Fortinet introduceert FortiNDR als network detection & response oplossing
Fortinet heeft FortiNDR aangekondigd, een network detection & response (NDR)-oplossing voor snellere bedreigingsdetectie en incidentrespons. Op basis van zelflerende AI-functionaliteit, machine learning en geavanceerde analyses creëert FortiNDR baselines van normale netwerkactiviteit. De oplossing kan daarmee afwijkend gedrag uitlichten dat op een cyberaanval zou kunnen wijzen. Deze profilering kan onder meer worden gebaseerd op IP-adressen, poorten, protocollen, gedrag, bestemmingen, pakketgrootte, geografische regio’s en apparaattype. Dit maakt het mogelijk om cyberbedreigingen sneller te detecteren.
FortiNDR voorziet in een Virtual Security Analyst (VSATM) die gebruikmaakt van diepe neurale netwerken. Deze virtuele analist is ontwikkeld om taken van menselijke beveiligingsanalisten over te nemen, zoals het analyseren van kwaadaardige code en de verspreiding daarvan. VSATM is vooraf getraind op basis van meer dan 6 miljoen kwaadaardige en veilige monsters en is in staat om IT- en OT-malware in bedreigingscategorieën onder te verdelen. Dit maakt het mogelijk om op accurate wijze de oorsprong van een besmetting of hack aan te wijzen en de verspreiding van allerlei typen malware in kaart te brengen. VSATM biedt daarnaast detectie van versleutelde aanvallen, kwaadaardige internetcampagnes, zwakke encryptie-algoritmes en beveiligingsprotocollen in combinatie met classificatie van malware.
Niet op alle apparaten die binnen een organisatie worden gebruikt (zoals privé-, IoT- of OT-apparatuur) is een endpoint detection & response (EDR)-agent geïnstalleerd. FortiNDR biedt een oplossing voor dit probleem door gebruik te maken van een speciale netwerksensor voor het analyseren van al het dataverkeer dat afkomstig is van met het netwerk verbonden apparaten.
FortiNDR biedt daarnaast ingebouwde integratie met de Fortinet Security Fabric en integratie met beveiligingsoplossingen van andere leveranciers op basis van een API. Dit maakt een gecoördineerde reactie op gedetecteerde cyberbedreigingen mogelijk, waardoor hun impact wordt geminimaliseerd. Veel gebruikte automatiseringstechnieken voor het versnellen van de incidentrespons zijn het in quarantaine zetten van apparaten die afwijkend verkeer genereren, het toepassen van beveiligingsregels op apparaten op basis van een API-framework en het in gang zetten van een gecoördineerd beveiligingsproces dat wordt aangestuurd door een Security Orchestration, Automation & Response (SOAR)-oplossing.