Vectra wykrywa aktywne, ukryte cyberataki w całej infrastrukturze fizycznej i wirtualnej, zarówno w sieciach IT, BYOD oraz IoT. Wszystkie detekcje, w sposób automatyczny są korelowane z hostami, którym nadawane są odpowiednie priorytety, co z kolei pozwala na łatwe „wyłapanie” tych najbardziej krytycznych. System konsoliduje tysiące zdarzeń i łączy je z historycznym kontekstem, aby w ten sposób znaleźć hosta, który stanowi największe zagrożenie. Poprzez zautomatyzowanie ręcznej i czasochłonnej analizy zdarzeń bezpieczeństwa, Vectra skraca dni i tygodnie pracy w minuty. Operatorzy nie muszą już zatem ręcznie analizować każdego wykrytego przypadku i decydować o tym, który z nich jest na tyle ważny, że należy się nim zająć w pierwszej kolejności. W dużej mierze odciąża to i tak mocno już zapracowane zespoły ds. bezpieczeństwa, co przyczynia się do poprawy ich efektywności. I choć na pulpicie nawigacyjnym są dostępne wszystkie ważne informacje, to minimalizowana jest ilość danych nadmiarowych, których obecność mogłaby zaciemniać rzeczywisty obraz sytuacji.

Tak jak w klasycznym podejściu skupionym na centrach danych Vectra stosuje podobną, sprawdzoną metodologię ochrony aplikacji SaaS, poprzez automatyczne wykrywanie zagrożeń w chmurze. O skuteczności tego rozwiązania świadczy możliwość weryfikacji aktywności w wielu usługach, takich jak AWS, Office 365, Azure, Active Directory, SharePoint, OneDrive, Exchange oraz Teams. System analizuje procesy logowania, dodawania uprawnień i manipulowania nimi, wprowadzania zmian w plikach, regułach polityki bezpieczeństwa, systemach DLP oraz dziennikach kontroli, rekonfigurowania routingu skrzynek pocztowych oraz wiele innych. Dzięki zastosowaniu analizy behawioralnej i uczenia maszynowego proaktywnie wykrywane są w tych usługach rodzaje zachowania użytkownika, które mogą wskazywać na ataki, po czym następuje reakcja, aby zapobiegać naruszeniom oraz uniemożliwić kradzież danych. Wszystkie fakty wykrycia są korelowane z kontami użytkowników i uszeregowane pod względem priorytetów na podstawie poziomu ryzyka, co zapewnia specjalistom ds. bezpieczeństwa kompletną informację o zagrożeniu. A wszystko to w czasie rzeczywistym, bez pozostawiania napastnikom czasu ani miejsca na ukrycie się.

Skuteczność bazująca na analizie zachowań

Co ważne, do wykrywania zagrożeń ukrytych w całym spektrum działania przedsiębiorstwa, zaprzęgnięto analizę behawioralną, wzbogaconą o kontekst bezpieczeństwa płynący z metadanych z całego ruchu sieciowego. Vectra nie bada tego, jak wygląda dane zagrożenie, ale skupia się na tym, co robi atakujący, gdy ten przełamie brzegowe zabezpieczenia i dostanie się do wewnątrz firmy. Analiza behawioralna wykorzystuje między innymi framework MITREATT&CK, który szczegółowo opisuje taktyki, techniki i procedury (TTP) stosowane przez atakujących w celu naruszenia bezpieczeństwa, począwszy od początkowego włamania, poprzez unikanie obrony i wreszcie uderzenie. Podejście behawioralne, obejmujące przebieg pełnej kampanii cyberataku, okazuje się być w tym przypadku o wiele skuteczniejsze niż tradycyjna analiza wykorzystująca wzorce czy sygnatury.

