ݺߣ

ݺߣShare a Scribd company logo

Vectra Cognito - Mesterséges intelligencia alapú automatikus támadáskezelés és önvédelem

Balázs Antók
Balázs Antók

A Vectra Cognito™ a leggyorsabb és leghatékonyabb eszköze a védelmen átjutott kibertámadások megállításának. Komplex mesterséges intelligenciája segítségével valós idejű láthatóságot biztosít a támadások minden fázisában, és műveletre kész részleteket szolgáltat az azonnali beavatkozáshoz. A fejlett gépi tanulási technológiákat (például mély tanulás és neurális hálózatok) a folyamatosan fejlesztett támadási viselkedés modellekkel egyesítve a Vectra Cognito gyorsan és hatékonyan fedezi fel az ismeretlen támadásokat, még mielőtt azok valódi kárt okozhatnának. A Vectra Cognito a teljes hálózati forgalom, a biztonsági naplók, autentikációs logok és SaaS-alkalmazás naplók folyamatos elemzésével megszünteti a biztonsági vakfoltokat. A teljes láthatóság a hálózattól az IoT eszközökön át a felhőig terjed, ezért a Vectra előtt nem maradhat kibertámadás felfedezetlen. A szoftveres és fáradhatatlan biztonsági szakértő A Vectra Cognito automatizálja a kibertámadások felderítését, megmutatja hol rejtőzködnek a támadók és éppen mit csinálnak. A kockázati besorolás alapján a Vectra mesterséges intelligenciája kiemeli a veszélyes hosztokat, így az emberi üzemeltetők megállíthatják a legsúlyosabb támadásokat, mielőtt kárt okoznának. A kézzel végzett riasztás- és naplóelemzés teljes automatizálásával a Vectra megoldása több heti emberi munkát végez el percek alatt, a biztonsági üzemeltetést megközelítőleg 30x hatékonyabbá teszi. A változatlan létszámú üzemeltetői csapat így lényegesen több biztonsági incidenst sokkal gyorsabban képes kezelni, valóban felkészítve a védelmet az egyre növekvő számú és egyre komplexebb kibertámadásra. • Felfedi az aktív kibertámadásokat és azonnali reakciót biztosít • Automatizálja a biztonsági üzemeltetést, kész válaszokkal • Kevés szakértővel is sokkal magasabb szintű biztonságot nyújt • Folyamatosan követi a támadások minden fázisát • Minden hálózati forgalmat ellenőriz: belsőt és internet felé irányulót • Elemzi a biztonsági naplókat, autentikációs logokat és SaaS alkalmazások naplóit • Minden eszköz és minden operációs rendszer működését felügyeli • Teljes fizikai és virtuális infrastruktúra védelmét biztosítja • Együttműködik SIEM, tűzfal, NAC és végpontvédelmi gyártókkal

1 of 6
Download to read offline
MESTERSÉGES INTELLIGENCIA ALAPÚ AUTOMATIKUS TÁMADÁSKEZELÉS ÉS ÖNVÉDELEM
DIÓHÉJB A N • Felfedi az aktív kibertámadásokat és azonnali reakciót biztosít • Automatizálja a biztonsági üzemeltetést, kész válaszokkal • Kevés szakértővel is sokkal magasabb szintű biztonságot nyújt • Folyamatosan követi a támadások minden fázisát • Minden hálózati forgalmat ellenőriz: belsőt és internet felé irányulót • Elemzi a biztonsági naplókat, autentikációs logokat és SaaS alkalmazások naplóit • Minden eszköz és minden operációs rendszer működését felügyeli • Teljes fizikai és virtuális infrastruktúra védelmét biztosítja • Együttműködik SIEM, tűzfal, NAC és végpontvédelmi gyártókkal Vectra Cognito™ A Vectra Cognito™ a leggyorsabb és leghatékonyabb eszköze a védelmen át- jutott kibertámadások megállításának. Komplex mesterséges intelligenciája segítségével valós idejű láthatóságot biztosít a támadások minden fázisá- ban, és műveletre kész részleteket szolgáltat az azonnali beavatkozáshoz. A fejlett gépi tanulási technológiákat (például mély tanulás és neurális hálózatok) a folyamatosan fejlesztett támadási viselkedés modellekkel egyesítve a Vectra Cognito gyorsan és hatékonyan fedezi fel az ismeretlen támadásokat, még mielőtt azok valódi kárt okozhatnának. A Vectra Cognito a teljes hálózati forgalom, a biztonsági naplók, autentikációs logok és SaaS-alkalmazás naplók folyamatos elemzésével megszünteti a biztonsági vak- foltokat. A teljes láthatóság a hálózattól az IoT eszközökön át a felhőig terjed, ezért a Vectra előtt nem maradhat kibertámadás felfedezetlen. A szoftveres és fáradhatatlan biztonsági szakértő A Vectra Cognito automatizálja a kibertámadások felderítését, megmutatja hol rejtőzködnek a támadók és éppen mit csinálnak. A kockázati besorolás alapján a Vectra mesterséges intelligenciája kiemeli a veszélyes hosztokat, így az emberi üzemeltetők megállíthatják a legsúlyosabb támadásokat, mielőtt kárt okoznának. A kézzel végzett riasztás- és naplóelemzés teljes automatizálásával a Vectra megoldása több heti emberi munkát végez el percek alatt, a biztonsági üzemel- tetést megközelítőleg 30x hatékonyabbá teszi. A változatlan létszámú üzemeltetői csapat így lényegesen több biztonsági incidenst sokkal gyorsabban képes kezel- ni, valóban felkészítve a védelmet az egyre növekvő számú és egyre komplexebb kibertámadásra. Vectra Cognito fontossági sorrendbe sorolja az aktív kibertámadásokat, összeveti a kulcsfontosságú erőforrásokkal és pontosan felfedi, hogy éppen mit tesznek a támadók.
