Flowmon
Flowmon ADS
Flowmon Anomaly Detection System (ADS) je kyberbezpečnostní nástroj založený na pokročilé detekci nežádoucích anomálií v síťovém provozu. Odhalte hrozby v jejich prvopočátcích a společně se standardními bezpečnostními technologiemi vytvořte ucelenou, vícevrstvou ochranu podnikových systémů a dat.
Podívejte se do Flowmon ADS
Flowmon ADS
S Flowmon ADS:
  • Pokryjete mezeru mezi perimetrem a koncovými stanicemi
  • Detekujete neznámé a vnitřní hrozby pomocí pokročilé AI technologie
  • Získáte vhled do šifrovaného provozu
  • Odhalíte útoky proti kritickým aplikacím, škodlivé chování a narušení integrity dat

Zákazníci spoléhající na Flowmon ADS

Automatická detekce
Detekujte hrozby automaticky a okamžitě.
Přehled bez informačního šumu
Mějte precizní přehled o problému díky strojovému učení a pokročilým algoritmům.
Spolupráce síťových a bezpečnostních týmů
Flowmon ADS slouží jako společný prostor pro spolupráci na řešení problému.
Detekce „low and slow“ útoků
Odhalte útoky maskující se jako legitimní provoz, neprojevující se jeho nečekaným nárůstem.

Klíčové funkce a přínosy řešení

Automatická detekce
Detekujte hrozby automaticky a okamžitě.
Přehled bez informačního šumu
Mějte precizní přehled o problému díky strojovému učení a pokročilým algoritmům.
Spolupráce síťových a bezpečnostních týmů
Flowmon ADS slouží jako společný prostor pro spolupráci na řešení problému.
Detekce „low and slow“ útoků
Odhalte útoky maskující se jako legitimní provoz, neprojevující se jeho nečekaným nárůstem.
Včasné upozornění na hrozbu
Zastavte hrozby v jejich zárodku pomocí technologie rozpoznání vzorů chování.
Nízká míra false positives
Redukujte množství false positives na minimum pomocí souběžně pracujících technik, jako jsou vzory chování, reputační databáze, indikátory kompromitace a další.
Zkrácení reakční doby
Nápravu nežádoucí situace pomáhá vizualizace incidentu v jeho kontextu.
Široké možnosti Integrace
Integrujte Flowmon ADS se svými SIEM, ticketovacím nástrojem nebo incident response systémy.
Včasné upozornění na hrozbu
Zastavte hrozby v jejich zárodku pomocí technologie rozpoznání vzorů chování.
Nízká míra false positives
Redukujte množství false positives na minimum pomocí souběžně pracujících technik, jako jsou vzory chování, reputační databáze, indikátory kompromitace a další.
Zkrácení reakční doby
Nápravu nežádoucí situace pomáhá vizualizace incidentu v jeho kontextu.
Široké možnosti Integrace
Integrujte Flowmon ADS se svými SIEM, ticketovacím nástrojem nebo incident response systémy.

Výhoda v každé fázi kompromitace

Tradiční nástroje detekující hrozby na základě signatur a pravidel, jako firewally, IDS/IPS a antivirové programy, jsou nezbytnou součást ochrany perimetru a koncových stanic před známými a popsanými hrozbami. Neumožňují však organizacím se bránit proti hrozbám, které tuto ochranu obchází. Zneužití této bezpečnostní mezery přitom patří mezi nejčastější způsoby paralyzace firmy a zneužití dat. Vnitřní hrozby nicméně lze detekovat, a to pomocí anomálií v síťovém provozu, které indikují kompromitaci. 
Network security approach comparison

Jak to funguje

1
Detekce události

Flowmon ADS využívá řady detekčních mechanismů analyzujících síťový provoz z různých pohledů. Tím pádem umí podchytit široké spektrum hrozeb a útočných scénářů.

Strojové učení

Příklad: Útočník se snaží prolomit obranu silou (brute-force). Pomocí entropického modelování Flowmon ADS zachytí nestandardní, opakující se chování, které je typické pro slovníkový útok.

Adaptivní prahy

Příklad: Zařízení v krátké době překročilo běžný počet požadavků na DNS server. Jinými slovy, daný stroj se chová jinak, než ostatní zařízení v síti, což indikuje jeho zneužití pro krádež dat.

Heuristika

Příklad: Zařízení kontaktuje větší množství jiných zařízení po celém světě, vybírá si jen některé a z nich pak stahuje obsah. Stahování je ukončeno ve stejný čas. Systém danou aktivitu vyhodnotí jako využívání bittorrent sítě.

Vzory chování

Příklad: Vestavěná inteligence řešení Flowmon se naučí, jak vypadá běžný provoz pro různé síťové protokoly ve vaší síti. V jednom momentě upozorní na nestandardní ICMP komunikaci, která se standardně používá pro diagnostiku a kontrolní účely. Pakety v dané komunikaci jsou mnohem větší, než je normální, což indikuje nestandardní transfer dat. Při hlubším šetření je identifikováno vynášení uživatelských údajů, které je kontrolováno malwarem.

