VECTRA: INTELIGENTNI MONITORING MREŽE

U vreme kada su vesti o tome kako je neka kompanija postala žrtva krađe podataka ili zaraze ucenjivačkim malverom svakodnevna pojava, treba preduzeti adekvatne korake da se rizici smanje

Svakoga dana kreira se na hiljade novih malicioznih kodova i napadači uspevaju da na najrazličitije načine zaobiđu sigurnosne barijere i upadnu u kompanijske sisteme. Stoga je današnje poslovanje nemoguće zamisliti bez adekvatne zaštite podataka. Kompletan uvid u stanje mreže znatno smanjuje rizike od napada jer ranjivosti sistema postaju jasno vidljive. Vectra pruža potpun pregled stanja mreže, detektuje aktivne napade i brzo reaguje na njih.

Vectra je svetski lider u primeni veštačke inteligencije u detekciji i reagovanju na cyber napade u cloud-u, data centrima i enterprise okruženjima u realnom vremenu. Sedište kompanije Vectra je u Kaliforniji, u gradu San Hozeu, ekonomskom, kulturnom i političkom centru Silicijumske doline. Njihov tim čine „white hats“ (popularni etični hakeri), istraživači ranjivosti sistema, specijalisti za analizu i obradu podataka, inženjeri za zaštitu mreže i dizajneri korisničkog interfejsa. Oni su zajedno kreirali Cognito platformu.

Cognito platforma

Cognito platforma prikuplja i skladišti mrežne metapodatke (podatke o podacima), kombinuje ih sa podacima koje obezbeđuje mašinsko učenje (machine learning) i na osnovu njih adekvatno reaguje. Ova platforma se sastoji iz tri dela:

  • Cognito Stream
  • Cognito Recall
  • Cognito Detect

Cognito Stream pruža uvid u celokupan mrežni saobraćaj. Na osnovu ovog uvida izdvaja metapodatke i skladišti ih lokalno ili u SIEM. Te podatke koriste ostale dve komponente za istraživanje i analizu. Svaki uređaj na mreži identifikuje se i prati (serveri, desktop računari, laptopovi, štampači, IoT uređaji).

Cognito Recall zadužen je za threat hunting, odnosno za traženje ranjivosti u sistemu. Vectra omogućava čuvanje metapodataka, a na osnovu sačuvanih podataka može se vršiti retrospektivna forenzika i tako detektovati ranjivosti u sistemu. Cognito Detect detektuje cyber napade u realnom vremenu. Automatizuje manuelne procese i konsoliduje hiljade događaja da bi odredio hostove koji predstavljaju najveću pretnju.

Kako Cognito radi?

Zadatak platforme je da sakupi podatke, analizira ih i na osnovu analize adekvatno reaguje. Cognito monitoriše i izdvaja relevantne podatke iz cloud-a, data centara i enterprise okruženja. Ono po čemu je Vectra jedinstvena jeste da se saobraćaj ne vezuje za IP adresu, već za host. Ovo je važna karakteristika za retrospektivno istraživanje. Ukoliko host promeni IP adresu, Cognito Recall će moći tačno da veže host za detektovanu pretnju. Nakon izdvajanja podataka, brišu se njihove redundantne kopije i od njih se kreiraju metapodaci. Platforma primenjuje veštačku inteligenciju i algoritme mašinskog učenja kako bi poboljšala rezultate u otkrivanju pretnji i napada.

Istraživači kompanije Vectra razvili su i konstanto prilagođavaju modele ponašanja. Oni služe da obogate i dopune izdvojene metapodatke ključnim sigurnosnim atributima, kao što su sigurnosni obrasci, ponašanje napadača i dr. Pored toga, razvijen je i model ponašanja za automatsku detekciju cyber napada u realnom vremenu, pre nego što oni nanesu štetu. Detektovane pretnje se automatski kategorišu u nivoe po stepenu rizika, tako da se prvo reaguje na najrizičnije pretnje.