Integracja z istniejącym ekosystemem

Poziom integracji Vectry zapewnia pełną wymianę danych z rozwiązaniami klasy SIEM, takimi jak Splunk czy IBM QRadar. Cognito współpracuje także z firewallami nowej generacji, oprogramowaniem do ochrony urządzeń końcowych (EDR) i systemami NAC, dzięki czemu zapewnia automatyczne blokowanie nieznanych i niestandardowych cyberataków. Strategiczna współpraca z firmą Microsoft zaowocowała pełną natywną integracją systemu Vectra z całym ekosystemem tego producenta w zakresie Triady Widoczności SOC. Rozwiązanie to może też pomóc w wykrywaniu działania ransomware’u we wszystkich fazach ataku. Dzięki ciągłemu monitorowaniu ruchu w sieci wewnętrznej, w ciągu kilku sekund identyfikuje jego charakterystyczne zachowanie. Udostępnia administratorom informacje o przesyłanych w sieci poleceniach skanowania podłączonych do niej urządzeń pod kątem podatności, potrafi też sam ujawnić proces dystrybucji ransomware’u.

Narzędzie Vectra bardzo dobrze sprawdza się także w kontekście obowiązujących polskie firmy wymogów Rozporządzenia o Ochronie Danych Osobowych (RODO). Surowe przepisy pozwalają badać zawartość danych tylko w określonych sytuacjach i tylko do pewnego stopnia. Tymczasem Cognito, zamiast analizy ruchu za pomocą głębokiej inspekcji pakietów, do identyfikacji zagrożeń wykorzystuje tylko metadane sieciowe, wzbogacone o kontekst bezpieczeństwa. Dzięki temu pozostaje w pełni zgodne z RODO.

Wyłącznym dystrybutorem Vectry w regionie CEE jest firma Yellow Cube.

Trzy pytania do…  

Piotra Tobiasza, dyrektora sprzedaży w polskim oddziale Yellow Cube

 

 

 

1. Firmy inwestują coraz większe pieniądze w rozwiązania cyberochronne, ale czy to oznacza, że rzeczywiście mogą czuć się bardziej bezpiecznie? Jak bardzo znaczącym wskaźnikiem może być tu fakt, że dane przedsiębiorstwo nigdy nie padło ofiarą ataku?  Niestety, stuprocentowe zabezpieczenia nie istnieją, a przeprowadzenie udanego ataku to tylko kwestia czasu. Dziś coraz częściej mamy do czynienia ze zorganizowanymi grupami przestępczymi, dysponującymi potężnymi budżetami i najnowocześniejszymi technikami umożliwiającymi automatyczne przeprowadzanie nowych, zaawansowanych i często ukierunkowanych ataków. Wysoką skuteczność ich działań pokazały wydarzenia roku 2020, gdy spowodowane pandemią COVID-19 masowe przejście na model pracy zdalnej oraz olbrzymi wzrost ilości danych przesyłanych przez sieć, okazało się mieć swoje przykre konsekwencje. Badania pokazują, że tylko w ciągu ostatniego roku 40 proc. wszystkich użytkowników O365 padło ofiarą ataku i doświadczyło przejęcia konta. Nigdy wcześniej nie mieliśmy do czynienia z tak dużą skalą tego zjawiska. Praktycznie nie ma tygodnia, aby nie pojawiła się informacja o tym, że kolejna firma bądź instytucja została zaatakowana.

2. Użytkownicy rozwiązań IT twierdzą jednak, że liczba alertów w trakcie codziennej obsługi zaczyna być irytująca…  Zgadza się, doprowadza to do tzw. efektu zmęczenia alarmowego, a braki kadrowe w działach bezpieczeństwa wielu firm tylko pogłębiają problem. Wszystko to skrzętnie wykorzystują atakujący. Co więcej, tradycyjne systemy bazujące na sygnaturach czy wzorcach ataków w świetle współczesnych wyzwań stają się po prostu niewystarczające, ponieważ skutecznie rozpoznają tylko te zagrożenia, które są im znane. Tymczasem prawdziwą sztuką jest umiejętność wykrywania nowych i nieznanych zagrożeń, w tym zero-day, które mogą pojawić się w każdym, nawet najlepiej zabezpieczonym środowisku IT. Wszystko to powoduje, że dajemy atakującym zbyt dużo czasu, aby mogli niezauważenie działać w naszej sieci i osiągać swoje cele. Badania przeprowadzone przez firmę F-Secure pokazują, że na świecie od chwili rozpoczęcia ataku do momentu jego wykrycia średnio upływa około 100 dni. Niestety, w Polsce ten czas bywa nawet dwukrotnie dłuższy. A kiedy firmy wreszcie odkrywają, że padły ofiarą ataku, najczęściej jest za późno, ponieważ doszło już do poważnych naruszeń, jak wyciek i groźba publikacji danych, bądź ich zaszyfrowanie,  wraz z backupami, w celu zażądania okupu.

