V rámci zabezpečení síťové infrastruktury existuje několik základních typů nástrojů, které by v bezpečnostní skládačce žádné organizace neměly chybět. Pojďme se podívat, jakou úlohu v ní hraje GREYCORTEX Mendel.

Antiviry, firewally nebo IPS by měly být nedílnou součástí řešení pro kybernetickou bezpečnost organizace. V dnešní době ale samy o sobě často nestačí, a proto je tu Mendel.

GREYCORTEX Mendel stojí v rámci zabezpečení síťové infrastruktury hned na několika úrovních:

  • Je unikátním nástrojem, který vidí, vizualizuje a analyzuje vše, co se nachází ve vaší síti – zařízení, přístupy i veškerá komunikace. 
  • Je skvělým doplněním funkčností stávajících nástrojů k zajištění kybernetické bezpečnosti: antiviry, firewally nebo nástroje pro monitoring interní infrastruktury. Ty jsou důležité, ale nemusí zachytit hrozbu, protože útočník je na tyto standardní systémy často připraven.

Vidí a vizualizuje v kontextu času a dějů

Představte si nástroj, který vidí všechna zařízení ve vaší síti, jak spolu komunikují, jaké protokoly používají a kam posílají svá data. Můžete si jednoduše zobrazit detaily konkrétního zařízení v tuto chvíli, ale i s kým komunikovalo nebo kam se připojovalo včera nebo před rokem.

Tato jedinečná analýza vám pomůže odhalit sofistikovaný útok dříve než se skutečně stane. Můžete dát totiž aktuální události do souvislosti s událostmi, které se staly už před časem.

Útok, který nemusí běžné detekční mechanismy zachytit, je například pokročilý malware, který není na koncovém zařízení rozpoznaný, ale v rámci sítě zařízení vykazuje aktivity, které jsou nebezpečné – například se snaží přistoupit někam, kam dosud nepřistupovalo. Příkladem mohou být špionážní malware nebo APT v interních doménách, které se postupně v síti šíří prostřednictvím domény, zatímco infikované stroje přistupují k neobvyklým zařízením a zdrojům dat a provádějí takzvaný lateral movement. Na takové neobvyklé chování dokáže Mendel upozornit.

Mendel při ochraně koncových stanic

Koncová zařízení jsou častým počátečním cílem kybernetických útoků, protože bývají snadným cílem, často poskytují cenná data a jsou vstupním bodem hlouběji do sítě. 

Mezi běžné známé útoky na koncová zařízení patří:

  • mapování sítě, 
  • exfiltrace dat (doplňování dat, posílání dat v nestandardních nebo v šifrovaných kanálech, komunikace s řídícími zařízeními),
  • slovníkové útoky, prolamování interních hesel,
  • data mining (vyčítání důležitých informací, dolování dat z databáze, dolování uživatelů z informačních systémů nebo z doménového kontroleru). 

Takové útoky Mendel detekuje jako nebezpečné chování, a dokáže tak rozpoznat hrozbu, která není rozpoznaná v rámci koncového zařízení nebo kterou se útočník snaží skrýt. I v případě, že je antivir nasazený, Mendel kontroluje komunikaci zařízení a sleduje, jestli se v ní nenachází něco potenciálně nebezpečného. Navíc Mendel pracuje s širokou databází specializovanou na kybernetické hrozby pro sítě, která zahrnuje nejen známé hrozby, ale signatury neobvyklého chování.

Chytřejší firewall

Dnes pod termínem firewall rozlišujeme několik typů zařízení – běžné firewally a chytrá řešení typu IPS (Intrusion Prevention System).

Tradiční firewally jsou v první obranné linii a zajišťují hrubé filtrování provozu. Upravují prostupy mezi sítěmi a dostupnost k síťovým službám. Používají se hlavně na vnějším perimetru, v některých případech se používají v rámci interní sítě. Bývají často otevřené nebo nedostatečně nakonfigurované.

V takovém případě slouží Mendel jako auditní nástroj, který kontroluje funkci samotného firewallu, ověřuje, zda je dobře nakonfigurovaný a plní správně svou roli. To ve vnitřní síti a v kritických systémech využijete ke kontrole a ověřování komunikační matice – kdo kam přistupuje, kdo co využívá nebo kdo přistupuje jinak než by měl.

Chytrá řešení typu IPS se umí podívat hlouběji do sítě než běžný firewall. Kontrolují webové proxy a e-mailové brány a dokážou rozpoznat známé hrozby a zablokovat je. I zde Mendel ověřuje, zda detekce funguje správně a zařízení opravdu nepropustí známé hrozby. Zároveň i v tomto případě je výhodou obsáhlá databáze aktuálních hrozeb skládající se z více zdrojů a signatury ověřující nejen známé útoky, ale i bezpečnostní politiky a potenciálně nebezpečné přístupy ke zdrojům dat, například administrátorské sdílení. Tento přístup je pro detekci výrazně efektivnější než jen databáze známých hrozeb od výrobce jednoho řešení.

Mendel tak toho ukáže výrazně více – nejen, co je potřeba zablokovat, ale i nechtěné nebo nebezpečné aplikace nebo přístupy k nebezpečným službám. Získáte daleko lepší přehled, co se děje, co sítí prochází a jakým způsobem.

Stopka pro neznámé hrozby

Ve všech zmíněných případech si Mendel poradí lépe nejen s odhalováním známých hrozeb, jeho doménou je i odhalování těch neznámých. Jak? Mendel rozpozná různé typy chování pomocí behaviorální analýzy.

Na anomální chování a potenciální neznámé hrozby vás pak upozorní například prostřednictvím e-mailu. Vy tak můžete podniknout potřebné kroky, případně můžete Mendel napojit na API firewallu a ten zablokuje nechtěnou komunikaci automaticky.

Doplnění monitoringu interní infrastruktury

Řešení pro interní systémový dohled Mendel doplňuje o jasný přehled o tom, jak je síť vytížená a využívaná, kdo do ní přistupuje, jaké služby jsou provozovány, případně jaká je výkonnost aplikací a přenosových linek.

Představte si, že vidíte, jak máte vytížený webový server, informační systém, jak vytížený je jeden nebo druhý doménový kontroler, wi-fi síť nebo datové centrum.

GREYCORTEX Mendel tak zvyšuje spolehlivost sítě, a to i u průmyslových řídicích sítí, u nichž může nejen útok, ale i drobná špatná konfigurace znamenat katastrofické důsledky.

Antivir vám ukáže aktuální hrozby. Firewall zobrazí aktuální nastavení a zda něco propouští nebo ne. Ale nic vám přehledně neukáže události ve vaší síti před hodinou, před týdnem nebo před půl rokem.

Zkrátka Mendel vidí, vizualizuje a díky uchovávání dat i několik let nazpět analyzuje také už uplynulé události.

 

29/06/2021 – 10:03

Kategorie