Ďalšie štíty pre viacúrovňovú kyberbezpečnosť vašej organizácie

Každý IT systém vytvára určité záznamy o svojich činnostiach a väčšinu z nich vytvárajú bezpečnostné systémy. Všetky činnosti IT systémov sa musia monitorovať z niekoľkých dôvodov.

Prvým je prevádzkový monitoring - bežné informácie o stave, činnosti systému, informácie o vlastnej činnosti a stave požadovanej funkcionality. Druhým je bezpečnostný monitoring - zaznamenávanie identifikovaných udalostí a stavov súvisiacich s bezpečnostnými hrozbami. Posledným, menej dôležitým dôvodom, je archivácia prijatých protokolov všetkých činností, ktoré sú predmetom záujmu, na neskoršie preskúmanie - archivácia alebo uchovávanie dát. Takto uložené dáta môžu byť kedykoľvek neskôr k dispozícii pre forenzné činnosti. Dalo by sa napísať - spätné sledovanie stôp.

V rámci platformy Fortinet Security Fabric je za prácu s protokolmi zodpovedný nástroj FortiAnalyzer. Je primárne zodpovedný nielen za príjem a archiváciu logov, ale aj za ich priebežnú analýzu a koreláciu v reálnom čase. Koreluje rôznorodý obsah informácií s cieľom identifikovať súvisiace udalosti.

Prínos nástroja FortiAnalyzer sa zvyšuje s počtom a typom zdrojov dát, z ktorých prijíma protokoly. Inými slovami, čím väčší je počet zapojených zariadení Fortinet, tým bohatšie je množstvo dát, ktoré musí analyzovať, t. j. potenciálne tým rýchlejšie identifikuje prípadné nálezy. To je kľúčová veličina pre pokročilé taktiky útokov, bočný pohyb alebo dokonca prienik do chránených prostriedkov.

Úloha FortiAnalyzer tu však zďaleka nekončí. Práve Security Fabric je obrannou oblasťou v prípade identifikovaných hrozieb. FortiAnalyzer môže prostredníctvom Security Fabric iniciovať automatické nápravné opatrenia. Príkladom môže byť firewall FortiGate zapojený do Security Fabric, ktorý dostáva pokyny od FortiAnalyzeru na potlačenie súvisiacej IP prevádzky okamžite po identifikácii hrozby. Keďže Fortinet Security Fabric zahŕňa tak okrajové zariadenia siete (WiFi AP, LAN prepínače), ako aj systémy ochrany koncových bodov (EP/EDR) daného výrobcu, môžeme v tomto prípade hovoriť o tzv. end-to-end ochrane.

FortiAnalyzer môže inštruovať všetky pripojené systémy vrátane koncových systémov. Ako nápravnú akciu možno vyžiadať napr. umiestnenie klienta do karantény, a to buď softwarovo, alebo priamym odpojením od siete. Je dôležité poznamenať, že (nielen) pripojené systémy ochrany koncových bodov neustále "komunikujú" so systémom FortiAnalyzer, takže ten pozná ich stav a napokon aj ich softwarový obsah, aj keď nie sú priamo pripojené k vnútornej sieti. Sieť a aktíva, ktoré obsahuje, môžu byť preventívne chránené pred napadnutým klientom ešte pred jeho pripojením. Tým sa výrazne znižuje riziko zavlečenia hrozby. Včasné nápravné opatrenia sú rovnako dôležité ako včasné informácie.

FortiAnalyzer je veľmi výkonný nástroj na oznamovanie a hlásenie udalostí. Prostredníctvom tzv. handlerov je možné nielen identifikovať udalosť alebo aktivovať protiopatrenia, ale aj odoslať veľmi presné a personalizované oznámenie prostredníctvom rôznych kanálov.

Umožňuje tiež riešiť pravidelný reporting, pričom charakter a bohatosť jednotlivých hlásení je len otázkou nastavenia. Zvládnuť záplavu informácií vo svete kybernetickej bezpečnosti skrátka nie je možné bez sofistikovaného nástroja. V prípade Fortinet Security Fabric je ním jednoznačne FortiAnalyzer, ktorý svojej práci rozumie tak dobre, že je často zdrojom udalostí pre systémy vyššej úrovne, ako sú SIEM. FortiAnalyzer je určite nástroj, ktorý by ste mali zvážiť vo svojej viacúrovňovej obrane.