adaptálódik a változó helyi környezethez. Így képes azonosítani a normálistól eltérően viselkedő, fertőzött gépeket, valamint a belső veszélyek első jeleit. A Vectra ezért az összes kibertámadás ellen bevethető a ‚cyber killchain’ minden lépésében: • Command & control és rejtett kommunikáció azonosítása • Belső felderítés felfedezése • Belső hosztok közötti mozgás azonosítása • Jogosultságokkal való visszaélés detektálása • Adatszivárogtatás vagy adatlopás észlelése • Zsaroló(vírus) támadások előkészületeinek azonosítása • Botnet tevékenységek felfedése • Támadáskampányok azonosítása, az összes érintett számítógép támadási térképen való megjelenítésével A Vectra Cognito ezen felül a felhasználók viselkedését is folya- matosan elemzi és azonosítja a potenciális belső veszélyforrá- sokat, mint például a felhőtárolók használata, USB eszközökre való adatmásolás vagy a gyanús hálózati adatmozgások. Bővített metaadatok • Hálózati forgalom • Rendszer, auth. és SaaS naplók • IoC-k (STIX) • Gépi tanulás • Viselkedés analitika • Hálózati elemzés • Támadások és érintett gépek csoportosítása • Sorrendbe állítás veszélyesség szerint • Támadás-kampányok azonosítása • Intuitív kezelőfelület, gyorsan áttekinthető • Automatikus reakció • Tűzfal, végpontvédelem, SIEM és NAC integráció Válasz, azonnali reakció Támadások azonosítása Automatikus analízis VECTRA MESTERSÉGES INTELLIGENCIA Hogy működik a Vectra Cognito? Bővített metaadatok A Vectra Cognito a hálózati csomagok metaadatait, valamint a rendszernaplókat feldolgozva valós idejű láthatóságot biztosít a teljes hálózati forgalomban. A metaadatok elemzése egyaránt kiterjed a házon belüli, mun- kaállomások, szerverek, virtuális infrastruktúrák közötti ho- rizontális és az internet, illetve felhőszolgáltatók felé irányuló vertikális forgalomra. A Vectra Cognito az összes IP címmel rendelkező eszközt követi és ellenőrzi a hálózatban. A Vectra számára így minden eszköz látható: laptopok, szerve- rek, nyomtatók, BYOD és IoT eszközök, adatközponti virtuális infrastruktúrák mellett a felhők és SaaS alkalmazások egyfor- mán a Vectra védelme alá kerülnek. A rendszernaplók, autentikációs és SaaS logok segítségével a mesterséges intelligencia képes azonosítani az egyes támadá- sokban érintett felhasználókat és rendszereket is. A STIX threat intelligence használatával a Vectra Cognito a már ismert támadásokat is megbízhatóan azonosítja, és hajszál- pontosan megjelöli a támadásban érintett hosztokat, valamint fontossági sorrendbe sorolja őket kockázat és veszélyesség alapján. Támadások azonosítása Az összegyűjtött adatokat a Vectra viselkedés-elemző algo- ritmusai vizsgálják rejtett és még ismeretlen támadások után kutatva. Egy támadási szignatúra helyett a támadók viselke- désére fókuszálva egy komplex kibertámadást lépésenként azonosít a Vectra: például távoli hozzáférést, rejtett tunneleket, hátsókapuk telepítését, jogosultságokkal való visszaélést, bel- ső felderítést vagy épp belső hosztok közötti mozgást. Miután a Vectra Cognito megtanulta a fizikai és a virtuális há- lózatok felépítését, a mesterséges intelligencia folyamatosan Vectra Threat Certainty Index™
Automatikus analízis A Vectra Threat Certainty Index™ több ezer esemény és előz- mény adat felhasználásával határozza meg a legveszélyesebb aktív támadásokat és az érintett számítógépeket. A Vectra Cognito nem áraszt el riasztásokkal, az óriási adattö- meget feldolgozva csak a legveszélyesebb és legvalószínűbb behatolásokra segít fókuszálni. Sőt, a Vectra automatikus vá- laszt is kiválthat például a végpont lezárásával, vagy egy SIEM- en keresztül azonnal értesítheti a biztonsági üzemeltetést. A támadási kampányok automatikus összegzésével a Vectra Cognito térképre rajzolja a teljes kibertámadás lefolyását, az összes érintett hoszt összekötésével és kapcsolataik pontos elemzésével. Így a Vectra felfedi az összetett, rejtett com- mand-and-control infrastruktúrákat és láthatóvá teszi a komp- lex, lassan haladó és rejtőzködő kibertámadásokat is. Ahogy a támadók felderítik a belső hálózatot és gépről gépre haladva jutnak közelebb a célponthoz, a Vectra Cognito felis- meri a kill chain lépéseit, összefüggéseit és térképen