Vectra AI

Vectra Cognito viselkedéselemzés

A Vectra Cognito a leggyorsabb és leghatékonyabb megoldás a hálózaton belüli támadók megkeresésére és azok megállítására. A mesterséges intelligenciának köszönhetően a program képes a támadásokról valós idejű tájékoztatást adni, és azok részleteit a felhasználó kezébe nyújtani, így elősegítve az azonnali válaszlépéseket. A fejlett gépi tanulási módszerek – többek között a deep learning vagy a neurális hálózatok – és a folyamatosan tanuló viselkedési modell kombinációjával a Vector Cognito gyorsan és hatásosan találja meg a rejtett és ismeretlen támadókat, mielőtt azok kárt okozhatnának a számítógépes rendszerekben.

Mindezek mellett a Vectra Cognito a biztonsági és hitelesítési rendszerek, illetve a SaaS-alkalmazások minden hálózati forgalmát és naplóját elemzi, ezzel megszüntetve a vakfoltokat. Ez a funkció nagypontosságú rálátást biztosít a hálózattól kezdve az IoT eszközökön át az adatközpontokig és felhőkig, így a támadóknak nem marad lehetősége az elrejtőzésre.

Főbb funkciók:

  • Megtalálja az aktív támadókat a hálózaton belül
  • Automatizálja a biztonsági vizsgálatokat, és egyértelmű jelentéseket ad róluk
  • Folyamatosan követi a veszélyeket a támadás minden szakaszában
  • Minden forgalmat vizsgál: belsőt és az internetről jövőt egyaránt
  • Elemzi a biztonsági, hitelesítési rendszerek és a SaaS alkalmazásnaplóit
  • Minden eszközt lefed – bármely operációs rendszert, a BYOD-t és az IoT-t
  • Véd minden infrastruktúrát – legyen az fizikai vagy virtuális
  • Kiegészít minden vezető SIEM-et, tűzfalat, NAC-ot és endpoint megoldást

Szoftveres biztonsági elemzés

A Vectra Cognito automatizálja a kibertámadók utáni vadászatot; megmutatja, hol bujkálnak a behatolók; és elárulja, mit csinálnak. A magas kockázatú fenyegetéseket azonnal kiemeli, összefüggésbe hozza a fertőzött rendszerekkel, és priorizálja őket, így a biztonsággal foglalkozó munkatársak gyorsabban meg tudják állítani a folyamatban lévő támadásokat, és megelőzhetik az adatvesztést. Az időigényes manuális biztonsági eseményanalízis automatizálásával a Vectra Cognito hetek, hónapok munkáját végzi el percek alatt, ezzel töredékére csökkenti a biztonsági elemzők veszélyelemzési munkaterhelését. A funkció lehetővé teszi, hogy az alacsony létszámú vagy az éppen támadás alatt álló biztonsági üzemeltetők is lépést tartsanak a kibertámadókkal, és gyorsan lépjenek fel a rejtett veszélyek ellen.


Hogyan működik a Vectra Cognito?

Információgazdag metaadatok

A Vectra Cognito ahelyett, hogy mély vizsgálatot végezne a packeteken, azokból csak a metaadatokat szedi ki, így biztosít védelmet és valós idejű rálátást a hálózati forgalomra anélkül, hogy a packetek integritása sérülne.A metaadat-elemzés kiterjed minden belső, illetve az összes internetes forgalomra egyaránt, kiegészülve a virtuális infrastruktúrákkal és a felhő alapú számítási környezetekkel. A Vectra Cognito felismeri, követi és pontozza a hálózaton belüli összes olyan eszközt, amelyen internetes forgalom engedélyezett. Ez a láthatóság kiterjed a laptopokra, szerverekre, nyomtatókra, BYOD-eszközökre és az IoT-eszközökre, az operációs rendszerekre és applikációkra, beleértve az adatközpontok és a felhő közötti a forgalmat, illetve akár a SaaS alkalmazásokat is.

A rendszer-, hitelesítési- és SaaS-naplók elősegítik a hálózati metaadatok elemzését, mivel segítik felmérni a helyzetet, így a Vectra Cognito képes pontosabban azonosítani a rendszereket és a felhasználókat. A Vectra Cognito a potenciális támadások észleléséhez már elemzett veszélyeztetésekből származtatott  jelzéseken alapuló STIX fenyegetési elemzést használ. Ezen jeleket azután korrelálja más támadói viselkedésekkel, hogy hajszálpontos veszélyfelmérést és biztos jelzéseket nyújtson a kockázat priorizálásában.

Támadói viselkedés azonosítása

Az összegyűjtött metaadatokat viselkedésérzékelő algoritmusokkal vizsgálja a rendszer, így megtalálja a rejtett és ismeretlen támadókat. Ez a módszer felfedi az alapvető támadói viselkedéseket, mint például a távoli hozzáférésű eszközöket, rejtett tunneleket, backdoorokat, bejelentkezésiadat-visszaéléseket, belső felderítést, továbbá a horizontális szkennelést az internetforgalomban. A Vectra Cognito folyamatosan elemzi a helyi hálózatot, számon tart minden fizikai és virtuális számítógépet, hogy rámutathasson a fenyegetett eszközökre és a belső veszélyekre. A Vectra Cognito számos kiberfenyegetést képes automatikusan érzékelni a támadási folyamat bármely fázisában, többek között:

  • az ellenőrző-irányító és más rejtett kommunikációt,
  • a belső felderítést,
  • a horizontális szkennelést,
  • a bejelentkezési adatok illetéktelen használatát,
  • az adatok illegális kiszivárogtatását,
  • a ransomware aktivitás korai jeleit,
  • a botnet aktivitást,
  • valamint a támadási terveket, beleértve az összes számítógép feltérképezését és azok támadási mutatóit.

A Vectra Cognito megfigyeli és észleli a felhatalmazott alkalmazottak gyanús hozzáférését a kritikus adatokhoz, a felhő használatára vonatkozó policy-k megszegését, valamint az adatok hálózaton kívülre mozgatásának USB-vel és más eszközzel történő kivitelezését.

Automatizált elemzés

A Threat Certainty Index események ezreire és korábbi helyzetekre alapozva megmutatja, hogy mely számítógépek jelentik a legnagyobb veszélyt. Ahelyett, hogy még több eventet hozna létre elemzés céljából, a Vectra Cognito a már meglévő adatokat vizsgálja, a legfontosabb sebezhetőségekre való rámutatás érdekében. Az Attack Campaign funkció azáltal, hogy az egymással összefüggő támadási viselkedéseket összeköti, felderíti az összeköttetéseket a számítógépek között a belső vizsgálatokkal, és tovább automatizálja a biztonsági észleléseket, hogy megtalálja a külső, fejlett és átlagos ellenőrző-irányító kapcsolatokat. Miközben a támadók felderítést végeznek és horizontálisan mozognak gépről gépre a hálózaton belül, a Vectra Cognito korrelálja a viselkedésüket az összes érintett számítógépen és érzékelés kapcsán, hogy összesített képet alkosson a teljes támadásról.

A Vectra Cognito különböző nézetei rálátást biztosítanak a hosztokra vagy az azokkal kapcsolatba hozható észrevett támadási kampányokra, és elemzi a működése során történt eseményeket, hogy jobban felmérje a folyamatot és a támadás teljes méretét.

