A hagyományos biztonsági megoldások gyakran nem képesek lépést tartani a fejlett és folyamatosan változó fenyegetésekkel, melyek kihasználják a hálózatok komplexitását és heterogenitását. Ebben a helyzetben egy új megközelítésre van szükség, ami képes automatizálni a fenyegetések észlelését és kezelését mesterséges intelligencia (AI) segítségével. Erre kitűnő példa a Vectra és a SentinelOne együttműködése.
Egy ilyen megközelítést kínál a Vectra, a piacvezető hálózati észlelési és válaszadási (NDR, network detection and response) platform. A Vectra AI-n alapuló technológiát használ, ami képes tanulni a hálózati viselkedésből és felismerni az anomáliákat és támadási mintákat. A Vectra AI nemcsak észleli a fenyegetéseket, hanem rangsorolja is őket az üzleti kockázat alapján és javaslatokat tesz a válaszadásra. A Vectra fontos tulajdonsága, hogy képes működni a legkülönbözőbb hálózatokon (felhő, SaaS, adatközpont, IT, IoT) is, így teljes láthatóságot biztosít a kibertérben. A Vectra az AI által vezérelt analitikának köszönhetően csökkenti a támadások észlelési idejét és növeli az észlelések hatékonyságát, ahogy segít csökkenteni az emberi tényezőt és az emberi erőforrásokat igénylő manuális folyamatokat is. (Éppen csak kávét nem főz.)
Az operátorok munkáját nagyban segíti, hogy a Vectra alkalmazza a Mitre Att&ck framework terminológiáját. Ez egy olyan tudásbázis, ami a kibertámadók taktikáit és technikáit gyűjti össze valós megfigyelések alapján. A framework a teljes támadási életciklust lefedi, beleértve a felderítést, a behatolást, a hálózaton működő eszközök közötti laterális mozgást, a jogosultsági szintek emelkedését és a Command and Control kommunikációt, majd a megszerzett információk kiszivárogtatását. Mivel gyakorlati szempontból, az ellenfél szemszögéből, annak céljai, módszerei szerint vizsgálja a folyamatokat, ezért a Mitre Att&ck frameworkot az IT biztonsági rendszerek egyre nagyobb számban alkalmazzák, így egy közös nyelvet biztosítanak az IT biztonsági szakembereknek az incidensek leírására.
A Vectra megoldása is ezt a frameworkot használja a támadók viselkedésének észlelésére és rangsorolására. A Vectra több mint 90 százalékos lefedettséget biztosít a Mitre Att&ck framework taktikái és technikái közül, támogatja a Mitre D3FEND keretrendszert is, amely az egyes támadásokkal szembeni megfelelő védekezési javaslatokat tartalmazza. A Vectra 12 olyan szabadalmat birtokol, amelyek alapját képezik a D3FEND keretrendszerben meghatározott ellenintézkedéseknek.
A Vectra emellett képes integrálódni más biztonsági rendszerekkel, például tűzfalakkal, végpontvédelmi megoldásokkal vagy incidenskezelő platformokkal, hogy automatizálja a támadásokra adott válaszokat és gyorsítsa az incidensek vizsgálatát. Ilyen integrációra példa A Vectra és a SentinelOne XDR platform együttműködése, hogy minél teljesebb körű láthatóságot, pontosabb észleléseket, az incidensek prioritizálását és megfelelő reagálást biztosítsanak a hálózati hosztokon, a felhős munkafolyamatokon, identitásokon, és a végpontokon. A Vectra által generált észlelések és kockázati pontszámok bekerülnek a SentinelOne rendszerébe, ahol összekapcsolódnak a szintén mesterséges intelligenciával segített viselkedésalapú észleléseivel, amik a támadások olyan jellemzőit és viselkedését tárják fel, amelyek csak a hoszt belsejében láthatók. Ezen túlmenően a SentinelOne végponti észlelései és telemetria adatai is bekerülnek a Vectra Cognito UI felületébe. A két megoldás így kombinálja a hálózati folyamatoknak és a hosztok belső folyamatainak észleléseit és így együttesen egy magasabb védelmi szintet hoznak létre, és egy fejlettebb, automatizált, szabályvezérelt válaszadási képességekkel rendelkező rendszert kínálnak a fenyegetések gyors megszüntetésére, és ezzel nagyban segítik az incidensek felderítését és az azokra reagálást az IT/SOC csapatok számára.
A blogbejegyzés az IT Business cikkének átdolgozott változata.