Обнаружение и реагирование на угрозы КС
Безопасность Fidelis Elevate видимость и контроль - ICORE

Описание платформы безопасности Fidelis Elevate

Платформа безопасности Fidelis Elevate обеспечивает организациям видимость, возможность анализа и контроля сети и конечных точек, необходимые для управления защитой от современных угроз и для предотвращения вторжений. Основанное на запатентованной платформе Fidelis Elevate, решение способно видеть, изучать и останавливать.

Платформа безопасности Fidelis Elevate обеспечивает организациям видимость, возможность анализа и контроля сети и конечных точек, необходимые для управления защитой от современных угроз и для предотвращения вторжений. Основанное на запатентованной платформе Fidelis Elevate, решение способно видеть, изучать и останавливать распространение продвинутых угроз в режиме реального времени, работая на сеансовом уровне, где и возникают современные угрозы.

Платформа Fidelis Elevate представляет уникальный функционал реакции, защиты и возможности расследования инцидентов – для повторения данного функционала на сегодня необходима закупка решений минимум трёх разных производителей – при этом, компоненты не будут интегрированы между собой – в отличии от платформы Fidelis Elevate.

Безопасность Fidelis Elevate видимость и контроль - ICORE (1)

Данное решение позволит сократить реакцию на угрозы для ОЦИБ команды с нескольких дней до нескольких минут – при этом существенно понизив требования к обслуживающему персоналу.

Платформа Fidelis Elevate® состоит из трёх основных компонентов: 

  • Fidelis Network – мощная система на рынке обнаружения вторжений и защиты от утечек информации (NTA, DPI, DSI, IPS/IDS, DLP, RISK Management, Anomaly detection). Решение позволяет анализировать весь сетевой трафик вашей организации на мультигигабитних скоростях – при этом, на любую глубину вложений, чем часто жертвуют другие устройства анализа трафика с целью повышения производительности. С помощью Fidelis Network возможно выявлять инструменты и тактику современных злоумышленников, включая продвинутое вредоносное программное обеспечение, эксплойты, командные и контрольные центры, которые обычно могут обойти традиционные сетевые системы безопасности. Также возможно понять поведение атакующего, включая горизонтальные перемещения данных в процессе эксфильтрации. Fidelis Network обеспечивает видимость, контекст и скорость, необходимые для выявления угроз и делает всё необходимое, чтобы кража информации никогда не состоялась.  о сути – это решение, работающее со всеми портами и протоколами (в отличии от традиционных IPS/IDS систем), имеющее в себе: IPS/IDS, технологии DPI и DSI (Deep Session Inspection – собственная запатентованная технология), DLP и мощный инструмент расследования инцидентов, а также расследования того, что произошло ранее – путём сохранения метаданных трафика сроком до 3х лет. При этом для описания траффика используется более 300 способов, что в десятки раз больше, чем у существующих на рынке решений, и позволяет получать наиболее точные и детальные метаданные.
  • Fidelis Endpoint – автоматическая система обнаружения, реакции на угрозы и управления конечными точками – серверами и рабочими станциями. Решение обнаруживает скомпрометированные конечные точки – используя индикаторы компрометации, автоматизирует расследования и реакцию, устраняя ручную работу, трату времени аналитиков, позволяя быстрее проводить обработку и проверку подозрительных инцидентов. При этом существенно снижаются требования к уровню подготовки персонала – так как Fidelis Endpoint визуализирует все процессы и действия, создавая полную и понятную картину произошедшего – то есть, кто/что/когда/как сделал, выдавая данные расследования мгновенно и в понятном виде, что обычно занимает несколько дней времени хорошо подготовленного аналитика. Решение позволяет собирать широкий спектр метаданных с конечных точек, коррелировать их с данными Fidelis, базой знаний Mitre Att&ck, TreatIntel сервисами и сторонними информационными каналами, чтобы узнать, какие конечные точки скомпрометированы. Когда скомпрометированные конечные точки обнаружены, вы можете автоматически устранять угрозы и последствия, произошедшие в результате атаки – так как решение даёт полный контроль над конечной точкой, вплоть до установки/удаления/обновления программного обеспечения, работы с реестром, файловой системой и прочими компонентами системы, до возможности полной изоляции скомпрометированной конечной точки от остальной сети (при этом конечная точка останется доступна для управления с консоли Fidelis).

