Останавливаем угрозы на месте: объяснение новейших возможностей реагирования Stellar Cyber ​​на NDR

By /

Безопасность на основе искусственного интеллекта

Останавливаем угрозы на месте: объяснение новейших возможностей реагирования Stellar Cyber ​​на NDR

В современном мире SOCСкорость имеет значение. Угрозы быстро развиваются, злоумышленники действуют еще быстрее, и команды безопасности должны уметь обнаруживать угрозы и реагировать на них до того, как будет нанесен ущерб. Хотя традиционные методы Сетевое обнаружение и реагирование (NDR) Stellar Cyber ​​фокусируется на выявлении подозрительного поведения, но идет еще дальше, предоставляя клиентам возможность не только обнаруживать, но и предпринимать действия непосредственно на уровне сети, и все это с единой платформы без дорогостоящих дополнительных модулей или лицензий.

Одна мощная возможность, позволяющая это сделать, — это TCP-СБРОС, простой, но высокоэффективный метод мгновенного прерывания текущих вредоносных сетевых сеансов и предотвращения создания новых вредоносных сеансов. Для организаций, которым требуется более быстрое реагирование и снижение риска без дополнительных расходов, новейшая функция реагирования на NDR от Stellar Cyber TCP-СБРОС оказывает значительное влияние.

Что такое TCP RESET и почему это важно?

В сетях TCP/IP TCP Reset — это управляющий флаг, используемый для немедленного завершения соединения. При внедрении пакета TCP RESET в активный сеанс связь между двумя конечными точками мгновенно прерывается, не дожидаясь стандартного завершения TCP-соединения. TCP RESET также может предотвратить установление новых соединений во время первоначального трёхстороннего согласования TCP-соединения.

В операциях по обеспечению безопасности это простое действие имеет огромное значение. Если злоумышленник:

  • Фильтрация данных
  • Запуск сеанса командования и управления (C2)
  • Сканирование внутренних активов
  • Попытка использовать уязвимость приложения или устройства
  • Службы аутентификации методом подбора паролей

Немедленный сброс TCP позволяет защитнику разорвать соединение до того, как возникнет повреждение, или предотвратить установку будущих соединений, не прибегая к сложным средствам управления сетью.

Как Stellar Cyber ​​реализует TCP RESET

Звездный Кибер NDR Платформа отслеживает сетевой трафик в режиме реального времени и сопоставляет поведение с моделями обнаружения угроз. При обнаружении вредоносного или подозрительного сеанса платформа может выдать сигнал TCP Reset для завершения вредоносного потока.
Это происходит на уровне датчика, который может отслеживать TCP-соединения в режиме реального времени, не требуя дополнительного оборудования или изменений в существующей инфраструктуре. Датчик легко интегрируется в рабочие процессы обнаружения и расширяет общие возможности реагирования организации.

Это позволяет Stellar Cyber ​​прерывать вредоносные соединения сразу после обнаружения угрозы.
Ниже приведено несколько случаев, когда быстрое завершение TCP-соединения снижает вред:

  • Попытки эксплойта с высоконадежными подписями Пример:
    Если Stellar Cyber ​​обнаруживает четкие сигнатуры IDS/IPS для эксплойтов протокола, например, HTTP-запрос, соответствующий известному эксплойту удаленного выполнения кода, завершение соединения предотвращает доставку полезной нагрузки эксплойта или подготовку к выполнению кода.
  • Пример подтвержденных обратных вызовов командно-управляющего (C2):
    Если Stellar Cyber ​​обнаруживает небольшие регулярные маяковые рассылки на известные вредоносные IP-адреса или доменные имена или на пункт назначения, который, как доказано, является сервером C2, предотвращение установления TCP-соединения нарушает канал управления злоумышленника.
  • Пример активной эксфильтрации данных по TCP с сопоставлением DLP:
    Если происходит передача файла, при которой правила предотвращения потери данных (DLP) соответствуют конфиденциальным данным, отправляемым на внешний хост, немедленное завершение TCP-соединения ограничивает потерю данных.

Основные преимущества для клиентов Stellar Cyber

1. Встроенный, а не прикрученный

Stellar Cyber ​​обеспечивает полную функциональность NDR непосредственно в рамках Open XDR эта платформа устраняет необходимость в другом автономном и дорогостоящем продукте для обработки данных NDR. SOC Аналитики получают расширенные возможности обнаружения и реагирования на сетевые проблемы в рамках единого рабочего процесса — без дополнительных инструментов, без дополнительных лицензий, без дополнительных затрат на интеграцию.

2. Когда прерывание мгновенного сброса TCP имеет значение

Функция Inline TCP Reset обеспечивает точное прерывание именно тогда, когда контроль и синхронизация имеют решающее значение. Службы безопасности используют её для укрепления своей оборонительной позиции в нескольких критических ситуациях:

