Darktrace

Proponowane rozwiązanie firmy Darktrace, Enterprise Immune System, jest technologią służącą do wykrywania i analizy zagrożeń oraz anomalii pojawiających się w obrębie sieci oraz audytowania środowiska sieciowego, diagnozy problemów konfiguracyjnych oraz błędów administratorskich.

Dzięki zaawansowanym algorytmom matematycznym i zastosowaniu ich do modelu zachowań w danym przedsiębiorstwie, system monitoruje urządzenia i użytkowników wykrywając zachowania nietypowe i anormalne w ruchu sieciowym, błędne konfiguracje administratorów. Podejście matematyczne systemu nie wymaga stosowania sygnatur czy innych reguł, dzięki czemu możliwe jest wykrycie zagrożeń nieznanych i nigdy wcześniej nigdzie nie odnotowanych.

Darktrace dostarczany jest jako pasywne urządzenie odbierające ruch sieciowy. Po podłączeniu do sieci przedsiębiorstwa natychmiast rozpoczyna proces tworzenia licznych schematów zachowań urządzeń i użytkowników aktywnych w sieci. Matematyka samouczenia działa od momentu podłączenia urządzenia, a modele zachowań bezustannie ewoluują postępując wraz ze zmianami w zachowaniach użytkowników, urządzeń i samej sieci. Możliwa jest również integracja z każdym SIEM’em oraz działanie analogiczne do NAC (Network Access Control) informując w sposób natychmiastowy o nowym urządzeniu wpiętym w infrastrukturę w celu jak najszybszej reakcji lub dzięki dodatkowej funkcji Antigena, również odcięcie danego obiektu z sieci.

Stworzenie tzw. „Pattern of Life” dla każdej jednostki będącej użytkownikiem sieci umożliwia rozwiązaniu wykrycie nawet najbardziej subtelnych odchyleń w zachowaniach takich jak sposób korzystania danego użytkownika z danej technologii lub urządzenia, wzorzec dostępu do danych charakterystyczny dla danej jednostki czy schematy komunikacji wewnątrz przedsiębiorstwa. Zebranie takich danych może pozwolić rozwiązaniu na wskazanie potencjalnych zagrożeń zanim jeszcze wystąpią, np. kradzież danych autoryzacyjnych do systemów w przedsiębiorstwie lub nieroważne działania niedbałego pracownika.

Skanowanie sieci, niespodziewana analiza infrastruktury, nieoczekiwane pobrania z nietypowych źródeł internetowych czy intranetowych, logowanie z nowych, nieaktywnych wcześniej urządzeń i lokacji do systemów przedsiębiorstwa, użycie nietypowych protokołów komunikacji „do sieci” lub „z sieci” czy nie używanych wcześniej aplikacji – wszystkie te i inne aspekty aktywności podlegają wykryciu dzięki modelowaniu matematycznemu. Mogą być one cennym źródłem informacji – stanowią bowiem niespodziewane odstępstwo od zachowań przyjętych jako norma.

Korzyści biznesowe:

Osiągnięcie całkowitej widoczności sieci: Współczesne sieci są wielkie, mocno obciążone i skomplikowane w swej strukturze. Czyni je to trudnymi do analizy, kiedy trzeba określić, co dokładnie dzieje się w danym punkcie sieci w określonym czasie. Rozwiązanie Darktrace modeluje, mapuje i wizualizuje klientowi całą sieć i wszystkich jej użytkowników – zarówno podłączone urządzenia, jak i użytkowników fizycznych.

  • Wizualizacja nie tylko sieci, ale i sposobu interakcji urządzeń i użytkowników z tą siecią
  • Możliwość prześledzeniu wybranego fragmentu swojej infrastruktury –sieć, urządzenie lub użytkownika
  • Zrozumienie swojej organizacji lepiej niż adwersarze

 

Wykrywanie zagrożeń, o których nie wiedziałeś, że istnieją

Unikalne podejście systemu ochrony Darktrace zasilane jest przez proces machine learning i matematykę probabilistyczną. Darktrace nie polega na sygnaturach czy politykach określonych a priori – nie zakłada niczego z góry. Urządzenie używa procesów poznawczych, aby nauczyć się wzorców zachowań obecnych w sieci. Pozwala to na określenie tego, co w danym środowisku jest zachowaniem normalnym, a co poza normę wykracza.