Fidelis Endpoint обеспечивает видимость, контекст и автоматизацию, необходимые для выявления и пресечения инцидентов, как только они возникают. Кроме функционала EDR, есть так называемый антивирус следующего поколения (опционально), а также «песочница» (sandbox) – для детонации неизвестного ПО. «Песочница» является бесплатным компонентом платформы Fidelis Elevate®. Fidelis Endpoint имеет прямую двустороннюю интеграцию с SIEM системами, позволяя SIEM-системе управлять защитой конечной точки в зависимости от событий, известных SIEM-системе, что весьма повышает как уровень защиты критически важных ресурсов, так и возможность своевременного и быстрого расследования инцидентов – соответственно, и скорость правильной реакции на инциденты. Агент Fidelis Endpoint не требователен к ресурсам (менее 1% использования процессора и 20-40Мб оперативной памяти), не конфликтует со сторонним ПО (в том числе и антивирусами) – поддерживая при этом Linux, Microsoft и MacOS (в том числе и серверные платформы). Основные преимущества использования технологии ADR от Fidelis – это автоматизация процесса удалённой работы с конечной точкой, максимальная защита (особенно ввиду возможности блокирования любого вредоносного процесса при попытке его запуска, например, тот же Petya просто не запустится) управление/администрирование конечной точки, работа с уязвимостями и установленным ПО, снижение требований к количеству персонала/качеству подготовки персонала, возможность Treat hunting и великолепный функционал расследования/анализа происходящих на конечной точке событий – при этом, имея весьма гибкую и доступную ценовую политику. В мире существуют организации, использующие до 400000 Fidelis Endpoint с одной консоли управления. Разработанное для защиты государственных органов США, решение напрямую интегрировано в платформу безопасности Fidelis Elevate®, что даёт возможность построить уникальные реакции на любые инциденты ИБ в будущем.

  • Fidelis Deception (post breach detection system) – уменьшает время обнаружения направленных атак. Решение позволяет классифицировать все сетевые ресурсы, каналы связи и сетевой активности для создания профиля пользователей, служб и активов в сети. Результатом будет сетевой профиль-ловушка, в котором находятся все активы, включая серверы, рабочие станции, корпоративные IoT-устройства и теневые IT-ресурсы. Профиль адаптируется к изменениям в среде в реальном времени. Ловушки для злоумышленника ничем не отличаются от настоящих ресурсов. Их можно генерировать тысячи. При нулевом ложном срабатывании это позволяет надолго отвлечь злоумышленника, зная о нём, и зная, что и как он делает – что, в комплексе с остальными модулями Fidelis позволяет надёжно заблокировать большинство самых сложных атак.

Одним из основных преимуществ использования комплекса Fidelis Elevate® является высокий уровень автоматизации при реакции на инциденты безопасности, расследованиях и устранении последствий. Это даёт возможность построить эффективный центр управления безопасностью (ОЦИБ), используя всего три решения – платформу Fidelis Elevate + SIEM-систему + SOAR систему, при минимальном количестве обслуживающего персонала.

Имея в своём составе защиту сетевого трафика, глубокий анализ сетевой активности, защиту конечных точек, систему обнаружения зловредной активности и обмана злоумышленников, «песочницу» – для детонации неизвестного ПО (и всё это в одной консоли) – платформа Fidelis Elevate является уникальной, сокращая время точной реакции на инциденты ИБ с нескольких дней до нескольких минут.

Также преимуществом платформы Fidelis Elevate® является количество решаемых задач информационной безопасности, что позволяет заказчику избежать необходимости администрировать целый ряд систем от различных производителей – таким образом, не только повысить уровень информационной безопасности за счёт интеграции технологий в единую консоль управления, а и снизить расходы на обслуживание большого количества систем, подготовку и содержание сотрудников.

Подытоживая вышесказанное, Fidelis Elevate представляет собой платформу для обнаружения и предотвращения сложных кибератак, а также для реагирования на инциденты в сети организации. Основные возможности Fidelis Elevate включают:

  • Обнаружение угроз – Fidelis Elevate использует продвинутые методы анализа сетевого трафика и пакетов для обнаружения необычных и вредоносных активностей в сети. Он основан на алгоритмах машинного обучения и анализе поведения, что позволяет выявлять даже сложные и скрытые угрозы.
  • Предотвращение атак – после обнаружения потенциальной угрозы Fidelis Elevate может предпринять автоматические действия для предотвращения атаки, блокируя вредоносный трафик или изолируя компрометированные системы.
  • Ответ на инциденты – Решение предоставляет средства для реагирования на киберинциденты, такие как сбор доказательств, исследование инцидентов, а также мониторинг и анализ активности злоумышленников.
  • Интеграция и аналитика – Fidelis Elevate позволяет интегрироваться с другими системами кибербезопасности и платформами SIEM (Security Information and Event Management), что обеспечивает централизованный контроль и анализ данных о безопасности.
  • Защита от утечек данных – Решение обладает функциональностью Data Loss Prevention (DLP), которая помогает предотвращать несанкционированные передачи конфиденциальной информации из организации.
  • Ловушки и сенсоры – Основная идея Fidelis Deception заключается в том, чтобы создать иллюзию, что в сети существуют ценные активы, уязвимости и слабые места, которые могут быть целью для атак. Эти искусственные цели называются “ловушками” или “приманками”. Когда злоумышленник пытается атаковать или взаимодействовать с этими ловушками, решение Fidelis Deception активируется и начинает регистрировать и анализировать действия злоумышленника.

Fidelis Elevate предназначен для предоставления комплексной защиты и реагирования на сложные киберугрозы, что делает его популярным среди крупных организаций и предприятий, которые сталкиваются с постоянно меняющимися угрозами в киберпространстве.

Источник:
https://icore.kz/obnaruzhenie-i-reagirovanie-na-ugrozy-ks/fidelis-elevate-xdr/
https://fidelissecurity.com/
https://fidelissecurity.com/threatgeek/
https://oberig-it.com/ru/solution_manf/fidelis-ru/

Автор: 
Ледебев А.