Tag: Darktrace

Darktrace regularnie odnotowuje zwiększoną liczbę cyberataków typu ransomware podczas świąt, weekendów oraz poza regularnymi godzinami pracy. Są one wówczas znacznie trudniejsze do wykrycia, a co za tym idzie mogą przynieść proporcjonalnie więcej szkód, z uwagi na brak natychmiastowej reakcji zespołu odpowiedzialnego za wykrywanie i procesowanie incydentów bezpieczeństwa.
Powyższe okoliczności powodują, że zagrożenia oraz ataki mogą zostać przeprowadzone praktycznie niezauważalnie. Organizacja pozbawiona autonomicznych systemów wykrywających zagrożenia w czasie rzeczywistym narażona jest w znacznie większym stopniu na niespodziewany atak, jak i również naprawy szkód przez niego wyrządzonych.
Ransomware: Niechciany prezent pod choinkę
Jednym z najczęstszych zagrożeń występujących poza godzinami pracy jest Ransomware. W poniższym przykładzie Darktrace został poinformowany o ataku Ransomware w sieci klienta. Incydent miał miejsce w Wigilię poza godzinami pracy, kiedy większość pracowników była offline w swoich domach.
[caption id="attachment_2005" align="aligncenter" width="967"] Rysunek 1. Oś czasu przedstawiająca Wigilijny atak Ransomware[/caption]
Atak zaczął się rozprzestrzeniać od jednego niepozornego komputera, zainfekowanego w tygodniu poprzedzającym szyfrowanie. Komputer ten był wykorzystany jako wektor i dzięki niemu złośliwy program zdobył dostęp do dwóch kontrolerów domen:

serwerów używanych do weryfikacji użytkowników,
autentykacji żądań wewnątrz sieci.

