Dzięki możliwości śledzenia funkcjonowania poszczególnych firmowych aplikacji specjaliści ds. bezpieczeństwa pozyskują istotną wiedzę. Zależności zachodzące między aktorami w sieci pomagają im poznać rozwiązania typu Network Detection and Response (NDR). Umożliwiają one monitorowanie jak największego wolumenu ruchu w celu przeprowadzania analiz. Dane wejściowe najczęściej stanowi kopia ruchu sieciowego, chociaż można spotkać się z przypadkami wykorzystywania danych o charakterze statystycznym.

Aby móc przekazywać dane dotyczące sieci do rozwiązania NDR w celu wykrycia wszelkiego rodzaju anomalii najczęściej stosuje się urządzenia Test Access Point (TAP) lub przełączniki sieciowe wyposażone w dostateczne zasoby sprzętowe. Aby uchwycić możliwie jak największą porcję informacji, ale zachować przy tym zoptymalizowane koszty zakupu i wdrożenia rozwiązania analizującego, monitoringiem zazwyczaj zostają objęte główne węzły w lokalnej sieci.

Profesjonalne rozwiązania NDR, dostępne w dystrybucyjnej ofercie DAGMA Bezpieczeństwo IT, oferuje francuska firma Gatewatcher. Jej wiarygodność została potwierdzona przez lokalną agencję rządową ANSSI (Agence nationale de la sécurité des systèmes d’information), zajmującą się bezpieczeństwem systemów informatycznych. Producent ten ma w ofercie rozwiązanie Aioniq. W chronionej sieci rozmieszczone zostają sondy monitorujące – jedna lub kilka – aby wpasować się w specyfikę zabezpieczanej architektury.

Do takiego zespołu urządzeń dostarczana jest w czasie rzeczywistym kopia ruchu sieciowego. Do jego analizy stosowane jest pełne spektrum silników detekcji, łączących zarówno statyczne podejście bazujące na sygnaturach, jak też metody dynamiczne. Dobrze znane zagrożenia w warstwie połączeń są proste do odsiania poprzez zastosowanie modułu Sigflow. Ciekawym zabiegiem jest również analiza antymalware, skanująca każdy plik przez 16 komercyjnych silników wykrywania, które poza sygnaturami identyfikują także schematy zachowań.

Metoda ta jest jednak skuteczna tylko do rozpoznawania wcześniej znanych metod ataku. Do identyfikowania nietypowych zagrożeń albo precyzyjnie skierowanych przeciwko danej firmie, może posłużyć stworzone przez Gatewatcher rozwiązanie Codebreaker – autorski silnik do dekodowania ruchu powershell i shellcode. To bardzo potrzebne rozwiązania, bo w atakach kierowanych częstym przypadkiem jest wykorzystanie poleceń, które stosunkowo łatwo przeoczyć – nie generują dużych ilości danych, a umożliwiają przeprowadzenie rekonesansu czy wywołania podatności. Ten mechanizm skupia się przede wszystkim na zachowaniu atakującego, a nie przypasowaniu do definicji, dzięki czemu staje się skuteczny również w sytuacji, gdy formy ataku przybierają całkowicie nowy kształt.

Mateusz Nowak, Product Manager Gatewatcher, DAGMA Bezpieczeństwo IT Mateusz Nowak, Product Manager Gatewatcher, DAGMA Bezpieczeństwo IT  

Firmy coraz częściej stawiają na prewencję, w myśl zasady, że lepiej zapobiegać niż leczyć. Szczególnie pomocne w tym zakresie są rozwiązania maksymalizujące poziom wykrywania zagrożeń. Zazwyczaj, aby zapewnić bezpieczeństwo, stosowane są narzędzia ochronne dla urządzeń końcowych – proste do wdrożenia i łatwe w rozbudowie o nowe funkcje. Ale nie można przy tym zapominać o jeszcze jednej istotnej perspektywie, dotyczącej sieci – tutaj najlepiej sprawdzą się rozwiązania NDR. Ich zadaniem jest analizowanie ruchu przy użyciu jak najbardziej pełnej dostępnej gamy metod detekcji. Tylko w ten sposób można zapewnić złoty standard wykrywania zagrożeń.

  

Metodą, która dopełnia wachlarz wykorzystywanych narzędzi analizy jest popularyzujące się – nie tylko w dziedzinie bezpieczeństwa – uczenie maszynowe. Gatewatcher zdecydował się na dosyć pragmatyczne podejście w tej dziedzinie i swoje rozwiązania uzbraja w narzędzia przeznaczone do pewnych form aktywności atakujących, np. algorytmów generujących nazwy domenowe (tzw. DGA). Pełna bateria silników detekcji finalnie stanowi kompletny zestaw narzędzi niezbędnych do skutecznego wykrycia i dalszej neutralizacji zagrożeń, bez względu na jego poziom komplikacji i zaawansowania.

Zobacz więcej informacji na temat oferty firmy Gatewatcher.