Podstawowym modułem całego rozwiązania jest Enterprise Immune System, odpowiedzialny za analizę kopii ruchu w firmowej infrastrukturze IT, który na bazie metainformacji wyłuskanych z ruchu buduje modele zachowania urządzeń i użytkowników. Kolejny moduł, Cyber AI Analyst, służy do zbierania informacji i wykonywania wstępnego śledztwa, które ma odciążać operatorów SOC. Bezpośrednio do ochrony różnych obszarów infrastruktury IT (urządzeń klienckich, serwerów e-mail, sprzętu IoT/OT, usług chmurowych) służy natomiast moduł Respond (wcześniej oferowany pod nazwą Antigena).

Główna konsola Darktrace może być dostarczana jako chmurowe rozwiązanie SaaS lub wdrażana jest w lokalnej infrastrukturze jako fizyczne urządzenie. Nowoczesny i przejrzysty interfejs użytkownika pomaga analitykom w szybkim dotarciu do potrzebnych im informacji o incydentach oraz tego, co aktualnie dzieje się w firmowej sieci. Konsola integruje się z fizycznymi (probe) lub wirtualnymi sensorami (vSensor), które są umieszczane w różnych miejscach sieci, jeżeli w przedsiębiorstwie nie ma scentralizowanej infrastruktury sieciowej.

Darktrace ma również sensor, który można zainstalować na urządzeniach pracowników zdalnych (cSensor). Dzięki temu także oni objęci są ochroną w momencie, gdy ich połączenie z internetem nie odbywa się za pośrednictwem zaufanej infrastruktury. Rozwiązanie to jest szczególnie przydatne w sytuacji, gdy firma ma siedziby w wielu różnych lokalizacjach i nie jest możliwe skonfigurowanie kopii ruchu z każdej z nich. Darktrace zapewnia też integrację z platformami chmurowymi (Microsoft 365, Defender, Azure Sentinel, Teams i innymi), z którymi interakcja odbywa się przez udostępniany przez nie interfejs API.

Taki zestaw rozwiązań i narzędzi umożliwia zwalczanie nie tylko zagrożeń z zewnątrz, ale także wynikających z wewnętrznej działalności użytkowników, które według statystyk wciąż stanowią jeden z najbardziej niebezpiecznych i powszechnych wektorów ataku. Źródłem są nieostrożni, niezadowoleni lub byli pracownicy, którzy z różnych pobudek mogą wykorzystać dostęp do systemów wewnętrznych w celach niezgodnych z założeniami biznesowymi. Samoucząca się sztuczna inteligencja, która bez przerwy analizuje sieciowe zachowanie użytkowników, jest obecnie bardzo skuteczną technologią zdolną do wykrycia ataków zero-day, odbiegających od powszechnie znanych schematów i nieopisanych sygnaturami.

Łukasz Grudzień, Presales Engineer, Integrity Partners  

Z przeprowadzonych przez nas wielu projektów wdrożeniowych na bazie rozwiązań Darktrace wyłaniają się dwa typy klientów, którzy czerpią korzyści z tej technologii. Pierwszym są przedsiębiorstwa dojrzałe w zakresie budowania programu cyberbezpieczeństwa, dysponujące własnym zespołem odpowiadającym za zbieranie i analizę incydentów, który potrafi korzystać z zaawansowanych mechanizmów ochronnych i analitycznych. Takie firmy najczęściej kupują produkt i wsparcie techniczne naszego zespołu w ramach tzw. trzeciej linii supportu.

Klienci drugiego rodzaju znajdują się po przeciwnej stronie bieguna. Poszukują szybko implementowanego rozwiązania podnoszącego poziom bezpieczeństwa w bardzo szerokim zakresie i w dużym stopniu eliminującego żmudną pracę zespołu specjalistów ds. cyberbezpieczeństwa. Dla nich mamy specjalizowaną ofertę Managed Anomalies Response Services (MARS). To usługa bazująca na rozwiązaniu Darktrace, która zapewnia klientom to, czego najbardziej oczekują: zbieranie danych, analizę i ochronę, bez konieczności angażowania specjalistów. O wyniku działania usługi MARS klient jest informowany w cyklicznych raportach, zawierających również rekomendacje zespołu inżynierów dotyczące dalszych działań, które powinny zostać rozważone, aby uszczelniać w zakresie bezpieczeństwa funkcjonowanie posiadanego sprzętu, systemów i sposobu pracy użytkowników.