vizuálisan megjeleníti a teljes támadás folyamatát. Az interaktív térképen mozogva minden érintett hoszt előélete is követhető, így pontosan meghatározható a támadás lefolyá- sa és az érintett adatok, személyek pontos köre. Válasz és azonnali reakció A gyors beavatkozáshoz a Vectra Cognito minden releváns in- formációt összesít és az azonnali döntéshez szükséges min- den lényeges összefüggést feltár. A Vectra detekciókat más, hasonló megoldások riasztásaival szemben nem szükséges manuálisan elemezni, hiszen a mesterséges intelligencia au- tomatizálja a veszélyelemzést és pótolja ezt az emberi munkát. A Vectra Cognito a detekció részleteit – a hoszt környezetét, packet capture fájlokat és kockázati besorolást – egyetlen kat- tintással elérhetővé teszi. Sőt, az azonosított veszély pontos és részletes jellemzése bárkinek segít eligazodni egy ismeretlen támadás részletein is, az informatív súgót követve minden új és tapasztalt üzemeltető pontosan képbe kerülhet a támadás valódi okával és kockázataival. Ráadásul a Vectra Cognito együttműködik az új generációs tűzfalakkal, végpontvédelmekkel és NAC megoldásokkal, ame- lyek automatikusan és azonnal képesek elhárítani a mestersé- ges intelligencia által azonosított támadásokat. A Vectra Cognito jól kiegészíti a SIEM és forensic eszközöket is, és minden biztonsági vizsgálathoz hiteles kiindulópontot ad. Gondolkodó biztonság: Security that thinks® Több biztonság, kevesebb emberi erőforrással A Vectra elsődleges célja a túlterhelt, ostrom alatt álló bizton- sági üzemeltetés munkájának megreformálása, a biztonsági események elemzésének teljes automatizálása. Mesterséges intelligenciájával non-stop keresi az ismeretlen támadásokat, így az értékes szakemberek a véget nem érő manuális elemzés helyett a valódi támadások felszámolásával foglalkozhatnak. Vectra Cognito láthatóvá teszi a teljes, összetett kibertámadást. Felhasználók IoTFelhő Adatközpont A Vectra elől nem tud támadó elrejtőzni.
Minden detekcióról részletes magyarázatot is biztosít a Vect- ra Cognito, kiemelve a támadás előzményeit és a detekcióhoz vezető utat. A biztonsági elemzők így rögtön, vizuálisan össze- kapcsolva láthatják a támadáshoz kapcsolódó összes hosztot és minden eddig rejtett tevékenységet vagy kommunikációt. A Vectra Cognito képes további metaadatokat (pl.: VirusTotal információk) biztosítani a vizsgált forgalomhoz, így tovább gyorsítja a biztonsági incidens elemzést és a reakciót. Automatizálja a teljes biztonsági rendszert Legyen szó bármilyen kiberbiztonsági kihívásról, a Vectra Cog- nito jelentősen megnöveli a már meglévő biztonsági rendsze- rek hatékonyságát: a tűzfallal, végpontvédelemmel, NAC, SIEM és más rendszerekkel való együttműködéssel sokkal hatáso- sabbá válik az aktív védelem, mint Vectra nélkül. A Vectra Cognito integrációs lehetőségeivel és a részletes ve- szély információk felhasználásával a támadás alatt álló vég- pontok azonnal izolálhatók, és gyorsan megállíthatók az eddig észrevétlen támadások is. Részletes API segítségével a Vectra detekciói lényegében bár- milyen védelmi rendszer számára elérhetők és tetszőlegesen feldolgozhatók. Az API mellett syslog és CEF formátumú nap- lózás is bekapcsolható az egyes detekciókról. A Vectra Cognito nem csak egy újabb naplóforrás: az egyet- len olyan pont a hálózatban, ami mesterséges intelligenciájával beavatkozásokat indít és valódi, rejtett kibertámadásokat tesz láthatóvá a védett hálózat bármely pontján. Felügyeli a rendszergazdai jogosultságokat Míg a támadások tipikusan egy átlagos munkaállomás fertő- zésével kezdődnek, az igazi károkozás vagy adatlopás sokszor rendszergazdai vagy rendszerszintű jogosultságokat igényel. Éppen ezért a Vectra Cognito túllépve az egyszerű felhaszná- lói viselkedés elemzésen, kiemelten foglalkozik a potenciálisan kompromittálódott rendszergazdák tevékenységével. A Vectra pontosan követi az adminisztrációhoz használt pro- tokollokat és megtanulja, hogy mely eszközöket mely rend- szergazdák, milyen módon kezelnek. A folyamatosan adap- tálódó felügyelet könnyen kiszűri a gyanús rendszergazdai belépéseket és potenciálisan eltulajdonított jogosultságokat, mielőtt még az így létrejövő támadások igazán veszélyessé válhatnának. Tűzfal NAC Virtualizáció VégpontvédelemLáthatóság Ticketing/IR Security orchestration SIEM A Vectra együttműködik a széles körben használt végpontvédelmi, NAC, SIEM és forensic megoldásokkal. Valós idejű detekció egy folyamatban lévő adatlopásról
