LiveAction запускає ThreatEye NV, платформу для виявлення та реагування на загрози безпеці мережі

«Всебічна видимість зашифрованого трафіку та можливість автоматизувати розширений аналіз цих даних у режимі реального часу мають вирішальне значення для захисту від сучасних складних загроз. Традиційні інструменти покладаються на глибоку перевірку пакетів або моніторинг на основі правил, який впливає на продуктивність і виявляється недостатнім", - сказав Томас Порус, директор з продуктів безпеки в LiveAction. "ThreatEye NV використовує нову технологію DPD, яка забезпечує високоточні потокові записи, які аналізують понад 150 пакетів і характеристик потоків, і все це без перевірки корисного навантаження, що може негативно вплинути на продуктивність. У поєднанні з передовими моделями збору даних та машинного навчання клієнти отримують найпотужніше в галузі рішення для NDR».

 

ThreatEye NV був розроблений, щоб допомогти організаціям та їхнім групам безпеки покращити виявлення загроз та запобігти успішним руйнівним та руйнівним атакам зловмисників. Ключові оновлення платформи включають понад 150 нових можливостей виявлення, включаючи розширене виявлення аномалій поведінки, виявлення загроз зашифрованих метаданих, виявлення загроз метаданих у відкритому тексті, виявлення на основі AI/ML, інвентаризацію шифрування AI/ML, виявлення DNS/DoH та виявлення активного експлойту. Платформа також пропонує безперервне захоплення пакетів з поворотом в один клік до PCAP завдяки новій інтеграції зонда ThreatEye NV з LiveWire від LiveAction, що розширює видимість віртуальної інфраструктури від пакету до потоку. Поєднання виявлення загроз та аналізу зашифрованого трафіку з нюханням пакетів забезпечує неперевершену видимість для команд SecOps, які прагнуть покращити свою стратегію безпеки та реагування.

 

Основні переваги та особливості ThreatEye NV:

 

Виявлення загроз і аномалій в режимі реального часу - Dynamics Deep Packet Dynamics (DPD) ThreatEye NV не залежить від вмісту пакета і використовує багатий набір метаданих з більш ніж 150 функцій динамічного пакету для створення історичного опису характеристик і поведінки для профілювання і відбитків пальців. що однаково добре працює як з зашифрованим, так і з незашифрованим трафіком. Моделі машинного навчання використовуються для виявлення складних поведінкових аномалій суб'єктів загрози, а платформа призначена для обробки мільйонів подій в секунду в режимі реального часу.

Усуньте сліпоту шифрування та перевірте відповідність вимогам. Посилене впровадження зашифрованих мережевих протоколів призводить до погіршення видимості мережі для груп безпеки. В результаті застарілі інструменти втрачають видимість. Аналіз зашифрованого трафіку і застосування машинного навчання до DPD дозволяє аналізувати зашифрований трафік без розшифровки або погіршення продуктивності. Платформа також надає сповіщення про політику шифрування та звіти для забезпечення відповідності безпеки.

Просте розгортання для захисту всієї мережі. ThreatEye NV - це SaaS-пропозиція з програмними датчиками, розгорнутими як контейнерні програмні додатки. Такий контейнерний підхід дозволяє розгорнути рішення локально, в приватній або публічній хмарі, або комбінації обох. Від ядра до краю до хмари, ThreatEye NV включає в себе легкі, прості в розгортанні програмні датчики, які можна розгорнути в будь-якому місці і всюди, де потрібна видимість.

SOC Enabled — За допомогою багатоетапного конвеєра аналізу, який корелює та збагачує трафік за допомогою деталей пошуку MITRE ATT&CK, показників ризику та маркування, час розслідування та реагування значно скорочується. Команди можуть реагувати в режимі реального часу і прискорювати сортування за допомогою вбудованого пакетного аналізу. Пропозиція SaaS від ThreatEye NV включає інформаційні панелі з підтримкою SOC для покращення реагування.

Координація комплексних заходів безпеки – ThreatEye NV легко взаємодіє з існуючими інструментами безпеки, такими як SIEM, SOAR та Threat Intelligence. Автоматизація робочого процесу за допомогою таких продуктів, як Cisco SecureX, дозволяє командам негайно реагувати на події безпеки, скасовуючи хости або блокуючи загрози. Інтеграція з SIEM може забезпечити кореляцію з подіями EDR і шкідливу активність на раніше невидимих зашифрованих каналах.

Аналіз потокового машинного навчання. Платформа, яка працює на основі потокового механізму машинного навчання, отримує високоточні метадані, створені її програмними зондами. Рушій машинного навчання спеціально розроблений для мережевої безпеки, і на відміну від традиційної пакетної обробки, потокове машинне навчання підтримується аналізаторами або моделями, призначеними для аналізу мережевого трафіку без багаторазового обходу потоку даних. Ці моделі створюються спеціально для конкретних випадків використання безпеки та видимості і масштабуються за допомогою паралельної обробки.

Основні переваги та особливості ThreatEye NV:

• Виявлення загроз і аномалій у реальному часі - Динаміка глибоких пакетів (DPD) ThreatEye NV є агностичною для пакетного вмісту та використовує багатий набір метаданих із понад 150 динамічних функцій пакетів для створення історичного опису рис та поведінки для профілювання та дактилоскопії, техніки, яка однаково добре працює як із зашифрованим, так і з незашифрованим трафіком. Моделі машинного навчання застосовуються для виявлення передових аномалій суб'єкта поведінкової загрози, і платформа призначена для обробки мільйонів подій в секунду в режимі реального часу.
• Усуньте анонімність шифрування та перевірте відповідність - Збільшення впровадження зашифрованих мережевих протоколів спричиняє ерозію видимості мережі для команд безпеки. В результаті застарілі інструменти втрачають видимість. Аналіз зашифрованого трафіку та застосування ML до DPD дозволяє аналізувати зашифрований трафік без розшифровки або деградації продуктивності. Платформа також забезпечує оповіщення щодо політики шифрування та звітування про відповідність безпеці.
• Просте розгортання для захисту всієї мережі - ThreatEye NV - це SaaS-пропозиція з програмними датчиками, розгорнутими як контейнерні програмні додатки. Цей контейнерний підхід дозволяє розгорнути рішення або локально, або в приватній, або в публічній хмарі, або суміші обох. Від ядра до краю до хмари, ThreatEye NV включає в себе легкі, прості в розгортанні програмні датчики, доступні для розгортання в будь-якому місці і всюди, де необхідна видимість.
• SOC Enabled – За допомогою багатоетапного конвеєра аналізу, який корелює та збагачує трафік з пошуком деталей, показників ризику та маркування MITRE ATT&CK, час для розслідування та реагування різко зменшується. Команди можуть відповідати в режимі реального часу і прискорювати тріаж за допомогою інтегрованого пакетного аналізу. Пропозиція SaaS від ThreatEye NV включає інформаційні панелі з підтримкою SOC для подальшого підвищення ефективності реагування.
• Координуйте згуртовану відповідь на безпеку – ThreatEye NV легко поєднується з існуючими інструментами безпеки, такими як SIEMs, SOAR та Threat Intelligence. Автоматизація робочого процесу за допомогою таких продуктів, як Cisco SecureX, дозволяє командам негайно вживати заходів безпеки для карантину хостів або блокування загроз. Інтеграція SIEM може забезпечити кореляцію з подіями EDR та шкідливою активністю на раніше небачених зашифрованих каналах.
• Потоковий аналіз машинного навчання - На основі потокового механізму машинного навчання платформа поглинає метадані високої точності, створені її програмними зондами. Двигун ML спеціально створений для безпеки мережі, і на відміну від традиційної пакетної обробки, потоковий MН підживлюється аналізаторами - або моделями - розробленими для аналізу мережевого трафіку без декількох проходів по потоку даних. Ці моделі створені на замовлення для конкретних випадків використання безпеки та видимості та масштабу за допомогою паралельної обробки.