Válaszlépések

A legfontosabb információkkal a kezében gyorsabban és határozottabban reagálhat a fenyegetésekre. A többi biztonsági elemzőprogrammal ellentétben, a Vectra Cognito automatikusan priorizálja és korrelálja a fenyegetéseket a hosztokkal és fontos eszközökkel, így nincs szükség manuális vizsgálatokra. A Vectra Cognito által érzékelt fenyegetések adatai – ezalatt a támadott számítógép helyzetét, a packet capture-öket, valamint a fenyegetés és bizonyossági pontszámokat értve – azonnal elérhetőek. Ezenfelül a Vectra Cognito zökkenőmentesen együttműködik a következő generációs tűzfalakkal, endpoint megoldásokkal, illetve NAC-okkal annak érdekében, hogy automatikusan blokkolhassa az ismeretlen és targetált szabott kibertámadásokat. A Vectra mellett egyértelmű fenyegetésvizsgálati kiindulópontot biztosít, ezáltal fokozva a SIEM-ek és törvényi felügyeleti eszközök hatékonyságát.


A biztonsági rendszer, amely gondolkodik

A Vectra Cognito tehermentesíti és megerősíti a gyakran alacsony létszámú vagy támadás alatt álló biztonsági üzemeltetőket. Ez annak köszönhető, hogy a program automatizálja az időigényes biztonsági eseményelemzést és megszünteti a rejtett fenyegetések folytonos kutatásának szükségességét. Minden érzékelés részletesen le van írva az annak alapjául szolgáló eseménnyel és a előzetes történésekkel együtt. A biztonsági elemzők azonnal meg tudják tekinteni a számítógépes kapcsolati térképet, amely megmutatja, hogy a kijelölt hosztgép mely másik gépekkel, illetve hogyan kommunikál. A Vectra Cognito ezeken felül igény szerinti hozzáférést is biztosít az elfogott packetek metaadataihoz, hogy azokon további forensic vizsgálatokat lehessen végezni. Ez a képesség a biztonsági munkatársaknak a szükséges mennyiségű bizonyosságot és pontosságot adja meg ahhoz, hogy azonnali, döntő lépést tehessenek.

Erősítse meg a már létező biztonsági infrastruktúráját

Akár új intelligenciát biztosít, hogy új típusú veszélyeket hárítson el tűzfalakkal, végpontvédelmekkel, NAC-kkel vagy más megerősítési pontokkal, esetleg tiszta alapot szeretne az alaposabb keresések érdekében SIEM-ekkel és törvényi felügyeleti eszközökkel, a Vectra Cognito még többet hoz ki már meglévő biztonsági technológiáiból. A Vectra Cognito beépül a piacvezető végpontvédelmi megoldásokba, hogy azoknak gazdagabb környezetet biztosíthasson a vizsgálatoknál, és lehetővé tegye, hogy a biztonsági műveleteket végrehajtó csapat izolálhassa a veszélyeztetett számítógépet. A program robusztus API-je bármelyik biztonsági megoldással automatizált választ és végrehatjást engedélyez virtuálisan. A Vectra Cognito ezenfelül még syslog üzeneteket és CEF-naplókat is készít mindegyik észlelésről, emellett priorizálja is a hosztgépek pontszámait is. Ez teszi a Vectra Cognitót sokkal többé, mint egy újabb naplóforrás, ráadásul ideális alapot biztosít a SIEM-en belüli vizsgálatokra és munkafolyamatokra.

Ransomware támadások felderítése – a támadás fázisától függetlenül

A Vectra Cognito érzékeli a vállalatok és más szervezetek elleni ransomware hadjáratokat a támadás bármely fázisában. Azáltal, hogy az összes belső hálózati forgalmat megfigyeli, a Vectra Cognito másodpercek alatt azonosítja a ransomware támadások alapvető viselkedését, miközben azok kulcsfontosságú adatokat próbálnak megszerezni. Amellett, hogy közvetlenül észleli a ransomware-t, a Vectra Cognito a ransomware-eket megelőző eszközöket is érzékeli, ideértve az ellenőrző-irányító forgalmat, a hálózati hozzárendeléseket és a ransomware-ek fő támaszát, a terjesztő viselkedést, aminek segítségével a zsarolóvírus kulcsfontosságú adatokat talál meg és titkosít.


To Top