  • Эксфильтрация данных
    Предотвращение. Когда злоумышленники пытаются переместить конфиденциальные данные — во время атаки программ-вымогателей или целенаправленного шпионажа — каждая секунда имеет значение. TCP Reset прерывает сеанс на середине потока, мгновенно останавливая передачу данных до того, как они покинут периметр сети.
  • Нарушение командования и управления (C2)
    Современные угрозы зависят от интерактивных каналов управления (C2) для выполнения атак, доставки полезной нагрузки и горизонтального перемещения. Разрывая это соединение, TCP Reset лишает злоумышленников возможности действовать в режиме реального времени, давая защитникам преимущество.
  • Внутренняя разведывательная защита
    Ранние действия, такие как сканирование или подсчёт, можно незаметно прервать. TCP Reset ограничивает видимость злоумышленника, не провоцируя его на попытки уклонения, что позволяет аналитикам осуществлять мониторинг, не усугубляя угрозу.
  • Аутентификация с подбором пароля
    Большое количество попыток входа в систему указывает на подмену учётных данных или попытки подбора паролей. Вместо того, чтобы полагаться на статические ограничения скорости, TCP Reset динамически завершает вредоносные сеансы в режиме реального времени.
  • Защита от эксплойтов нулевого дня
    Ещё до появления исправлений попытки эксплойтов проявляются через аномальные полезные данные или поведение сканирования. TCP Reset позволяет специалистам по безопасности реагировать на поведение, а не на сигнатуры, мгновенно прерывая сеансы вредоносной защиты.
  • Снижение инсайдерских угроз
    Когда законный пользователь или взломанная учетная запись начинают вести себя подозрительно — передавать файлы, проверять зоны с ограниченным доступом или использовать необычные схемы доступа, — встроенное вмешательство обеспечивает быстрое и целенаправленное сдерживание, не влияя на обычные операции.
Эти возможности дают аналитикам необходимое время для расследования, сдерживания и нейтрализации угроз, минимизируя при этом риск и время ожидания.

3. Легкий ответ без влияния на сеть

В отличие от изменений правил брандмауэра, обновлений сегментации или корректировки маршрутизации, TCP Reset не требует больших накладных расходов, прозрачен для сети и не нарушает работу легитимного трафика. Это делает его идеальным для сред, где операционные изменения рискованны или происходят медленно. Клиенты получают быстрое устранение проблем без дополнительных сложностей.

4. Ускоренный SOC Реакция и повышение эффективности

Автоматизация повышает эффективность функции сброса TCP Stellar Cyber. Клиенты могут:
  • Автоматически запускать сброс для оповещений с высокой степенью достоверности
  • Выполнять ручные сбросы во время расследований, проводимых аналитиками
  • Включите действие в Playbooks и Response Apps
Это сокращает время от обнаружения до реагирования – один из важнейших факторов. SOC Показатели эффективности — при одновременном снижении рабочей нагрузки и утомляемости аналитиков.

5. Улучшает существующие меры безопасности

TCP Reset не заменяет брандмауэры, EDR или другие инструменты безопасности, а усиливает их. Он служит сетевой защитой, когда злоумышленники обходят основные средства защиты или используют «слепые зоны».
Например:
  • Если злоумышленник обходит EDR, TCP Reset все равно завершает его активный сеанс.
  • Если брандмауэр не может обнаружить поведенческие аномалии, аналитика NDR от Stellar Cyber ​​все равно может остановить соединение.
Это обеспечивает более надежную многоуровневую стратегию защиты и снижает зависимость от какого-либо одного средства обеспечения безопасности.

6. Мощный инструмент сдерживания инцидентов

Во время активных расследований аналитики могут использовать TCP Reset для:
  • Останавливайте подозрительные сеансы или приложения без изоляции всего хоста
  • Ограничьте передвижения злоумышленника при сборе доказательств
  • Сдерживание реальных угроз без прерывания бизнес-процессов
Это особенно ценно в случае появления программ-вымогателей, внутренних инцидентов или попыток эксплуатации уязвимостей нулевого дня, когда быстрые и точные действия имеют решающее значение.

«TCP Reset — это только начало. В Stellar Cyber ​​мы продолжаем расширять возможности оперативного реагирования, которые позволяют специалистам по кибербезопасности точно контролировать сетевой трафик, не усложняя его. Ожидайте больше функций быстрого реагирования без использования агентов, которые расширят ваши возможности». SOC «Команды должны действовать со скоростью машины, а не постфактум».

«Нам удалось быстро внедрить функцию ответа TCP RESET, поскольку функция NDR изначально встроена в Stellar Cyber». XDR «Мы использовали эту платформу, — сказал Эйртон Коэльо, технический директор Future Technologies, — и наблюдали немедленное прерывание попыток утечки данных и блокировку сеансов управления и контроля (C2) в средах без EDR. Это позволило нам сдерживать сложные угрозы и угрозы нулевого дня непосредственно на сетевом уровне, без агентов на конечных устройствах, и все это за гораздо меньшую стоимость по сравнению с использованием специализированного инструмента NDR. Это невероятно полезная функция, поскольку она предлагает решение для быстрого пресечения угроз в критически важных средах, таких как OT/ICS, где нет EDR».

Заключение: машинная реакция, останавливающая угрозы на корню

Функция NDR TCP RESET от Stellar Cyber ​​предоставляет клиентам быстрый, надежный и сетевой метод предотвращения угроз по мере их возникновения. Мгновенное прерывание вредоносных сеансов позволяет организациям получить следующие преимущества без дополнительных затрат:
  • Снижение риска
  • Улучшить время отклика
  • Усилить SOC затрат
  • Сдерживание инцидентов без нарушения работы бизнеса
Хотя многие платформы обнаружения вторжений (NDR) и платформы на основе искусственного интеллекта делают упор на расширенное обнаружение, их реальные возможности реагирования часто ограничиваются оповещением, оценкой или рекомендациями действий. Stellar Cyber ​​идет дальше, обеспечивая немедленное сетевое прерывание с помощью TCP RESET – выполняемого непосредственно на датчике, без внешних сервисов, проприетарных устройств или задержек в реагировании. В то время как другие могут полагаться на централизованных брокеров, облачные рекомендации или отложенные рабочие процессы смягчения последствий, Stellar Cyber ​​обеспечивает истинное завершение сеанса в режиме реального времени с минимальными операционными трудностями. Эта прямая, готовая к автоматизации возможность реагирования значительно ускоряет локализацию и сокращает время пребывания, делая Stellar Cyber ​​более гибкой и эффективной платформой для современных систем. SOCs.

Похожие статьи

Наверх
Подпишитесь на рассылку новостей