Vectra Cognito Detect

Cyber-Angriffserkennung und Threat Hunting dank künstlicher Intelligenz

Durch die Kombination fortschrittlicher Techniken für maschinelles Lernen (einschliesslich Deep Learning und neuronale Netze) findet Cognito Detect schnell und effektiv verborgene und unbekannte Angriffe, bevor Schaden entsteht.

Cognito Detect analysiert den gesamten Netzwerk-Traffic sowie alle Protokolle von Sicherheitssystemen, Authentifizierungssystemen und SaaS-Anwendungen und kann so einen unternehmensweiten Einblick in verborgene Cyber-Attacken liefern. Dadurch können sich Angreifer nirgendwo verstecken – weder in Cloud- und Rechenzentrum Workloads noch auf Anwender- und IoT-Geräten.

Software-Updates mit neuen Algorithmen für die Bedrohungserkennung werden Kunden in regelmässigen Abständen als Bestandteil der Cognito Detect-Lizenz übermittelt. So ist sichergestellt, dass die Anwender ununterbrochen vor den neuesten hochentwickelten Bedrohungen geschützt sind.

Software-basierter Security-Analyst

Cognito Detect automatisiert die Suche nach Cyber-Angreifern, deckt ihre Verstecke auf und liefert Information über ihre Aktivitäten. Die schwerwiegendsten Bedrohungen werden sofort triagiert, mit Hosts korreliert und priorisiert, damit Security-Teams schneller reagieren, laufende Angriffe stoppen und Datenverlust verhindern können.

Cognito Detect automatisiert die manuellen, zeitaufwändigen Analysen der Sicherheitsereignisse. Dadurch sind Nachforschungen innerhalb von Minuten statt Wochen oder Monaten möglich, und die Arbeitslast der Security-Analysten bei Nachforschungen reduziert sich um den Faktor 32.

Auf diese Weise bleiben unterbesetzte und überlastete Security Operations-Teams den Cyber-Angreifern einen Schritt voraus und können schneller auf verborgene Bedrohungen reagieren.

Funktionsweise von Cognito Detect

Cognito Detect liefert Echtzeit-Einblicke in den Netzwerk-Traffic auf der Basis extrahierter Paket-Metadaten anstelle einer DeepPacket-Inspection und ermöglicht so Schutzmassnahmen, ohne Nutzdaten auszuspionieren.

Die Analyse von Metadaten wird auf den gesamten internen Traffic, Internet-basierten Traffic, die virtuelle Infrastruktur sowie auf die Cloud-Computing-Umgebung angewendet. Cognito Detect erkennt, überwacht und bewertet alle IP-fähigen Geräte innerhalb des Netzwerks.

Das bezieht Laptops, Server, Drucker, BYOD- und IoT-Geräte sowie Betriebssysteme und Anwendungen ein – und auch den Traffic zwischen virtuellen Workloads in Rechenzentren und in der Cloud und selbst SaaS-Anwendungen.

Daten aus System-, Authentifizierungs- und SaaS-Protokollen liefern Kontext für die Analyse der Netzwerk-Metadaten und ermöglichen die genaue Identifizierung von Systemen und Anwendern.

Cognito Detect nutzt STIX-Threat-Intelligence zur Erkennung von Bedrohungen basierend auf bekannten Anzeichen für Kompromittierungen (Indicator of Compromise, IoC), die aus Threat Intelligence abgeleitet wurden. Diese Anzeichen werden mit dem sonstigen Verhalten der Angreifer korreliert, um die Bedrohung für den Host und die Priorität des damit zusammenhängenden Risikos genau ausmachen zu können.

Indem die gesammelten Metadaten anhand von Algorithmen zur Verhaltenserkennung analysiert werden, erkennt die Lösung versteckt operierende und unbekannte Angreifer. Damit lassen sich grundlegende Verhaltensweisen von Angreifern im Netzwerk Traffic ermitteln. Dazu gehören Remote-Access-Tools, verborgene Tunnel, Backdoors, Missbrauch von Anmeldedaten, Internal Reconnaissance und Lateral Movement.

