Παρουσιάστηκε το Sophos Network Detection and Response (NDR)
Το Sophos NDR εντοπίζει μη προστατευμένες και «ανένταχτες» συσκευές και περιουσιακά στοιχεία, απειλές εκ των έσω και τις νεότερες επιθέσεις για να επιταχύνει τον εντοπισμό απειλών και την απόκριση.
Η Sophos, διέθεσε πρόσφατα το Sophos Network Detection and Response (NDR) και ήδη έχει ξεκινήσει να παρέχει πραγματική αξία σε οργανισμούς που θέλουν να ενισχύσουν την άμυνα τους ενάντια στις προηγμένες επιθέσεις και στις απειλές μηδενικής ημέρας.
Το Sophos NDR παρακολουθεί αδιάκοπα την κίνηση δεδομένων στο δίκτυο για να εντοπίσει ύποπτες δραστηριότητες που μπορεί να είναι ενδεικτικές της δραστηριότητας ενός εισβολέα, αξιοποιώντας έναν συνδυασμό μηχανικής εκμάθησης, προηγμένης ανάλυσης και τεχνικών αντιστοίχισης βάσει κανόνων (rule-based).
Εντοπίζει ένα ευρύ φάσμα κινδύνων ασφαλείας, συμπεριλαμβανομένων «ανένταχτων» συσκευών (μη εξουσιοδοτημένες, δυνητικά κακόβουλες συσκευές που επικοινωνούν μέσω του δικτύου), μη προστατευμένων συσκευών (νόμιμες συσκευές που θα μπορούσαν να χρησιμοποιηθούν ως σημείο εισόδου), απειλών εκ των έσω, επιθέσεων μηδενικής ημέρας (zero-day) και απειλών που αφορούν συσκευές IoT και OT.
Επιπλέον, όταν συνδυάζεται με άλλη τηλεμετρία ασφαλείας, το Sophos NDR επιτρέπει στους αναλυτές απειλών να σχηματίσουν μία περισσότερο ολοκληρωμένη και ακριβή εικόνα ολόκληρης της διαδρομής και της εξέλιξης της επίθεσης, επιτρέποντας την ταχύτερη και πιο ολοκληρωμένη απόκριση.
Το Sophos NDR αποτελεί μία add-on ενσωμάτωση για το Sophos MDR, την κορυφαία στην αγορά διαχειριζόμενη υπηρεσία ανίχνευσης (εντοπισμού) και απόκρισης που εξυπηρετεί σήμερα περισσότερους από 14.000 οργανισμούς σε όλο τον κόσμο. Μέσα στη χρονιά, η Sophos σκοπεύει να διαθέσει επίσης το Sophos NDR με το Sophos Extended Detection and Response (XDR) ειδικά για τους οργανισμούς που προτιμούν να διεξάγουν τις δικές τους δραστηριότητες κυνηγιού απειλών (in-house). Περισσότερες λεπτομέρειες για το τελευταίο θα μάθουμε σε μελλοντική δημοσίευση.
Η σημασία του εντοπισμού και της απόκρισης δικτύου
Το NDR αποτελεί ουσιαστικό μέρος μιας αποτελεσματικής στρατηγικής άμυνας σε βάθος. Γιατί; Επειδή το δίκτυο είναι το μόνο μέρος που ένας κρυφός, αφοσιωμένος αντίπαλος δεν μπορεί να κρυφτεί.
Οι επιτιθέμενοι καταβάλλουν κάθε δυνατή προσπάθεια για να αποφύγουν τον εντοπισμό τους με το «Defence Evasion» που ακολουθούν να είναι μία γνωστή Τακτική MITRE ATT&CK σε επίπεδο συστήματος. Ορισμένα exploits έχουν τη δυνατότητα να κρύβονται από τις λύσεις EDR ενώ οι επιτιθέμενοι μπορούν να απενεργοποιούν και να διαγράφουν τα αρχεία καταγραφής συμβάντων του συστήματος. Όμως σε κάθε περίπτωση είναι αναγκασμένοι να προσπελάσουν το δίκτυο.
Καθώς οι επιτιθέμενοι εξακολουθούν να εξελίσσουν τις τακτικές, τις τεχνικές και τις διαδικασίες τους (TTP) για να παρακάμψουν τους ελέγχους ασφαλείας, το NDR καθίσταται πλέον επιτακτική ανάγκη για την ασφάλεια των οργανισμών.
