Wat maakt een goede Endpoint Detection en Response oplossing?
Naarmate de mogelijkheden voor digitaal zakendoen groter worden, nemen ook de kansen voor de bad guys toe. Maar hoe detecteer je de geavanceerde dreigingen van nu? En hoe reageer je daarop? De beste oplossing is een combinatie van kunstmatige intelligentie en cybersecurity-specialisten.
Het detecteren van verborgen activiteit van de aanvaller aan de hand van sporen die hij achterlaat, is een geheel nieuwe tak van sport. Om je een idee te geven: in een enkele middelgrote klantomgeving – met slechts 1300 endpoints – moeten we 70 miljoen evenementen per dag analyseren.
De enige schaalbare oplossing is de inzet van Artificial Intelligence (AI) en machine learning (ML). Echter, AI alleen is niet voldoende. Je hebt de perfecte combinatie van data science en cybersecurity-experts nodig.
Hoogwaardige cybersecurity voor iedereen
Recent lanceerde F-Secure een gloednieuwe endpoint-detectie en respons (EDR) -oplossing voor middelgrote bedrijven. Deze oplossing is gebaseerd op onze ervaring in de frontlinie. Met machine learning onderschept het fileless attacks, privilege escalatie en andere geavanceerde tactieken die aanvallers gebruiken.
F-Secure Rapid Detection & Response biedt bedrijven die geen grote IT- en beveiligingsteams of -budgetten hebben geavanceerde mogelijkheden om zich te verdedigen tegen gerichte aanvallen.
De mens & machine-benadering
Een mens kan maar een bepaalde hoeveelheid ruwe data events verwerken. En dat is niet genoeg. Om dat probleem op te lossen, heeft F-Secure behavioral data analysis ontwikkeld. Daarmee verfijn je de gegevens en de Broad Context Detection™ zodat je een context kunt bouwen rond verschillende events verspreid over getroffen hosts.
Het resultaat? Van de 70 miljoen events die dagelijks worden geanalyseerd, zijn er gemiddeld slechts 2 tot 3 detecties die moeten worden onderzocht.
De toekomst van Detection en Response
Met de traditionele aanpak maak en pas je een set detecties toe op basis van bekend ‘slecht’ gedrag. Onze aanpak daarentegen leidt tot daadwerkelijke aanvallen op onze systemen en traint hoe ‘goed’ gedrag eruit ziet. Vervolgens markeren we de rest voor verdere analyse en foutpositieve filtering.
In zijn keynote bij de lancering vertelde de CTO van F-Secure, Mika Ståhlberg, dat dit de benadering is waar de meeste breach detection leveranciers zich ook op zullen baseren in de toekomst.
Een omgeving in beweging
Threath hunting systems moeten zich snel aanpassen aan veranderingen. Alles in de bewaakte omgeving is in beweging – mensen, apparaten, besturingssystemen, software, bedreigingen en TTP’s.
Vanwege de aard van deze beweging zijn traditionele IDS-oplossingen vaak druk en vatbaar voor vals alarm. Deze traditionele oplossingen lopen ook altijd een stap achter op het echte dreigingslandschap.
Sleutel tot Rapid Detection zit in de backend
Om dit probleem aan te pakken, hebben onze data scientists en onze cybersecurity-deskundigen een reeks expertsystemen ontworpen en gebouwd voor statistische backend analyse en machine learning om onze analisten te ondersteunen.
Ståhlberg legt uit dat de kern van F-Secure’s back-end heel eenvoudig is en dat alle complexiteit in de omringende algoritmen zit. Deze aanpak maakt zeer snelle implementatietijden mogelijk voor nieuwe detectie algoritmen en maakt dat we ons snel kunnen aanpassen aan veranderingen.
Met de detection en response service van F-Secure hoef je niet te wachten tot systemen op je eigen locatie updates ontvangen – alles zit in onze backend-systemen.
Verschillende analysetechnieken voor verschillende taken
Onze analytics voeren een aantal taken uit, van het analyseren en leren van gedrag in gecontroleerde omgevingen tot het verminderen van foutpositieven.
Een expertsysteem vindt het soort gedrag dat wordt veroorzaakt door algemene aanvalshulpmiddelen en door de TTP’s die cybercriminelen gebruiken. Deze omvatten PowerShell-opdrachten en schadelijke URL’s en IP-adressen.
Systemen voor Machine Learning zijn ontworpen om onbekend slecht gedrag te herkennen, zoals DHCP-kapingen, laterale bewegingen, spoofing en andere heimelijke ontwijkingstactieken. We gebruiken ook verschillende multi-level combinaties van expertsystemen, statistische analyse en machine learning.
Eenvoudige statistische analyses zijn het meest geschikt om foutpositieven te elimineren. Door deze methoden toe te passen, elimineren we momenteel ongeveer 80% van alle irrelevante waarschuwingen.
De manier waarop we deze systemen hebben gebouwd en de manier waarop ze met elkaar omgaan, is vrij uniek. Het is iets wat we elders in de branche nog niet hebben gezien.
Blijf aanvallers één stap voor
Deze combinatie van kunstmatige intelligentie en cybersecurity-specialisten is het meest efficiënt en nauwkeurig wanneer je met enorme hoeveelheid event data werkt. Hiermee herkennen we aanvallen voordat ze de kans hebben om toegang te krijgen tot bedrijfskritieke gegevens of deze te beschadigen.
“Als je op zoek bent naar de naald in de digitale hooiberg is Artificial Intelligence getraind door de beste cybersecurity-deskundigen van vitaal belang. Wanneer AI zich in de juiste handen bevindt, zijn verdedigers in staat om een stap voor te blijven. Zelfs de meest bekwame, zeer gemotiveerde aanvallers,” zegt Ståhlberg.
Dit is een game-changer voor middelgrote bedrijven. Met moderne technologieën, AI en machine learning kunnen wij, samen met onze partners, iedereen hoogwaardige cyberbeveiliging bieden.
Wil meer weten? Neem contact op met onze sales.
Categorieën