Następnie oba serwery wykonały nietypowe połączenie C2 (Command and Control) do endpointa powiązanego z Ransomware. Następnie zagrożenie przeszło w stan ukrycia.
Warto zaznaczyć, że już na tym etapie DarkTrace wykrył i zaalarmował zespół bezpieczeństwa. Niestety z uwagi na okres świąteczny zespół bezpieczeństwa nie był w stanie zareagować na czas. Bez produktu Antigena Network oraz Proactive Threat Notifications (PTNs) zagrożenie nieprzerwanie przybierało na sile.
24 grudnia Ransomware ponownie się aktywował. Wykorzystując swoje zdobyte uprawnienia rozesłał po urządzeniach wewnątrz firmy skompromitowane pliki wykonywalne. W tym momencie wcześniej zdefiniowane przez atakującego dane organizacji zostały wysłane na zewnętrzną lokalizację w chmurze, z której od razu został pobrany Ransomware.
Cyber-atak mający miejsce podczas świąt od razu zyskuję na przewadze wykorzystując przerwane łańcuchy komunikacji z zespołami bezpieczeństwa w organizacji ofiary. Kto więc powinien się tym zająć?  Jak powinna wyglądać dostępność osób z tego działu? Czy istnieją inne, specjalne procedury dotyczące ataków poza godzinami pracy?
Gdy takie pytania pojawiają się niespodziewanie podczas dni wolnych od pracy, znalezienie odpowiedzi staje się zaskakująco trudne. W momencie, kiedy znamy na nie odpowiedź, najczęściej jest już za późno – szkody zostały już poczynione.
Po opanowaniu ataku pojawiają się także kolejne wyzwania związane z oceną zagrożenia: zespół bezpieczeństwa będzie musiał przeprowadzić śledztwo i w pierwszej kolejności dowiedzieć się co się wydarzyło i jakie będą konsekwencje ataku. W przypadku gdy ciężko jest zmobilizować rozproszony personel oraz gdy zewnętrzne usługi bezpieczeństwa są na wagę złota, proces ten staje się zadaniem żmudnym. Dodatkowo kluczowe informacje jak również dowody mogą bezpowrotnie przepaść. Doprowadza to do sytuacji, gdy firma pozostaje podatna na podobne ataki w przyszłości.
Czekając na sobotę – przykład ataku ransomware
Święta bez wątpienia zwiększają podatność firm na ataki zarówno pod kątem logistycznym, jak i ludzkim. Często jednak nie bierze się pod uwagę podobnych przestojów spowodowanych atakami tego samego typu mającymi miejsce przez cały rok – pod koniec każdego tygodnia. Skala jest mniejsza, jednak nie zmienia to faktu, że incydenty tego typu nie powinny być ignorowane. W ostatnich miesiącach Darktrace zaobserwował ogromny wzrost tego typu weekendowych ataków.
[caption id="attachment_2006" align="aligncenter" width="326"] Rysunek 2. Diagram słów kluczowych, które zaobserwował Darktrace analizując ataki przypadające na „po godzinach”.[/caption]
Powyższy problem dotyczy innego ataku Ransomware, który uderzył w organizację hotelarską mającą swoją siedzibę w Wielkiej Brytanii. Kiedy jeden z użytkowników sieci nieświadomie otworzył wiadomość email zawierającą szkodliwą zawartość jego urządzenie zostało zainfekowane. Infekcja wykorzystywała clear text password exploit aby – wykorzystując istniejące poświadczenia – uzyskać nieautoryzowany dostęp do czterech innych urządzeń w sieci, w tym dwóch kluczowych serwerów.
To właśnie te serwery posłużyły atakującym do wysyłania spamu oraz dalszego infekowania pozostałych maszyn w sieci. Przez następne tygodnie, podczas weekendów zainfekowane urządzenia wykonywały mnóstwo połączeń do endpointów powiązanych z XINOF Ransomware.
Przykład ten pokazuje dobitnie, jak infekcje przeprowadzane poza regularnymi godzinami pracy mogą pochodzić z każdej strony. Warto również zwrócić uwagę jak czynnik ludzki – w tym przypadku niezastosowanie się do protokołów bezpieczeństwa przez osobę z zewnątrz organizacji – doprowadziły do rozprzestrzenienia zagrożenia oraz jego późniejszego ukrycia przed powrotem zespołu bezpieczeństwa w poniedziałek.
W przypadku naruszeń bezpieczeństwa, które i tak mogą zająć miesiące zanim zostaną wykryte i zaadresowane nowoczesne zagrożenia korzystają z każdego sposobu, aby jeszcze bardziej wydłużyć czas wykrycia. Pierwszym naturalnym krokiem powinno być poprawienie detekcji oraz sposobu reagowania na tego typu weekendowe zagrożenia. Taki rodzaj zabezpieczeń można będzie przełożyć na dłuższe świąteczne okresy – nie jest to jednak rozwiązanie trwałe – do tego potrzebne jest proaktywne podejście.
Rozwiązanie, które nigdy nie śpi – odpowiedź na ransomware
W powyższym przykładzie, Autonomiczna Odpowiedź (Autonomous Response) na zagrożenie była możliwa na każdym etapie ataku – niestety nie była aktywna.

Antigena Email mogłaby stłumić atak w zarodku, dzięki poddaniu kwarantannie wiadomości z podejrzanym załącznikiem, jeszcze zanim spenetrowałaby ona sieć organizacji.
W przypadku przeniknięcia do organizacji, kluczowe serwery nie zostałyby naruszone dzięki zidentyfikowaniu złośliwej aktywności. Ruch wykorzystujący zebrane hasła zostałby zatrzymany, aż do momentu weryfikacji przez zespół bezpieczeństwa.
Na sam koniec połączenia z podejrzanymi stronami zawierającymi ładunek XINOF zostałyby zablokowane, zapobiegając tym samym dalszym szkodom.

