Singura soluție de pe piață care stochează și analizează tot traficul de rețea, oferind posibilitatea de a reconstrui sesiunile de date.
În contextul evoluției infrastructurilor de date, echipele de securitate trebuie să evolueze pentru a rămane cu un pas în fața atacatorilor și a celor mai recente amenințări, deși în ultimii ani, acest lucru a devenit mult mai dificil. Atacatorii continuă să evolueze și să utilizeze tehnici complexe
pentru a se infiltra în organizațiile care nu mai au perimetre bine definite.
Atacatorii alocă resurse pentru activități de recunoaștere, cu scopul de a afla mai multe despre organizații și de a dezvolta tehnici concepute special pentru a ocoli instrumentele de securitate utilizate.
Gradul de complexitate al amenințărilor și suprafața de atac în expansiune fac aproape imposibil pentru echipele de securitate să descopere și să ințeleagă acțiunile compromițătoare suficient de
repede pentru a răspunde înainte ca activitatea companiei să fie afectată.
RSA NetWitness Logs and Packets oferă o vizibilitate generală asupra infrastructurii cu posibilități avansate de analiză, inclusiv analiză comportamentală în timp real, pentru a detecta și a investiga atacurile complexe. Vizibilitatea este asigurată pentru:
• Surse de date – Log-uri, Full Packet Capture, NetFlowși Endpoint
• Vectori de amenințare – Endpoint, Rețea și Cloud
Arhitectura unică a produsului RSA NetWitness Logs and Packets captează și îmbogățește în timp real sursele de date cu contextul de securitate din organizație.
În plus, „threat intelligence” este aplicată datelor îmbogățite pentru a identifica indicatori de risc ridicat precum domenii APT, proxy-uri suspecte sau rețele ostile.
Această metodă de prelucrare în timp real a surselor mari de date, oferă analiștilor o imagine a securității pentru întregul lor mediu, de la on-premises la cloud.
Analiștii pot detecta și investiga acum atacurile complexe și pot înțelege cu adevărat scopul atacului, folosindu-se de pârghiile oferite de analiza avansată care aplică combinația unică de analiză comportamentală, tehnici „data science” și „threat intelligence” pentru a descoperi iterativ atacuri cunoscute și necunoscute. RSA NetWitness Logs and Packets permite organizațiilor să realizeze conexiuni între evenimente în timp real, pe parcursul unei perioade mai lungi de timp, ceea ce înseamnă că un atac poate fi pe deplin identificat și înțeles înainte de a exista un impact asupra organizației.
MONITORIZAREA REȚELEI ȘI UTILIZAREA „DATA SCIENCE”
RSA NetWitness Logs and Packets captează și îmbogățește pachetele complete de date de rețea, alături de alte tipuri de date, cum ar fi log-uri, NetFlow și date privind endpoint-urile. RSA NetWitness Logs and Packets captează pachete de rețea complete, ceea ce inseamnă că un atac poate fi reconstituit pentru a înțelege pe deplin scopul atacului și pentru a putea pune în aplicare un plan de remediere eficient cu scopul de a opri atacatorul de la atingerea obiectivelor sale.
CORELAREA, DETECTAREA ȘI RĂSPUNSUL ÎN TIMP REAL
Modulul Event Stream Analysis (ESA) este un motor de analiză și de alertare puternic, care permite corelarea între mai multe tipuri de evenimente. ESA poate consuma și analiza metadatele din surse precum log-uri, pachete, NetFlow și endpoint prin utilizarea unor reguli out of the box sau prin crearea unor reguli personalizate folosind limbajul care stă la baza procesării evenimentului – sau modulul wizard de creare a regulilor.
ANALIZA COMPORTAMENTALĂ
Motorul avansat de analiză al RSA NetWitness detectează atacurile pe baza analizei comportamentale, pentru a accelera detectarea amenințărilor și timpul de răspuns. Motorul folosește tehnici de învățare modulare – nu necesită cunoștințe avansate despre atacuri specifice și nu se bazează pe semnături sau reguli de corelare. Prin observarea traficului de rețea din organizație, motorul de analiză comportamentală în timp real identifică activitatea anormală specifică comportamentului de trafic și creează incidente pentru investigare. Motorul de analiză comportamentală în timp real ajută organizațiile să identifice activitatea cu risc ridicat, să accelereze detectarea amenințărilor și să se concentreze pe metodele de răspuns.