Teljes körű ransomware detekció A zsaroló(vírus) támadásokat a Vectra Cognito minden egyes lépésben nyomon követi és lehetővé teszi az azonnali beavatko- zást. Ráadásul, a teljes hálózati forgalom elemzésével a Vectra minden előkészületet észrevesz (például command-and-cont- rol kommunikáció létrehozása, fájlmegosztások szkennelése, kártevő terjesztése hosztok között) még mielőtt a zsaroló tá- madás valódi kárt okozhatna. Hatékony védelem a privát felhőben Míg a privát felhő alapú saját adatközpont tárolja számos vál- lalat minden üzleti adatát, biztonsági szempontból viszont sok- szor vakfolt marad. Az adatközpontok forgalmának átlagosan 80 százaléka szerverek közötti, vagyis sosem hagyja el a belső hálózatot, ezért a határvédelmi eszközök számára láthatatlan marad. A Vectra Cognito viszont folyamatosan felügyeli az adatok mozgását az alkalmazások és az infrastruktúra egyes elemei között, így a legfejlettebb kibertámadásokat is képes időben felfedezni. A Vectra Cognito teljes lefedettsége és virtuális szenzorokkal való VMware vSwitch integrációja biztosítja, hogy egyetlen virtuális szerver sem maradhat védelem nélkül. A Vectra Cognito a VMware vCenterrel integrálva egy mindig naprakész képet biztosít a teljes virtuális hálózat forgalmáról és a védelem állapotáról. Ráadásul a piacon a Vectra fejlesz- tett elsőként vCenter/adatközponti integrációt, amely ideális választássá teszi a teljes adatközpont védelmére és a fejlett, rejtőzködő támadások felfedésére. Biztonság a vastól az alkalmazásig A Vectra teljes adatközponti biztonsága a virtuális szerverek és alkalmazások mellett a hypervisorokra, a hardverekre, valamint a hálózati eszközök alacsony szintű sebezhetőségei és hátsó- kapui detektálására is kiterjed. A Vectra Cognito egyedülálló láthatóságot biztosít a vastól az alkalmazásszintig. Például a Vectra Cognito Port Knocking detekció felfedi a hy- pervisorokba vagy hálózati eszközökbe beépülő rootkiteket és hátsókapukat, mélyen a virtuális szerverek alatt. A tipikusan csak a hardverüzemeltetők által használt ILO (infra- structure-lights-out) menedzsment eszközök sebezhetőségei egyre kedveltebb célpontjai a támadóknak, amivel mélyen a virtualizáció és más biztonsági rendszerek alatt szerezhetnek mindig elérhető hátsókaput az adatközpont védett területén belül. Ezért a Vectra kiemelten kezeli az alacsony szintű me- nedzsment protokollokat, mint az IPMI és iDRAC használatát. A teljes körű felügyelet a vCenter integráció segítségével au- tomatikusan riasztást küld, ha egy új, védelem nélküli virtuá- lis eszközt érzékel; így biztosítja, hogy a folyamatosan változó adatközpontban egyetlen eszköz sem marad a Vectra Cognito mesterséges intelligencia védelme nélkül. Próbálja ki ingyenesen, kockázat nélkül! A Vectra Cognito a hálózati forgalom tükrözésével pár perc alatt telepíthető, passzív működéséből adódóan hálózati fen- nakadás nélkül, kockázatmentesen tesztelhető. Keresse Vectra partnerét és állítsa meg a hálózatában aktív, rejtett kibertámadásokat! Shell-Knocker hátsókapu aktiváció a Vectra Cognito felületénRansomware detekció a Vectra Cognitoval © 2017 Vectra Networks, Inc és Yellow Cube Kft. Minden jog fenntartva. A ‘Vectra’ és a ‘Vectra Networks’ logó, valamint a ‘Security that thinks’ a Vectra Networks Egyesült Államokban bejegyzett védjegyei, valamint a ‘Vectra Threat Labs’ és a ‘Threat Certainty Index’ szintén a Vectra Networks védjegyei. Minden más védjegy vagy bejegyzett védjegy az adott gyártó védjegye lehet. Hazai disztribútor Yellow Cube Kft. Web www.vectra.ai és www.yellowcube.eu Email kapcsolat@yellowcube.eu Telefon +36 20 932 1240 © 2016 Vectra Networks, Inc. | 37 Triggers 100 50 0 Threat Certainty - Top - 50-9950-99 A A B B C C Steps to Verify Business Impact Possible Root Causes ▪ Examine the sample files referenced in the detection and see if the original files are missing and the files that have replaced them carry strange but