Další štíty pro víceúrovňovou kyberbezpečnost vaší organizace

Každý systém v oblasti informačních technologií vytváří nějaký záznam o své činnosti, a nejvíce jich generují systémy bezpečnostní . Veškerá aktivita IT systémů musí být monitorována, a to hned z několika důvodů.

Prvním je provozní dohled - běžné stavové informace, činnost systému, informace o jeho vlastním chodu a stavu požadované funkčnosti. Tím druhý je bezpečnostní dohled – záznam identifikovaných událostí a stavů souvisejících s ohrožením bezpečnosti. Posledním, méně důležitým důvodem, je archivace přijímaných logů o veškeré zájmové činnosti k pozdějšímu zkoumání – archivace či retence dat. Takto uložená data mohou být kdykoli později k forenzní činnosti. Dalo by se napsat - zpětnému dohledání stop .

V rámci platformy Fortinet Security Fabric má práci s logy na starost FortiAnalyzer. Je primárně nejen sledován za příjem a archivaci logů , ale především na jejich neustálou analýzu a korelaci v reálném čase . Dává vzájemně do souvislosti různorodý informační obsah, díky kterému v něm může identifikovat související události.

Přínos FortiAnalyzeru roste s počtem a typem zdrojů dat , od kterých log přijímá. Jinými slovy, větší je počet zapojených Fortinet zařízení, tím bohatší množství dat má k analýze, tedy potenciálně čím rychleji identifikuje možný nález. Jde o klíčové množství u pokročilých útočných taktik, laterálního pohybu, anebo dokonce při průniku do chráněných aktiv.

Zde ale role FortiAnalyzeru ani zdaleka nekončí. Je to právě Security Fabric, který je prostorem obrany v případě identifikovaných hrozeb. FortiAnalyzer skrze Security Fabric může iniciovat automatickou nápravnou akci . Příkladem může být FortiGate firewall zapojený v Security Fabricu, který od FortiAnalyzeru obdrží instrukce k potlačení související IP komunikace bezprostředně poté, kdy je hrozba identifikována. Vzhledem k tomu do Fortinet Security Fabricu spadají jak zařízení hrany sítě (WiFi AP, LAN switche), tak i systémy ochrany koncových stanic (EP/EDR) daného výrobce, můžeme v tomto případě mluvit o tzv. end-to-end ochrana .

FortiAnalyzer může instruovat všechny zapojené systémy včetně těch koncových. Jako nápravnou akci lze požadovat např. karantenizaci klienta, ať už na softwarové bázi nebo jeho přímým odpojením od sítě. Je důležité si uvědomit, že (nejen) zapojené systémy ochrany koncové stanice neustále „mluví“ s FortiAnalyzerem, díky čemuž zná jejich stav, a nakonec i jejich softwarový obsah i v momentě, kdy nejsou přímo zapojeny ve vnitřní síti. Síť, a v ní obsažená aktiva, mohou být preventivně chráněna před napadeným klientem ještě před jeho připojením. Tím se výrazně snižuje riziko zavlečení hrozby. Včasná nápravná akce je stejně tak důležitá, jako včasně podaná informace.

FortiAnalyzer je velmi účinným nástrojem v notifikaci a reportingu událostí. Prostřednictvím tzv. handlerů je možné nejen identifikovat událost nebo aktivovat protiopatření, ale taky zaslat velmi přesnou a osobně mířenou notifikaci skrze rozličné kanály.

Stejně tak umožňuje řešit pravidelný reporting, kdy povaha a bohatost jednotlivých reportů je jen otázkou nastavení. Zkrátka a dobře, zvládnout informační záplavu cyber-security světa nelze bez sofistikovaného nástroje. Pro Fortinet Security Fabric je jím jednoznačně FortiAnalyzer, který své práci natolik dobře rozumí, že často bývá zdrojem událostí i pro vyšší systémy, např. SIEM. FortiAnalyzer je rozhodně nástrojem, o kterém byste ve své víceúrovňové obraně, měli uvažovat.