W przeciwieństwie do człowieka, Sztuczna Inteligencja (AI) nigdy nie śpi i nigdy nie ma wolnego. Sztuczna Inteligencja pracuje przez całą dobę wykrywając wszystkie zagrożenia w ich początkowym stadium. Takie działanie zapobiega dalszej eskalacji, jednocześnie dając drogocenny czas zespołom bezpieczeństwa do reakcji oraz pracy nad samym źródłem zagrożenia.
Jeśli zespół bezpieczeństwa potrzebuje dodatkowej pary oczu rozszerzającej ich pole widzenia i pozwalające na złagodzenie ataków – można do tego celu wykorzystać usługę Proactive Threat Notification. Usługa ta po wykryciu zagrożenia przesyła je bezpośrednio do Security Operation Centre po stronie Darktrace, gdzie zostanie zbadane przez eksperta do spraw cyber-bezpieczeństwa. Usługa Darktrace PTN SOC wykorzystuje podejście follow-the-sun, co oznacza, że organizacje chronione są przez całą dobę.
Czas to pieniądz
Powyższe case studies mają za zadanie być przestrogą i przypominać o konieczności ochrony przez całą dobę, siedem dni w tygodniu. Specjaliści do spraw bezpieczeństwa stale podwyższają swoje umiejętności w walce z cyber-zagrożeniami. Walka toczy się po obu stronach – zagrożenia także ewoluują stale adaptując się do zmieniającego się świata i wykorzystują każdą możliwość, która daje im przewagę podczas ataku.
Teraz, bardziej niż kiedykolwiek staje się jasne, że autonomiczna detekcja korzystająca ze Sztucznej Inteligencji jest jedynym rozwiązaniem, które może wyeliminować czynnik czasu podczas ataku – reagując na zagrożenie błyskawicznie. Nawet gdy biuro jest zamknięte, komputery wyłączone i nie ma nikogo – organizacja pozostaje chroniona.
Przetestuj bezpłatnie rozwiązanie Darktrace Zarejestruj się.
 

Z dumą informujemy, że Integrity Partners zostało wyróżnione nagrodą Darktrace Service Partner of the Year 2021 dla regionu EMEA.
Już po raz kolejny zostaliśmy wyróżnieni jako kluczowy Partner firmy Darktrace, która specjalizuje się w wykrywaniu anomalii sieciowych w oparciu o machine learning. Nagroda jest owocem ciężkiej pracy całego zespołu Integrity Partners. Od lat wyposażamy organizacje w najnowocześniejszą technologię Darktrace, dzięki czemu nasi klienci 
Nagroda Services Partner of the Year jest szczególnie dla nas ważna, ponieważ pozycjonuje Integrity Partner na lidera w regionie EMEA (Europa, Bliski Wschód, Afryka).
 

 
Więcej o rozwiązaniu Darktrace
Darktrace Enterprise Immune System wykrywa i klasyfikuje zagrożenia w całym przedsiębiorstwie. Wykorzystuje czołową na świecie technologię uczenia maszyn oraz sztuczną inteligencję, by wykrywać, klasyfikować i wizualizować potencjalne zagrożenia. Oprócz niezwykłej skuteczności działania jego niewątpliwą zaletą jest również szybka instalacja. Ponadto w odróżnieniu od podejścia opartego na zasadach i sygnaturach, Darktrace Enterprise nie opiera się na atakach historycznych, by przewidzieć przyszłość. Zamiast tego buduje własną, unikalną wiedzę o tym, jak wygląda typowe zachowanie w danej firmie i potrafi wykrywać pojawiające się zagrożenia w czasie rzeczywistym, w tym zagrożenia z wykorzystaniem informacji poufnych oraz zautomatyzowane wirusy, takie jak oprogramowanie ransomware.
Jesteś zainteresowany rozwiązaniem Darktrace? Napisz do nas!

Darktrace i Microsoft nawiązały współpracę, aby pomóc organizacjom wyeliminować luki w zabezpieczeniach w ich wielochmurowych i wieloplatformowych środowiskach.
Darktrace uzupełnia zabezpieczenia firmy Microsoft o samouczącą się sztuczną inteligencję, która wykrywa nowe zagrożenia cybernetyczne, które omijają inne zabezpieczenia, i autonomicznie na nie reaguje.
Darktrace wykorzystuje czołową na świecie technologię uczenia maszynowego oraz sztuczną inteligencję, by wykrywać, klasyfikować i wizualizować potencjalne zagrożenia. Ponadto w odróżnieniu od podejścia opartego na zasadach i sygnaturach, Darktrace nie opiera się na atakach historycznych, by przewidzieć przyszłość. Zamiast tego buduje własną, unikalną wiedzę o tym, jak wygląda typowe zachowanie w danej firmie i potrafi wykrywać pojawiające się zagrożenia w czasie rzeczywistym, w tym zagrożenia z wykorzystaniem informacji poufnych oraz chroni przed ransomware.
Ujednolicona ochrona na platformie Microsoft 365

