SureView - Forcepoint predstavlja novo platformo varnostnih rešitev
13.7.2016
Forcepoint, vodilni proizvajalec rešitev za napredno zaščito informacijskih omrežij, podatkov in uporabnikov, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
je sredi pomladi leta 2016 začel predstavljati novo platformo ali družino varnostnih rešitev, s katero bi ob že znanih Websense TRITON rešitvah in požarnih pregradah Stonegate uspešno zaokrožil ponudbo v celovitejši paket produktov in storitev za vse vezane potrebe strank.
https://www.forcepoint.com/product/data-insider-threat-protection/sureview-insider-threat
Produkti, ki bodo znani pod imenom Forcepoint SureView, niso novi ali še neuveljavljeni izdelki, temveč so sad tehnologije, katero Rytheon razvija že več kot 15 let. In sedaj, ko se Rytheon, Websense ter Stonegate produkti združujejo, so se odločili, da bodo dolgoletnim strankam ponudili še te rešitve in na ta način zaokrožili ponudbo. SureView so predvsem orodja za zbiranje, iskanje in varnostno analizo masovnih podatkov, namenjeni so predvsem preučevanju dogodkov v informacijskem sistemu odkrivanju in zaustavljanju naprednih napadov ali notranjih groženj.
SureView Insider Threat
Prvi predstavnik nove palete rešitev je orodje za odkrivanje in zmanjševanje notranjih groženj. Notranje grožnje so nevarnosti, ki jih bodisi pomotoma bodisi namerno povzročajo zaposleni v podjetju. To je lahko na primer zlonamerno kopiranje pomembnih poslovnih podatkov pred odpovedjo zaposlitve, ali naivno objavljanje produktnih skic na spletnem forumu. Gre se torej za orodje za zbiranje živih podatkov iz informacijskega sistema in hitro forenzično analizo podatkov z iskanjem in opozarjanjem na nenavadne vedenjske vzorce.
SureView Insider Threat lahko primerjamo s produkti podjetja ObserveIT. Rešitev je namenjena zbiranju in analizi podatkov o uporabniških aktivnostih. SureView lahko celo prikaže video posnetek ali zaslonske slike uporabniških aktivnosti, enako kot ObserveIT. A za razliko od ObserveIT, so v arhitekturi SureView rešitve poleg Agent-ov, ki so namenjeni za nameščanje na kočne naprave, kot so strežniki ali delovne postaje, še vhodni toki informacij iz drugih virov, kot so na primer SIEM rešitve in mnoge druge vrste IT komponent. Ena od pomembnejših integracij je z Websense TRITON rešitvami istega (združenega) proizvajalca, predvsem s TRITON DLP rešitvijo za preprečevanje uhajanja in kraje poslovnih podatkov, ter integracija z drugi rešitvijo iz iste družine - SureView Threat Protection. Druga primerjava, katero lahko potegnemo, je s HP ArcSight User Behavior Analytics - to je prav tako orodje, ki prav tako koristi podatke, katere mu dobavljajo SIEM in nekatere drugih vrst rešitev, ne pozna pa agentov, ki bi pobirali podatke neposredno s končnih naprav.
Poleg Agent-ov na končnih postajah in osrednje komponente, ki je v bistvu strežnik in baza podatkov, je za uporabnika najpomembnejša upravljalna konzola Command Center. Namreč druge komponente zbirajo in hranijo podatke o uporabniški aktivnosti, uporabniška konzola pa je napredno analitično orodje za interaktivno preiskovanje masovnih podatkov - globalno preiskovanje vedenjskih vzorcev, ustvarjanje primerjalnih vrednosti, iskanje podrobnosti, tridimenzionalne analize, alarmiranje, izdelavo poročil itn. SureView Insider Threat lahko samodejno določi običajne vedenjske vzorce - ti. Baselining - in samodejno opozarja na nenavadne aktivnosti ter sproti vodi seznam najbolj tveganih uporabnikov. Uporabimo ga za odkrivanje kaj uporabniki počnejo, ali kršijo pravila obnašanja oz. rabe informacijskega sistema, dostopajo do sistemov, ki so jim zaklenjeni, prikazujejo podatke, katerih naj nebi videli, tiskajo velike količine ali nenavadne tipe podatkov brez dejanske potrebe po tiskanju, in drugo.
SureView Insider Threat je rešitev, ki postane zanimiva predvsem v kontekstu ZVOP-a ter prihajajoče nove EU direktive o varovanju podatkov. Obe besedili dajeta namreč velik pomen nadzoru dostopa do podatkov, ta rešitev sicer ne more omejevati dostopa, lahko pa ga nadzira, obvešča, poroča oz. alarmira o nedovoljenem dostopu.
