Miért éri meg „Forma–1-es motort” választani a SOC-ban?

A kiberbiztonság világában gyakran halljuk, hogy a mesterséges intelligencia (AI) a jövő. Ez igaz, de az is fontos, hogy az AI csak akkor működik hatékonyan, ha egy erős, megbízható rendszerre épül. Ahogy egy Forma–1-es versenyautó sem nyerhet csúcstechnológia nélkül, úgy egy biztonsági műveleti központ (SOC) sem lehet sikeres egy megalapozott infrastruktúra nélkül.

Több mint 30 év tapasztalat a kiberbiztonság szolgálatában

A NetWitness története a ’90-es években kezdődött, az Egyesült Államok kormányzati kezdeményezésére. Jelenleg független cégként működik, kifejezetten a kiberbiztonságra fókuszálva. Egyre több szervezet – köztük állami és védelmi szereplők – a NetWitness megoldás elkötelezett használójává váltak kiaknázva a platform előnyeit, amelyek segítenek az átláthatóság, a visszakövethetőség és az előrelátás terén is.

Az on-premise architektúra és a valódi adatok fontossága

A NetWitness kiemelkedő megoldása az on-premise környezetek teljes körű támogatása, amely az adatbiztonság és a -szuverenitás szempontjából különösen fontos a védelmi, pénzügyi és kormányzati szektor számára. Bár a cég hibrid és felhőalapú környezetekben is működhet, az on-premise architektúrák előnyét az adja, hogy ezek az infrastruktúrák még mindig a legnagyobb biztonságot kínálják, különösen a legérzékeny adatok védelmében.

A rendszer legfontosabb jellemzője, hogy nem csupán a felhőben vagy az adatközpontokban tárolt adatokat képes elemezni, hanem képes biztosítani az adatok biztonságos kezelését akkor is, ha a rendszer teljesen el van szigetelve az internettől. Az ilyen típusú „air-gapped” környezetek egyedülálló kihívásokat jelentenek, és a NetWitness lehetőséget ad arra, hogy az adatok tárolása és elemzése ne szenvedjen csökkentést, még akkor sem, ha a rendszer nem kapcsolódik az internethez.

A nyers adatcsomagok elemzésének előnye

A platform egyik kiemelkedő tulajdonsága, hogy un.deep packet inspection segítségével elemzi a hálózati forgalmat, – vagyis nem csupán metaadatokra vagy forgalmi statisztikákra támaszkodik, hanem a teljes hálózati forgalmat rögzíti és elemzi. Ellentétben azokkal a megoldásokkal, amelyek csupán a hálózati adatáramlást figyelik, vagy netflow-alapú adatokat dolgoznak fel, a NetWitness valódi, nyers adatcsomagokat használ a forgalom elemzéséhez. Ennek köszönhetően a rendszer nem csak egy-egy eseményt vagy támadást képes azonosítani, hanem a teljes kommunikációt is rekonstruálja, visszatekintve akár napokkal, hetekkel korábban történt tevékenységekre.

Ez lehetővé teszi, hogy az elemzők nem csupán a gyanús eseményeket, hanem az egész előzményeket, például a támadók által használt exploitokat, a végrehajtott parancsokat és a visszajátszott adatokat is teljes részletességgel vizsgálják. Az ilyen típusú mélységi elemzés elengedhetetlen a komplex, többlépcsős támadások és a hosszabb ideig tartó észrevétlen fenyegetések felderítésében.

Az igazságügyi hálózatelemzés fontossága a jogszabályi megfelelés szempontjából

A NIS2 irányelv szigorú jelentési és bizonyítási kötelezettségeket ír elő az ipari és kritikus infrastruktúrák számára. A kiberbiztonsági szakembereknek nemcsak a támadások észlelésére kell képeseknek lenniük, hanem arra is, hogy alátámasszák az észlelt eseményeket a megfelelő bizonyítékokkal. A NetWitness egyedülálló lehetőséget biztosít, mivel nem csupán az eseményekhez kapcsolódó riasztásokat rögzíti, hanem a teljes hálózati forgalmat, beleértve az összes kommunikációt és adatmozgást, amely lehetővé teszi az események teljes körű rekonstruálását.