3. Co można zrobić, aby skrócić ten czas? Powszechny błąd, jaki popełnia dziś wiele firm, to nadmierne skupianie się na prewencji, a nie na detekcji zagrożeń. Z tego powodu trudno jest im zauważyć symptomy ataku przez dni, tygodnie, czy nawet miesiące. Skoro więc nie jesteśmy w stanie wszystkiego przewidzieć i wszystkiemu zapobiec, należy inwestować w rozwiązania zapewniające jak najszybsze wykrycie zagrożeń celem podjęcia skutecznej reakcji, określane jako threat hunting. Systemy klasy NDR, jak Vectra, wzbogacone są o elementy sztucznej inteligencji, uczenia maszynowego oraz wspomnianej już analizy behawioralnej. Działają w czasie rzeczywistym oraz zapewniają wysoki poziom automatyzacji procesów, jako odpowiedź na ograniczone braki kadrowe w działach bezpieczeństwa. W świetle współczesnych wyzwań, wydaje się to jedynym rozsądnym sposobem na uniknięcie poważnych konsekwencji. Samo przeglądanie logów niestety już nie wystarcza. Zauważył to także Gartner w swoim raporcie Magic Quadrant, umieszczając Vectrę jako jedynego producenta w kwadracie wizjonerskim, co pokazuje kierunki w jakich w przyszłości będą rozwijać się tego typu systemy. Vectra ewidentnie jest tutaj pionierem i wizjonerem.

  

Dodatkowe informacje: Piotr Tobiasz, Sales Director Poland, Yellow Cube, piotr.tobiasz@yellowcube.eu

Artykuł Analiza behawioralna zablokuje każdy atak pochodzi z serwisu CRN.

Babelnet jest wykorzystywany na całym świecie przez wielu klientów, którym zależy na zabezpieczeniu prywatnych lub służbowych wiadomości przed codziennie występującym zagrożeniem szpiegostwem przemysłowym i cybernetycznym. Użytkownikami tego rozwiązania są rządy, siły zbrojne, tajne służby, kierownictwa przedsiębiorstw, zarządy, kluczowi pracownicy, prawnicy, konsultanci oraz dziennikarze. Narzędziem Babelnet powinny zainteresować się także wszystkie firmy przetwarzające dane osobowe, bowiem sposób jego działania jest zgodny z wymogami nakładanymi przez RODO.

Komunikacja w Babelnet jest chroniona wieloma metodami szyfrowania, uwierzytelniania, a także kontroli integralności transferu danych. Każda wiadomość zostaje zakodowana losowo wygenerowanym, unikatowym kluczem, który pozostaje bezpieczny na urządzeniach użytkownika. Lokalny serwer Babelnet służy jedynie jako łącznik pomiędzy urządzeniami, ale nie przechowuje żadnych kluczy szyfrujących ani poufnych danych.

Unikalne w tym narzędziu jest to, że do stworzenia centralnej bazy uwierzytelniania kluczy szyfrujących wykorzystany został mechanizm blockchain, znany z rynku kryptowalut. Komunikują się z nim wszystkie aplikacje Babelnet działające na urządzeniach końcowych w celu upewnienia się, że na proces przesyłania danych nie miały wpływu żadne czynniki zewnętrzne (zarażenie wirusem lub inne działania cyberprzestępców), a więc poufność transmisji informacji nadal jest zachowana.

Większość komunikatorów internetowych zapewnia szyfrowanie, ale zazwyczaj dane kodowane są tylko podczas przesyłania. Każdy, kto ma dostęp do serwerów, może je odszyfrować i przechwycić. Natomiast rozwiązanie Babelnet zostało zweryfikowane pod kątem odporności na rzeczywiste i teoretyczne, aktywne oraz pasywne cyberataki. Nawet w przypadku naruszenia bezpieczeństwa serwera Babelnet lub udanego ataku typu „man-in-the-middle” wrażliwe dane nie zostaną przechwycone ani odszyfrowane. Jedynym sposobem przejęcia dostępu do zaszyfrowanych wiadomości jest kontrola nad urządzeniem użytkownika. Nawet administratorzy systemu Babelnet nie mają dostępu do treści wiadomości ani do połączeń głosowych.

