O Gartner formalizou a categoria de ferramentas de Network Traffic Analysis (NTA). Veja como a Zerum usa esse tipo de tecnologia para proteger sua operação de TI.

Em um guia de mercado publicado recentemente, o Gartner “formalizou” a categoria de Network Traffic Analysis (NTA), apresentando a seguinte definição:

“Network Traffic Analysis (NTA) usa uma combinação de machine learning, advanced analytics e detecção baseada em regras para detectar atividades suspeitas em redes corporativas.”

Ferramentas convencionais como Firewall eram (e na verdade ainda são) importantes para barrar a entrada de parte das ameaças cibernéticas no seu ambiente. Mas o que fazer com os agentes maliciosos mais sofisticados que conseguiram se infiltrar? Como detectá-los?

Saber o que acontece dentro do perímetro e distinguir ameaças em meio à imensa quantidade de transações da operação de TI é crítico para a segurança do ambiente. Ferramentas de Network Traffic Analysis surgem para preencher essa lacuna com visibilidade.

Quando capturado e tratado pela ferramenta certa, o tráfego é uma fonte extremamente rica de insights para TI, áreas de negócio e, claro, Cybersecurity. É o que chamamos de Wire Data.

Recursos das ferramentas de Network Traffic Analysis (NTA)

O Gartner listou os principais características que ferramentas devem ter para entrar na categoria de Network Traffic Analysis:

• Análise de tráfego da rede (flows, pacotes, etc) em real-time ou near real-time;
• Visibilidade north/south e east/west do tráfego de rede;
• Modelagem do tráfego normal para detecção de anomalias;
• Detecção de anomalias de rede sem depender de assinaturas;
• Foco na fase de detecção de ameaças ao invés da investigação forense.

Ficam fora da categoria as ferramentas que dependem de outros componentes (como SIEM ou Firewall) e aquelas cuja função primária seja:

• Análise de logs;
• Detecção baseada em assinaturas, regras ou reputação;
• Análise de sessões de usuários (UEBA);
• Análise de tráfego IoT.

Qual é a função das ferramentas de NTA?

A principal função de uma ferramenta NTA é detectar tráfego suspeito na rede. Tráfego suspeito abrange desde um usuário interno tentando acessar um sistema que não deveria até uma tentativa criminosa de exfiltração de dados.

Esse tipo de ferramenta coleta os dados da rede e aplica os recursos citados acima para identificar ameaças enquanto elas se movimentam entre um ponto e outro do ambiente de TI.

A maioria das empresa não têm esse nível de visibilidade. Se a ameaça passou pelo Firewall e antivírus (e hoje a maioria das ameaças avançadas de fato atravessa as proteções convencionais), não há como saber o impacto delas. Não à toa, existem atores maliciosos que passam meses infiltrados, buscando os melhores alvos e/ou exportando furtivamente dados sensíveis. A tecnologia de NTA lança uma luz sobre esse tráfego até então “sem fiscalização”.

Zerum Lynx

O Zerum Lynx é uma solução completa de Network Detection and Response (NDR) que coleta e analisa o tráfego da rede e aplica recursos poderosos sobre esses dados para identificar ataques. Ele evolui os recursos de um NTA adicionando funcionalidades de resposta a incidentes e análise forense:

• Real-Time Security Analytics: conta com ferramentas poderosas de busca, exploração e visualização, em uma interface intuitiva e customizável.
• Exclusivo Database Behavior Analytics: um algoritmo especializado do Zerum Lynx especializado em monitorar o comportamento de entidades em relação às suas bases de dados, extremamente efetivo para alertar sobre tentativas de violação e/ou roubos de dados;
• User & Entities Behavior Analytics (UEBA) baseado em Deep Learning: usando algoritmos de inteligência artificial, o Zerum Lynx aprende o comportamento de todos os usuários internos, apontando anomalias causadas por roubo de senhas, malware e movimento lateral; A ferramenta conta ainda com um conjunto robusto de algoritmos especializados para detectar e alertar sobre os mais variados ataques cibernéticos.
• Resposta a Incidentes: fornece ferramentas para resposta manual e automática, conforme a necessidade da sua empresa.
• Análise Forense: permite a extração de PCAPs e arquivos trafegados pela rede, entre outras funcionalidades relacionadas.
• Threat Intelligence integrado: integração nativa para investigação dos ataques, usando as melhores fontes de Threat Intelligence. Dispensa a necessidade de integrar outras ferramentas e orquestradores.
• Implementação Plug & Play: é implementado em minutos, literalmente.
• Entre outras funcionalidades

Hoje se você precisar desses recursos, terá que adquirir duas, três ou até mais ferramentas, todas elas complexas para implementar e manter.

O Zerum Lynx é uma opção segura para empresas que querem uma solução completa de detecção e resposta a ameaças avançadas na rede. E além do produto, a Zerum oferece ainda um Serviço Gerenciado de Detecção e Resposta (sigla MDR, em inglês).

O serviço é uma opção inteligente para empresas que precisam de uma alternativa rápida e acessível enquanto amadurecem sua infraestrutura e equipe de segurança cibernética. Ele oferece monitoramento, detecção e resposta a incidentes 24/7 através de especialistas dedicados e tecnologia Zerum.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para saber mais, entre em contato.