SecBI. Автономные расследования инцидентов для SOC

Представляем израильскую компанию SecBI — нового вендора в портфеле Тайгер Оптикс. Решение компании помогает повышать эффективность и качество работы SOC за счет автоматизации работы аналитиков первого и второго уровня.

Встретиться с представителями вендора можно будет на конференции BIS Summit 24 сентября 2019 года в Москве.

Проблематика оптимизации работы SOC

Задача эффективного анализа потока из миллиардов событий безопасности и алертов становится сложнее с каждым днем. Аналитикам SOC первого и второго уровня приходится бороться с множеством ложных срабатываний, в то время как аналитики третьего уровня и хантеры до сих пор не имеют адекватных инструментов, которые позволили бы получить результат в приемлемые сроки. 

Более того, слепые зоны детектирующих СЗИ приводят к тому, что инцидент может быть полностью пропущен, или же не удастся выявить его истинный масштаб. Результатом является неполное устранение угроз и их длительная вредоносная активность в корпоративных сетях. 

Корректным подходом является немедленное и комплексное реагирование, которое позволит избежать серьёзный̆ ущерб для активов организации. Большинство ответных мер в SOC могут и должны быть автоматизированы, что экономит время и повышает производительность аналитиков. 

Технология автономных расследований SecBI

Лого SecBI

Технология автономных расследований SecBI основана на применении автономного и неавтономного машинного обучения для анализа сетевого трафика и обнаружения комплексных и скрытных угроз. Система моментально выявляет полный масштаб атаки, что ускоряет детекцию, повышает эффективность хантинга и оптимизирует реагирование и устранение последствий атаки. 

Аналитики SOC получают полный таймлайн атаки с указанием всех мест заражения. Визуализация сценария обнаруженной атаки предоставляет аналитиками варианты дальнейших шагов, в том числе блокирование вредоносных хостов, участвующих в текущем инциденте, а также возможность автоматизации ответных действий в будущих схожих атаках. 

В своей работе SecBI идентифицирует вредоносный̆ кластер, состоящий их внутренних и внешних хостов, и использует данные киберразведки для независимого подтверждения детектированного поведения, что ускоряет выявление угроз и снижает число ложных срабатываний. 

Алгоритм работы SecBI
Алгоритм работы SecBI

В отличие от традиционных технологии анализа сетевого трафика решение SecBI позволяет использовать существующие источники сетевых журналов и не требует установки дополнительных программных или аппаратных средств. Это ускоряет внедрение и снижает стоимость владения системой. Решение также не требует длительного периода инсталляции, а работа с системой понятна на интуитивном уровне.

Кроме того, в отличие от технологий UEBA, которые ищут отклонения от определенных паттернов поведения, SecBI применяет уникальные технологии спонтанного машинного обучения для самостоятельного выявления инцидентов без предварительного знания о том, что именно нужно искать или как выглядит «нормальное» поведение. Благодаря этому результаты работы решения доступны практически сразу после внедрения без длительного периода обучения, присущего решениям UEBA. 

Ключевые возможности SecBI

Способность выявлять неизвестное 

Выявление кластеров событий в интерфейсе SecBI
Выявление кластеров событий в интерфейсе SecBI

Технология SecBI выявляет и объединяет в кластеры как внутренние (например, пользователей и устройства), так и внешние сущности (например, домены, IP-адреса, C2-серверы, точки сбора данных), которые коммуницируют во взломанной сети. Выявление вредоносного кластера, а не отдельных аномалий или единичных событий, позволяет быстрее и полнее обнаружить атаку. Из потока разрозненных алертов SecBI создает приоритизированный сценарий произошедшей атаки, что облегчает анализ, проведение расследования и устранение последствий инцидента. 

Глубокий мониторинг без ущерба приватности данных 

SecBI анализирует сетевой трафик, полученный с имеющейся сетевой инфраструктуры, что позволяет выявлять угрозы и применять данные киберразведки, обеспечивая мониторинг вне зависимости от наличия шифрования. Использование метаданных, в отличие от сетевых пакетов, позволяет SecBI проводить глубокий анализ без нарушения требований защиты личных или конфиденциальных данных. 

Автоматизированные детекция, реагирование и расследования

Несмотря на логичность желания автоматизировать ответные меры после выявление угрозы, на рынке практически отсутствуют решения, которые реализовали бы этот принцип. В отличие от продуктов, работающих на основе автоматизированных плейбуков, и подверженных частым ложным срабатываниям, SecBI повышает эффективность за счет полной автоматизации действий и уникальной технологии детекции угроз на основе спонтанного машинного обучения. 

Широкий набор готовых автоматизированных процессов и плейбуков позволяет автоматически выявлять настоящий масштаб инцидента, и гибко добавлять необходимые действия по реагированию на различных шагах процесса. Возможность добавлять коннекторы к различным СЗИ расширяет функционал платформы по формированию сложных процессов работы с инцидентами. 

Кейсы применения SecBI

Реагирование на инцидент 

Список инцидентов в интерфейсе SecBI
Список инцидентов в интерфейсе SecBI

SecBI позволяет расставлять приоритеты и более эффективно расследовать инциденты. Аналитики любого уровня могут более эффективно решать задачи в своих расследованиях и сценариях реагирования. Решение помогает интерпретировать алерт в правильном контексте исходного инцидента и реагировать не на отдельные алерты, а на весь инцидент в целом.

Автоматизированный хантинг за угрозами 

SecBI позволяет аналитикам более эффективно осуществлять хантинг за угрозами и получать полную картину происходящего в ИТ-среде. Анализ данных можно коррелировать с форензикой, в том числе с метаданными для расследования пользователей или инцидентов, а также с исходными данными для тестирования гипотез аналитика. Архитектура на основе технологии больших данных дает возможность SecBI легко и экономично масштабировать период ретроспективного поиска от нескольких месяцев до нескольких лет. 

Архитектура, тестирование и внедрение SecBI

Принципиальная архитектура SecBI
Принципиальная архитектура SecBI

SecBI легко и быстро развертывается без использования дополнительных устройств или агентов. Установить решение можно как на площадке заказчика, так и в облаке. Эффективность SOCповышается без изменений в сетевой̆ инфраструктуре и длительного периода обучения сотрудников.

Вы можете заказать демонстрацию и бесплатное тестирование решения SecBI уже сегодня в компании Тайгер Оптикс.

О компании SecBI

SecBI — это решение для автоматизации кибербезопасности на основе машинного обучения, которое делает обнаружение и реагирование точными и простыми. Компания SecBI разработала революционный подход к анализу сетевого трафика (NTA), что обеспечивает автоматическое обнаружение угроз, расследование и реагирование для SOC и провайдеров управляемых услуг безопасности (MSSP). Этот инновационный подход лучше всего понимается в сравнении с решениями, которые генерируют спорадические оповещения и аномалии, требующие ручной корреляции, расследования и устранения.

Технология Автономных расследований SecBI включает в себя машинное обучение, позволяющее раскрыть весь масштаб каждого подозрительного инцидента, включая все затронутые объекты, за считанные минуты. Решение может быть развернуто на площадке заказчики или в облаке без необходимости в дополнительных устройствах или агентах, и в настоящее время используется финансовыми учреждениями, телекоммуникационными и розничными компаниями по всему миру. Для получения дополнительной информации посетите веб-сайт компании www.secbi.com.

Дистрибьютором SecBI в России и СНГ является компания Тайгер Оптикс.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://tiger-optics.ru.