Bezpłatną wersję próbną komunikatora firmy OKsystem można zamówić na stronie: yellowcube.eu/pl/babelnet.

Cognito – cyberochrona, która myśli

W ofercie dystrybucyjnej Yellow Cube znajduje się także stworzone przez firmę Vectra Networks rozwiązanie Cognito. To automatyczna platforma wykorzystująca sztuczną inteligencję do wykrywania ataków w czasie rzeczywistym i reagowania na nie. Działa w centrach danych i środowiskach korporacyjnych, w chmurach publicznych oraz prywatnych, obejmuje także wszelkie wykorzystywane przez firmę urządzenia IoT. Systematycznie odnajduje ukryte i nieznane zagrożenia, zanim atak wyrządzi szkody.

Cognito ujawnia informacje o prowadzonych cyberatakach dzięki analizie całego ruchu sieciowego, wykorzystując zaawansowane techniki uczenia maszynowego (w tym głębokie uczenie i sieci neuronowe). Stała ochrona jest zapewniona dzięki algorytmom sztucznej inteligencji oraz zaawansowanej analizie matematycznej. System w celu wykrywania zagrożeń nie opiera się na bazie sygnatur, definicji ataków ani na żadnych aktualizacjach, ale swoją skuteczność zawdzięcza wykorzystaniu behawiorystyki zarówno użytkowników, jak i potencjalnych atakujących. Vectra określa swoje rozwiązanie mianem „narzędzie ochronne, które myśli” i przedstawia jako kolejnego członka zespołu działu Security Operations Center, który nie śpi, nie je, nie choruje, ale cały czas pracuje, uczy się i skutecznie tropi intruzów.

Na rozwiązanie Vectra składa się jednostka centralna (urządzenia z serii X) – „mózg” Cognito agregujący informacje z podłączonych do niego sensorów (urządzenia z serii S). Zbierają one „surowe” dane z przełączników rdzeniowych i dostępowych za pomocą funkcji port mirroringu. Dzięki niewielkim rozmiarom i bardzo prostej instalacji mogą być używane w sieci na wiele sposobów, także w odległych placówkach oraz oddziałach firmy.

Urządzenia Vectra są umieszczane w infrastrukturze w sposób pasywny, dzięki czemu w żaden sposób nie naruszają istniejącej topologii sieci. Jako dane wejściowe dostają „surową” kopię ruchu sieciowego, a nie tylko logi (jak w rozwiązaniach SIEM) lub dane statystyczne (jak w rozwiązaniach bazujących na protokołach NetFlow, sFlow, jFlow oraz IPFIX). Otrzymane informacje są następnie wprowadzane do algorytmów mechanizmu uczenia maszynowego, które umożliwiają stworzenie mapy zagrożeń. Następnie bardzo czytelnie i przejrzyście informują użytkownika o poziomie zagrożenia, aby umożliwić podjęcie natychmiastowych działań naprawczych.

Proces „polowania” na cyberataki jest w pełni zautomatyzowany. Cognito ujawnia miejsca, gdzie ukrywa się przestępca (a także odtwarza ścieżkę, przez którą przedostał się do firmowej infrastruktury) i bada, jakie jest jego zadanie. W ten sposób skraca nawet 29-krotnie (co wyliczono na podstawie rezultatów osiągniętych u klientów Vectry) czas potrzebny na „ręczną” analizę zdarzeń związanych z naruszeniem bezpieczeństwa. Oprócz oczywistej korzyści w postaci możliwości szybszego wyeliminowania zagrożenia, Cognito stanowi też panaceum na niedobór personelu, a szczególnie analityków bezpieczeństwa, z którym borykają się prawie wszystkie działy IT.

Artykuł Cyberbezpieczeństwo z najlepszymi rozwiązaniami pochodzi z serwisu CRN.

Dorota Otczyk Yellow Cube to dystrybutor wywodzący się z Węgier. Polska do niedawna była brakującym ogniwem w jego biznesie na terenie Europy Środkowej i Wschodniej. A to przecież największy rynek w regionie. Obecnie oprócz naszej centrali w Budapeszcie i biura w Katowicach mamy oddziały w Bratysławie, Bukareszcie i Kijowie. Specjalizujemy się w dostarczaniu rozwiązań z zakresu bezpieczeństwa IT. Naszym celem jest uzyskanie pozycji jednego z liderów rynku.

