IBM zkompletovala triádu kybernetického obranného trojúhelníku
Díky akvizici nizozemské bezpečnostní firmy ReaQta nabízí nyní společnost IBM svým zákazníkům podporu konceptu komplexní bezpečnosti, který před lety Gartner pojmenoval jako SOC Visibility Triad.
Tři základní prvky triády viditelnosti SOC
Jak název napovídá, triáda viditelnosti Security Operation Center se opírá o tři známé základní bezpečnostní prvky. SIEM - systém správy bezpečnostních informací a událostí chování uživatelů a entit, NDR - detekce a odezva sítě a EDR - detekce a odezva koncového bodu.
Podívejme se na každý z těchto bezpečnostních pilířů z pohledu, jak se s ním nyní produktově vypořádává společnost IBM:
- IBM Security QRadar SIEM - obsahující LogManagement
- IBM Security QRadar NDR - tedy Network Detection and Response
- IBM Security ReaQta - zmiňovaná akvizice řešící oblast EDR
Jaké výhody nyní s IBM technologiemi můžeme nabídnout?
Významným přínosem pro naše zákazníky je platforma od jednoho výrobce, kde lze využít úplnou integraci a jednotné know-how při ovládání celého bezpečnostního řešení. K dispozici jsou i další rozšiřující produkty IBM, a to zejména platforma SOAR, ochrana databází v reálném čase (Guardium) a konektory do externích Big Data úložišť (Data Explorer).
IBM také udržuje jednu z celosvětově největších platforem pro identifikaci kybernetických hrozeb a reputační databázi - Threat Intelligence X-Force. Tu lze využít nejenom při provázání lokálního prostředí zákazníka a globálního bezpečnostního kontextu, ale využije jí především umělá inteligence Watson při analýze nestandardního chování zákaznického prostředí.
Produkty QRadar i ReaQta disponují mechanismy a funkcemi mapování detekovaných událostí na platformu MITRE ATT&CK.
Čím vyniká EDR systém ReaQta?
Platforma ReaQta v reálném čase detekuje známé i neznámé typy hrozeb na všech hlavních rozšířených platformách současnosti. Organizace ji mohou nasadit v režimu on-premise (plánováno) či v cloudové podobě. Řešení dokáže odhalit a zablokovat abnormální chování, přičemž své detekční schopnosti staví na hlubokém učení, jež čerpá z událostí a parametrů v prostředí koncového zařízení. Ke své práci využívá unikátní prvek zvaný Nano OS, který monitoruje operační systém z vnějšku.
Kromě základní funkce spočívající v hledání hrozby na koncovém zařízení typu PC nebo mobil, poskytuje silné analytické funkce monitorující chování uživatelů, auditní historii, systém autonomních reakcí nebo řízení práce s incidenty pomocí konfigurovatelných play books.
ReaQta sleduje na koncových zařízeních tyto akce
- Výskyt hledaného závadného souboru
- Operace mezi procesy (Cross-process Operation)
- Detekce Chování ransomwarů (Ransomware Behavior)
- Eskalace oprávnění (Privilege Escalation)
- Získávání tokenů (Token Stealing)
- Podvržení podpisů aplikací (Forged Digital Signature)
- Napodobení procesu (Process Impersonation)
- Podezřelé skripty (Suspicious Script)
- Anomální chování (Anomalous Behavior)
- Podvržení DLL knihoven (DLL Hijacking)
- A další
Kontakt na AC specialistu a poptávka
Pokud vás informace k této oblasti naší nabídky zaujaly, máte specifické dotazy či zájem o upřesnění k vaší konkrétní situaci, kontaktujte AC specialistu Leoše Stránského na e-mailu leos.stransky@autocont.cz.
S obchodní poptávkou se obraťte na svého AUTOCONT obchodníka. Pokud ještě nepatříte k našim zákazníkům, vyhledejte kontaktní údaje našeho nejbližšího regionálního centra. Jsme nablízku v každém kraji a rádi vám pomůžeme s jakoukoliv IT potřebou vaší organizace.