  • Wyszukiwanie anomalii i zagrożeń, o których istnieniu nie miałeś świadomości – podejście matematyczne i samouczenie się rozwiązania Darktrace działa od momentu podłączenia do sieci
  • Zrozumienie priorytetów w zakresie ochrony – Darktrace pozwala skupić się na zagrożeniach bez odwracania uwagi od danych, które stanowią tylko „szum”
  • Reagowanie we właściwym czasie – zminimalizowanie ryzyka w swojej organizacji i zahamowanie złośliwych lub szkodliwych zachowań

 

Główne cechy

  • Zaawansowane wykrywanie zagrożeń – włącznie z nowymi i unikalnymi
  • Technologia oparta na wyrafinowanym mechanizmie samouczenia się i zaawansowanej matematyce
  • Podejście bezsygnaturowe pozwalające na wykrycie zagrożeń dopiero kształtujących się lub ataków “skierowanych”, które nie były wcześniej widziane
  • Praca w czasie rzeczywistym pozwalająca na alertowanie bez żadnych opóźnień
  • Wydajna platforma wizualizacyjna umożliwiająca intuicyjną analizę zagrożeń
  • The Enterprise Immune System wizualizuje i śledzi aktywność wszystkich urządzeń i użytkowników pokazując ich adres IP
  • Urządzenie jest instalowane pasywnie w infrastrukturze w ciągu zaledwie 1 godziny

 

Wizualizacja zagrożeń (Threat Visualizer)

Dopełnieniem Enterprise Immune System jest Threat Visualiser – interaktywny, trójwymiarowy graficzny interfejs zaprojektowany tak, aby pomóc analitykom i managerom procesów biznesowych w intuicyjnym zwizualizowaniu i prześledzeniu występujących anomalii bez potrzeby zagłębiania się w zaawansowaną matematykę kryjącą się za potęgą samego rozwiązania.

Threat Visualizer wyposaża użytkownika w meandry relacji i przepływów danych w sieci – wszystko w czasie rzeczywistym I w odniesieniu do dowolnie wybranego punktu w czasie przeszłym. W momencie ujawnienia się anomalii Threat Visualizer ukazuje użytkownikowi wszystkie zdarzenia, które ją poprzedzały i następnie występowały podczas jej trwania – umożliwia to sekwencyjne odtworzenie w czasie kwestionowanego ciągu wydarzeń i łatwiejszą analizę krok po kroku.

Threat Visualizer jest narzędziem interaktywnym – pozwala ono analitykom na śledzenie coraz to głębszych warstw problemu i przeprowadzania coraz bardziej skompikowanych zapytań do systemu. Platforma wpiera również potrzeby analityczne systemów firm „trzecich” umożliwiając pobranie pakietów sieciowych w formie surowej z przeznaczeniem do dalszej analizy w innych rozwiązaniach czy systemach.

Technologia uzupełniająca

Enterprise Immune System zaprojektowano również w taki sposób, aby uzupełniał istniejące w przedsiębiorstwie modele podejścia do bezpieczeństwa czy elementy związane z tym bezpieczeństwem już zainstalowane w danej infrastrukturze. Prawidłowo skonfigurowane elementy zabezpieczeń na granicy sieci i na poziomie hostów są bardzo istotne natomiast dają jedynie częściową ochronę przeciwko zdeterminowanym atakom – niezależnie od tego, czy zagrożenie znajduje się na zewnątrz sieci, czy też drzemie wewnątrz organizacji. Dodatkiem do tego bezsygnaturowego modelu monitorowania i wykrywania zagrożeń staje się tu możliwość reakcji na ataki, które stanowią nowość i zaskoczenie dla przedsiębiorstwa lub zostały na przedsiębiorstwo skierowane świadomie i celowo – wszystko to bez konieczności podejmowania prób przewidywania tego, co jeszcze może się wydarzyć w przyszłości.