Co to w ogóle znaczy zostać liderem rynku? Chodzi o całe bezpieczeństwo IT czy jakąś wybraną niszę?

Stawiamy na rozwiązania tworzone przez małych, mocno wyspecjalizowanych producentów. W Polsce chcemy się skupić na rozwiązaniach bazujących na sztucznej inteligencji.

Jak szukacie swoich dostawców?

W zasadzie to nie my ich szukamy, tylko oni nas znajdują. Mali producenci, którzy wcześniej starali się działać na własną rękę i sprzedawać bezpośrednio, w miarę rozwoju biznesu dochodzą do wniosku, że potrzebny jest im dystrybutor. Ważne dla nich jest to, by jego działalność nie ograniczała się do jednego kraju, tylko dawała możliwość ekspansji na inne rynki. Istotne jest także, aby specjalizował się w bezpieczeństwie i skupiał właśnie na nim, a nie oferował rozległe portfolio złożone z wielu najróżniejszych produktów.

Co decyduje o rozpoczęciu współpracy z producentem?

Możliwość wypełnienia luki w naszej ofercie. Dzięki spotkaniom z partnerami i klientami wiemy, jakie są obecnie potrzeby rynku i ich problemy, więc staramy się tak uzupełniać swoją ofertę, by jak najlepiej im odpowiadała.

Na polski rynek bezpieczeństwa IT wchodzicie dość późno. Jak chcecie przekonać do siebie lokalnych integratorów?

Nie oferujemy tego samego we wszystkich krajach, w których działamy. Na polskim rynku jest bardzo dużo produktów bezpieczeństwa. Trudno wyjść z kolejną ofertą antywirusa czy rozwiązania klasy UTM. Dlatego nie ma ich w portfolio Yellow Cube w Polsce. Skupiając się na zastosowaniach sztucznej inteligencji w bezpieczeństwie IT, wystartowaliśmy z rozwiązaniem Cognito, stworzonym przez Vectra Networks. Tego rodzaju produkty, bardzo innowacyjne, nie są tanie, a to dla naszych partnerów oznacza, że mogą oni zarobić więcej niż na rozwiązaniach bazujących na od dawna stosowanych technikach, jak wspomniane antywirusy i UTM-y.

Czy łatwo sprzedać sztuczną inteligencję?

Choć rozwiązania wykorzystujące sztuczną inteligencją są bardzo innowacyjne, to nietrudno dotrzeć z nimi do klienta. W zasadzie w kilku zdaniach partnerzy mogą użytkownikowi wyjaśnić, na czym polega ich działanie. Rozumiejąc potrzeby swoich klientów, są też w stanie szybko dopasować do nich określoną wersję rozwiązania. Wciąż jednak w przypadku Cognito i wszystkich rozwiązań bezpieczeństwa IT, w których wykorzystuje się sztuczną inteligencję, jest jeszcze sporo do zrobienia i nasza praca polega na edukowaniu rynku i pokazywaniu, o co w tym wszystkim chodzi. Tym bardziej że polscy klienci są dociekliwi i zawsze chcą poznać wszystkie szczegóły.

Na czym zatem to polega?

Cognito bazuje na uczeniu maszynowym i wykorzystuje algorytmy sztucznej inteligencji. Produkt uczy się, jak działa firma klienta, klasyfikuje ruch i ostrzega, gdy wykryje coś, co wskazuje na aktywność intruza. Na podstawie analizy zaczyna odróżniać zachowanie dobre od złego. Dzięki temu potrafi rozpoznawać ataki wewnątrz sieci. Ponieważ zna strukturę organizacji przedsiębiorstwa, jest w stanie także znacząco skrócić czas poświęcany przez dział bezpieczeństwa, pierwszą linię SOC –Security Operations Center – na czynności związane z obsługą alertów.

Tyle teraz słyszy się o sztucznej inteligencji, nie zawsze w pozytywnym kontekście… Czy klienci nie stają się przez to ostrożni? Czy łatwo ich przekonać, że to rzeczywiście  jest nowa jakość i znacząca korzyść w stosunku do tego, co mieli dotychczas?