  

Zautomatyzowane reagowanie bez ograniczeń

Zespoły odpowiedzialne za bezpieczeństwo w wielu firmach są obecnie zbyt przeciążone, mają niewystarczające zasoby, często też brakuje im odpowiednich kwalifikacji wobec coraz bardziej zintensyfikowanych, zautomatyzowanych i nieprzewidywalnych ataków na bronioną przed nimi infrastrukturę. Liczba koniecznych do obsługi alertów często przytłacza zespoły bezpieczeństwa i wpływa na jakość ich pracy, ogranicza również ich zdolność do przewidywania przyszłych wektorów ataków, a więc i sposobów na przygotowanie się oraz reagowanie na nie. Pewne natomiast jest jedno – złożoność cyfrowego biznesu oraz szybkość prowadzenia ataków nowej generacji oznacza, że skuteczne zabezpieczenie się przed nimi leży już na granicy ludzkich możliwości. Pomocne może okazać się zaangażowanie w ten proces zautomatyzowanych mechanizmów bazujących na sztucznej inteligencji, które dostarcza Darktrace.

Na rynku dostępne są różne narzędzia oferujące z pozoru podobne możliwości i rozwiązania, ale ich skuteczność bywa dyskusyjna. Ich sposób działania często uzależniony jest od predefiniowanych modeli ataków i historycznych danych. Oczywiście, nadal w ogólnym rozrachunku działają one szybciej niż człowiek, ale mogą często generować duże ilości fałszywych alarmów i wymagać dużo czasu analityków w celu odpowiedniej konfiguracji. Kolejny problem to niepotrzebne blokowanie niegroźnych obiektów w kwarantannie, a jednocześnie „ślepota” na prawdziwe i bardzo szybko rozprzestrzeniające się ataki. Dzieje się tak ze względu na to, że obecnie podejście sygnaturowe jest przestarzałe i nieskuteczne z powodu relatywnie łatwych metod jego obejścia.

Remedium na takie problemy jest platforma automatycznego reagowania na zagrożenia Darktrace Respond. Wykorzystuje ona sztuczną inteligencję, podejmującą autonomiczne decyzje, na bazie mechanizmów maszynowego uczenia. W ciągu kilku sekund, z chirurgiczną precyzją neutralizuje szybko zmieniające się i nieprzewidywalne ataki, przy zachowaniu pełnej działalności operacyjnej chronionej firmy. Respond potrafi zablokować potencjalny atak bez „wycinania” zaatakowanego obiektu z normalnego funkcjonowania biznesowego. Blokowany użytkownik może nawet nie być świadomy, że w danej chwili znajduje się pod działaniem osłony dostarczanej przez moduł Respond.

Mechanizm autonomicznego reagowania nie ogranicza się tylko do ochrony urządzeń końcowych, ponieważ celem atakujących rzadko jest pojedyncza stacja użytkownika. Dlatego opieką i inteligentną analizą objęte mogą zostać różne środowiska – serwery poczty elektronicznej, narzędzia do współpracy, korporacyjna sieć, systemy chmurowe, a także rozwiązania IoT. Wbudowane w Respond rozwiązanie uczenia maszynowego nieustannie zbiera informacje o tym, jak funkcjonują poszczególne urządzenia w firmie. Wszelkie odstępstwa od wcześniej zarysowanej normy są skrupulatnie wyłapywane, zaś notyfikacja dotycząca takiej sytuacji natychmiast wysyłana jest do działu bezpieczeństwa, łącznie z wdrażanymi w czasie rzeczywistym działaniami zapobiegawczymi. Takie podejście ułatwia przeciwdziałanie nowym rodzajom zagrożeń (np. ransomware), ukierunkowanym kampaniom phishingowym, a także atakom APT wykorzystującym podatności typu zero-day.

Klienci zainteresowani przetestowaniem rozwiązań Darktrace mogą skorzystać ze świadczonej przez jej partnera – Integrity Partners – w pełni bezpłatnej usługi Proof of Value. W procesie POV może wziąć udział jak największe grono potencjalnych użytkowników – od operatorów SOC, przez analityków L1 i L2, aż po sieciowych specjalistów.

Kontakt dla partnerów: Marcin Aniszewski, Managed Services Business Unit Director, Integrity Partners, biuro@integritypartners.pl

Artykuł Darktrace: system, który uczy się użytkowników pochodzi z serwisu CRN.