– Albania
– Bosnia and Herzegovina
– Bulgaria
– Croatia
– Czech Republic
– Estonia
– Hungary
– Kosovo
– Latvia
– Lithuania
– Macedonia
– Moldova
– Montenegro
– Poland
– Romania
– Serbia
– Slovakia
– Slovenia
Tavaly már bemutattuk a mesterséges intelligenciát hatékonyan használó NDR-gyártónkat, a Vectra céget. Akkor azt is elmondtuk, hogy a Vectra.AI-nak teljesen új a megközelítése a hálózati támadások észlelésére és kezelésére. Most szeretnénk a platform további képességeit és integrációs lehetőségeit is bemutatni.
Fejlett mesterséges intelligencia
A Vectra legnagyobb különbsége a versenytársaihoz képest, hogy olyan fejlett AI-technológiát használ, amely képes tanulni a hálózati viselkedésből, és folyamatosan karbantartott és fejlesztett modelleket használva felismeri az anomáliákat és támadási mintákat. A titkosított kapcsolatok bontása nélkül is képes detektálni a nemkívánatos tevékenységek jeleit, mondhatni „átlát” a titkosításon, és bár a tényleges adattartalmat természetesen nem látja, de a kommunikációs mintázatokból felismeri a gyanús tevékenységeket. Így a hálózati forgalmak vizsgálatához megtakarítja a bonyolult és drága csomagbontási műveleteket. Az AI a detektáláson kívül a kockázatok alapján rangsorolja is a tevékenységeket, ezzel is csökkentve az elemzők terhelését.
Integrációs lehetőségek
A kiterjedt integrációs támogatásnak köszönhetően a Vectra is képes XDR funkcionalitás megvalósítására. Képes végpontvédelmi gyártók telemetriai adatait is beépíteni a saját, hálózati forgalmi észlelései mellé, de VMware felől, vagy akár felhős integrációk révén MS365-ből, AWS-ből, Azure-ból is képes adatokat fogadni, valamint címtárintegrációk (Active Directory, EntraID) is lehetségesek. Ebből a sokféle információból részletes, pontos észlelésekre képes.
Ezeken az adatokon az elemzők kiterjedt nyomozásokat tudnak végezni, az egyes hálózati eseményekhez tartozó extra információkkal platformon belül képesek végponti eszközökön futó processeket, file server műveleteket, identity eseményeket, de akár felhős környezetekben történt változtatásokat (pl. egy AWS erőforrás konfigurációjának megváltoztatását) is összerendelni egyetlen incidens kapcsán. Ezekkel a képességekkel a korábbiaknál sokkal teljesebb képet tudnak alkotni az incidensek kivizsgálása során.
Együttműködés a Niagara Networks megoldásaival
A másik integrációs lehetőség, amelyre szeretnénk felhívni a figyelmet, az a Niagara Networks megoldásaival kapcsolatos együttműködés. A Niagara Networks egy hálózati láthatósági megoldásokra specializálódott cég. Többek között hálózati TAP-eket, packet brokereket, és bypass switcheket fejleszt. A cég megoldásait használva nagy mértékben egyszerűsíthetjük a Vectra szenzorainak hálózati forgalommal való ellátását.
Egy packet broker használata nagy segítség lehet, főleg egy olyan környezetben, ahol több fajta eszközt is el kell látni a hálózati eszközök forgalmával. Itt érdemes egy komolyabb biztonsági infrastruktúrára gondolni, ahol például NDR mellett IPS, DLP, proxy (és sok más) megoldást is használnak, esetleg teljes hálózati forgalom rögzítését igénylik. Sok esetben ilyenkor egy packet broker rendszer bevezetésével jelentős költségmegtakarítást, a forgalmi torlódások elkerülését, és nem utolsósorban a hálózati komplexitás csökkenését érhetjük el.
Az optimalizáció mellett figyelemre méltó a Niagara Networks Packetron platformja, amely egyetlen hardveren teszi lehetővé a packet broker funkcionalitást, valamint third party virtuális alkalmazások futtatását. Használatával például egy Vectra vSensort is tudunk a Packetron eszközön futtatni, amivel az infrastruktúra tovább egyszerűsíthető.
Összegzés
A most bemutatott XDR-funkcionalitás, illetve a Vectra.AI egyedi AI alapú működését figyelembe véve kijelenthető, hogy a megoldás használatával jelentősen csökkenthetjük a hálózati forgalom elemzésével járó terhelést az IT-biztonsági csapataink számára, és nagyban növelhetjük a hatékonyságukat.
Az IT Businessben 2024. május 29-én megjelent cikk szerkesztett változata.