Dane wynikowe z Enterprise Immune System mogą zostać przekierowane do istniejących komercyjnych lub dedykowanych rozwiązań typu SIEM za pośrednictwem popularnych i znanych na rynku mechanizmów (syslog, SNMP, connectors, le, databases lub API).

 

Podstawy matematyczne

Kluczem do tego innowacyjnego podejścia matematycznego okazuje się być nie tylko zidentyfikowanie znaczenia relacji pomiędzy zbiorami danych, lecz również oszacowanie ilościowe niepewności związanych z wynikową inferencją. Poprzez zrozumienie tych niepewności możliwym staje się sprowadzenie ich wszystkich do wspólnego mianownika w ramach jednej wspólnej struktury. Stanowi to podstawę Bayesiańskiej analityki probabilistycznej.

W sercu Darktrace leżą cztery silniki matematyczne używające wielu modeli podejścia ze szczególnym naciskiem na Recursive Bayesian Estimation (RBE), zwanym również Filtrem Bayes’a.

Trzy z wymienionych silników tworzą modele zachowań dla indywidualnych użytkowników, dla urządzeń, których używają w danej sieci i dla samej sieci, której częścią są wspomniani użytkownicy i urządzenia. W momencie wykrycia zachowania anormalnego przez jeden, dwa lub trzy silniki matematyczne, generowany jest „alert prawdopodobny”. Alert ten wysyłany jest do tzw. silnika parasolkowego. Moduł ten nosi nazwę Threat Classifier. Jego zadaniem jest przegląd wszystkich modeli zachowań wygenerowanych w całej historii życia rozwiązania w danej sieci. Celem analizy jest szczegółowe wyfiltrowanie i wykluczenie zdarzeń tzw. false positive i zaraportowanie użytkownikowi systemu wyłącznie tych danych, które stanowią prawdziwą i realną anomalię wartą dalszej analizy – niezależnie od tego jak subtelna jest ta anomalia.

Ta unikalna kombinacja wielu Bayesiańskich modeli podejścia skorelowana i przefiltrowana przez Threat Classifier czyni z Darktrace nadzwyczaj skuteczne i dokładne narzędzie służące do detekcji anomalii w środowisku korporacyjnym.

 

Moduł polityk i zgodności

Enterprise Immune System posiada wbudowany moduł monitorowania i wymuszania polityk i zgodności. Wspiera on aktywnie definiowalne zasady, które przypisać można do profilu wykrywania w danym środowisku (np. zabraniaj dostępu do Dropbox, zabraniaj przenoszenia danych wrażliwych na teren określonych krajów, zezwalaj wyłącznie na wewnętrzne adresy DNS, itp.)

 

Twoje dane są wyłącznie Twoje

Enterprise Immune System przetwarza informacje wyłącznie na terenie centrów danych przedsiębiorstwa – nie wysyła żadnych danych do usług chmurowych. Jeśli klient zdecyduje się na pomoc wymagającą zdalnej administracji rozwiązaniem lub skorzysta z usług analitycznych Darktrace, dostawca rozwiązania uruchomi internetową usługę „call-home”, aby połączyć się z zainstalowanym urządzeniem. Usługa zostanie wtedy wykorzystana przez analityka Darktrace do zdalnej inspekcji lokalnego Darktrace UI dla celów Threat Intelligence Reporting (TIR) i, jeśli okazuje się to konieczne i uzasadnione, wydobyta zostanie próbka danych pcap, aby wesprzeć szybszą identyfikację zagrożenia. Dodatkowo grupa operacyjna Darktrace wykorzystuje usługę call-home do celów monitorowania stanu urządzenia, aktualizacji systemu bądź utylizacji próbek danych PCAP w celu odtworzenia okoliczności wystąpienia błędu.

Złóż zapytanie

8 + 3 =