Dagma: narzędzia do zapobiegania i ochrony
Mechanizmy wykrywania zagrożeń na urządzeniach końcowych powinny zostać uzupełnione rozwiązaniami NDR, które analizują ruch w sieci. Świetnie sprawdzi się w tym przypadku rozwiązanie Gatewatcher oraz platforma Holm Security, która wykrywa najsłabsze ogniwa w całym systemie zabezpieczeń.
Dzięki możliwości śledzenia funkcjonowania poszczególnych firmowych aplikacji specjaliści ds. bezpieczeństwa pozyskują istotną wiedzę. Zależności zachodzące między aktorami w sieci pomagają im poznać rozwiązania typu Network Detection and Response (NDR). Umożliwiają one monitorowanie jak największego wolumenu ruchu w celu przeprowadzania analiz. Dane wejściowe najczęściej stanowi kopia ruchu sieciowego, chociaż można spotkać się z przypadkami wykorzystywania danych o charakterze statystycznym.
Aby móc przekazywać dane dotyczące sieci do rozwiązania NDR w celu wykrycia wszelkiego rodzaju anomalii najczęściej stosuje się urządzenia Test Access Point (TAP) lub przełączniki sieciowe wyposażone w dostateczne zasoby sprzętowe. Aby uchwycić możliwie jak największą porcję informacji, ale zachować przy tym zoptymalizowane koszty zakupu i wdrożenia rozwiązania analizującego, monitoringiem zazwyczaj zostają objęte główne węzły w lokalnej sieci.
Profesjonalne rozwiązania NDR, dostępne w dystrybucyjnej ofercie DAGMA Bezpieczeństwo IT, oferuje francuska firma Gatewatcher. Jej wiarygodność została potwierdzona przez lokalną agencję rządową ANSSI (Agence nationale de la sécurité des systèmes d’information), zajmującą się bezpieczeństwem systemów informatycznych. Producent ten ma w ofercie rozwiązanie Aioniq. W chronionej sieci rozmieszczone zostają sondy monitorujące – jedna lub kilka – aby wpasować się w specyfikę zabezpieczanej architektury.
Do takiego zespołu urządzeń dostarczana jest w czasie rzeczywistym kopia ruchu sieciowego. Do jego analizy stosowane jest pełne spektrum silników detekcji, łączących zarówno statyczne podejście bazujące na sygnaturach, jak też metody dynamiczne. Dobrze znane zagrożenia w warstwie połączeń są proste do odsiania poprzez zastosowanie modułu Sigflow. Ciekawym zabiegiem jest również analiza antymalware, skanująca każdy plik przez 16 komercyjnych silników wykrywania, które poza sygnaturami identyfikują także schematy zachowań.
Metoda ta jest jednak skuteczna tylko do rozpoznawania wcześniej znanych metod ataku. Do identyfikowania nietypowych zagrożeń albo precyzyjnie skierowanych przeciwko danej firmie, może posłużyć stworzone przez Gatewatcher rozwiązanie Codebreaker – autorski silnik do dekodowania ruchu powershell i shellcode. To bardzo potrzebne rozwiązania, bo w atakach kierowanych częstym przypadkiem jest wykorzystanie poleceń, które stosunkowo łatwo przeoczyć – nie generują dużych ilości danych, a umożliwiają przeprowadzenie rekonesansu czy wywołania podatności. Ten mechanizm skupia się przede wszystkim na zachowaniu atakującego, a nie przypasowaniu do definicji, dzięki czemu staje się skuteczny również w sytuacji, gdy formy ataku przybierają całkowicie nowy kształt.
Firmy coraz częściej stawiają na prewencję, w myśl zasady, że lepiej zapobiegać niż leczyć. Szczególnie pomocne w tym zakresie są rozwiązania maksymalizujące poziom wykrywania zagrożeń. Zazwyczaj, aby zapewnić bezpieczeństwo, stosowane są narzędzia ochronne dla urządzeń końcowych – proste do wdrożenia i łatwe w rozbudowie o nowe funkcje. Ale nie można przy tym zapominać o jeszcze jednej istotnej perspektywie, dotyczącej sieci – tutaj najlepiej sprawdzą się rozwiązania NDR. Ich zadaniem jest analizowanie ruchu przy użyciu jak najbardziej pełnej dostępnej gamy metod detekcji. Tylko w ten sposób można zapewnić złoty standard wykrywania zagrożeń.
Metodą, która dopełnia wachlarz wykorzystywanych narzędzi analizy jest popularyzujące się – nie tylko w dziedzinie bezpieczeństwa – uczenie maszynowe. Gatewatcher zdecydował się na dosyć pragmatyczne podejście w tej dziedzinie i swoje rozwiązania uzbraja w narzędzia przeznaczone do pewnych form aktywności atakujących, np. algorytmów generujących nazwy domenowe (tzw. DGA). Pełna bateria silników detekcji finalnie stanowi kompletny zestaw narzędzi niezbędnych do skutecznego wykrycia i dalszej neutralizacji zagrożeń, bez względu na jego poziom komplikacji i zaawansowania.
Zobacz więcej informacji na temat oferty firmy Gatewatcher.
Podobne artykuły
Ochrona na szóstkę z ESET PROTECT Elite
Dla dużej firmy dysponującej ogromną ilością wrażliwych danych, zmiana systemu chroniącego przed cyberzagrożeniami to poważne wyzwanie.
NIS2 jako szansa na biznes
W październiku tego roku upływa termin przyjęcia przez wszystkie państwa członkowskie Unii Europejskiej dyrektywy NIS2. Czy dostawcy mogą liczyć na wzrost sprzedaży usług i rozwiązań cybersecurity?
Channel Manager staje się zaufanym doradcą partnera
Obecnie rolą Channel Managera jest zapewnienie partnerom kompleksowego wsparcia nie tylko w zakresie portfolio produktowego, ale też w prowadzeniu działalności biznesowej. Przy czym kluczowym elementem zarządzania kanałem sprzedaży jest efektywna komunikacja z uczestnikami rynku.