Повысьте уровень безопасности с помощью индикаторов компрометации и используйте данные о репутации для обнаружения угроз в зашифрованном трафике.
Flowmon ADS 11.2 предлагает новые и усовершенствованные методы предотвращения известных угроз и извлечения уроков из атак, совершенных против других.
Главные новости:
- Черные списки с технологией JA3
- Интеграция интеллектуальной аналитики угроз MISP
Внесение зашифрованных угроз в черный список
Обычной практикой являются приложения, которые используют шифрование для защиты связи, но также известно, что некоторые вредоносные программы используют его для прикрытия. К счастью, есть быстрый способ обнаружить это - отпечатки JA3.
Технология JA3 - это своего рода печать, уникальная для каждого приложения, созданного во время установления зашифрованного сеанса.
Что нового?
Помимо возможности создания отпечатков JA3, ADS 11.2 может использовать черные списки JA3 и отпечатки известных вредоносных программ для обнаружения вредоносных или нежелательных приложений.
Это означает, что вам не нужно вручную копировать отпечатки из потоков и сравнивать их с базами данных. Система делает все это автоматически.
Загрузив черные списки, вы сделаете систему более приспособленной под ваши условия. Например, использовав черные списки для обнаружения известных вредоносных программ или обнаружения запрещенных приложений в вашей сети.
В ADS 11.2 подготовлен начальный черный список, который вы можете сразу добавить и использовать.
Причина, по которой решено предоставить файл вместо готового черного списка, заключается в том, что данный метод имеет ограничение в том, что отпечатки JA3 законных и вредоносных приложений иногда могут быть одинаковыми.
Это означает, что существует определенный риск ложных срабатываний, когда законные приложения обнаруживаются как нежелательные. Вы не сможете редактировать внутренний черный список и, следовательно, не сможете устранить ложные срабатывания. Внешний черный список вы загружаете самостоятельно, потому его можно в любое время редактировать или удалить.
Интеграция аналитики угроз MISP
Опыт - это мудрость, и мудростью нужно делиться. Такие платформы, как MISP, позволяют организациям обмениваться индикаторами компрометации и, таким образом, коллективно улучшать состояние безопасности сообщества.
Что Flowmon может здесь предложить?
Если вы являетесь одним из 6000 участников MISP, вы можете интегрировать информационный канал в свой Flowmon ADS (если нет, вам нужно установить экземпляр). Он будет извлекать данные MISP для автоматического создания черных списков IoC (Indicators of Compromise), чтобы вы могли обнаруживать и идентифицировать вредоносные коммуникации, обеспечивая немедленную идентификацию того, каким видам атак вы можете быть подвергнуты.
Если событие обнаружено, подробная информация показывает, было ли оно основано на MISP, и включает ссылку на идентификатор события MISP.
Существует огромная разница между обнаружением события в ADS и знанием того, к какому типу нарушения оно принадлежит, и необходимостью обнаружить событие самостоятельно.
Это также быстрый способ проверить, не стали ли вы жертвой недавно возникшей атаки.
Улучшение визуализации
Лучшее обнаружение заслуживает улучшенной визуализации. У ADS 11.2 обновлен дизайн, в результате мы имеем более приятное и наглядное отображение данных.
✅ Подписывайтесь на наш канал, чтобы не пропустить обновления
#информационная безопасность #системное администрирование #серверное администрирование #it #сетевые технологии