволяет быстрее обнаруживать атаки и точнее оценивать степень их опасности. Опция реализована за счет доступа к постоянно обновляемой информации о тактиках и техниках злоумышленников.

При детектировании подозрительных файлов или активности «Гарда Deception» обращается к базе индикаторов компрометации с запросом по хэшу потенциального вредоносного файла. В ответ платформа получает информацию о принадлежности объекта к конкретному вредоносу и оценивает степень опасности. Эти данные позволяют сформировать и передать обогащенное событие в центр принятия решений или системы SIEM/IRP как инцидент, а далее – принять решение о реагировании, – сказал Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда». – Система помогает автоматизировать процесс реагирования на инциденты.

Комплексное применение «Гарда Deception» и «Гарда Threat Intelligence» сокращает время распознавания таргетированных атак и выбора эффективного метода противодействия им. Когда срабатывает система ловушек «Гарда Deception», сервис TI указывает на признаки целевой атаки, благодаря чему повышается эффективность оценки уровня опасности и приоритизации задач реагирования. Как следствие, повышается скорость блокировки источников атаки и сокращается возможный ущерб от реализации атак.

Данная версия «Гарда Deception» сокращает количество ложноположительных срабатываний и снижает нагрузку на системы анализа и реагирования.