To, że tyle się o tym mówi, pomaga w docieraniu do klientów. Są oni zainteresowani sztuczną inteligencją. Zdarza się, że po audycie słyszą, że powinni skorzystać z tej nowej technologii. Obecnie mierzą się z dwoma największymi problemami w swoich firmach. Pierwszym jest ogromna liczba otrzymywanych alertów, które muszą sprawdzić. Drugim wyzwaniem są ograniczone zasoby ludzkie w działach IT. Dlatego szukają rozwiązań, które są w stanie pomóc specjalistom zajmującym się bezpieczeństwem, odciążając w pracy szczególnie centra SOC. Odpowiedzią są właśnie produkty ze sztuczną inteligencją. I raczej nie spotykamy się z obawami, że zastąpią one człowieka, pozbawiając go pracy. Zamiast tego jest wielkie oczekiwanie pomocy w codziennych, bardzo czasochłonnych obowiązkach.

Więc takie rozwiązanie nie będzie generować dodatkowych informacji, które trzeba będzie przeanalizować?

Cognito, analizując ruch, w znaczący sposób zmniejsza obciążenie działów IT. Pracownik odpowiedzialny za bezpieczeństwo w konsoli – zamiast całej masy alertów – dostaje po analizie jedynie te, na które należy zwrócić uwagę. Nie będą ich tysiące, jak wcześniej, tylko, dajmy na to, kilka do sprawdzenia w sieci. Rozwiązania takie jak Cognito cechuje bardzo niski poziom błędnej klasyfikacji zagrożeń, tzw. false positive. Niczego nie trzeba samemu analizować, a jedynie zająć się rzeczywistymi problemami.

Czy klient, decydując się na wdrożenie sztucznej inteligencji, musi zrezygnować z dotychczas wykorzystywanych zabezpieczeń?

Absolutnie nie. Rozwiązanie nie zastępuje innych rozwiązań, tylko je uzupełnia. Dla klientów, którzy zainwestowali już w pierwszą linię obrony, np. firewall, IPS czy sandbox, dużą pomocą staje się rozwiązanie, które analizuje generowane przez nie informacje, odsiewając te nieistotne i wykrywając ataki, którym udało się obejść zabezpieczenia. Produkt współpracuje też z narzędziami do orkiestracji, automatyzując zarządzanie.

Czy to rozwiązanie dla wszystkich?

Cognito sprawdza się w większych sieciach, tam, gdzie wolumen ruchu, liczba podłączonych systemów daje odpowiednie dane wejściowe dla algorytmów. To nie jest tanie rozwiązanie, a jego zalety są widoczne we wdrożeniach o odpowiedniej skali. Nasze projekty dotyczą więc dużych klientów. A partnerzy, którzy je realizują, widzą w tym zysk.

Integratorzy, oprócz sprzedaży projektowej, mogą myśleć też o świadczeniu usług na bazie takich rozwiązań jak Cognito. Czy to się zdarza?

Rozwiązanie, które oferujemy, sprzedawane jest przede wszystkim w modelu projektowym z wdrożeniem u klienta. Wynika to stąd, że ma ono obsługiwać duże sieci, a tacy klienci mają swoje działy bezpieczeństwa i centra SOC. Nie oznacza to jednak, że nie ma takich przypadków, gdy partnerzy próbują zbudować własną usługę z wykorzystaniem Cognito i innych rozwiązań współpracujących z platformami SIEM, rozliczając się z klientami na zasadach abonamentu. Odnotowujemy większe zainteresowanie tego typu działalnością ze strony partnerów z odpowiednimi kompetencjami.

Czy zainteresowani są także klienci?

W tym wypadku istotną kwestią jest bezpieczeństwo danych. Czy każdy klient będzie mógł i chciał wysyłać swoje dane gdzieś na zewnątrz do analizy? Z mniejszym problemem mamy do czynienia, gdy nie opuszczają one Polski. Jeśli jednak musiałyby być posyłane w świat, może to być niezgodne z regulacjami albo po prostu wywoła opór klienta. Mamy w ofercie polskie rozwiązanie Grey Wizard, które działa jako WAF (Web Application Firewall) oraz chroni przed atakami typu DDoS właśnie w modelu „as a Service”. Ponieważ data center wykorzystywane przez to rozwiązanie znajdują się w Polsce, łatwiej je oferować na naszym rynku. W przypadku usług bezpieczeństwa lokalne centrum danych to w oczach klientów duży plus.

