Bitdefender XDR, când senzorii fac diferența

28 Iunie 2022 Timp de citire: 8 minute

Conceptul XDR câştigă tot mai mult teren în lumea securităţii cibernetice, pentru că oferă o corelare strictă a detecţiei şi răspunsului la incidente, indiferent dacă acestea se întâmplă la nivel de reţea, end-user sau cloud. Pentru a fi însă eficientă, tehnologia XDR necesită atât date colectate de la cât mai mulţi senzori, dar şi capabilităţi de machine learning şi Inteligență Artificială pentru analiza şi transformarea acestora în informaţie acţionabila. Din această perspectivă, Bitdefender GravityZone reprezintă una dintre cele mai reuşite aplicări practice ale XDR prin combinarea un tehnologii proprietare, foarte premiate, de detecție şi prevenție cu un set extins de senzori pentru preluarea datelor la  nivel de endpoint, reţea și servicii cloud.

GravityZone XDR depăşeşte abordarea insulară a altor soluţii de securitate şi integrează date din multiple paliere ale mediului IT al unei companii. Cele mai comune surse sunt:

  • Endpoint-uri conectate on-premises sau în cloud (orice tip de echipament, de la PC-uri şi telefoane la servere și dispozitive iOT)
  • Aplicaţii de productivitate sau e-mail (Microsoft 365, spre exemplu)
  • Servicii cloud (ca Azure sau Amazon)
  • Aplicaţii pentru gestiunea identităţii şi accesului (un exemplu ar fi Microsoft Active Directory)
  • Echipamente de reţea
  • Alte aplicaţii de securitate, indiferent de furnizori

Colectând date de la un număr foarte mare de senzori, GravityZone XDR oferă vizibilitate asupra întreg mediului IT, on-premises, cloud sau hibrid şi detectează  mai eficient orice potenţial incident. Mai mult, soluţia permite analiștilor de securitate să lucreze unitar, fără să fie nevoiţi să înveţe şi să utilizeze unelte ale unor furnizori diferiţi.

Pe acest subiect vă recomandăm şi articolul: 4 motive pentru care ai vrea să utilizezi Bitdefender GravityZone XDR

Senzori la nivel de endpoint, reţea şi cloud

Pentru a identifica incidentele şi a trimite alerte, GravityZone XDR colectează și analizează date la diverse categorii de senzori corelaţi cu suitele de productivitate, serviciile cloud, reţeaua de date şi sistemele de gestiune a identităţii.  Aceşti senzori (Incidents sensors) pot fi instalaţi la nivel de endpoint, reţea şi conturi cloud prin intermediul unui meniu dedicat de configurare (Sensors Management) din consola GravityZone Virtual Appliance. La nivel de endpoint, senzorii sunt activaţi prin instalarea unui agent local. Instalarea poate fi făcut inclusiv de la distanță, pentru cele mai diverse tipuri de echipamente şi sisteme de operare. După activare, senzorii monitorizează permanent activitatea endpoint-ului: ce procese/aplicaţii rulează, conexiuni active la reţea, schimbări de regiştri, comportament utilizator, etc.

Pentru o securitate îmbunătăţită, GravityZone XDR necesită şi instalarea de senzori la nivel de reţea (Network sensors). Aceşti senzori vor monitoriza traficul şi vor exporta un set complex de metadate asociate. Senzorii de reţea necesită instalare şi activare separată, iar configurarea se face prin intermediul aceleaşi console. Instalarea kiturilor cu senzori de reţea poate fi făcută atât utilizând vShpere cât şi Hyper-V.

De importanţă deosebită sunt şi senzorii pentru suitele de productivitate, Microsoft Office 365 fiind cel mai bun exemplu. Pe baza acestora, GravityZone XDR detectează atacurile care au ca ţintă conturile Office 365 sau vulnerabilităţile asociate. Senzorii Mail şi Audit pentru Office 365 îmbogăţesc detecţia XDR cu date despre traficul de e-mail şi conținut (mesaje primite, expediate, direcţionate, căutări după cuvinte cheie), precum și cu operaţiunile de autentificare în platformă (log audit).

De asemenea, senzorii detectează dacă utilizatorii dezactivează protecţia anti-phising, dacă unele conturi nu folosesc autentificarea multifactor, dacă sunt încărcate fişiere cu potenţial maliţios în SharePoint sau OneDrive, dacă există cereri suspicioase de acces la anumite informaţii, comportament suspicios în manipularea unor documente sau derularea unui număr mare de acţiuni administrative într-o perioadă scurtă de timp, etc.

Aceşti senzori vizează, în egală măsură şi conturile Microsoft Exchange Online şi detectează tentativele de exfiltrarea unor e-mailuri cu caracter confidenţial, ştergerea unor volume mari de date, etc. Senzorii Mail şi Audit trebuie configuraţi înaintea integrării Office 365 cu platforma GravityZone.

Cu ajutorul acestor date, echipele de securitate pot şterge e-mailuri considerate periculoase sau suspendă conturile compromise direct din consola GravityZone.

Pentru că managementul identităţii este foarte important, GravityZone XDR are senzori dedicați Active Directory pentru preluarea datelor de autentificare şi schimbarea configuraţiilor pentru utilizatori şi grupuri. Permit identificarea autentificărilor suspicioase la nivel de aplicații, unelte de dezvoltare, baze de date, echipamente, token-uri sau oricare sisteme critice. Senzorii de identitate (Identity Sensors) detectează atacurile care vizează protocolul de autentificare Kerberos precum şi tentativele de autentificare asociate atacurilor brute. Ca şi în cazul senzorilor pentru Microsoft 365, echipele de securitate pot inactiva un cont Active Directory sau pot schimba un set compromis de credențiale, direct din consola de management GravityZone.

Senzorii pentru serviciile Amazon funcţionează similar şi colectează/procesează date despre acţiunile utilizatorilor, schimbări de configuraţii, roluri etc. Aceşti senzori pot fi oricând eliminaţi sau reconfiguraţi, în funcţie de obiectivele beneficiarului. De asemenea, Bitdefender dezvoltă noi senzori în funcţie de cerinţele utilizatorilor.

Valoare adăugată prin analiza şi interpretarea datelor

Toate metadatele preluate de la senzori sunt colectate, prelucrare şi procesate în baza unor algoritmi de machine learning şi tehnologii de prevenţie. Astfel sunt detectate mult mai precis activităţile suspicioase, iar sistemul generează automat incidente şi alerte. Pe baza acestora, platforma poate fi configurată pentru acţiuni manuale sau automate, în funcţie de natura incidentelor sau la anumite intervale de timp. Incidentele pot fi vizualizate şi investigate, blocate, trecute pe o listă neagră, investigate prin raportare la alte incidente similare, tratate după reguli customizate.

Astfel soluția detectează în timp real atacurile în medii IT eterogene care includ aplicaţii de business, multiple servicii cloud și reţele şi le împiedica să producă pagube. Mai mult, oferă echipelor de securitate o bază solidă de investigare şi înţelegere a vulnerabilităţilor din sistemul de protecţie, precum şi uneltele necesare pentru o reacţie rapidă şi eficientă.

Pentru o mai bună înţelegere a conceptului XDR şi a modului concret de funcţionare a Bitdefender GravityZone contactați-ne acum.

Articole asemănătoare