Sophos NDR: απαράμιλλη ανίχνευση δικτυακών απειλών
Το Sophos NDR αξιοποιεί πέντε μηχανές ανίχνευσης απειλών σε πραγματικό χρόνο που χρησιμοποιούν πατενταρισμένες πολυεπίπεδες τεχνολογίες για να ανιχνεύουν ακόμη και τις πιο κρυφές επιθέσεις.
Η μηχανή Data Detection Engine είναι μία επεκτάσιμη μηχανή ερωτημάτων που χρησιμοποιεί ένα μοντέλο πρόβλεψης βαθιάς εκμάθησης για την ανάλυση της κρυπτογραφημένης κίνησης και τον εντοπισμό μοτίβων σε μη σχετικές μεταξύ τους δικτυακές ροές.
Η μηχανή Deep Packet Inspection χρησιμοποιεί γνωστούς δείκτες συμβιβασμού για τον εντοπισμό παραγόντων απειλής και κακόβουλων τακτικών, τεχνικών και διαδικασιών σε κρυπτογραφημένη και μη κρυπτογραφημένη δικτυακή κίνηση.
Η μηχανή Encrypted Payload Analytics εντοπίζει διακομιστές C2 μηδενικής ημέρας και νέες παραλλαγές οικογενειών κακόβουλου λογισμικού με βάση μοτίβα που βρίσκονται στο μέγεθος της συνεδρίας (περιόδου σύνδεσης), την κατεύθυνση και τους χρόνους μεταξύ αφίξεων (interarrival times).
Ο Domain Generation Algorithm προσδιορίζει την δυναμική τεχνολογία παραγωγής τομέων που χρησιμοποιείται από το κακόβουλο λογισμικό για να αποφύγει τον εντοπισμό.
H μηχανή Session Risk Analytics είναι μια ισχυρή λογική μηχανή που χρησιμοποιεί κανόνες που αποστέλλουν ειδοποιήσεις βάσει των παραγόντων κινδύνου που βασίζονται σε συνεδρίες.
Οι παραπάνω πέντε μηχανές παρακολουθούν την κίνηση ανατολής-δύσης (εσωτερική) και την κίνηση βορρά-νότου (εξερχόμενη/εισερχόμενη) για να ανιχνεύσουν και να επισημαίνουν ανωμαλίες ενδεικτικές της κακόβουλης δραστηριότητας. Οι ειδοποιήσεις που παράγονται από το Sophos NDR περιλαμβάνουν:
- Δραστηριότητα σάρωσης δικτύου
- Απροσδόκητες συνεδρίες SSH σε συστήματα που δεν είχατε ποτέ πρόσβαση στο παρελθόν
- Ύποπτη δραστηριότητα beaconing
- Ύποπτες συνδέσεις C2
- Επικοινωνία με χρήση μη τυπικών θυρών
- Κακόβουλο λογισμικό εντός κρυπτογραφημένης κίνησης δεδομένων
- Κωδικοποιημένη εκτέλεση PowerShell
- Αποστολή μη φυσιολογικών όγκων δεδομένων
Αξιοποιώντας την τηλεμετρία Sophos NDR για να σταματήσετε τις προηγμένες απειλές
Η τηλεμετρία ασφάλειας δικτύου αποτελεί από μόνη της έναν ισχυρό πόρο κυνηγιού απειλών και είναι εξαιρετικά χρήσιμη όταν συνδυάζεται με σήματα από ολόκληρο το οικοσύστημα ασφάλειας.
Το Sophos MDR αξιοποιεί ειδοποιήσεις τόσο από τη Sophos όσο και από λύσεις δικτύου, προστασίας τερματικών (endpoint), ηλεκτρονικού ταχυδρομείου, ταυτότητας και νέφους τρίτων προμηθευτών για να επιταχύνει τον εντοπισμό απειλών και την απόκριση.
Οι ειδοποιήσεις επεξεργάζονται μέσω του Sophos MDR Detection Pipeline όπου κανονικοποιούνται και αντιστοιχίζονται στο πλαίσιο MITRE ATT&CK® και εμπλουτίζονται με πληροφόρηση τρίτων. Οι σχετικές ειδοποιήσεις ομαδοποιούνται και στη συνέχεια προτεραιοποιούνται και κλιμακώνονται σε ειδικούς στον εντοπισμό για διερεύνηση και απόκριση.
Παρακάτω μπορείτε υπάρχουν μερικά παραδείγματα σεναρίων όπου το Sophos MDR αξιοποιεί την τηλεμετρία από το Sophos NDR σε συνδυασμό με πληροφόρηση από άλλες τεχνολογίες.
