CISO Advisor: 238.042 page views/mês - 89.507 usuários/mês - 5.291 assinantes

Security Analytics eleva rapidez de resposta

Paulo Brito
22/03/2016

O RSA Security AnRSA questionada sobre criptografiaalytics conta agora com um mecanismo análise de comportamento em tempo real, projetado para acelerar a detecção de atividades relacionadas a ataques avançados. O novo mecanismo, que conta com aprendizado de máquina, foi desenvolvido para identificar, com rapidez, os aspectos principais de ameaças mesmo na falta de informações prévias como as de assinaturas, regras ou watch lists.  A ideia dos desenvolvedores foi unir visibilidade de logs, endpoints e rede com a percepção de processos suspeitos e com informações dos analistas de segurança para detectar o escopo completo de atividade da ameaça.

O analytics engine é projetado para identificar atividades e comportamentos estranhos e em seguida cria incidentes para investigação, sem a necessidade da intervenção de cientistas de dados. Profunda visibilidade ao nível de pacotes e técnicas de ciência de dados para localizar comportamentos como os de sistemas comprometidos e o uso de comunicação anormal entre processos, as equipes de segurança podem detectar ameaças sofisticadas com mais rapidez.

O RSA Security Analytics foi projetado para permitir que organizações de qualquer nível de maturidade diferenciem, com rapidez, os padrões de comportamento de domínios sinalizadores ou atividades de comando e controle (C2), entre outras anomalias de alto risco. Combinando, por exemplo, dados de log do Windows com informações sobre os modos pelos quais logins do Windows podem ser manipulados para facilitar escalada de privilégios, o mecanismo de lógica analítica do RSA Security Analytics consegue identificar tentativas de movimentos ‘laterais’ e assim encontrar agentes que possam causar danos.

A solução foi desenvolvida para aprimorar também a capacidade de investigação e determinar o escopo completo de um comprometimento, unindo o contexto do endpoint e incidentes em tempo real ao workflow da investigação. Frequentemente, as organizações  são incapazes de conectar os pontos entre diferentes incidentes que são todos parte do mesmo comprometimento ou acabam reagindo ao escopo parcial de um incidente.  Os dois casos permitem que os agentes da ameaça alterem suas táticas e continuem fugindo da detecção em outras áreas da empresa.

Compartilhar: