A1 ICT Distribucija

IT varnostne rešitve

Vectra

Network Detection & Response

Sistem za zaznavanje in odzivanje na vdore na omrežju (angl. Network Detection & Response, ali NDR) naslavlja izziv aktivnega iskanja groženj v omrežju. NDR je skupina varnostnih rešitev, ki jih podjetja uporabljajo za zaznavanje vdorov, za preprečevanje zlonamernih aktivnosti v omrežju ter za preiskovanje in izvajanje forenzike za pridobitev vzroka – posledica je prilagoditev varnostnih pravilnikov in ostalih rešitev za boljše odzivanje in preprečevanje.

Katere izzive naslavlja Vectra?

Varnostne rešitve so zelo različne in v marsičem zelo napredne, a povečini so sami zase nezadostni. Njihov osnovni problem:

  • naslavljajo le en konkreten del problema (sandbox in protivirusni program gleda le zlonamerne datoteke),
  • v načinu delovanja so lahko omejeni (firewall ne posega globoko v vsebino prometa, antivirus sloni na definicijah znanih podpisov, spam filtri ustavljajo le pošto določenih parametrov...),
  • pogosto prihaja do napačnih postavitev ali konfiguracije, nekatere nastavitve zaradi prekompleksnosti niso izrabljene,...

Če si torej varnostne sisteme predstavljamo kot nekakšno sito skozi katero mora napadalec priti, je hitro jasno, da kakorkoli to sito obračamo in postavljamo, bo zelo težko preprečiti vsaj nekaj lukenj skozi katero bo napadalec slej ko prej prišel.

Izziv preprečiti vdor in zlorabo v informacijski sistem je tako, kljub množici dobrih in naprednih varnostnih sistemov, še vedno zelo aktualen. To je izziv, ki ga naslavljajo Vectra sistemi. Vectra sistem je namenjen temu, da bodo kakršnekoli zlorabe v informacijskem sistemu pravočasno zaznane in s tem preprečene.

Zakaj so sistemi detekcije boljši od sistemov preprečevanja?

Če želimo razumeti zakaj so lahko sistemi kot je Vectra pri prečevanju zlorab informacijskega sistema, dejansko bolj uspešni kot klasični sistemi, moramo razmisliti o “taktiki” pred napadalci.

Namreč zgodovinsko gledano so se varnostni sistemi razvijali v smeri preprečevanja, ki je slonel na predvidevanju. Tako razmišljanje pa že v naprej daje prednost napadlcem. Namreč s takšnim pristopom se postavimo v situacijo, kjer se morajo skrbniki zelo potruditi, da si postavijo celo vrsto različnih varnostnih mehanizmov, a na koncu je dovolj ena napaka in napadalec se bo izmuznil skozi našo obrambno sito. Poglejmo si primer varovanja ogromne hiše. Če se želimo obvarovati, moramo poskrbeti:

  • da bodo rese vsa okna zaprta (če pozabimo na enega, smo v težavah)
  • da bodo ekno res zaprta s ključavnico, ki jo napadalci ne znajo odkleniti (kar v naprej vemo, da je zelo težko)
  • da nismo pozabili še na druge vhode, ko so dimnik, strešno okno, zadnja vrata ...

Zato smo v zadnjih letih razmišljanje preusmerili v detekcijo. Seveda je pomembno, da imamo varnostne sisteme, ki v naprej preprečujejo zlorabe, a pri tem se sprijaznemo, da ti sistemi zaustavijo le določen del napadalcev. Tiste posebne napadalce pa ne lovimo z dodatnimi preprekami (ker to ni možno), ampak jih lovimo z detekcijo. Namesto, da si razbijamo glavo ali smo v naši hiši poskrbeli za vsa okna in vrata, enostavno v našo hišo postavimo kamere.

S “kamerami” se je pričela situacija obračati v našo korist. Brez kamer smo bili mi tisti, ki smo bili pod pritiskom napak. S statičnimi mehanizmi varovanja je bila dovolj ena sama napaka obrambe in napadalci so zmagali. S kamerami in detekcijami pa je stvar obratna. Sedaj pa je dovolj ena sama napaka napadalca in napadalec bo detektiran….

Vsaka postavitev je unikatna in ima svoje posebnosti.

Zato za vsako stranko posebej prilagodimo tudi našo ponudbo!
Pokličite 040 440 373 ali oddajte povpraševanje.

POŠLJI POVPRAŠEVANJE

Kaj je Network Detection & Response sistem?

Network Detection and Respond sistem je torej naša “kamera” oz. sistem za detekcijo zlonamernih aktivnosti in vdorov. Pri tem pa je pomembno naslednje:

  • od kje pobiramo podatke oz. kako pridobimo podatke?
  • kako podatke analiziramo?

Izvor podatkov za sistem detekcij je lahko raznolik. V osnovi poznamo 3 izvore:

  • podatki z delovnih postaj in strežnikov
  • podatki log zapisov
  • podatki iz prometa na omrežju

Network Detection and Respond sistem je sistem, ki sloni na podatkih, ki jih vidimo v prometu na mreži. Prednost tovrstnega pobiranja podatkov je

  • Najbolj celovit zajem podatkov (ni odvisen od tega ali smo v zajem logov zajeli vse sisteme in aplikacije in ni odvisen od tega ali smo zmožni pobirati podatke z vseh delovnih postaj in ostalih elementov v mreži)
  • Najbolj enostaven in neodvisen način pobiranja podatkov (sistem zgolj postavimo v mrežo brez kompleksnih instalacij in integracij, ki jih praviloma zahteva obravnava podatkov z delovnih postaj ali iz log zapisov)
  • Izkaže se, da so podatki z mreže (kljub navidezni omejenosti vsebine) popolnoma zadosti za učunkovito zaznavanje napadalcev

Pomembno pa je tudi razumeti na kakšen način Network Detection and Respond sistem analizira podatke. Podatki se analizirajo s pomočjo naprednih algoritmov umetne inteligence, ki zagotavljajo:

  • da bodo zares vsi nepredvideni dogodki in vse zlorabe zaznane
  • da bomo to zaznali praktično brez nepotrebnih in nedležnih lažnih alarmov, ki "ubijajo" naš odziv na dogodke

Kaj je platforma Vectra Cognito?

Gre za rešitev, ki jo vodi umetna inteligenca za zaznavanje vdorov in odzivanje za omrežja v oblaku ali na lokaciji.

  • Vectra Cognito Detect - samostojna strojna oprema in sistem za zaznavanje in odzivanje na lokaciji
  • Vectra Cognito Recall - nadgradnja Cognito Detect sistemu, kjer zajete podatke hranimo v oblaku za širšo analizo
  • Vectra Cognito Stream - lokalna izvedba Cognito Recall sistema
  • Vectra Cognito Detect O365 - povezava v oblak Office/Microsoft365 in zaznavanje vdorov
Pomakni se na vrh