SureView Threat Protection
Na strojni opremi (appliance) temelječa rešitev je primerljiva s FireEye rešitvami, govora je o spremljanju spletnega prometa, elektronske pošte in dogajanja na delovnih postajah, ter o odkrivanju, obveščanju o ter preprečevanju aktivnosti naprednih napadov oz. groženj (ATP - advanced threat protection). Rešitev dobiva podatke iz ustreznega spletnega prometa, ki je pripeljan na mrežni priključek naprave, ali na primer iz integracije s SureView Insider Threat.
SureView Threat Protection spremlja mrežni promet, zaznava objekte (na primer datoteke) in jih "obdela" z več tehnologijami ali algoritmi za odkrivanje zlikovcev - na primer skozi klasični anti-virus, ali skozi hevristične postopke s strojnim učenjem ipd. Najpomembnejša tehnologija SureView Threat Protection je lokalni peskovnik 'local sandboxing' - tehnologija v napravo vgrajenih od okolice izoliranih navideznih strojev, znotraj katerih poskuša naprava odpirati in poganjati datoteke ob sprotnem podrobnem nadzoru sistema in ugotavljanju anomalij, ki so indikatorji težave oz. IoC - Indicators of Compromise. Ob ustrezni umestitvi v sistem lahko naprava tudi samodejno ukrepa proti odkritim grožnjam.
Raytheon oz. Forcepoint uporablja kombinacijo dveh peskovniških tehnologij, prvo so razvili sami, druga pa je odprtokodna. Agenti že delujejo na končnih točkah z operacijskim sistemom Windows, v letošnjem letu bodo pripravljeni tudi za Mac računalnike.
Forcepoint TRITON integracija - rešitev zna komunicirati z napravo za diagnostiko varnostne situacije v omrežju Forcepoint ThreatSeeker, v bodoče pa naj bi imeli algritmi TRITON rešitev možnost pošiljanja datotek na ta peskovnik v sprotno lokalno preverjanje.
SureView Threat Analytics
Masovna hitra obdelava masovnih podatkov, hitro iskanje razloženih podatkov po različnih sistemih podatkovnih baz, brez potrebe po predhodnjem preoblikovanju ali prilagajanju podatkovnih zapisov. Analitično preiskovanje podatkovnih vzorcev, odkrivanje in vizualizacija skritih relacij, rednih in izstopajočih vedenjskih vzorcev, anomalij, in drugega, neodvisno od vsebinske tematike podatkov.
SureView Memory Integrity
Rešitev za odkrivanje škodljive kode znotraj operacijskega sistema Linux. S pomočjo te rešitve lahko dobimo natančen vpogled, oziroma v bistvu orodje samo ima natančen vpogled v Linux okolje, nam bi bilo spremljanje dogajanja tam znotraj namreč približno tako nerazumljivo kot ASCII animacije iz filmov Matrix. Na podlagi podrobnega nadzora sistemskega dogajanja lahko zazna in alarmira odgovorne osebe o prisotnosti škodljive kode v delovnem pomnilniku operacijskega sistema Linux.
Avtor / prevod: Robert Lubej
Povezava do nove spletne strani podjetja:
### ### ###
O Forcepoint
Forcepoint je nastal z združitvijo podjetja Websense ter Raytheon Cyber Products in pridružitvijo bivšega Intel-McAfee oddelka za napredne požarne pregrade.
Websense je bil vodilni proizvajalec rešitev za filtriranje spletnih vsebin, od leta 2007 naprej je ponujal tudi najbolje ocenjeno rešitev za preprečevanje uhajanja podatkov, leta 2010 pa so pod ime TRITON združili popolno kombinacijo rešitev za zaščito spletnega prometa, prometa elektronske pošte ter poslovnih podatkov, v opcijski kombinaciji na lokaciji nameščenih rešitev ali storitev v strežniškem oblaku.
V prvi polovici leta 2015 je Websense postal lastništvo podjetja Raytheon, ki je največji ponudnik storitev in rešitev kibernetske varnosti za ameriško obrambno ministrstvo. Konec leta 2015 se je Websense-u pridružil še bivši oddelek podjetja McAfee za napredne požarne pregrade - prej Stonesoft in Sidewinder. Od 14. 1. 2016 naprej poslujejo pod enotnim imenom Forcepoint.
Več o podjetju najdete na spletnih straneh: http://www.websense.com
Dodatne informacije:
Robert Lubej, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74