Reputační databáze

Příklad: Flowmon threat intelligence udržuje aktuální databázi reputačních feedů a indikátorů kompromitace. Pomocí metody blacklist porovnává aktivitu v síti s reputačními databázemi a umožňuje tak detekovat, například, komunikaci s botnet command & control centry.

Signaturní detekce

Součástí Flowmon ADS je systém Suricata IDS pro signaturní detekci hrozeb. Ten dovoluje zachytit známé, podezřelé vzory chování. V rozhraní ADS s nimi pak lze pracovat jako se standardní událostí detekovanou Flowmon ADS.

2
Reporting a vizualizace

Analytický pohled poskytuje vizualizaci útoku, včetně jeho kontextu. Možnost rozpadu události na větší detail (drill-down) dovoluje plně porozumět, co se ve vaší síti děje.

3
Segmentace a prioritizace

Incidenty jsou hodnoceny podle vašich priorit. Jednoduchý průvodce konfigurací vás provede nastavením a přizpůsobením systému vašim potřebám.

4
Reakce na událost

Flowmon ADS lze integrovat s celou řadou nástrojů, jako jsou systémy řízení přístupu k síti (Network Access Control), autentifikační systémy, firewally a ostatní systémy pro okamžitou reakci na incident.

Typicke využití Flowmon ADS

Detekce vnitřních hrozeb
Detekce vnitřních hrozeb
Flowmon ADS chrání vaši síť bez ohledu na to, zda bezpečnostní incident způsobí nedbalý uživatel nebo profesionální útočník.
Detekce neznámých hrozeb
Detekce neznámých hrozeb
Detekce podezřelých vzorů chování umožňuje Flowmon ADS odhalovat doposud nepopsané hrozby, a to již v jejich počátcích. Tedy před tím, než způsobí škodu.
Investigace a reakce na incidenty
Investigace a reakce na incidenty
Strojové učení a datová analytika fungují jako jeden celek poskytující administrátorovi kontext události potřebný ke zkrácení času jejího vyřešení.
Troublehooting a forenzní analýza sítě
Troublehooting a forenzní analýza sítě
Bezpečnostní síťový monitoring nové generace přináší vhled do dění v síti, který slouží jako podklad pro rychlé nalezení, analýzu a vyřešení problémů.

iconfinder_ic_video_library_48px_3669182.pngFlowmon ADS v akci

Webinář
Hacker's Fingerprints
Jak se vypořádat s útoky, jako jsou DHCP a DNS spoofing, skenování portů nebo podsouvání fake certifikátů? Naši experti vám ukážou, jak na to pomocí technologie detekce anomálií.
Spustit webinář
The-hackers-fingerprints-thumbnail.png

Integrace

Využijte širokých integračních možností s komplementárními nástroji a platformami, například pomocí syslog, SNMP, REST API nebo pomocí skriptů. Flowmon slouží jako vitální zdroj informací pro nástroje typu log management, SIEM, big data platformy, systémy pro správu incidentů a automatizační bezpečnostní nástroje.

Síťová telemetrie

Využijte svoji stávající infrastrukturu jako sensor. Generujte NetFlow, IPFIX, jFlow nebo NetStream ze síťových prvků a dalších zdrojů, jako jsou veřejná cloudová prostředí, firewally, virtualizační platformy nebo packet brokery.


a další
Identita uživatele

Zjistěte, který uživatel nebo hostname byl zapojen do útoku pomocí sbírání logů z autentifikačních systémů a jejich korelováním ve Flowmonu. Každá autentifikační služba nebo výrobce umožňující propojení přes syslog je podporován, včetně Cisco ISE a AD/LDAP.

Technologičtí partneři
Logování a reporting

Posílejte do svého log management nástroje nebo SIEMu komplexní logy společně s dalšími informacemi přes syslog nebo SNMP. Maximalizujte viditelnost napříč IT prostředím nebo automaticky logujte události do svého ticketovacího systému.

Technologičtí partneři
Blokování útoku

Automatizujte reakci na bezpečnostní incident pomocí integrace Flowmonu s firewally, SDN kontrolery a dalšími technologiemi pro řízení přístupu k síti nebo incident response nástroji. Nebo si připravte vlastní mitigační scénář, který se spustí, jakmile se objeví bezpečnostní incident.

Technologičtí partneři

Flowmon IBM QRadar aplikace

Flowmon disponuje nativní aplikací, díky které lze jednoduše pracovat s detekcemi Flowmon ADS přímo v rozhraní SIEM systému IBM QRadar. Flowmon ADS poskytuje QRadaru detailní vhled do dění v síti a předává informace o provozních problémech, anomáliích a podezřelém chování.
Zjistěte více o Flowmon IBM Qradar aplikaci
IBM-Qradar-logo

Funkce Flowmon ADS

Pokročilá reakce na událost

Reakci na útok lze automatizovat například integrací se síťovými nebo autentifikačními nástroji. Jakmile je detekována událost, Flowmon se může spojit například s Cisco ISE prostřednictvím pxGrid a dát podezřelou IP adresu do karantény.

Evidence a analýza útoku

Podezřelou událost Flowmon zobrazuje v její úplnosti. Evidence útoku, včetně potřebného kontextu, vizualizace, síťová data nebo záznam provozu v plném rozsahu pro forenzní analýzu umožňuje rychlé a správné rozhodování.

Automatické nahrávání útoku

Flowmon umožňuje automaticky spustit záznam provozu v plném rozsahu (full packet capture) při detekci události. Díky funkci Rolling Memory Buffer jsou součástí záznamu také provozní síťová data z doby před začátkem útoku.Pomocí filtru ukládáte jen tu část záznamu útoku, která je relevantní.

Jednotný pohled pro provozní a bezpečnostní monitoring

Unikátní kombinace včasné detekce, systému varování na bezpečnostní událost a viditelnosti do síťového provozu umožňuje síťovým, provozním a bezpečnostním týmům skutečně spolupracovat na hledání příčiny incidentu a jeho řešení. Flowmon představuje společný zdroj dat respektující jejich potřeby.

Bezešvá integrace se SIEM
Reportujte detekované události přímo do vašeho SIEM systému, dohledového systému nebo nástroje pro správu incidentů. Integrace s IBM QRadar je možná skrz nativní Flowmon aplikaci, REST API a syslog.
Uživatelsky definované metody

Možnost definovat vlastní pravidla pomocí syntaxu podobného SQL dává plnou flexibilitu pro vytváření vlastních detekčních metod.

Identifikace uživatele

Korelací logů z vašeho autentizačního systému ve Flowmonu přesně určíte, který uživatel a hostname jsou součástí útoku. Flowmon podporuje libovolný autentikační sytém využívající syslog, včetně Cisco ISE a LDAP.

Detekce s využitím umělé inteligence

Pokročilý detekční engine Flowmonu využívá strojového učení a modelování entropie pro detekci podezřelého chování a anomálií v síťovém provozu. Díky tomu je možné odhalovat útoky typu APT, malware, vnitřní a další hrozby obcházející signaturní nástroje.

Vzory chování

Vzory chování umožňují odhalit podezřelou aktivitu uživatelů, zařízení nebo serverů. Porozuměním chování protokolů jako je DNS, DHCP, ICMP a SMTP zle odhalit exfiltraci dat, průzkum sítě vedený útočníky a další nežádoucí aktivity.

Průvodce konfigurací

Systém Flowmon obsahuje předdefinované konfigurace pro celou řadu typů sítí. Po počáteční konfiguraci dochází k automatickému přizpůsobení systému pomocí průvodce, díky čemuž lze maximalizovat relevanci detekovaných eventů.

Včasná detekce

Detekujte síťové anomálie a incidenty v reálném čase. Informace o události jsou průběžně updatovány, takže máte všechny potřebné informace i kontext pro řešení situace.

Prioritizace a reporting

Využijte předdefinovaná pravidla pro prioritizaci událostí nebo stanovte svá vlastní na globální, skupinové nebo uživatelské úrovni. Vytvářejte vlastní dashboardy pro bezpečnostní specialisty, správce sítě, pracovníky helpdesku nebo manažery.

Threat Intelligence

K dalšímu posílení svých detekčních schopností Flowmon využívá informace z komerčních a komunitních databází hrozeb. Upozornění na možnou kompromitaci, komunikaci s podezřelými zařízeními, jako jsou C&C servery nebo phishingové stránky.

Zákazníci spoléhající na Flowmon ADS

"Flowmon nám doslova otevřel oči nad obrovskými objemy dat. Jednoduché a zároveň detailní ovládání je přímo šité jak pro síťové administrátory, tak pro manažery. Modul ADS detekující anomálie nás upozorňuje na interní neoptimality, ale i na každodenní útočné pokusy."
Martin Doleček Manažer provozního oddělení
"V tak citlivém prostředí, jakým bezesporu bankovní datová síť je, je potřeba mít přehled nad bezpečnostními hrozbami, datovými toky a anomáliemi. Tuto kontrolu a vyšší bezpečnost nám přinesl právě produkt Flowmon. V konfiguraci s již stávající infrastrukturou Cisco a výpočetním výkonem v datových centrech jsme získali cenově výhodné řešení, které nám umožňuje detailní přehled provozu sítě, možnost zpětné analýzy a zefektivnění správy."
Jan Krtička Vedoucí síťové infrastruktury
RaiffeisenbankO2 IT Services AT Computers

Další zdroje k Flowmon ADS

Vyzkoušejte Flowmon ADS ve své síti

30 denní trial s asistencí při počáteční konfiguraci
Vyzkoušet Flowmon ADS