ExtraHop helpt cyberaanvallen sneller te detecteren met Reveal(x)TM Summer 2018

ExtraHop, gespecialiseerd in het monitoren en analyseren van alle digitale transacties, introduceert Reveal(x)TM Summer 2018. Deze software bevat nieuwe functionaliteit voor gedragsanalyse en het sneller kunnen detecteren van cyberaanvallen, ook als die verborgen zijn in versleuteld netwerkverkeer. Dit verbeterde inzicht in cyberdreigingen helpt IT-securityteams de oorzaak van aanvallen en securityrisico's in enkele seconden in plaats van dagen te achterhalen.

Tussen medio 2017 en 2018 steeg de gemiddelde detectietijd van cyberaanvallen naar 101 dagen, blijkt uit het M-Trends 2018 rapport van FireEye. In Verizon's Data Breach Investigations Report staat dat vaker externe partijen, zoals een samenwerkingspartner, een inbraak detecteren dan de eigen organisatie. In het ergste geval ontdekken klanten een datalek bij hun leverancier.

Snellere aanvalsdetectie

ExtraHop's Reveal(x) Summer 2018 reduceert de detectietijd van cyberaanvallen door blinde vlekken binnen het netwerk inzichtelijker te maken met geavanceerde netwerkverkeeranalyses. Reveal (x) biedt realtime en diepgaand inzicht in alle bedreigingen voor de kritische digitale assets van organisaties. Het nieuwe managementdashboard prioriteert zowel sneller als nauwkeuriger, door de grootste risico's te vergelijken met externe bronnen over securitydreigingen.

Andere functionaliteiten van ExtraHop's Reveal(x) Summer 2018 zijn:

• TLS 1.3 ondersteuning: sinds 2017, misbruikt 41 procent van alle cyberaanvallen encryptie om beveiligingsoplossingen te omzeilen. Daardoor wordt het steeds belangrijker bedreigingen in versleuteld verkeer te detecteren. Reveal(x) maakt dit mogelijk tot 100 Gbps en ondersteunt daarbij ook de eisen van het nieuwe TLS 1.3 protocol voor het ontcijferen van geheim verkeer.
• Need-to-Know Decryption: Ontcijfering met respect voor de privacyregels is voortaan mogelijk, omdat geautoriseerde securitymensen en forensisch onderzoekers het recht kunnen krijgen verdacht verkeer te bekijken (zowel content als gebruikersinformatie). Andere analisten krijgen alleen metadata van het ontcijferde verdachte verkeer te zien.
• Network Privilege Escalation Detection: Reveal(x) identificeert gedragsveranderingen die veroorzaakt worden doordat een aanvaller een apparaat heeft gehackt, toegangsrechten worden misbruikt of uitgebreid en extra privileges worden benut om meer informatie te zoeken. Reveal(x) initieert automatisch escalatie-acties op basis van gedragsveranderingen bij het gebruik van een apparaat, protocollen en commando's, zodat SecOps- teams sneller kunnen ingrijpen om gevolgen te voorkomen, of te beperken.
• Peer Group Anomaly Detection: Reveal(x) correleert automatisch het gedrag van apparaten met vergelijkbare apparatuur, om nauwkeuriger afwijkingen te kunnen detecteren. Deze correlaties worden onder andere ingezet voor het automatiseren van detecties en het classificeren van kritische assets. Deze nauwkeurigere validatie maakt interne bedreigingen en overgenomen apparatuur beter inzichtelijk voor het onderzoeken van de workflows. Door een beter inzicht in de kritische assets kunnen SecOps in samenwerking met IT-teams de toegang tot het netwerk en datacenters beter beveiligen en beheren.
• Threat Feed Integration: de nieuwe release rapporteert securityinformatie in 'Structured Threat Information Expression' (STIX) feeds. Deze bevatten verdachte URL's, hosts of IP-adressen en gemarkeerde correlaties tussen detecties in het netwerkverkeer. SecOps kunnen die feeds in Reveal(x) gebruiken, of een andere feed toevoegen voor meer intelligentie en inzicht. Analisten kunnen details over aanvallen bevestigen doordat ze eenvoudig toegang hebben tot de verrijkte securityinformatie en alle interacties van aanvallen beter kunnen traceren.
• Third Party Integrations: de securityteams van organisaties moeten goed kunnen samenwerken met andere IT-teams en gebruikte tools, voor een grondige evaluatie, beperking van de aanval en mitigatie conform de daarvoor goedgekeurde processen. ExtraHop’s REST API's ondersteunen automatische integraties met de tools van bekende leveranciers van cybersecurityoplossingen, waaronder Anomali, Palo Alto Networks, Phantom, ServiceNow en Splunk. Deze tweezijdige integraties importeren Reveal(x) inzichten en data in andere tools en laat Reveal(x) meewerken aan onderzoeken en workflows, waaronder forensische pakketanalyses.

Blinde vlekken te lijf gaan

"Cybercriminelen profiteren tegenwoordig van het grotere aantal aanvalspunten dat elk netwerk biedt, variërend van een bijkantoor, mobiele apparatuur, externe datacenters tot cloudtoepassingen", zegt Jesse Rothstein, CTO en medeoprichter van ExtraHop. "Tegelijkertijd vallen ze steeds minder op. Bij ExtraHop hebben wij jarenlang technologie ontwikkeld waarmee de hele netwerkinfrastructuur van organisaties realtime te monitoren en te analyseren is. Dus alle onderdelen en elke transactie, zodat er geen blinde vlekken meer zijn. In Reveal(x) hebben wij diepgaande vakkennis verwerkt om het inzicht te vergroten en de nauwkeurigheid te verbeteren. Daardoor kunnen SecOps-teams met gerichtere informatie sneller handelen."

"Security Operations Centers (SOC's) managen alle beveiligingsactiviteiten", zegt Eric Ogren, Senior Analyst bij 451 Research. "Die onderhouden een betrouwbare beveiligingsinfrastructuur, monitoren alle informatie en waarschuwingen over bedreigingen en werken nauw met IT-teams samen om problemen op te lossen. Netwerkverkeeranalyses zijn er inmiddels klaar voor om een hoofdrol te gaan spelen in het moderniseren van beveiligingsoperaties. ExtraHop is met Reveal(x) een pionier in deze opkomende markt. Ze bieden een breed en diepgaand inzicht in het netwerk en geavanceerde gedragsanalyses om het aantal blinde vlekken in de beveiliging van organisaties te reduceren en mogelijk volledig te elimineren."