Com à disseminação do BYOD, da Internet das Coisas (IoT) e da migração dos ativos de TI para a nuvem, a infraestrutura atual está evoluindo muito além do perímetro, desafiando as ferramentas de segurança de endpoint.
Ataques cibernéticos muitas vezes conseguem passar pela proteção do perímetro, evitar a segurança de endpoint, produzindo vários falsos positivos e se escondendo em pontos cegos de visibilidade da rede.
É por isso que as equipes de segurança recorrem a um modelo de segurança que estende o gerenciamento de logs e a proteção de endpoints com ferramentas de detecção e resposta de rede. Conhecida como a Tríade de Visibilidade SOC (Security Operations Center), essa abordagem compensa os pontos fracos de suas partes individuais (EDR, NDR, SIEM) e oferece visibilidade total em ambientes de TI complexos.
A Tríade de Visibilidade SOC é um conceito criado por Anton Chuvakin, do Gartner, que postula que a implementação de ferramentas de segurança complementares que compensem as deficiências de cada uma delas reduzirá significativamente as chances de um invasor atingir seus objetivos.
A Tríade é composta por três pilares:
EDR para segurança de endpoint,
SIEM para processamento de logs e eventos correlacionados,
NDR para análise de comportamento da perspectiva da rede.
Segundo o Gartner, a principal razão para a criação desse novo conceito de visibilidade é:
A crescente sofisticação das ameaças exige que as organizações usem várias fontes de dados para detecção e resposta a ameaças. As tecnologias com base em rede permitem que profissionais técnicos obtenham visibilidade rápida de ameaças em um ambiente inteiro sem usar agentes.
EDR - Endpoint Detection and Response
O EDR é uma tecnologia de segurança predominantemente orientada para o comportamento que se concentra na detecção de atividades maliciosas que ocorrem diretamente em um endpoint (servidor, desktop, laptop e etc).
É uma solução que combina coleta de dados de endpoint e monitoramento de ameaças em tempo real com recursos de análise e correção automatizada, oferecendo proteção Zero Day.
No entanto, por si só, o EDR não é uma solução totalmente escalável. Com mais dados e visibilidade, o EDR geralmente requer tempo, dinheiro, largura de banda e uma força de trabalho altamente qualificada para se obter a visibilidade completa necessária.
SIEM - Security Information and Event Management
O SIEM tem seus pontos fortes e benefícios, mas também tem alguns pontos fracos quando se trata de lidar com ameaças de segurança avançadas. O método depende principalmente de mecanismos de log para detectar ameaças e vulnerabilidades. O problema é que certas explorações do sistema não aparecem ou raramente aparecem nos logs. Além disso, certas tecnologias e sistemas não permitem ou dão suporte à coleta de logs.
Embora uma solução SIEM moderna seja uma boa ferramenta para uma primeira linha de defesa de rede, ela deve ser complementada por uma camada de segurança extra. Cada SIEM é tão poderoso quanto sua fonte de dados. Sem feeds confiáveis e cobertura suficiente, o SIEM perde sua eficácia.
NDR - Network Detection and Response
O NDR complementa a análise de log que uma solução SIEM executa. Ele faz isso correlacionando as ameaças detectadas com a atividade da rede, cobrindo assim (possíveis) lacunas de registro. O NDR oferece os dados de rede importantes que o SIEM precisa para adicionar contexto às várias ameaças e vulnerabilidades que ele detecta.
A combinação da tecnologia moderna de SIEM e NDR permite que você utilize dados de uma ampla variedade de fontes. O resultado? Melhor visibilidade da rede, análises mais completas e capacidade de responder mais rapidamente a possíveis ameaças e violações de segurança. O NDR ajuda você a aumentar o escopo de proteção oferecido por uma solução SIEM independente.
Visibilidade contínua para encontrar indicadores de comprometimento
Flowmon é um dos pilares da Tríade de Visibilidade SOC. Ele torna todo o processo de gerenciamento e resposta a incidentes mais eficaz, oferecendo aos especialistas em segurança visibilidade contínua nas redes enquanto detecta anomalias e indicadores que apontam para ataques de ransomware, por exemplo. A solução de Network Detection and Response (NDR) alerta os administradores sobre comportamento anormal no tráfego de rede, dando-lhes a capacidade de detectar ransomware antes que os ativos digitais sofram bloqueio, investigar o incidente e rastrear os invasores por todo o sistema.
O Flowmon usa vários mecanismos de detecção, todos funcionando ao mesmo tempo. Eles cobrem um grande número de cenários examinando a rede de vários pontos de vista. Por exemplo, ameaças que escapariam da detecção por bancos de dados de reputação serão reveladas pela modelagem de entropia. Como a solução usa metadados de tráfego de rede para sua análise, não há problema em oferecer o mesmo nível de precisão de detecção também no tráfego criptografado.
Utilize Inteligência Artificial e esteja um passo à frente
O Flowmon é uma ferramenta de detecção e resposta de rede (NDR) que utiliza um mecanismo alimentado por IA combinado com várias técnicas avançadas para detectar um ataque em andamento em seus estágios iniciais. Isso ajuda a isolar o problema e responder antes que o malware comece a se espalhar pelos seus ativos digitais e afete os negócios.
Entre em contato com a International IT para saber mais detalhes ou realizar uma demonstração gratuita do Flowmon em seu ambiente.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!