Σενάριο 1
- Η λύση email εντοπίζει ένα μήνυμα που περιέχει ένα κακόβουλο συνημμένο
- Η προστασία τερματικών εντοπίζει μια ύποπτη λήψη αρχείου
- Η προστασία τερματικών ανιχνεύει ότι μια άγνωστη διαδικασία ξεκίνησε ένα διαδραστικό shell
- Το Sophos NDR ανιχνεύει μια ύποπτη σύνδεση Command & Control (C2).
- Η προστασία τερματικών ανιχνεύει την ύποπτη συλλογή διαπιστευτηρίων
- Το Sophos NDR ανιχνεύει ύποπτη εσωτερική μετακίνηση στο δίκτυο (lateral movement) χρησιμοποιώντας SSH
Συσχετίζοντας τις ειδοποιήσεις ηλεκτρονικού ταχυδρομείου, τερματικών και NDR, το Sophos MDR μπορεί γρήγορα να προσδιορίσει ότι πιθανότατα υπήρξε μια επιτυχημένη επίθεση phishing που είχε ως αποτέλεσμα την κλοπή διαπιστευτηρίων και εσωτερική μετακίνηση (lateral movement). Οπλισμένοι με αυτή τη διορατικότητα, μπορούμε να παρέμβουμε γρήγορα για να περιορίσουμε και να εξουδετερώσουμε την επίθεση, ελαχιστοποιώντας τις επιπτώσεις.
Σενάριο 2
- Το Sophos NDR ανιχνεύει μια συσκευή που επικοινωνεί εντός του εσωτερικού δικτύου
- Η προστασία τερματικών δεν έχει κάποια γνωστή συσκευή υπό διαχείριση
Συνδυάζοντας σημεία δεδομένων από αυτές τις δύο ξεχωριστές τεχνολογίες, μας δίνει τη δυνατότητα να αναγνωρίσουμε ότι υπάρχει μια μη διαχειριζόμενη συσκευή που επικοινωνεί εντός του δικτύου. Σε αυτό το σημείο, διερευνούμε περαιτέρω για να προσδιορίσουμε αν το παραπάνω είναι αποτέλεσμα κάποιας παραβίασης πολιτικής από έναν εσωτερικό ή εμπιστευτικό χρήστη ή κάποιου συστήματος που διαχειρίζεται επιτιθέμενος και ακολούθως λαμβάνουμε τα κατάλληλα μέτρα.
Χρησιμοποιείτε ήδη μια εναλλακτική λύση NDR; Κανένα πρόβλημα.
Είναι κατανοητό να διαθέτουν ήδη λύσεις ασφαλείας οι οργανισμοί. Η πρόκληση ωστόσο για πολλές εταιρείες είναι πως να διαχειριστούν, να ερμηνεύσουν και να ανταποκριθούν στις πληροφορίες που τους παρέχονται. Πολύ συχνά, στη Sophos μιλάμε με ομάδες IT που «πνίγονται» στις ειδοποιήσεις ή δεν μπορούν να αφομοιώσουν την περίπλοκη τηλεμετρία.
Με τα add-on integration packs του Sophos MDR, οι αναλυτές μας μπορούν να αξιοποιήσουν την τηλεμετρία από τα εργαλεία ασφαλείας τρίτων που χρησιμοποιείτε ήδη (συμπεριλαμβανομένων και των λύσεων NDR από τις Darktrace και το Thinkst Canary) για να ανιχνεύσουν και να αποκριθούν στις προηγμένες επιθέσεις που είναι καθοδηγούμενες από ανθρώπους. Με τους ειδικούς μας να διαχειρίζονται τις λειτουργίες ασφαλείας σας, μπορείτε να βελτιώσετε τις άμυνές σας και να αυξήσετε την απόδοση των υπαρχουσών επενδύσεών σας.
Μάθετε περισσότερα
Για να μάθετε περισσότερα σχετικά με τα Sophos NDR και Sophos MDR και τα ανώτερα αποτελέσματα κυβερνοασφάλειας που απολαμβάνουν οι πελάτες μας, προγραμματίστε μια κλήση με έναν από τους ειδικούς σε θέματα ασφάλειας της Sophos σήμερα. Φροντίστε επίσης να επισκεφθείτε και το κανάλι της κοινότητας NDR της εταιρείας.
Αν θέλετε να ακούσετε τι έχουν να πουν οι πελάτες μας για το Sophos MDR, ρίξτε μια ματιά στις ανεξάρτητες κριτικές στο Gartner Peer Insights και δείτε γιατί είμαστε η #1 υπηρεσία MDR για το G2 Peer Reviews.
Πηγή: Sophos