「Attivo」は、「Deception(騙す)テクノロジー」を利用して、標的型サイバー攻撃、そして攻撃者から企業を守る全く新しいソリューションだという。「Deception(騙す)テクノロジー」は、実環境の中におとり環境を用意し、おとり環境に攻撃者を誘導することで攻撃者の円滑な目的達成を妨害し、機密情報の窃取といった目的達成まで時間を稼ぐ効果があるという。
また、攻撃手段を検知、遮断するだけでは知ることができなかった、攻撃者の戦術や技術、攻撃手法(TTP)、そして攻撃の目的を特定することが可能になる。つまり、得られた情報から、「攻撃者とのいたちごっこ」に終止符を打つ、極めて戦略的な対策を検討し、実現することができるという。
「Attivo」は、攻撃者を騙す“おとり環境”と、おとり環境に攻撃者を誘導する“撒き餌”の2つに大別される。「BOTsink」と呼ばれるおとり環境は、アプライアンスもしくはバーチャルアプライアンスで提供される。
このソリューションにより、攻撃者があたかもターゲットの実環境であると騙されるように、実OS、実アプリケーションを利用して、偽のファイルサーバ、認証サーバ、クライアント環境などを構築することができる。
また、撒き餌となる「IRES」は、おとり環境の認証情報を実際のユーザクライアントにインストールし、攻撃者をおとり環境であるBOTsinkに誘導することができる。一度、BOTsinkに攻撃者を誘導できれば、管理者にアラートを上げるとともに、二度と実際のネットワークに戻ることはできない仕組みとなっているため、安全に攻撃者を泳がせることが可能だという。
これらにより、仮にマルウェア感染を許してしまったとしても、侵入後の攻撃を検知し、最終的な目的達成までの時間稼ぎを行いながら、攻撃者との「いたちごっこ」に終止符を打つ、極めて戦略的な対策を実現するための情報を収集することができるとしている。