Dalším štítem pro vyšší úroveň vaší kybernetické obrany a moderní bezpečnostní strategie by měl být EDR systém (Endpoint Detection and Response). EDR poskytuje komplexní obranu pro koncové body nebo servery, které jsou často primárním cílem stále sofistikovanějších útoků. Jeho systémy využívají pokročilé analytické techniky, jako je strojové učení a behaviorální analýza, k nepřetržitému monitorování a identifikaci podezřelé aktivity na endpointech. To zahrnuje vše od malwaru po zero-day exploit.

Když je hrozba identifikována, EDR může automaticky zasáhnout – izolovat zařízení, ukončit škodlivé procesy, nebo dokonce obnovit zařízení do bezpečného stavu. EDR nástroje zaznamenávají podrobné logy aktivit na všech monitorovaných koncových bodech, nebo serverech, což umožňuje IT týmům lepší přehled o tom, co se děje v jejich sítích.

FortiEDR nabízí proaktivní detekci a nepřetržitou ochranu v reálném čase, která dokáže zabránit narušení i v případě, když už jsou hrozby v systému. Díky sofistikovaným algoritmům a machine learning technologiím dokáže identifikovat a neutralizovat hrozby dříve, než mohou způsobit škodu. Díky ochraně v reálném čase umí FortiEDR automaticky izolovat infikované koncové body nebo servery, a dokáže tak zabránit šíření nákazy nebo hrozby a okamžitě zahájí nápravná opatření. FortiEDR je navržen tak, aby v případě vypnutí své vlastní antivirové ochrany dokázal koexistovat vedle vašeho stávajícího antiviru a plnil pouze funkce EDR.

Funkce Threat Hunting pak umožňuje bezpečnostním týmům aktivně vyhledávat a identifikovat pokročilé hrozby, které pravidelné bezpečnostní mechanismy mohou přehlédnout. Tato funkcionalita se zaměřuje na anomálie v chování a neobvyklé vzory síťového provozu, které mohou naznačovat přítomnost malwaru nebo pokusy o exfiltraci dat. FortiEDR poskytuje bohaté forenzní nástroje a podrobné logy, které umožňují analyzovat původ a dopad hrozby, jakmile je detekována. Hunting zahrnuje také analýzu paměti a registrů, což bezpečnostním týmům umožňuje lepší porozumění technikám, taktikám a procedurám (TTPs), které útočníci používají.

FortiEDR může díky integraci s FortiGate firewally a dalšími částmi Security Fabric automaticky reagovat na detekované hrozby na endpointech tím, že například izoluje zařízení od sítě nebo upraví bezpečnostní pravidla v reálném čase.

Propojením s FortiSandbox a dalšími analytickými nástroji může FortiEDR efektivně reagovat na hrozby tím, že automaticky aplikuje protiopatření v reálném čase na základě dynamického vyhodnocení rizik.

FortiEDR využívá sdílenou threat intelligence z FortiGuard Labs, která je distribuována napříč všemi zařízeními Security Fabric, což umožňuje rychlejší a přesnější detekci nových a vyvíjejících se hrozeb.

V oblasti využití FortiAnalyzeru i systémů FortiEDR získali Aricoma specialisté široké know-how nabrané ve více realizovaných projektech. Díky naší obchodní pozici u výrobce a statutu Fortinet Expert partner, vám dokážeme kromě kvalitních návrhů připravit i atraktivní cenové podmínky pro tato řešení. Zajímá vás to?

Pokud máte zájem o bližší technickou konzultaci dané problematiky, neváhejte se obrátit na našeho specialistu Jaroslava Vazače - jaroslav.vazac@aricoma.com. S obchodní poptávkou se pak obraťte přímo na svého obchodníka. Pokud ještě nepatříte k našim zákazníkům, vyhledejte kontaktní údaje našeho nejbližšího regionálního centra. Jsme nablízku v každém kraji a rádi vám pomůžeme s jakoukoliv IT potřebou vaší organizace.