Cognito Detect lernt Ihre lokale Umgebung kontinuierlich besser kennen und überwacht alle physischen und virtuellen Hosts auf Hinweise für kompromittierte Geräte und Insider-Bedrohungen. Zahlreiche Cyber-Bedrohungen werden in allen Phasen einer Cyber-Attacke automatisch erkannt, darunter:
–  Command-and-Control (C&C) sowie andere Formen verborgener Kommunikation
–  Internal Reconnaissance
–  Lateral Movement
–  Missbrauch von Zugangsdaten für Konten
–  Exfiltration von Daten
–  Frühe Indikatoren für Ransomware-Aktivitäten
–  Botnet Monetization
–  Angriffskampagnen, darunter das Mapping aller Hosts auf ihnen zugeordnete Angriffs-Indikatoren

Cognito Detect überwacht und erkennt verdächtige Zugriffe auf kritische Assets, die von autorisierten Mitarbeitern ausgehen, und Richtlinienverletzungen im Zusammenhang mit der Nutzung von Cloud-Speichern, USB-Speichern und anderen Methoden, die es erlauben, Daten aus dem Netzwerk heraus zu bewegen.

Der Vectra Threat Certainty Index in Cognito Detect konsolidiert Tausende Events und historische Kontext-Informationen, um exakt jene Hosts zu bestimmen, die die grösste Bedrohung darstellen.

Unüberschaubare Mengen an Daten werden so effizient reduziert, dass die tatsächlich wichtigen Bedrohungen sichtbar werden. Die Scores für die Größe einer Bedrohung und für die Wahrscheinlichkeit ihres tatsächlichen Eintretens lösen passende Mitteilungen an die Security-Teams aus oder setzen Response-Maßnahmen anderer Enforcement-Points, SIEMs und forensischen Werkzeuge in Gang.

Die Attack Campaigns-Funktion automatisiert Sicherheitserkennungen noch weiter, indem ähnliche Verhaltensweisen der Angreifer korreliert und Beziehung zwischen Hosts offengelegt werden. Das betrifft interne Erkennungen, externe C&CDetektionen und Verbindungen mit typischen C&C-Infrastrukturen.
Da Angreifer Reconnaissance betreiben und sich in einem Netzwerk lateral von Host zu Host bewegen, korreliert Cognito Detect deren Verhaltensweisen auf alle involvierten Hosts und mit allen Detektionen und präsentiert eine Zusammenfassung der gesamten Angriffskampagne.

Cognito Detect liefert Ansichten von Hosts oder damit zusammen hängenden Kampagnen-Detektionen und analysiert die gesamte Event-Historie, um die Aktivitäten und das gesamte Ausmass des Angriffs besser zu verstehen.

Mit den sofort verfügbaren wirklich relevanten Informationen und Kontextangaben können Sie schnell und zielgerichtet auf Bedrohungen reagieren. Im Gegensatz zu Produkten zur Sicherheitsanalyse sind mit Cognito Detect keine manuellen Untersuchungen erforderlich, da Bedrohungen automatisch priorisiert und mit kompromittierten Hosts und wichtigen Assets korreliert werden, auf die Angriffe abzielen.

Cognito Detect macht Details zur Bedrohungserkennung sofort verfügbar – einschliesslich Host-Kontext, Paketerfassungen und Scores für die Grösse einer Bedrohung und für die Wahrscheinlichkeit ihres tatsächlichen Eintretens.

Zudem integriert sich Cognito Detect mit Next-GenerationFirewalls, Endpoint Security, NAC und anderen EnforcementPoints, damit unbekannte und individuelle Cyber-Angriffe automatisch blockiert werden. Ausserdem erhalten Sie durch Cognito Detect einen klaren Ansatzpunkt für weitere Untersuchungen, wodurch die Effizienz Ihrer SIEMs und forensischen Analyse-Tools gesteigert wird.

Highlights Cognito Detect

  • Innovative

    Zeitersparnis, dank Sicherheitskontext

  • Innovative

    Stärkung Ihrer vorhandenen Security-Infrastruktur

  • Innovative

    Erkennung von Ransomware in allen Angriffsschritten

  • Innovative

    Sicherheit von der Hardware- zur Workload-Ebene

  • Innovative

    Bessere Response

  • Innovative

    Erkennung verdächtiger Zugriffe auf kritische Assets

Sagen Sie Cyber-Angreifern mit Cognito den Kampf an. Kontaktieren Sie uns.

Vorname *

Nachname *

Firma *

Funktion *

E-Mail *

Telefon *

Bemerkung