Uma Plataforma de IA Cibernética onde a detecção e a resposta vão além da Nuvem
Acionada por inteligência artificial, a Cyber AI Platform da Darktrace preenche essas lacunas críticas com uma abordagem exclusiva a nível da empresa, detectando e respondendo a ameaças baseadas na nuvem que outras ferramentas não identificam.
Semelhante ao sistema imunológico humano, a tecnologia desenvolve um senso inato de “self”, aprendendo o “padrão de vida” normal para cada usuário, dispositivo e contêiner em ambientes híbridos e com várias nuvens. Com a análise contínua do comportamento de todos e de tudo na empresa, a IA de autoaprendizagem da Darktrace pode correlacionar de modo único os sinais mais sutis de um ataque avançado, sem definir com antecedência o que é “benigno” ou “mal-intencionado”.
Embora as soluções pontuais pre-programadas possam certamente complementar essa abordagem, a Darktrace é a única tecnologia comprovada que interrompe toda a ampla variedade de ameaças cibernéticas na nuvem, desde funcionários mal-intencionados e ataques externos até configurações críticas incorretas que podem expor a empresa a um futuro comprometimento – independentemente de se originarem de campanhas direcionadas de spear-phishing, aquisições de controle de contas corporativas, ou exfiltração lenta e discreta de dados ou movimentação lateral na nuvem.
Proteção unificada e sob medida:
Com um entendimento da propriedade digital de toda a empresa, a Darktrace correlaciona todas as atividades no local com o tráfego em ambientes híbridos e com várias nuvens em tempo real. Isso permite entender que um comportamento normal observado isoladamente na nuvem pode apontar para uma imagem maior da atividade mal-intencionada.
Por exemplo, podemos ver que um usuário fez login na AWS. Isoladamente, esse evento não é mal-intencionado, mas a Darktrace também sabe que a conta do Microsoft 365 do mesmo usuário provavelmente foi comprometida momentos antes, pois um local de logon altamente incomum foi detectado. A Darktrace entende que a conexão à AWS é de fato altamente suspeita.
“Os líderes de segurança cada vez mais pretendem melhorar sua eficiência desmembrando produtos pontuais em plataformas de segurança mais amplas.”
– Gartner
Correlação de informações em nível de contêiner
Apesar da crescente adoção de contêineres pelos desenvolvedores, a segurança geralmente fica para trás. A natureza virtualizada dos contêineres dificulta o monitoramento do tráfego no servidor. Enquanto os sistemas baseados em regras rastreiam dados somente em servidores, a Darktrace tem a capacidade de proporcionar visibilidade nos ambientes em contêineres com servidores individuais.
Fundamentalmente, a Darktrace estende a visibilidade desse contêiner e o conecta à atividade em toda a infraestrutura digital (ambientes industriais, em nuvem, de IoT, e-mail e todos os outros). Uma anomalia no tráfego de rede de um contêiner pode, portanto, ser vinculada a um banco de dados em nuvem, que pode ser correlacionado a conta de e-mail de uma empresa.
AI Analyst: investigação automatizada de ameaças
O Cyber AI Analyst dá um passo adiante ao investigar automaticamente as ameaças encontradas pelo DETECT e produzir um painel situacional dinâmico, além de relatórios gerados pela IA que comunicam todo o escopo de um incidente de segurança.
Ao correlacionar o tráfego da nuvem em tempo real com o restante da rede, o AI Analyst pode realizar centenas de investigações simultaneamente, reunindo vários alertas e indicadores e desenvolvendo uma compreensão significativa dos incidentes com extrema rapidez. Depois, ele comunica seus resultados e recomendações na forma de incidentes do AI Analyst, que são enriquecidos com informações contextuais e de segurança que podem ser analisadas e acionadas por executivos e usuários finais.
Cenários de Implantação
Nuvem híbrida (IaaS)
Para organizações com infraestrutura de nuvem híbrida, a Darktrace implanta sondas virtuais ou “vSensors” que capturam o tráfego em tempo real na nuvem e o correlacionam com o restante dos negócios.
Na AWS, os vSensors consomem tráfego em tempo real das instâncias do Nitro por meio do VPC Traffic Mirroring. Os metadados do AWS Nitro podem ser capturados diretamente, sem a necessidade de uma análise adicional em nível de servidor. Para instâncias que não são Nitro, a Darktrace implanta “OS-Sensors” em todos os terminais, sendo que cada OS-Sensor alimenta o tráfego para um vSensor local que, por sua vez, alimenta os metadados relevantes para uma sonda principal da Darktrace na nuvem ou na rede corporativa para análise.
Na Azure, GCP e outros, a Darktrace implanta vSensors e OS-Sensors para capturar tráfego em tempo real, conforme descrito acima. A Darktrace também é compatível com vTAP da Azure, e uma capacidade equivalente para o GCP está em desenvolvimento.
Os clientes da AWS e da Azure também podem implantar “Darktrace Connectors” para monitorar a atividade de administração do sistema em nível de API, como atividades de login e criação de recursos.
Finalmente, a Darktrace captura o tráfego de contêineres no Docker e no Kubernetes por meio de um OS-Sensor especializado, que alimenta os dados de maneira semelhante a um vSensor local e, por sua vez, uma sonda Darktrace principal para análise.
Nuvem híbrida (SaaS)
Para implantações híbridas de SaaS, os Darktrace Connectors são instalados remotamente na sonda principal da Darktrace (física ou na nuvem) para consultar as APIs de segurança das soluções SaaS relevantes. Isso abrange o Microsoft 365, o Salesforce, o Dropbox, o Box, o Egnyte e muito mais.
Após a implantação dos Connectors, a Darktrace analisa e correlaciona continuamente os dados SaaS com o tráfego no restante da empresa em uma visualização unificada.
Somente nuvem (IaaS e/ou SaaS)
Se um cliente aproveitar a nuvem, mas não tiver uma rede local, a Darktrace poderá́ oferecer uma implantação apenas na nuvem como um serviço dedicado. Para implantações apenas na nuvem, a Darktrace gerencia uma sonda principal de nuvem que recebe tráfego de sensores e conectores nos ambientes IaaS e/ou SaaS do cliente.
Conclusão
Conforme as organizações confiaram cada vez mais nos serviços de nuvem e nos aplicativos de SaaS para simplificar as suas práticas comerciais, o paradigma do perímetro de rede se dissolveu, deixando em seu lugar um acervo digital permeável e em constante mudança.
Embora os benefícios da computação em nuvem garantam a continuidade da migração, os desafios de segurança exclusivos apresentados pela nuvem exigirão tecnologias de autoaprendizagem que possam se mover na velocidade e na escala das implantações na nuvem. Além disso, o crescente surgimento de ambientes híbridos e com várias nuvens exige uma única plataforma de segurança que possa correlacionar a atividade entre esses diversos sistemas em tempo real.
A Darktrace, por ser líder global no campo de inteligência artificial para segurança virtual, representa a solução mais eficaz e comprovada para detectar ameaças jamais vistas antes e incidentes virtuais anormais onde quer que eles ocorram na nuvem. Em vez de depender de regras e políticas predefinidas, a tecnologia abraça a incerteza inerente ao complexo ambiente digital dos dias de hoje.
Independentemente de se deparar com uma ameaça interna, um invasor com o objetivo de obter dados confidenciais em contêineres de teste ou uma configuração incorreta importante que possa ser explorada como vulnerabilidade no futuro, a Cyber AI Platform da Darktrace ajuda a eliminar os pontos cegos e a proteger seus dados, onde quer que eles estejam.