Zakres usługi Darktrace obejmuje pełny pakiet produktów Microsoft 365, w tym SharePoint, OneDrive i Microsoft Teams.
Podejście samouczące się pozwala Darktrace zidentyfikować pełen zakres cyberzagrożeń w tych środowiskach, w tym:

Naruszenie danych uwierzytelniających
Nadużycie generowane przez administratora
Ryzyka związane z pracą zdalną

Zautomatyzowane i szczegółowe raporty
Cyber ​​AI Analyst firmy Darktrace automatycznie selekcjonuje, interpretuje i raportuje pełen zakres incydentów związanych z bezpieczeństwem na platformie Microsoft 365. Szczegółowo analizuje zachowania użytkowników i urządzeń będących przedmiotem zainteresowania.

Autonomiczna odpowiedź dzięki Antigena SaaS
Gdy system odpornościowy Darktrace wykryje pojawiające się cyberzagrożenie na platformie Microsoft 365, Antigena szybko przerywa atak z chirurgiczną precyzją, umożliwiając kontynuowanie normalnej pracy.
Autonomiczne działania Antigena SaaS są inteligentne i proporcjonalne do charakteru zagrożenia. Operatorzy badający nietypową aktywność SaaS mogą również uruchamiać działania bezpośrednio z dedykowanej konsoli SaaS.

Pomożemy Ci zabezpieczyć Twoją firmę
W Integrity Partners profesjonalnie zajmujemy się wdrażaniem rozwiązań Microsoft i Darktrace, dlatego już teraz zachęcamy Cię do uruchomienia bezpłatnego okresu próbnego technologii Darktrace Enterprise Immune System. Szczegóły znajdziesz tutaj.

Początkowo słowo haker nie miało tak negatywnego znaczenia, jakie znamy dzisiaj. W latach siedemdziesiątych ubiegłego wieku hakera definiowano jako – entuzjastę komputerów. Wspomniany entuzjasta interesował się odkrywaniem szczegółów dotyczących oprogramowania, ich układem i sposobem rozszerzania możliwości tych układów. To „rozszerzanie możliwości” niestety bardzo szybko nabrało całkiem nowego, niebezpiecznego znaczenia.
Wraz z rozwojem sieci komputerowych i Internetu, pasjonaci coraz wnikliwiej przeglądali schematy, funkcję, a wręcz poszczególne linie kodu. Nikt wówczas nie przypuszczał, że to z pozoru niegroźne i bardzo amatorskie wyszukiwanie luk w oprogramowaniu da początek całej gałęzi przemysłu hakerskiego.
Pierwsze wirusy komputerowe służyły do robienia psikusów (np. wyłączały monitor). Z czasem jednak programy takie stały się coraz bardziej groźne, wirus potrafił np. trwale uszkodzić dysk komputera. Na przestrzeni lat psikusy zamieniły się w bardzo niebezpieczne i często opłakane w skutkach profesjonale ataki hakerskie. Dzisiaj wiemy już sporo na temat naszych przeciwników.  Żeby jednak bronić się skuteczniej, warto poznać bliżej współczesnych aktorów rynku cyberNIEbezpieczeństwa.
Ze względu na motywy, którymi się kierują oraz sposób działania aktorów rynku cyberNIEbezpieczeństwa możemy podzielić na kilka grup:

Hakerzy: WhiteHat, BlackHat i Script Kiddies
Haktywiści
Przestępcy
Konkurencja
Pracownicy wewnętrzni

