A cena global de cibersegurança enfrenta o surgimento de uma série de novos grupos de APTs (Advanced Persistent Threats), causado pela situação geopolítica e a guerra cibernética que está acontecendo nas regiões mais instáveis do mudo. Os controles de segurança da informação tradicionais enfrentam uma grande dificuldade em lidar com a evasividade dos atacantes, em parte pela falta de visibilidade e de acesso a dados claros para a detecção de intrusão.

Uma solução de NDR como o Zerum Lynx™ ajuda a detectar as técnicas de intrusão mais sofisticadas. Por trabalhar com Deep Packet Inspection e correlacionar os dados da pilha do pacote por completo, o Zerum Lynx™ oferece aos analistas todas as provas que precisam para investigações precisas.

Como um exemplo, a tática de Adversary in The Middle (AiTM) ou ataques de Man in The Middle são difíceis de detectar por meios convencionais como Firewall e IDS. Os casos onde o APT apenas coleta dados não oferecem indícios claros de atividade maliciosa. Uma inspeção mais aprofundada das transações, além dos dados observados pela análise de flow, pode revelar provas que algum tipo de informação está sendo capturada durante o fluxo de pacotes.

Informações de protocolos como DHCP e SMB,  proporcionam aos analistas uma compreensão ainda mais profunda do tráfego de rede, além do flow que normalmente trabalha em L3 e L4. Com a visibilidade adicional, é possível detectar anomalias de comunicação advindas de um ataque utilizando as técnicas de Adversary in The Middle.

Os dados advindos da análise profunda de pacotes são tão ricos em informações que as correlações feitas com os dados possibilitam a detecção de diversas outras ameaças, como os temidos Insider Threats. 

Quando um APT lança o ataque de dentro da rede da organização, utilizando alguma credencial válida, as defesas de perímetro dificilmente enxergam a movimentação suspeita. O Zerum Lynx™ portanto, por ser uma solução de Network Detection and Response, utiliza as informações de Deep Packet Inspection e correlaciona com outros dados relevantes (endereço MAC, porta, protocolo, entre outros) e detecta um APT disfarçado como usuário legítimo.

As empresas devem considerar fortemente as soluções NDR para complementar as ferramentas baseadas em assinaturas e sandboxes de rede. Muitos clientes do Gartner relataram que as ferramentas de NDR detectaram tráfego de rede suspeito que outras ferramentas de segurança de perímetro haviam deixado passar.

Gartner NDR Market Guide 2022

---

---

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

---

📝 Para saber mais, entre em contato através do formulário abaixo.