Ez különösen fontos a NIS2 előírásoknak való megfelelés biztosításában, ahol a vállalatoknak 72 órán belül egy részletes jelentést kell benyújtaniuk a hatóságok számára. Enélkül a mélységi vizsgálat nélkül nem lehet igazán bizonyítani, hogy egy támadás milyen hatással volt az üzletmenetre, és hogyan kell reagálni a megfelelő intézkedésekkel.

Proaktív fenyegetésdetektálás prediktív fenyegetés-intelligenciával

A NetWitness platform az új fenyegetések előrejelzésére is képes. A Before AI integrációnak köszönhetően figyeli az új domainek regisztrálását, valamint az interneten felbukkanó gyanús IP-címeket, és előre jelzi a potenciális támadásokat akár 90 nappal azok bekövetkezése előtt. Ez lehetővé teszi, hogy a rendszer proaktívan riasztást adjon ki, még mielőtt a támadás elérné a rendszert.

Az EURO ONE és a NetWitness szoros együttműködésével az AI fejlesztési csapatok közösen dolgoznak azon, hogy az új fenyegetéseket előre felismerjék, és olyan megoldásokat kínáljanak, amelyek segítenek a SOC elemzőknek abban, hogy proaktívan tudjanak reagálni a jövőbeli támadásokra. Az EURO ONE által biztosított szakértelem és a NetWitness platform ereje együttesen lehetővé teszik, hogy a felhasználók még azelőtt értesítést kapjanak, hogy egy támadás valóban megtörtént volna.

A metaadatok és az üzleti kontextus integrálása

A platform képes az adatokat üzleti kontextusban értelmezni, így nem csupán az IP-címeket és hosztneveket látjuk, hanem azok mögötti üzleti kapcsolatokat is. A metaadatok összegyűjtésével és az egyes rendszerek közötti kapcsolatok beágyazásával a rendszer nemcsak technikai, hanem üzleti szempontból is értelmezi az eseményeket. Ez segít az AI-nak abban, hogy pontosabban meghatározza a kritikus rendszerek állapotát, és az elemzők számára értékes üzleti információt biztosít a támadások hatásának mérlegeléséhez.

Ez a szintű adatfeldolgozás lehetővé teszi, hogy a rendszer jobban megértse a hálózaton belüli kommunikációkat, és biztosítja, hogy a támadások hatása a vállalati folyamatokra azonnal felismerhető és kezelhető legyen.

Az AI és az emberi döntéshozás kombinációja

A mesterséges intelligencia nagy segítség, de nem helyettesíti az emberi értelmezést. Az AI eszközök rendkívül hasznosak lehetnek a hálózati fenyegetések gyors felismerésében, a legkomplexebb helyzetekben továbbra is szükség van az emberi beavatkozásra. A NetWitness nemcsak automatizált detektálásra és riasztások generálására képes, hanem lehetőséget ad az analitikusok számára, hogy az adatok mélyebb vizsgálatát végezzék, rekonstruálják a támadásokat és megértsék azok valódi hatásait.

A rendszer lehetőséget biztosít a teljes hálózati forgalom visszajátszására, az e-mailek rekonstruálására és minden olyan adat teljes körű vizsgálatára, amely a rendszerben mozgott. Ezen kívül, a generatív AI integrációjával a jövőben még hatékonyabbá válhat a rendszer, mivel az automatikusan képes lesz új detektálási szabályokat generálni a már végzett keresések és elemzések alapján.

Összegzés

A NetWitness platform egyedülálló képességekkel rendelkezik, amelyek az adatkezelés, fenyegetésdetektálás és igazságügyi hálózatelemzés területén a legmagasabb szintű védelmet biztosítanak. Az on-premise architektúra, a nyers adatcsomagok elemzése és a prediktív fenyegetés-intelligencia mind hozzájárulnak ahhoz, hogy a kibervédelmi szakemberek hatékonyan védjék meg a kritikus rendszereket a folyamatosan fejlődő fenyegetésekkel szemben. Bár az on-premise prioritást élvez, a NetWitness támogatja a hibrid telepítést is, és számos külső rendszerrel (pl. identitáskezelőkkel, SIEM-ekkel, végponti megoldásokkal) integrálható. A cél: minden adatot egy helyen lássunk – és értelmezzünk.

Az EURO ONE és a NetWitness szoros együttműködésének köszönhetően az iparági szabványoknak megfelelő, innovatív megoldásokat kínálunk, amelyek lehetővé teszik a jövő kihívásaira való felkészülést a hálózatbiztonság területén.