Słysząc termin „haker”, nasze skojarzenia mogą pójść w różne strony. Od siedzących w piwnicach geniuszy (zapewne zza wschodniej granicy), przez sygnalistów z pierwszych stron gazet, walczących o swoje idee, po zamaskowanych przestępców, którzy realizują brudne, korupcyjno-przestępcze interesy. Wreszcie hakerem może okazywać się “zwykły” użytkownik, który wykorzysta swoje uprawnienia do zaszkodzenia organizacji lub nielegalnego wykorzystania danych.  I w każdym z tych skojarzeń możemy odnaleźć ziarno prawdy. Jednak codzienność może okazać się bardziej prozaiczna, a “hakera” możemy odnaleźć bliżej niż nam się wydaje. Jak może on wpłynąć na naszą firmę? Zapraszamy do lektury:
Hakerzy
WhiteHat – od jakiegoś czasu firmy decydują się na zatrudnianie tzw. Ethical hacking – wykwalifikowanych, niezależnych, “etycznych” hakerów, którzy dostają dostęp do zasobów firmowych. WhiteHat zatrudniani są w celu wyszukiwania luk w zabezpieczeniach. Jeśli ich motywy są szczere – pomagają firmom wychwycić słabe punkty w organizacji i podnieść poziom bezpieczeństwa. Bywa, że hakerzy tzw. BlackHat wykorzystują wiedzę zdobytą o firmie dla własnych celów. Zdarzają się przypadki kradzieży danych i szantażu.
Wskazówka! Jeżeli zdecydujesz się na usługi WhiteHat, upewnij się, że Twoje dostępy do kont są dobrze zabezpieczone. Ważna jest systematyczna rotacja haseł oraz odpowiednie zabezpieczenie urządzeń końcowych. Rozwiązaniem doskonale wpisującym się w te potrzeby jest CYBERARK ENDPOINT PRIVILEGE MANAGER (EPM)
Script kiddies (złośliwe dzieciaki) – amatorzy, mniej wykwalifikowani, ale często równie niebezpieczni niszczyciele zabezpieczeń Internetowych. Script kiddies wykorzystują już istniejące, łatwe i dobrze znane techniki i programy do wyszukiwania i wykorzystywania słabych punktów w innych komputerach. Typowy atak script kiddy opiera się na tworzeniu fałszywych witryn internetowych. Nieświadomy zagrożenia użytkownik wprowadza tam swój login, dając w ten sposób atakującemu dostęp do swojego konta. Motywy tej grupy są najczęściej ideowe – z racji na zwykle młody wiek atakujących, ich celem jest bardziej zdobycie popularności wśród rówieśników niż zyski finansowe.
Wskazówka! Każdy użytkownik komputera jest narażony na potencjalne zagrożenia. Ważna jest świadomość tych zagrożeń oraz wiedza jak sobie z nimi radzić. Przydatne mogą być szkolenia Security Awareness – czyli bezpieczeństwo IT dla każdego. Najlepszym rozwiązaniem, które pomoże w edukacji, budowaniu świadomość oraz uodporni Twój zespół na zagrożenia będzie CYBEREADY.
Haktywiści
To użytkownicy sieci, naruszający obowiązujące prawo na podstawie motywacji ideologicznych lub politycznych. Głównym ich celem jest zwrócenie uwagi poprzez rozpowszechnianie treści propagandowych lub szkodzenie organizacjom, z których polityką się nie zgadzają. Tą grupę charakteryzują ataki typu DDoS. Przykładowy atak haktywistów to np. sytuacja, kiedy zbyt wiele osób próbuje wejść na daną stronę www, co w efekcie doprowadza do przeciążenia serwera. Kiedy o ataku robi się głośno, kolejne osoby wchodzą na stronę jeszcze chętniej – nieświadomie wspierając wysiłek atakujących. Haktywiści wykorzystują swoje umiejętności w celu podniesienia świadomości na ich temat oraz popieranych przez nich idei.
Wskazówka! Jeżeli chcesz zapewnić kompleksową ochronę przed utratą danych, atakami DDoS oraz wszelkimi znanymi zagrożeniami warstwy aplikacji sprawdź możliwości rozwiązania BARRACUDA WEB APPLICATION FIREWALL (WAF).
Przestępcy