Wdrażanie tego typu rozwiązań wymaga dużego know-how po stronie integratorów…

Nasi partnerzy starają się rozwijać i dostosowywać do sytuacji na rynku. Sprzedaż wyłącznie „pudełek” przestaje im wystarczać. Zatrudniają więc swoich inżynierów i analityków, próbując budować usługi na bazie produktów, które im dostarczamy.

Jaka jest strategia Yellow Cube na najbliższy czas?

Jak już wspomniałam, szukamy rozwiązań u niewielkich dostawców, którzy są skupieni na rozwijaniu swoich produktów i ściśle współpracują z dystrybutorem. To jest podstawą biznesu Yellow Cube. W przyszłym roku nie planujemy większych rewolucji ani nowości w ofercie. Musimy się skupić na coraz lepszym docieraniu do rynku z tym, co mamy. Dlatego dużo wysiłku będziemy wkładać z jednej strony w edukację, z drugiej w zamykanie projektów rozpoczętych w bieżącym roku. W planach mamy poszerzenie zespołu o osoby, które będą odpowiadać za sprzedaż oraz za sprawy techniczne. Ich zadaniem będzie wsparcie naszych partnerów.

Artykuł Sztuczna inteligencja to szansa na nowy biznes pochodzi z serwisu CRN.

Artykuł Yellow Cube dystrybutorem polskiej marki pochodzi z serwisu CRN.

Na rozwiązanie Vectry składa się jednostka centralna (urządzenia z serii X) – „mózg” Cognito agregujący informacje z podłączonych do niego sensorów (urządzenia z serii S). Zbierają one „surowe” dane z przełączników rdzeniowych i dostępowych z wykorzystaniem funkcji port mirroring. Dzięki niewielkim rozmiarom i bardzo prostej instalacji mogą być wdrażane w sieci na wiele sposobów, także w oddziałach firmy lub np. punktach sprzedaży detalicznej, które ona prowadzi.

Statystycznie ok. 80 proc. ruchu generowanego w centrum danych nigdy nie opuszcza korporacyjnej sieci i nie jest monitorowane przez tradycyjne brzegowe narzędzia ochronne. Dla administratorów, którzy chcą mieć zapewnioną widoczność całego ruchu i wykrywać zagrożenia funkcjonujące w środowisku wirtualnym VMware ESXi, przeznaczone są wirtualne sensory vSensors, które łączą się z dowolnym przełącznikiem VMware vSwitch. Istnieje także możliwość integracji rozwiązania Cognitoz oprogramowaniem VMware vCenter, dzięki czemu zapewniony zostaje szczegółowy wgląd w wirtualne środowisko.

Urządzenia Vectra są umieszczane w infrastrukturze w sposób pasywny, dzięki czemu nie naruszają istniejącej topologii sieci. Jako dane wejściowe dostają „surową” kopię ruchu sieciowego, a nie tylko logi (jak w rozwiązaniach SIEM) lub dane statystyczne (jak w systemach bazujących na protokołach NetFlow, sFLOW, jflow czy IPFIX). Informacje te są wprowadzane do algorytmów mechanizmu uczenia maszynowego, które umożliwiają stworzenie mapy zagrożeń. Tym samym rozwiązanie firmy Vectra nie rozpoznaje konkretnego ataku, ale informuje o tym, na jakim etapie działania jest atakujący.

Proces „polowania” na cyberataki jest w pełni automatyzowany. Cognito ujawnia miejsca, gdzie ukrywa się przestępca (a także odtwarza ścieżkę, przez którą przedostał się do firmowej infrastruktury) i sprawdza, jakie jest jego zadanie. W ten sposób skraca nawet o 29 razy (na podstawie osiągniętych rezultatów u klientów Vectry) czas potrzebny na analizę przez administratora zdarzeń związanych z bezpieczeństwem. Oprócz oczywistej korzyści w postaci szybszego wyeliminowania zagrożenia Cognito zapewnia panaceum na niedobór personelu, a szczególnie analityków bezpieczeństwa, z którym borykają się prawie wszystkie działy IT.