similar file names or file extensions ▪ Check the directory in which the files reside for ransom notes with instructions on how to pay the ransom and retrieve the encryption key ▪ Ransomware encrypts files and transmits the encryption key to the attacker ▪ The attacker then attempts to extract a ransom (typically payable in an untraceable cyber currency) from the organization in return for a promise to release the encryption key which allows the files to be recovered ▪ Even if your organization is willing to pay the ransom, there is no guarantee that the encryption key will be provided by the attacker ▪ Absent the encryption key, files will have to be restored from a backup and any changes since the last backup will be lost ▪ The internal host is infected with a variant of Ransomware ▪ A benign application on the host is rapidly reading files from and writing files to a networked file share ▪ A user is compiling a large set of source files located on a file share, causing a pattern of reading and writing files that exhibits a similar pattern ▪ An internal host is connected to one or more file servers via the SMB protocol and is rapidly reading files and writing files of roughly the same size and with roughly the same file name ▪ This pattern is highly correlated with how Ransomware interacts with file servers ▪ Given the potential for damage, the threat score for detections of this type is high ▪ The certainty score is driven by the volume and persistence of the observed activity Lateral Movement Ransomware File Activity

More Related Content

Vectra Cognito - Mesterséges intelligencia alapú automatikus támadáskezelés és önvédelem

  • 1. MESTERSÉGES INTELLIGENCIA ALAPÚ AUTOMATIKUS TÁMADÁSKEZELÉS ÉS ÖNVÉDELEM
  • 2. DIÓHÉJB A N • Felfedi az aktív kibertámadásokat és azonnali reakciót biztosít • Automatizálja a biztonsági üzemeltetést, kész válaszokkal • Kevés szakértővel is sokkal magasabb szintű biztonságot nyújt • Folyamatosan követi a támadások minden fázisát • Minden hálózati forgalmat ellenőriz: belsőt és internet felé irányulót • Elemzi a biztonsági naplókat, autentikációs logokat és SaaS alkalmazások naplóit • Minden eszköz és minden operációs rendszer működését felügyeli • Teljes fizikai és virtuális infrastruktúra védelmét biztosítja • Együttműködik SIEM, tűzfal, NAC és végpontvédelmi gyártókkal Vectra Cognito™ A Vectra Cognito™ a leggyorsabb és leghatékonyabb eszköze a védelmen át- jutott kibertámadások megállításának. Komplex mesterséges intelligenciája segítségével valós idejű láthatóságot biztosít a támadások minden fázisá- ban, és műveletre kész részleteket szolgáltat az azonnali beavatkozáshoz. A fejlett gépi tanulási technológiákat (például mély tanulás és neurális hálózatok) a folyamatosan fejlesztett támadási viselkedés modellekkel egyesítve a Vectra Cognito gyorsan és hatékonyan fedezi fel az ismeretlen támadásokat, még mielőtt azok valódi kárt okozhatnának. A Vectra Cognito a teljes hálózati forgalom, a biztonsági naplók, autentikációs logok és SaaS-alkalmazás naplók folyamatos elemzésével megszünteti a biztonsági vak- foltokat. A teljes láthatóság a hálózattól az IoT eszközökön át a felhőig terjed, ezért a Vectra előtt nem maradhat kibertámadás felfedezetlen. A szoftveres és fáradhatatlan biztonsági szakértő A Vectra Cognito automatizálja a kibertámadások felderítését, megmutatja hol rejtőzködnek a támadók és éppen mit csinálnak. A kockázati besorolás alapján a Vectra mesterséges intelligenciája kiemeli a veszélyes hosztokat, így az emberi üzemeltetők megállíthatják a legsúlyosabb támadásokat, mielőtt kárt okoznának. A kézzel végzett riasztás- és naplóelemzés teljes automatizálásával a Vectra megoldása több heti emberi munkát végez el percek alatt, a biztonsági üzemel- tetést megközelítőleg 30x hatékonyabbá teszi. A változatlan létszámú üzemeltetői csapat így lényegesen több biztonsági incidenst sokkal gyorsabban képes kezel- ni, valóban felkészítve a védelmet az egyre növekvő számú és egyre komplexebb kibertámadásra. Vectra Cognito fontossági sorrendbe sorolja az aktív kibertámadásokat, összeveti a kulcsfontosságú erőforrásokkal és pontosan felfedi, hogy éppen mit tesznek a támadók.
