Vaanivaa NDR:ää ei verkossa näe. Se kuuntelee verkkoa ja tekee havaintoja analysoimalla verkkoliikennettä algoritmien avulla. Verkon sensorit keräävät ja välittävät keskusyksikölle verkon metatietoa. Kun metadataa kerätään laajasti eri puolilta verkkoa, saadaan kattava näkyvyys siihen, mitä verkossa tapahtuu. Käykin niin, että hyökkääjä tulee yllätetyksi.
Jokainen verkon viestipaketti sisältää tiedon lisäksi otsikkotietoa, jonka perusteella verkkolaitteet pystyvät toimittamaan paketin perille sitä odottavalle sovellukselle. Näkyvyys verkkoon paranee sitä mukaa, mitä useammasta pisteestä metatietoa voidaan kerätä. Toisin kuin palomuurit, jotka sijaitsevat verkkojen rajoilla ja sallivat tai estävät liikennettä sääntöjen ja tunnettujen uhkatietokantojen (IOC) perusteella, NDR näkee myös aliverkkojen sisäisen liikenteen koneiden välillä. NDR ei myöskään ole sidottu laajoihin sääntökantoihin tai ennalta tunnistettuihin IOC-listoihin, vaan tekee havainnointia tekoälyn ja siihen rakennetun koneoppimisen avulla.
Loihteen käyttämä Vectra AI NDR on markkinoiden johtava AI-pohjainen NDR-ratkaisu. Se skaalautuu erilaisiin hybridiympäristöihin, joissa organisaatio käyttää sekä perinteistä on-prem IT:tä että pilvipalveluita. Vectra NDR kykenee keräämään tietoa verkkojen lisäksi integraatioiden kautta identiteeteistä (Entra ID ja Active Directory) sekä Microsoft 365 -tapahtumista. Vectran avulla voidaan tehostaa myös Azure- ja AWS-pilvialustojen kyberturvan valvontaa. Valvonnan automaattista tai manuaalista reagointia voidaan tehdä päätelaitteille (EDR) ja identiteeteille Entra ID- ja Active Director -integraatioiden kautta nopeasti.
Tehokasta poikkeavuuksien havainnointia
Vectra havaitsee tehokkaasti poikkeavuuksia verkkoon kytketyissä laitteissa, identiteeteissä ja pilvipalveluissa sekä yhdistää nämä havainnot yhdeksi kokonaisuudeksi. Havainto muodostuu yleensä useasta poikkeamasta ja hälytyksestä, minkä vuoksi Vectra AI NDR tehostaa kyberturvavalvontaa verrattuna perinteiseen, yksittäisiin hälytyksiin perustuvaan valvontaan.
Kyberhyökkäykset voivat todistetusti ohittaa palomuurit, kaapata identiteettejä MFA:sta huolimatta sekä kiertää EDR-suojauksen ja saada näin jalansijan organisaation kyberympäristöön. Mutta jotta hyökkäys voisi edetä, hyökkääjän on siirryttävä haltuun otetulta laitteelta eteenpäin tärkeämpiin järjestelmiin. Tätä etenemistä (lateral movement) tehdään verkon kautta.
Oikein sijoitetut Vectra NDR -sensorit keräävät myös tämän liikenteen. Keskusyksikön (”brain”) algoritmit analysoivat väsymättä sensoreiden lähettämää tietoa ja havaitsevat poikkeavuuksia sekä hyökkäystekniikoiden tunnusmerkkejä. Ne pisteyttävät ja yhdistävät nämä tapahtumat kokonaisuudeksi, jolloin useista yksittäisistä hälyttävistä tapahtumista muodostuu selkeä kyberturvahavainto hyökkääjän toiminnasta ja liikkeistä.
Hyökkääjä tuleekin yllätetyksi
Valvonta (SOC-palvelussa Loihde CSOC) pystyy pureutumaan havaintoon, varmistamaan sen oikeellisuuden ja pysäyttämään hyökkäyksen etenemisen. Hyökkääjä ei tässä vaiheessa tiedä, että hänet on jo havaittu. Usein, kun Loihde CSOC puuttuu hyökkääjän toimintaan, hyökkääjä panikoi ja tekee virheitä. Tämän seurauksena hyökkääjä jättää jälkeensä tietoa itsestään, hyökkäystavasta sekä siitä, mitkä järjestelmät ja laitteet ovat olleet osallisina.
Näitä tietoja voidaan hyödyntää hyökkääjän karkotuksen jälkeisessä siivouksessa sekä arvioitaessa, onko hyökkäyksestä tehtävä ilmoitus viranomaisille. Varmaa on, ettei hyökkääjä yritä uudelleen ainakaan pitkään aikaan. He eivät halua paljastaa menetelmiään, koska paljastumisen jälkeen ne eivät enää tehoa missään.
Kuten sodissa vaaniva drooni on havainnut hiipivän vihollisen sekä hälyttänyt omat joukot, jotka ehtivät reagoida ajoissa pysäyttäen vihollisen, samalla tavoin Vectra NDR kykenee havaitsemaan verkossa hiipivät hakkerit ja hälyttämään valvonnan. Näin kyberhyökkäys pystytään pysäyttämään ajoissa.
Haluatko kuulla aiheesta lisää? Tiedustele vapaita paikkoja to 28.5. klo 13 järjestettävään tapahtumaamme "Loihde x Vectra purple team workshop"!
Blogin kirjoittaja