To zorganizowane grupy przestępcze, nastawione na cel biznesowy. Dla tej grupy najczęstszą motywacją ataku są zyski finansowe. Grupy są zwykle bardzo liczne, świetnie zorganizowane i wykfalifikowane. Dysponują własnymi narzędziami do przeprawienia skutecznego ataku. Specjalizują się w atakach typu atak-as-a-service. Często motywem nie-na-zamówienie jest budowanie botnetów do późniejszych ataków DDoS lub po prostu cryptolockery i wymuszenie okupu.
Wskazówka! Zorganizowane grupy przestępcze to niewątpliwie jeden z najtrudniejszych przeciwników. Dobrze zorganizowane i przeszkolone zespoły hakerów dysponują ogromną wiedzą i zasobami, które zapewniają im dużą skuteczność ataków. W tym przypadku niezbędne będzie narzędzie, które będzie w stanie ubiec plany hakerów. Doskonale sprawdzi się rozwiązanie, które wykrywa, klasyfikuje i wizualizuje potencjalne zagrożenia w oparciu o mechanizmy sztucznej inteligencji – DARKTRACE.
Pracownicy wewnętrzni
To najczęściej byli lub obecni niezadowoleni pracownicy, szukający zemsty na byłym pracodawcy lub korzyści finansowych. To jeden z najbardziej niebezpiecznych typów atakujących. Posiadają personalną motywację i często wyszukują „dziury” w naszym stacku bezpieczeństwa (24/7), podczas gdy firmy bronią się najczęściej aktywnie podczas standardowych godzin pracy pracowników (8/5). Do tej grupy hakerów możemy także zaliczyć osoby, które zatrudniają się celowo w organizacji, by szpiegować i zdobywać informacje, a następnie przekazywać te informacje do współpracujących z nimi grup przestępczych.  
Wskazówka! W celu zabezpieczenia firmy przed wyciekiem danych oraz kontrolę nad tym, jakie treści i do kogo są przekazywane wewnątrz organizacji umożliwi MICROSOFT AIP. Dodatkową ochronę zapewni także rozwiązanie FIDELIS NETWORK. W całodobowej kontroli bezpieczeństwa pomoże ANTIGENA firmy Darktrace, którą można ustawić na automatyczne działanie tylko poza godzinami biurowymi. Natomiast w godzinach biurowych może działać w systemie Human Confirmation.
Konkurencja
Nieczyste zagrania między konkurencyjnymi firmami na rynku nie są nowością. Organizacje od zawsze walczą między sobą o klienta. Są jednak hakerzy, którzy umiejętnie wykorzystują te walkę dla swoich celów.  Znane są przypadki, kiedy to jedna firma wynajmuje hakera lub całą grupę przestępczą w celu pogrążenia konkurencji. Takie ataki mają na celu kompromitacje przeciwnika, osłabienie jego pozycji na rynku i przede wszystkim odebranie klientów.
Wskazówka! W atakach na konkurencję hakerzy najczęściej wykorzystują najbardziej sprawdzone i skuteczne metody. Jak szybko pozbawić firmę dostępu do danych i skompromitować w oczach klientów? Wystarczy dobrze przeprowadzony phishing. Wiadomość e-mail imitująca legalne komunikaty zwabia odbiorcę i wywołuje pożądaną reakcję. W natłoku zadań pracownicy często nie wychwytują podejrzanych treści, klikając w link, padają ofiarą zamierzonych działań przestępcy. Pracownik jest najczęściej tym słabym ogniwem, o który trzeba odpowiednio zadbać. Żeby wzmocnić odporność firmy na phishing i wszystkie inne zagrożenia związane z social engineering, warto skorzystać z autonomicznej platformy szkoleniowej CYBEREADY.
Motywy działania cyberprzestępców są bardzo różne. Atakującymi mogą kierować względy ideowe, finansowe lub polityczne. Bez względu na to, czym kierują się hakerzy – atak na naszą organizację może okazać się katastrofalny w skutkach.  Na rynku istnieje jednak wiele rozwiązań, które pozwalają toczyć codzienną walkę z cyberprzestępczością i co najważniejsze – pozwalają nam wyjść z niej zwycięsko.
W odpowiedzi na powyższe zagrożenia Integrity Partners oferuje wiele sprawdzonych technologii, które idealnie wpisują się w potrzeby bezpieczeństwa każdej firmy. