" alt="">Сучасні кіберзагрози стають все більш складними: хакери проводять атаки відразу за декількома напрямками, щоб збільшити ймовірність злому. Під удар потрапляють не лише робочі місця та сервери, але навіть особисті смартфони та домашні комп’ютери, месенджери та електронна пошта віддалених працівників компаній. Щоб протистояти такому різноманіттю небезпек, потрібні засоби захисту, що допоможуть швидко виявити загрози та зреагувати на них. Компанія Trend Micro пропонує своїм клієнтам продукт Vision One – спеціалізовану платформу для захисту від загроз, що розширює можливості XDR-рішень.
Розберемося, що вона вміє.
Багато організацій використовують окремі рішення для виявлення загроз в електронній пошті, локальній та хмарній інфраструктурі, на робочих місцях та серверах. Проте розслідування потенційних атак за допомогою навіть найкращих, але розрізнених інструментів, потребує багато ручної роботи. Команди безпеки перевантажені величезною кількістю подій. У такій ситуації дуже легко пропустити реальні загрози, скласти уявлення про дії зловмисників і виробити оптимальні заходи у відповідь.
Вирішити проблему багатьох сповіщень допомагає перехід до захисних рішень класу XDR. Вони містять агенти для всіх популярних платформ, тому успішно виявляють атаки, навіть якщо вони відбуваються відразу за декількома напрямками. Однак для боротьби з професійними угрупованнями хакерів можливостей XDR-систем не завжди достатньо.
У рішенні Trend Micro Vision One вся інформація, що надходить в платформу, збирається в спеціальному сховищі. Це дозволяє «відмотати ланцюжок подій назад» — візуалізувати поетапний розвиток атаки з прив’язкою до часу та пристроїв, вказати на вразливість, яку використовували зловмисники. Vision One збирає та автоматично зіставляє дані з кількох рівнів інфраструктури: від електронної пошти, комп’ютерів та серверів, хмарних ресурсів та мережевого обладнання. Платформа дозволяє швидко виявити складні атаки та дає повне розуміння активності всередині інфраструктури замовника.
Vision One показує, як розвивалася атака по кроках, наприклад:
- користувач отримав фішинговий лист із вкладенням
- вкладення містить документ MS Word, який експлуатує вразливість у редакторі формул
- коли користувач відкрив документ, на комп’ютері запустився шкідливий сценарій
- сценарій завантажив та запустив програму для віддаленого доступу
- потенційні зламники отримали доступ до корпоративної мережі
Застосування моделей, вбудованих у Vision One, дозволяє виділити лише реальні загрози безпеці.
Наочність та ефективність платформи Vision One роблять роботу ІБ-команд значно ефективнішою в частині протистояння кіберзагрозам: вони можуть робити більше, витрачаючи менше ресурсів
Ось як це працює: моделі кореляції, що поставляються з системою, дають можливість виділити дійсно значущі події з величезного потоку попереджень з безлічі джерел. Наприклад, у мережі компанії, що містить 1000 пристроїв за добу, збирається та обробляється близько 137 млн подій. Приблизно 40 млн. з цих файлів містять значну інформацію для аналізу, але лише 95 тис. з них містять інформацію, яку зазвичай просто надсилають до SIEM. Після застосування вбудованих у Vision One моделей загроз система виділяє лише три значущі загрози безпеці, на які слід звернути увагу.
Але й ці показники можна покращити, підключивши послугу Trend Micro Managed XDR. У цьому випадку до відстеження загроз та розслідування інцидентів підключаються найкращі експерти Trend Micro.
Переваги Vision One
— Ранжований за пріоритетом огляд загроз у всій організації. У платформі є зручна панель візуалізації Security Posture, яка показує загальний рівень ризику організації (Risk Index) та детальний опис ризиків за шістьма категоріями – загрози, виявлення XDR, хмарні програми, аномальні дії, вразливості та компрометація акаунтів.
Рівень ризику організації на панелі Security Posture
— Ефективний аналіз завдяки вбудованим у систему моделям кореляції подій. Дані моделі створені на основі багаторічного досвіду Trend Micro і дозволяють ефективно підсвічувати реальні атаки серед величезної кількості “білого шуму”, отриманого від телеметрії. При побудові моделей кореляції використовуються актуальні дані про вразливість та інциденти, виявлені в рамках програми Trend Micro Zero Day Initiative (ZDI).
— Управління доступом на основі принципу нульової довіри (Zero Trust Network Access, ZTNA). Zero Trust Risk Insights проводить аналіз пристроїв та користувачів, визначаючи наявність критичних уразливостей, можливі компрометації облікових записів, а також наявність на пристрої агента Vision One. За даними будується модель довіри і визначається рівень ризику, відповідно до якого пристрою/користувачу дозволяється або забороняється доступ до приватних та публічних мережевих ресурсів.
Vision One значно підвищує якість та швидкість роботи ІБ-аналітиків. Платформа автоматично зіставляє дані про загрози з кількох джерел, знижуючи кількість ручних операцій під час розслідування інцидентів.
Оскільки в середовищі замовника можуть бути розгорнуті інші інструменти або технології захисту, Trend Micro пропонує набір відкритих API, що постійно збільшується, та інтеграцію з SIEM, SOAR та іншими системами. Vision One легко вписується в екосистему замовника та процеси забезпечення безпеки.
Висновок
Бурхливий розвиток ландшафту кіберзагроз вже не залишає можливості для використання розрізнених систем забезпечення безпеки. Для відображення сучасних атак потрібні актуальні рішення класу XDR або більш просунуті системи, подібні до Trend Micro Vision One.
* за матеріалами ictnews.uz