Ďalším štítom pre vyššiu úroveň vašej kybernetickej obrany a modernej bezpečnostnej stratégie by mal byť systém EDR (Endpoint Detection and Response). EDR poskytuje komplexnú ochranu koncových bodov alebo serverov, ktoré sú často hlavným cieľom čoraz sofistikovanejších útokov. Jeho systémy využívajú pokročilé analytické techniky, ako je strojové učenie a analýza správania, na nepretržité monitorovanie a identifikáciu podozrivých aktivít na endpointoch. Týka sa to všetkého od malwaru až po zero-day exploity.

Po identifikácii hrozby môže EDR automaticky zasiahnuť - izolovať zariadenie, ukončiť škodlivé procesy alebo dokonca obnoviť zariadenie do bezpečného stavu. Nástroje EDR zaznamenávajú podrobné protokoly o činnosti na všetkých monitorovaných koncových bodoch alebo serveroch, čím poskytujú IT tímom lepší prehľad o tom, čo sa deje v ich sieťach.

FortiEDR ponúka proaktívnu detekciu a nepretržitú ochranu v reálnom čase, ktorá dokáže zabrániť narušeniu aj vtedy, keď sú hrozby už v systéme. Vďaka sofistikovaným algoritmom a technológiám strojového učenia dokáže identifikovať a neutralizovať hrozby skôr, ako stihnú spôsobiť škody. Vďaka ochrane v reálnom čase dokáže FortiEDR automaticky izolovať infikované koncové body alebo servery a dokáže zabrániť šíreniu infekcie alebo hrozby a okamžite iniciovať nápravu. FortiEDR je navrhnutý tak, aby mohol koexistovať popri existujúcom antivírusovom programe a vykonávať iba funkcie EDR, ak vypnete vlastnú antivírusovú ochranu.

Funkcia Threat Hunting potom umožňuje bezpečnostným tímom proaktívne vyhľadávať a identifikovať pokročilé hrozby, ktoré môžu bežné bezpečnostné mechanizmy prehliadnuť. Táto funkcia sa zameriava na anomálie správania a neobvyklé vzorce sieťovej prevádzky, ktoré môžu naznačovať prítomnosť malwaru alebo pokusy o exfiltráciu údajov. FortiEDR poskytuje bohaté forenzné nástroje a podrobné protokoly na analýzu pôvodu a vplyvu hrozby po jej odhalení. Hunting zahŕňa aj analýzu pamäte a registrov, čo umožňuje bezpečnostným tímom lepšie pochopiť techniky, taktiky a postupy (TTP) používané útočníkmi.

FortiEDR môže vďaka integrácii s firewallmi FortiGate a ďalšími časťami Security Fabric automaticky reagovať na zistené hrozby na endpointoch, napríklad izolovaním zariadení od siete alebo úpravou bezpečnostných pravidiel v reálnom čase.

Prepojením so systémom FortiSandbox a ďalšími analytickými nástrojmi môže FortiEDR efektívne reagovať na hrozby automatickým uplatňovaním protiopatrení v reálnom čase na základe dynamického vyhodnotenia rizík.

FortiEDR využíva zdieľanú threat intelligence z FortiGuard Labs, ktoré sú distribuované vo všetkých zariadeniach Security Fabric, čo umožňuje rýchlejšie a presnejšie odhaľovanie nových a vyvíjajúcich sa hrozieb.

V oblasti využívania FortiAnalyzer a FortiEDR systémov získali Aricoma špecialisti rozsiahle know-how v rámci viacerých projektov. Vďaka našej obchodnej pozícii u výrobcu a statusu Fortinet Expert Partner vám okrem kvalitných návrhov môžeme poskytnúť aj atraktívne cenové podmienky na tieto riešenia. Máte záujem?

Ak máte záujem o podrobnejšiu technickú konzultáciu danej problematiky, neváhajte kontaktovať nášho špecialistu Igora Ftáčka - igor.ftacek@aricoma.com. Následne sa s obchodným dopytom obráťte priamo na obchodného zástupcu. Ak ešte nepatríte medzi našich zákazníkov, nájdete tu kontaktné údaje na naše najbližšie regionálne centrum. Sme vám nablízku v každom regióne a radi vám pomôžeme s akýmikoľvek IT potrebami vašej organizácie.