Szyfrowanie to nie problem

Zaszyfrowanie danych może umożliwić ukrycie wielu elementów ataku. Tradycyjne narzędzia ochronne do analizy wykorzystują głęboką inspekcję pakietów (deep packet inspection), co jest nieskuteczne w przypadku szyfrowanego ruchu. Tymczasem Cognito zapewnia wgląd w ruch sieciowy w czasie rzeczywistym (wewnątrz sieci, infrastruktury wirtualnej, płynący z/do Internetu oraz środowiska przetwarzania w chmurze).

Wykorzystane przez Vectrę zautomatyzowane metody wykrywania zagrożeń, wspierane przez sztuczną inteligencję, stanowią przełom w kontekście analizy ruchu szyfrowanego. Koncentrują się na identyfikacji zagrożeń w sposób, w jaki się one zachowują, a nie na zawartości lub kodzie, z którego korzystają. W ten sposób nawet ataki ukryte w szyfrowanych danych mogą zostać wykryte i zarządzający bezpieczeństwem ma szansę na poprawę stanu ochrony, zanim zagrożenia doprowadzą do poważnych incydentów i naruszeń bezpieczeństwa.

Rozwiązanie firmy Vectra swoim działaniem obejmuje każde urządzenie z dostępem do sieci IP – komputery, serwery, drukarki, systemy Internetu rzeczy itd. Zapewnia identyfikację i ocenę reputacji także urządzeń prywatnych użytkowników (BYOD) oraz wszelkich systemów operacyjnych i aplikacji. Weryfikuje ruch w środowisku wirtualnym w chmurze prywatnej i publicznej oraz w aplikacjach SaaS.

Analiza dokonywana przez Cognito bazuje na danych opracowanych w przyjętym i zaakceptowanym przez branżę zabezpieczeń języku strukturalnym STIX (Structured Threat Information Expression), który służy do opisywania budowy złośliwego kodu i zasad jego funkcjonowania. Zebrane dane są korelowane z informacjami o zaobserwowanych działaniach atakującego, dzięki czemu zapewnione jest lepsze oszacowanie ryzyka. Cognito potrafi również wykryć próby dostępu do poufnych informacji przez nieupoważnionych pracowników firmy, a także wszelkiego typu naruszenia zasad związanych z korzystaniem z pamięci USB, internetowych serwisów do przechowywania i udostępniania danych oraz innych sposobów ich przenoszenia.

Ponadto Cognito współpracuje z firewallami nowej generacji, oprogramowaniem do ochrony urządzeń końcowych i systemami NAC, dzięki czemu zapewnia automatyczne blokowanie nieznanych i niestandardowych cyberataków. Rozwiązanie to może pomóc w wykrywaniu działania ransomware’u we wszystkich fazach ataku. Dzięki ciągłemu monitorowaniu ruchu w sieci wewnętrznej w ciągu kilku sekund identyfikuje zachowanie charakterystyczne dla szyfrującego złośliwego kodu. Udostępnia administratorom informacje o zaobserwowanych poleceniach skanowania podłączonych do sieci urządzeń pod kątem podatności na ataki, potrafi też ujawnić sam proces dystrybucji kodu ransomware.

Wyłącznym dystrybutorem Vectra Networks w Polsce jest firma Yellow Cube.

Dodatkowe informacje: Dorota Otczyk, Country Manager, Yellow Cube,dorota.otczyk@yellowcube.eu

Artykuł Cognito ujawni tożsamość ataku pochodzi z serwisu CRN.

Yellow Cube działa jako wyłączny regionalny dystrybutor, który nie ma w portfolio rozwiązań konkurujących ze sobą producentów. Współpracuje bezpośrednio wyłącznie z partnerami. Obecnie buduje kanał partnerski w Polsce.

Na naszym rynku firma na początek koncentruje się na jednym produkcie – rozwiązaniu Cognito firmy Vectra Networks. Vectra Cognito pozwala na zautomatyzowanie pierwszej linii zespołu Security Operation Center (SOC). Yellow Cube zapowiada szkolenia dla partnerów.

Artykuł Nowy dystrybutor w Polsce pochodzi z serwisu CRN.