Kilka miesięcy temu firma Fidelis zleciła badanie stanu zespołów ds. bezpieczeństwa, które potwierdziło podejrzenia, jak bardzo te zespoły są obecnie przeciążone. Ponad 60% respondentów przyznaje, że nie są w stanie sklasyfikować nawet jednej czwartej otrzymywanych na co dzień alertów. Jakie to są alerty i dlaczego jest to takie trudne do klasyfikacji?

Alerty są trudne z powodu wdrożonych systemów. Obecny sposób zapewnienia bezpieczeństwa opiera się na narzędziach Security Information and Event Management (do zarządzania informacją dotyczącą bezpieczeństwa i zdarzeniami). To co my robimy inaczej, to korzystanie z nieprzetworzonych danych sieciowych. Czyli umiejętność jasnego, pewnego, dokładnego i szybkiego patrzenia ‒ możemy spojrzeć na całość zawartości sieci, całość danych z sesji związanych z atakami, metadane. Mając to wszystko możemy zareagować na wszystkie przychodzące ataki z perspektywy detection and response (wykrywania i reagowania) i zareagować na dane opuszczające sieć z perspektywy detection and response.

Czy i jak można ustalić, czy dany dokument lub plik wykonywalny był już wcześniej w danym środowisku, jakiego typu jest to plik, kto jest jego twórcą, kto otrzymał jego kopię i kto był zalogowany na komputerze, z którego wysłano ten plik?

Tak, nasza technologia umożliwia wgląd w zawartość, dokumenty i stwierdzenie czy wiąże się  z nimi ryzyko. Możemy bez problemu odpowiedzieć na pytania: kto, co, gdzie, kiedy, jakie rzeczy się działy. Jeżeli ma Pani informacje, które nie powinny trafić poza organizację, my mamy możliwość ich zastrzeżenia/klasyfikacji i wykrycia. Możemy podjąć działania, aby zapobiec wyjściu tego typu informacji poza organizację.

Dla każdego pliku?

Dla każdego rodzaju pliku, dla wszystkich rodzajów danych.

Kto jest twórcą tego oprogramowania?

Twórcą jest spółka Fidelis Network Security. Istniejemy od 16 lat i zabezpieczamy część najwrażliwszych danych na świecie dla największych organizacji, zarówno rządowych, jak i wielkich globalnych koncernów. Robimy to dla sieci, punktów końcowych, środowisk w chmurze, środowisk hybrydowych. Zajmujemy się tym już od dawna.

W jaki sposób firmy czy spółki mogą zapewnić sobie wsparcie w zakresie bezpieczeństwa teleinformatycznego?

Najlepszym sposobem na wsparcie jest posiadanie rozwiązań, które dają prędkość i dokładność w przypadku rzeczywiście występujących zagrożeń. W dzisiejszym świecie klienci są zalewani alertami i nie wiedzą, które są dobre, a które złe. W niektórych przypadkach organizacje dostają miliony alertów dziennie i naprawdę nie mogą ocenić, co jest dobre, a co złe. Docierają jedynie do bardzo, bardzo małego odsetka. Dzięki technologiom jakie dostarcza spółka Fidelis możemy dotrzeć do informacji, które stanowią podstawę działania, we wszystkich rodzajach środowisk, wszystkim klientom.

Przejdźmy do klientów. Kto korzysta z Państwa oprogramowania?

Do naszych obecnych klientów należy wiele globalnych marek z pierwszego tysiąca, a także wiele bardzo wrażliwych środowisk rządowych, zarówno cywilnych jak i związanych z resortami bezpieczeństwa. Zabezpieczamy przed zagrożeniami i utratą danych niektóre z największych i najbardziej skomplikowanych środowisk świata.

Czym jest technologia dezinformacji?

Technologia dezinformacji została stworzona, żeby spowolnić atakującego. Wytwarzamy środowisko interesujące dla atakującego, ale tak, żeby następnie nie mógł uzyskać żadnych informacji od organizacji. Polega to na zbudowaniu i uruchomieniu emulowanego środowiska sieciowego, które odzwierciedla obecne i działa identycznie z nim. Kiedy to robimy, odkrywamy i klasyfikujemy całość zasobów sieciowych spółki, potrafimy zidentyfikować Shadow IT, rzeczy spółki, które są podłączone i uruchomione: drukarki, aparaty, skanery, rutery, inne urządzenia związane z Internetem rzeczy. Następnie budujemy emulację, która wygląda tak samo, jak sieć. Zostawiamy ślad z okruszków w sieci istniejącej, który zachęci atakujących do wejścia do środowisk emulowanych i podglądania ich. Są one przynętą: kiedy atakujący w nie wejdzie, będzie można zaobserwować ruchy poziome wewnątrz organizacji, śledzić atakującego i zapobiegać eksfiltracji danych.

Co zapewnia Fiedelisowi szczególne miejsce na rynku?

Jesteśmy bardzo innowacyjni, korzystamy zarówno z własnej innowacji, jak i przejęć. Ekosystem, który stworzyliśmy działa jako środowisko dostarczające organizacjom pełnego wglądu. Chodzi tu nie o perspektywę bazującą na logach czy na protokole NetFlow, ale o perspektywę bazującą na zawartości, metadanych i analizie sesji. Zbieramy wszystkie nieprzetworzone dane z punktu końcowego, nieprzetworzone dane z sieci, mamy wgląd dla całego przedsiębiorstwa: lokalnie, ale też w centrach danych i chmurze. Taki wgląd we wszystkie porty i protokoły w całym środowisku hybrydowym jest naprawdę wyjątkowy i bardzo się cieszymy, że możemy to wprowadzić na rynek.

Czy to prawda, że w Państwa spółce są specjaliści, którzy pracują 24 godziny na dobę, dostarczając wsparcia w przypadku cyberataków?

Tak, mamy usługę typu Managed Detection and Response (usługę zarządzania wykrywaniem i reagowaniem), która polega na monitorowaniu naszych infrastruktur dla klientów 7 dni w tygodniu, 24 godziny na dobę, 365 dni w roku.

Otrzymali Państwo wsparcie finansowe. Jak duże i na jakie cele?

Tak, otrzymaliśmy niedawno finansowanie w postaci 25 milionów USD i to finansowanie zostanie przeznaczone na przyrostowe, dodatkowe innowacje w naszym pakiecie produktów oraz na udoskonalenie naszej strategii wejścia na rynek, a także na ciągły rozwój naszej oferty usług typu detection and response.

Źródło: Fidelis Cybersecurity