Cognito zdobywa informacje o prowadzonych cyberatakach dzięki analizie całego ruchu sieciowego wykorzystującej zaawansowane techniki uczenia maszynowego (w tym głębokie uczenie i sieci neuronowe). Stała ochrona jest zapewniona dzięki algorytmom sztucznej inteligencji oraz zaawansowanej analizie matematycznej. System nie opiera skuteczności wykrywania zagrożeń na bazie sygnatur, definicji ataków oraz jakichkolwiek aktualizacjach. Firma Vectra określa swoje rozwiązanie mianem „analityka bezpieczeństwa w oprogramowaniu”, przedstawia jako kolejnego członka zespołu działu SOC (Security Operations Center), który nie śpi, nie je, nie choruje, ale cały czas pracuje, uczy się i tropi intruzów.

Na rozwiązanie Vectry składa się jednostka centralna (urządzenia z serii X) – „mózg” Cognito agregujący informacje z podłączonych do niego sensorów (urządzenia z serii S). Zbierają one „surowe” dane z przełączników rdzeniowych i dostępowych z wykorzystaniem funkcji port mirroring. Dzięki niewielkim rozmiarom i bardzo prostej instalacji mogą być wdrażane w sieci na wiele sposobów, także w oddziałach firmy lub np. punktach sprzedaży detalicznej, które ona prowadzi.

Statystycznie ok. 80 proc. ruchu generowanego w centrum danych nigdy nie opuszcza korporacyjnej sieci i nie jest monitorowane przez tradycyjne brzegowe narzędzia ochronne. Dla administratorów, którzy chcą mieć zapewnioną widoczność całego ruchu i wykrywać zagrożenia funkcjonujące w środowisku wirtualnym VMware ESXi, przeznaczone są wirtualne sensory vSensors, które łączą się z dowolnym przełącznikiem VMware vSwitch. Istnieje także możliwość integracji rozwiązania Cognitoz oprogramowaniem VMware vCenter, dzięki czemu zapewniony zostaje szczegółowy wgląd w wirtualne środowisko.

Urządzenia Vectra są umieszczane w infrastrukturze w sposób pasywny, dzięki czemu nie naruszają istniejącej topologii sieci. Jako dane wejściowe dostają „surową” kopię ruchu sieciowego, a nie tylko logi (jak w rozwiązaniach SIEM) lub dane statystyczne (jak w systemach bazujących na protokołach NetFlow, sFLOW, jflow czy IPFIX). Informacje te są wprowadzane do algorytmów mechanizmu uczenia maszynowego, które umożliwiają stworzenie mapy zagrożeń. Tym samym rozwiązanie firmy Vectra nie rozpoznaje konkretnego ataku, ale informuje o tym, na jakim etapie działania jest atakujący.

Proces „polowania” na cyberataki jest w pełni automatyzowany. Cognito ujawnia miejsca, gdzie ukrywa się przestępca (a także odtwarza ścieżkę, przez którą przedostał się do firmowej infrastruktury) i sprawdza, jakie jest jego zadanie. W ten sposób skraca nawet o 29 razy (na podstawie osiągniętych rezultatów u klientów Vectry) czas potrzebny na analizę przez administratora zdarzeń związanych z bezpieczeństwem. Oprócz oczywistej korzyści w postaci szybszego wyeliminowania zagrożenia Cognito zapewnia panaceum na niedobór personelu, a szczególnie analityków bezpieczeństwa, z którym borykają się prawie wszystkie działy IT.

 

Szyfrowanie to nie problem

Zaszyfrowanie danych może umożliwić ukrycie wielu elementów ataku. Tradycyjne narzędzia ochronne do analizy wykorzystują głęboką inspekcję pakietów (deep packet inspection), co jest nieskuteczne w przypadku szyfrowanego ruchu. Tymczasem Cognito zapewnia wgląd w ruch sieciowy w czasie rzeczywistym (wewnątrz sieci, infrastruktury wirtualnej, płynący z/do Internetu oraz środowiska przetwarzania w chmurze).

Wykorzystane przez Vectrę zautomatyzowane metody wykrywania zagrożeń, wspierane przez sztuczną inteligencję, stanowią przełom w kontekście analizy ruchu szyfrowanego. Koncentrują się na identyfikacji zagrożeń w sposób, w jaki się one zachowują, a nie na zawartości lub kodzie, z którego korzystają. W ten sposób nawet ataki ukryte w szyfrowanych danych mogą zostać wykryte i zarządzający bezpieczeństwem ma szansę na poprawę stanu ochrony, zanim zagrożenia doprowadzą do poważnych incydentów i naruszeń bezpieczeństwa.

 

Trzy pytania do…

Doroty Otczyk, country managera w polskim oddziale Yellow Cube

CRN Yellow Cube jest nowym podmiotem w Polsce...