Use cases

U kompanijama se ponekad dešava da danima ili čak nedeljama uopšte ne znaju da imaju malver. Zbog toga je dobra praksa čuvati podatke, da bi se oni kasnije mogli analizirati i utvrditi gde je bila ranjivost u sistemu i koje su moguće pretnje. Vectra omogućava da se metapodaci i logovi čuvaju neograničeno dugo, upravo zbog potencijalnih budućih analiza i istraživanja. Cognito Recall može uspešno retrospektivno da sagleda pretnje i na osnovu toga otkrije ranjivosti u sistemu. Takođe, Recall aktivno traži ranjivosti u sistemu, pružajući inteligentnu istragu bilo kog uređaja.

Za kompanije je od ključnog značaja da brzo dobiju konkretne informacije, a da pri tome ulože što manje resursa. Cognito Detect omogućava da se iz niza događaja koji su se desili pilikom napada izdvoji početna tačka, zarad dublje istrage ili momentalnog reagovanja. Cognito Detect uspešno identifikuje i razotkriva skrivene tunele, koji se sve češće koriste za prikrivanje umetnutog sadržaja u okviru regularnih protokola. To su tuneli koji zaobilaze sigurnosne prepreke, uključujući IDS i IPS sisteme, kao i firewall. Zbog toga ih je teško detektovati i često dugo ne budu otkriveni. Detect je sposoban da otkrije rootkite, maliciozni softver koji ostavlja zadnji ulaz preko kojeg napadač može da uđe u sistem. On se teško detektuje zato što uspeva da zaobiđe ili čak „sruši“ softver koji pokušava da ga „ulovi“.

Integracija sa drugim security tehnologijama

Vectra se uspešno integriše sa ostalim cyber security tehnologijama. Endpoint sigurnosna rešenja dopunjavaju Cognito platformu informacijama kao što su ime mašine, operativni sistem koji je instaliran na mašini i sl. S druge strane, rešenje se može integrisati i sa firewall uređajima, tako da kada platforma detektuje da je host zaražen, ona šalje firewall-u njegovu IP adresu kako bi ga on izolovao. Ovim se postiže trenutna automatska reakcija na pretnju, koja sprečava dalju zloupotrebu zaraženog hosta (eksfiltracija podataka, lateralno skeniranje i zaraza drugih sistema itd.), što administratoru daje vreme da na siguran način istraži detektovanu pretnju i očisti zaraženi sistem.

Vectra je usklađena sa nekim od najbitnijih regulacionih zakona koji su vezani za zaštitu privatnosti zaposlenih i primenu dobrih sigurnosnih praksi, kao što su GDPR, NIST, FFIEC, DFARS, MITRE ATT&CK i dr.

Za kraj

U vreme kada do nas skoro svakoga dana stižu vesti o tome da je neka kompanija postala žrtva krađe podataka ili zaraze ucenjivačkim malverom, treba preduzeti adekvatne korake da se rizici smanje. Kvalitetan monitoring sistema teško je ostvariti i on zahteva iskusne inženjere, koji će moći da iz logova koje šalju najrazličitiji uređaji detektuju zlonamerne aktivnosti. Monitoring uređaji poput SIEM-a trebalo bi da olakšaju ovaj posao, ali njih je uvek problematično kvalitetno konfigurisati tako da korelacijom različitih događaja daju kompletnu sliku. Glavni problem je to što jedan šablon pravila ne može odgovarati svim kompanijama. Čak i u slučaju da se pretnja detektuje, od inženjera se zahteva da utroše dosta vremena da bi analizirali okolnosti pod kojima je do pretnje došlo, kao i obim zaraze.

Upravo ovde postaju očigledne prednosti rešenja koje nudi Vectra. Za svaku pretnju koja se detektuje postoji spisak indikatora koji ukazuju na to zašto je događaj označen kao pretnja. Uz pomoć markiranja događaja kao visoko/manje kritičnih administratori mogu brzo da odrede prioritete rešavanja. Uz pomoć machine learning i deep learning algoritama smanjeno je vreme koje je potrebno za detekciju pretnji, a administratori mogu biti sigurni šta se tačno odigralo u njihovom sistemu i da su uspešno uklonili sve pretnje.

Strahinja Soskić , COMING

0 %s Comments

Prosledi komentar

Vaša adresa e-pošte neće biti objavljena.

Najnoviji

Novi-NetApp-proizvodi

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom ...
Veštačka-inteligencija-u-našim-rukama

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke ...
Azure-Active-Directory--postaje-Entra-ID

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu ...
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga, ...