Современные киберугрозы становятся всё более сложными: хакеры проводят атаки сразу по нескольким направлениям, чтобы увеличить вероятность взлома. Под удар попадают не только рабочие места и серверы, но даже личные смартфоны и домашние компьютеры удалённых работников компаний, мессенджеры и электронная почта. Чтобы противостоять такому многообразию опасностей, нужны средства защиты, которые помогут быстро обнаружить угрозы и среагировать на них. Компания Trend Micro предлагает своим клиентам продукт Vision One — специализированную платформу для защиты от угроз, расширяющую возможности XDR-решений. Разберёмся, что она умеет.
Многие организации используют отдельные решения для обнаружения угроз в электронной почте, локальной и облачной инфраструктуре, на рабочих местах и серверах. Однако расследование потенциальных атак с помощью даже лучших, но разрозненных инструментов требует много ручной работы. Команды безопасности перегружены огромным количеством событий. В такой ситуации очень легко пропустить реальные угрозы, составить представление о действиях злоумышленников и выработать оптимальные ответные меры.
Устранить проблему множества оповещений помогает переход к защитным решениям класса XDR. Они содержат в себе агенты для всех популярных платформ, поэтому успешно выявляют атаки, даже если они происходят сразу по нескольким направлениям. Однако для борьбы с профессиональными хакерскими группировками возможностей XDR-систем не всегда достаточно.
В решении Trend Micro Vision One вся поступающая в платформу информация собирается в специальном хранилище. Это позволяет «отмотать цепочку событий назад» — визуализировать поэтапное развитие атаки с привязкой ко времени и устройствам, указать на уязвимости, которые использовали злоумышленники. Vision One собирает и автоматически сопоставляет данные с нескольких уровней инфраструктуры: от электронной почты, компьютеров и серверов, облачных ресурсов и сетевого оборудования. Платформа позволяет быстро обнаружить сложные атаки и даёт полное понимание активности внутри инфраструктуры заказчика.
Vision One показывает, как развивалась атака по шагам, например:
- пользователь получил фишинговое письмо с вложением;
- вложение содержит документ MS Word, который эксплуатирует уязвимость в редакторе формул;
- когда пользователь открыл документ, на его компьютере запустился вредоносный сценарий;
- сценарий загрузил и запустил программу для удалённого доступа;
- потенциальные взломщики получили доступ в корпоративную сеть.
Наглядность и эффективность платформы Vision One делают работу ИБ-команд куда более эффективной в части противостояния киберугрозам: они могут делать больше, затрачивая меньше ресурсов
Вот как это работает: поставляемые с системой модели корреляции дают возможность выделить действительно значимые события из огромного потока предупреждений из множества источников. Например, в сети компании, содержащей 1000 устройств за сутки собирается и обрабатывается около 137 млн событий. Примерно 40 млн из этих файлов содержат значимую информацию для анализа, но только 95 тыс. из них содержат информацию, которую обычно просто отправляют в SIEM. После применения встроенных в Vision One моделей угроз система выделяет всего три значимых угрозы безопасности, на которые следует обратить внимание.
Но и эти показатели можно улучшить, подключив услугу Trend Micro Managed XDR. В этом случае к отслеживанию угроз и расследованию инцидентов подключаются лучшие эксперты Trend Micro.
Преимущества Vision One
— Ранжированный по приоритету обзор угроз во всей организации. В платформе имеется удобная панель визуализации Security Posture, которая показывает общий уровень риска организации (Risk Index) и детальное описание рисков по шести категориям — угрозы, обнаружения XDR, облачные приложения, аномальные действия, уязвимости и компрометация аккаунтов.
— Эффективный анализ благодаря встроенным в систему моделям корреляции событий. Данные модели созданы на основе многолетнего опыта Trend Micro и позволяют эффективно подсвечивать реальные атаки среди огромного количество «белого шума», полученного от телеметрии. При построении моделей корреляции используются актуальные данные об уязвимостях и инцидентах, выявленных в рамках программы Trend Micro Zero Day Initiative (ZDI).
— Управление доступом на основе принципа нулевого доверия (Zero Trust Network Access, ZTNA). Zero Trust Risk Insights проводит анализ устройств и пользователей, определяя наличие критических уязвимостей, возможные компрометации учётных записей, а также присутствие на устройстве агента Vision One. По этим данным строится модель доверия и определяется уровень риска, в соответствии с которым устройству/пользователю разрешается или запрещается доступ к приватным и публичным сетевым ресурсам.
Vision One значительно повышает качество и скорость работы ИБ-аналитиков. Платформа автоматически сопоставляет данные об угрозах из нескольких источников, снижая количество ручных операций при расследовании инцидентов.
Поскольку в среде заказчика могут быть развёрнуты другие инструменты или технологии защиты, Trend Micro предлагает постоянно увеличивающийся набор открытых API и интеграцию с SIEM, SOAR и другими системами. Vision One легко вписывается в экосистему заказчика и в процессы обеспечения безопасности.
Заключение
Бурное развитие ландшафта киберугроз уже не оставляет возможности для использования разрозненных систем обеспечения безопасности. Для отражения современных атак нужны актуальные решения класса XDR или более продвинутые системы, подобные Trend Micro Vision One.