Dorota Otczyk Tak, rozpoczęliśmy działalność polegającą na dystrybucji z wartością dodaną w 2018 r. Polska to największy rynek w Europie Środkowo-Wschodniej, który był, można powiedzieć, brakującym ogniwem, ostatnim elementem w naszej strategii dążenia do zdobycia pozycji lidera wśród dystrybutorów rozwiązań bezpieczeństwa  IT w tym regionie. Centrala grupy znajduje się na Węgrzech, a pozostałe biura zlokalizowane są na Słowacji, Ukrainie i w Rumunii.

CRN Jaka jest strategia Yellow Cube na polskim rynku?

Dorota Otczyk Koncentrujemy się na rozwijaniu oferty najnowocześniejszych rozwiązań w zakresie zabezpieczeń IT. Reprezentujemy producentów zarówno nieznanych na rynku Europy Środkowo-Wschodniej, jak i renomowanych dostawców, którzy są ekspertami w swoich dziedzinach. Yellow Cube buduje unikalną wizję cyberbezpieczeństwa, działając jako wyłączny regionalny dystrybutor, który nie ma w portfolio rozwiązań konkurujących ze sobą vendorów. W Polsce rozpoczynamy dystrybucję, koncentrując się na jednym produkcie o największym potencjale – rozwiązaniu Cognito firmy Vectra Networks. Dziś wszyscy mówią o sztucznej inteligencji, bo idealnie odpowiada na aktualne wyzwania w obszarze bezpieczeństwa IT – dużą ilość informacji do przetworzenia oraz braki kadrowe w zespołach ds. cyberbezpieczeństwa. Następnie kolejno będziemy wprowadzać inne rozwiązania chroniące infrastrukturę IT, takie jak SCADA, oraz zapewniające monitorowanie aktywności pracowników firmy.

CRN Na jakich zasadach będziecie współpracowali z partnerami?

Dorota Otczyk W tej chwili budujemy kanał partnerski w Polsce. Nasz program regulujący zasady współpracy z resellerami i integratorami jest bardzo prosty i przejrzysty. Współdziałamy bezpośrednio wyłącznie z nimi, bo to oni mają zbudowane relacje z klientami i klienci im ufają. W przypadku pierwszego produktu, jakim jest rozwiązanie Vectra, stawiamy na edukację. Obecnie koncentrujemy się na organizacji warsztatów technicznych oraz zdalnych sesji szkoleniowych. Wszystkich zainteresowanych tym, co się dzieje w naszej firmie, zapraszam do odwiedzenia strony www.yellowcube.eu, a także zaprenumerowania newslettera.

 

Rozwiązanie firmy Vectra swoim działaniem obejmuje każde urządzenie z dostępem do sieci IP – komputery, serwery, drukarki, systemy Internetu rzeczy itd. Zapewnia identyfikację i ocenę reputacji także urządzeń prywatnych użytkowników (BYOD) oraz wszelkich systemów operacyjnych i aplikacji. Weryfikuje ruch w środowisku wirtualnym w chmurze prywatnej i publicznej oraz w aplikacjach SaaS.

Analiza dokonywana przez Cognito bazuje na danych opracowanych w przyjętym i zaakceptowanym przez branżę zabezpieczeń języku strukturalnym STIX (Structured Threat Information Expression), który służy do opisywania budowy złośliwego kodu i zasad jego funkcjonowania. Zebrane dane są korelowane z informacjami o zaobserwowanych działaniach atakującego, dzięki czemu zapewnione jest lepsze oszacowanie ryzyka. Cognito potrafi również wykryć próby dostępu do poufnych informacji przez nieupoważnionych pracowników firmy, a także wszelkiego typu naruszenia zasad związanych z korzystaniem z pamięci USB, internetowych serwisów do przechowywania i udostępniania danych oraz innych sposobów ich przenoszenia.

Ponadto Cognito współpracuje z firewallami nowej generacji, oprogramowaniem do ochrony urządzeń końcowych i systemami NAC, dzięki czemu zapewnia automatyczne blokowanie nieznanych i niestandardowych cyberataków. Rozwiązanie to może pomóc w wykrywaniu działania ransomware’u we wszystkich fazach ataku. Dzięki ciągłemu monitorowaniu ruchu w sieci wewnętrznej w ciągu kilku sekund identyfikuje zachowanie charakterystyczne dla szyfrującego złośliwego kodu. Udostępnia administratorom informacje o zaobserwowanych poleceniach skanowania podłączonych do sieci urządzeń pod kątem podatności na ataki, potrafi też ujawnić sam proces dystrybucji kodu ransomware.

Gartner w najnowszym raporcie…

„Magic Quadrant for IDPS” po raz pierwszy od pięciu lat sklasyfikował jakieś przedsiębiorstwo  w sekcji „Wizjonerzy”. Trafiła tam firma Vectra. Zdaniem analityków do końca 2020 r. 60 proc. rozwiązań IDPS będzie wykorzystywało takie metody jak uczenie maszynowe oraz analiza zachowań użytkowników. Obecnie współczynnik ten wynosi poniżej 10 proc.

Wyłącznym dystrybutorem Vectra Networks w Polsce jest firma Yellow Cube.

Dodatkowe informacje: Dorota Otczyk, Country Manager, Yellow Cube,dorota.otczyk@yellowcube.eu