RSA LIVE CONNECT
RSA Live Connect permite organizațiilor să utilizeze și să operaționalizeze threat intelligence în timp real. Analiștii vor obține informații importante despre amenințările actuale, care țintesc organizația lor, de la colegii analiști precum și de la partenerii publici și comerciali. În plus, după analiză, analiștii pot furniza o evaluare a riscului anonimizat către o bază de date threat intelligence comună.
Prin conectarea echipelor de securitate și cunoștințelor lor asupra amenințărilor, RSA Live Connect reduce drastic timpul de la momentul în care atacul este observat pentru prima dată la conștientizarea generală în întreagă comunitate.
VIZIBILITATEA LA NIVEL DE ENPOINT ȘI ÎMBUNĂTĂȚIRILE ADUSE PENTRU ANALIZA RISCURILOR
RSA NetWitness for Endpoint oferă vizibilitate asupra endpoint-urilor prin utilizarea pârghiilor oferite de analiza comportamentului unic, pentru a semnala activitățile anormale, pentru a furniza un indicator de risc suspect și pentru a bloca sau pune în carantină procese suspecte.
RSA NetWitness Logs and Packets și RSA NetWitness Endpoint sunt produse integrate. Evenimentele generate de RSA NetWitness Endpoint sunt asimilate de RSA NetWitness Logs and Packets și corelate cu pachete de date, log-uri și NetFlow pentru a detecta atacurile complexe.
SIEM
Soluții SIEM există de mulți ani și au fost proiectate în primul rând pentru două obiective:
- Colectarea, analizarea, raportarea și stocarea evenimentelor primite de la statii de lucru, servere, aplicații și dispozitive de securitate pentru a sprijini managementul conformității cu politicile de securitate și inițiativele de respectare a reglementărilor.
- Procesarea și corelarea în timp real a datelor de la dispozitive de securitate, dispozitive de rețea și sisteme, pentru a identifica problemele de securitate care prezintă cel mai mare risc pentru o organizație.
În timp ce majoritatea soluțiilor SIEM au îndeplinit obiectivul numărul 1, o mare parte a acestor soluții se luptă pentru a îndeplini obiectivul numărul 2. Aceste soluții SIEM nu au capabilități de scalare și de analiză în timp real, pentru a identifica problemele care pot compromite o organizație, înainte ca un atac să-și îndeplinească obiectivele.
RSA NetWitness Logs and Packets are capabilități uriașe de scalare și de analiză, putând astfel să identifice atacuri complexe în timp real. În plus, corelația unică dintre pachete, log-uri, NetFlow și endpoint permite analiștilor să investigheze și să reconstruiască evenimentul de securitate pas cu pas.
MANAGEMENTUL CENTRULUI DE RĂSPUNS LA INCIDENTE DE SECURITATE
Security Operations Center (SOC) este format din oameni, procese și tehnologie. Managementul oamenilor, proceselor și al tehnologiei crește eficacitatea programului SOC. Investiția în tehnologie și urmărirea modului în care cele trei aspecte ale SOC lucrează impreună reprezintă o strategie eficientă.
Managementul și organizarea proceselor pot mări în mod esențial randamentul investițiilor și pot maximiza valoarea resurselor în cadrul unei implementări SOC, reducând timpul necesar pentru a răspunde la incidente.
RSA NetWitness SecOps Management (SecOps) organizează și oferă un set de proceduri de lucru în cadrul unui SOC. Se integrează cu RSA NetWitness Logs and Packets și RSA NetWitness Endpoint și cu alte sisteme de monitorizare a securității, agregând evenimente / alerte / incidente și gestionând fluxul global de lucru pentru răspuns la incidente. Informațiile despre fluxurile de lucru și captarea incidentelor sunt aliniate cu cele mai bune standarde din industrie, cum ar fi NIST, US-CERT, SANS și VERIS.
RSA SecOps administrează în cadrul SOC atât analiștii cât și coordonatorii echipelor de analiști de securitate, managerul SOC și CISO, oferind astfel o imagine asupra eficienței generale a programului SOC.
Prin exploatarea capabilităților Incident Response, Breach Response și SOC Program Management ale RSA SecOps, o organizație poate garanta că funcționalitatea centrului de răspuns la incidente de securitate este gestionată ca un proces eficient, previzibil și consecvent.
SolvIT Networks este partener RSA Security in Romania.