  • 3. adaptálódik a változó helyi környezethez. Így képes azonosítani a normálistól eltérően viselkedő, fertőzött gépeket, valamint a belső veszélyek első jeleit. A Vectra ezért az összes kibertámadás ellen bevethető a ‚cyber killchain’ minden lépésében: • Command & control és rejtett kommunikáció azonosítása • Belső felderítés felfedezése • Belső hosztok közötti mozgás azonosítása • Jogosultságokkal való visszaélés detektálása • Adatszivárogtatás vagy adatlopás észlelése • Zsaroló(vírus) támadások előkészületeinek azonosítása • Botnet tevékenységek felfedése • Támadáskampányok azonosítása, az összes érintett számítógép támadási térképen való megjelenítésével A Vectra Cognito ezen felül a felhasználók viselkedését is folya- matosan elemzi és azonosítja a potenciális belső veszélyforrá- sokat, mint például a felhőtárolók használata, USB eszközökre való adatmásolás vagy a gyanús hálózati adatmozgások. Bővített metaadatok • Hálózati forgalom • Rendszer, auth. és SaaS naplók • IoC-k (STIX) • Gépi tanulás • Viselkedés analitika • Hálózati elemzés • Támadások és érintett gépek csoportosítása • Sorrendbe állítás veszélyesség szerint • Támadás-kampányok azonosítása • Intuitív kezelőfelület, gyorsan áttekinthető • Automatikus reakció • Tűzfal, végpontvédelem, SIEM és NAC integráció Válasz, azonnali reakció Támadások azonosítása Automatikus analízis VECTRA MESTERSÉGES INTELLIGENCIA Hogy működik a Vectra Cognito? Bővített metaadatok A Vectra Cognito a hálózati csomagok metaadatait, valamint a rendszernaplókat feldolgozva valós idejű láthatóságot biztosít a teljes hálózati forgalomban. A metaadatok elemzése egyaránt kiterjed a házon belüli, mun- kaállomások, szerverek, virtuális infrastruktúrák közötti ho- rizontális és az internet, illetve felhőszolgáltatók felé irányuló vertikális forgalomra. A Vectra Cognito az összes IP címmel rendelkező eszközt követi és ellenőrzi a hálózatban. A Vectra számára így minden eszköz látható: laptopok, szerve- rek, nyomtatók, BYOD és IoT eszközök, adatközponti virtuális infrastruktúrák mellett a felhők és SaaS alkalmazások egyfor- mán a Vectra védelme alá kerülnek. A rendszernaplók, autentikációs és SaaS logok segítségével a mesterséges intelligencia képes azonosítani az egyes támadá- sokban érintett felhasználókat és rendszereket is. A STIX threat intelligence használatával a Vectra Cognito a már ismert támadásokat is megbízhatóan azonosítja, és hajszál- pontosan megjelöli a támadásban érintett hosztokat, valamint fontossági sorrendbe sorolja őket kockázat és veszélyesség alapján. Támadások azonosítása Az összegyűjtött adatokat a Vectra viselkedés-elemző algo- ritmusai vizsgálják rejtett és még ismeretlen támadások után kutatva. Egy támadási szignatúra helyett a támadók viselke- désére fókuszálva egy komplex kibertámadást lépésenként azonosít a Vectra: például távoli hozzáférést, rejtett tunneleket, hátsókapuk telepítését, jogosultságokkal való visszaélést, bel- ső felderítést vagy épp belső hosztok közötti mozgást. Miután a Vectra Cognito megtanulta a fizikai és a virtuális há- lózatok felépítését, a mesterséges intelligencia folyamatosan Vectra Threat Certainty Index™
  • 4. Automatikus analízis A Vectra Threat Certainty Index™ több ezer esemény és előz- mény adat felhasználásával határozza meg a legveszélyesebb aktív támadásokat és az érintett számítógépeket. A Vectra Cognito nem áraszt el riasztásokkal, az óriási adattö- meget feldolgozva csak a legveszélyesebb és legvalószínűbb behatolásokra segít fókuszálni. Sőt, a Vectra automatikus vá- laszt is kiválthat például a végpont lezárásával, vagy egy SIEM- en keresztül azonnal értesítheti a biztonsági üzemeltetést. A támadási kampányok automatikus összegzésével a Vectra Cognito térképre rajzolja a teljes kibertámadás lefolyását, az összes érintett hoszt összekötésével és kapcsolataik pontos elemzésével. Így a Vectra felfedi az összetett, rejtett com- mand-and-control infrastruktúrákat és láthatóvá teszi a komp- lex, lassan haladó és rejtőzködő kibertámadásokat is. Ahogy a támadók felderítik a belső hálózatot és gépről gépre haladva jutnak közelebb a célponthoz, a Vectra Cognito felis- meri a kill chain lépéseit, összefüggéseit és térképen vizuálisan megjeleníti a teljes támadás folyamatát. Az interaktív térképen mozogva minden érintett hoszt előélete is követhető, így pontosan meghatározható a támadás lefolyá- sa és az érintett adatok, személyek pontos köre. Válasz és azonnali reakció A gyors beavatkozáshoz a Vectra Cognito minden releváns in- formációt összesít és az azonnali döntéshez szükséges min- den lényeges összefüggést feltár. A Vectra detekciókat más, hasonló megoldások riasztásaival szemben nem szükséges manuálisan elemezni, hiszen a mesterséges intelligencia au- tomatizálja a veszélyelemzést és pótolja ezt az emberi munkát. A Vectra Cognito a detekció részleteit – a hoszt környezetét, packet capture fájlokat és kockázati besorolást – egyetlen kat- tintással elérhetővé teszi. Sőt, az azonosított veszély pontos és részletes jellemzése bárkinek segít eligazodni egy ismeretlen támadás részletein is, az informatív súgót követve minden új és tapasztalt üzemeltető pontosan képbe kerülhet a támadás valódi okával és kockázataival. Ráadásul a Vectra Cognito együttműködik az új generációs tűzfalakkal, végpontvédelmekkel és NAC megoldásokkal, ame- lyek automatikusan és azonnal képesek elhárítani a mestersé- ges intelligencia által azonosított támadásokat. A Vectra Cognito jól kiegészíti a SIEM és forensic eszközöket is, és minden biztonsági vizsgálathoz hiteles kiindulópontot ad. Gondolkodó biztonság: Security that thinks® Több biztonság, kevesebb emberi erőforrással A Vectra elsődleges célja a túlterhelt, ostrom alatt álló bizton- sági üzemeltetés munkájának megreformálása, a biztonsági események elemzésének teljes automatizálása. Mesterséges intelligenciájával non-stop keresi az ismeretlen támadásokat, így az értékes szakemberek a véget nem érő manuális elemzés helyett a valódi támadások felszámolásával foglalkozhatnak. Vectra Cognito láthatóvá teszi a teljes, összetett kibertámadást. Felhasználók IoTFelhő Adatközpont A Vectra elől nem tud támadó elrejtőzni.
  • 5. Minden detekcióról részletes magyarázatot is biztosít a Vect- ra Cognito, kiemelve a támadás előzményeit és a detekcióhoz vezető utat. A biztonsági elemzők így rögtön, vizuálisan össze- kapcsolva láthatják a támadáshoz kapcsolódó összes hosztot és minden eddig rejtett tevékenységet vagy kommunikációt. A Vectra Cognito képes további metaadatokat (pl.: VirusTotal információk) biztosítani a vizsgált forgalomhoz, így tovább gyorsítja a biztonsági incidens elemzést és a reakciót. Automatizálja a teljes biztonsági rendszert Legyen szó bármilyen kiberbiztonsági kihívásról, a Vectra Cog- nito jelentősen megnöveli a már meglévő biztonsági rendsze- rek hatékonyságát: a tűzfallal, végpontvédelemmel, NAC, SIEM és más rendszerekkel való együttműködéssel sokkal hatáso- sabbá válik az aktív védelem, mint Vectra nélkül. A Vectra Cognito integrációs lehetőségeivel és a részletes ve- szély információk felhasználásával a támadás alatt álló vég- pontok azonnal izolálhatók, és gyorsan megállíthatók az eddig észrevétlen támadások is. Részletes API segítségével a Vectra detekciói lényegében bár- milyen védelmi rendszer számára elérhetők és tetszőlegesen feldolgozhatók. Az API mellett syslog és CEF formátumú nap- lózás is bekapcsolható az egyes detekciókról. A Vectra Cognito nem csak egy újabb naplóforrás: az egyet- len olyan pont a hálózatban, ami mesterséges intelligenciájával beavatkozásokat indít és valódi, rejtett kibertámadásokat tesz láthatóvá a védett hálózat bármely pontján. Felügyeli a rendszergazdai jogosultságokat Míg a támadások tipikusan egy átlagos munkaállomás fertő- zésével kezdődnek, az igazi károkozás vagy adatlopás sokszor rendszergazdai vagy rendszerszintű jogosultságokat igényel. Éppen ezért a Vectra Cognito túllépve az egyszerű felhaszná- lói viselkedés elemzésen, kiemelten foglalkozik a potenciálisan kompromittálódott rendszergazdák tevékenységével. A Vectra pontosan követi az adminisztrációhoz használt pro- tokollokat és megtanulja, hogy mely eszközöket mely rend- szergazdák, milyen módon kezelnek. A folyamatosan adap- tálódó felügyelet könnyen kiszűri a gyanús rendszergazdai belépéseket és potenciálisan eltulajdonított jogosultságokat, mielőtt még az így létrejövő támadások igazán veszélyessé válhatnának. Tűzfal NAC Virtualizáció VégpontvédelemLáthatóság Ticketing/IR Security orchestration SIEM A Vectra együttműködik a széles körben használt végpontvédelmi, NAC, SIEM és forensic megoldásokkal. Valós idejű detekció egy folyamatban lévő adatlopásról
  • 6. Teljes körű ransomware detekció A zsaroló(vírus) támadásokat a Vectra Cognito minden egyes lépésben nyomon követi és lehetővé teszi az azonnali beavatko- zást. Ráadásul, a teljes hálózati forgalom elemzésével a Vectra minden előkészületet észrevesz (például command-and-cont- rol kommunikáció létrehozása, fájlmegosztások szkennelése, kártevő terjesztése hosztok között) még mielőtt a zsaroló tá- madás valódi kárt okozhatna. Hatékony védelem a privát felhőben Míg a privát felhő alapú saját adatközpont tárolja számos vál- lalat minden üzleti adatát, biztonsági szempontból viszont sok- szor vakfolt marad. Az adatközpontok forgalmának átlagosan 80 százaléka szerverek közötti, vagyis sosem hagyja el a belső hálózatot, ezért a határvédelmi eszközök számára láthatatlan marad. A Vectra Cognito viszont folyamatosan felügyeli az adatok mozgását az alkalmazások és az infrastruktúra egyes elemei között, így a legfejlettebb kibertámadásokat is képes időben felfedezni. A Vectra Cognito teljes lefedettsége és virtuális szenzorokkal való VMware vSwitch integrációja biztosítja, hogy egyetlen virtuális szerver sem maradhat védelem nélkül. A Vectra Cognito a VMware vCenterrel integrálva egy mindig naprakész képet biztosít a teljes virtuális hálózat forgalmáról és a védelem állapotáról. Ráadásul a piacon a Vectra fejlesz- tett elsőként vCenter/adatközponti integrációt, amely ideális választássá teszi a teljes adatközpont védelmére és a fejlett, rejtőzködő támadások felfedésére. Biztonság a vastól az alkalmazásig A Vectra teljes adatközponti biztonsága a virtuális szerverek és alkalmazások mellett a hypervisorokra, a hardverekre, valamint a hálózati eszközök alacsony szintű sebezhetőségei és hátsó- kapui detektálására is kiterjed. A Vectra Cognito egyedülálló láthatóságot biztosít a vastól az alkalmazásszintig. Például a Vectra Cognito Port Knocking detekció felfedi a hy- pervisorokba vagy hálózati eszközökbe beépülő rootkiteket és hátsókapukat, mélyen a virtuális szerverek alatt. A tipikusan csak a hardverüzemeltetők által használt ILO (infra- structure-lights-out) menedzsment eszközök sebezhetőségei egyre kedveltebb célpontjai a támadóknak, amivel mélyen a virtualizáció és más biztonsági rendszerek alatt szerezhetnek mindig elérhető hátsókaput az adatközpont védett területén belül. Ezért a Vectra kiemelten kezeli az alacsony szintű me- nedzsment protokollokat, mint az IPMI és iDRAC használatát. A teljes körű felügyelet a vCenter integráció segítségével au- tomatikusan riasztást küld, ha egy új, védelem nélküli virtuá- lis eszközt érzékel; így biztosítja, hogy a folyamatosan változó adatközpontban egyetlen eszköz sem marad a Vectra Cognito mesterséges intelligencia védelme nélkül. Próbálja ki ingyenesen, kockázat nélkül! A Vectra Cognito a hálózati forgalom tükrözésével pár perc alatt telepíthető, passzív működéséből adódóan hálózati fen- nakadás nélkül, kockázatmentesen tesztelhető. Keresse Vectra partnerét és állítsa meg a hálózatában aktív, rejtett kibertámadásokat! Shell-Knocker hátsókapu aktiváció a Vectra Cognito felületénRansomware detekció a Vectra Cognitoval © 2017 Vectra Networks, Inc és Yellow Cube Kft. Minden jog fenntartva. A ‘Vectra’ és a ‘Vectra Networks’ logó, valamint a ‘Security that thinks’ a Vectra Networks Egyesült Államokban bejegyzett védjegyei, valamint a ‘Vectra Threat Labs’ és a ‘Threat Certainty Index’ szintén a Vectra Networks védjegyei. Minden más védjegy vagy bejegyzett védjegy az adott gyártó védjegye lehet. Hazai disztribútor Yellow Cube Kft. Web www.vectra.ai és www.yellowcube.eu Email kapcsolat@yellowcube.eu Telefon +36 20 932 1240 © 2016 Vectra Networks, Inc. | 37 Triggers 100 50 0 Threat Certainty - Top - 50-9950-99 A A B B C C Steps to Verify Business Impact Possible Root Causes ▪ Examine the sample files referenced in the detection and see if the original files are missing and the files that have replaced them carry strange but similar file names or file extensions ▪ Check the directory in which the files reside for ransom notes with instructions on how to pay the ransom and retrieve the encryption key ▪ Ransomware encrypts files and transmits the encryption key to the attacker ▪ The attacker then attempts to extract a ransom (typically payable in an untraceable cyber currency) from the organization in return for a promise to release the encryption key which allows the files to be recovered ▪ Even if your organization is willing to pay the ransom, there is no guarantee that the encryption key will be provided by the attacker ▪ Absent the encryption key, files will have to be restored from a backup and any changes since the last backup will be lost ▪ The internal host is infected with a variant of Ransomware ▪ A benign application on the host is rapidly reading files from and writing files to a networked file share ▪ A user is compiling a large set of source files located on a file share, causing a pattern of reading and writing files that exhibits a similar pattern ▪ An internal host is connected to one or more file servers via the SMB protocol and is rapidly reading files and writing files of roughly the same size and with roughly the same file name ▪ This pattern is highly correlated with how Ransomware interacts with file servers ▪ Given the potential for damage, the threat score for detections of this type is high ▪ The certainty score is driven by the volume and persistence of the observed activity Lateral Movement Ransomware File Activity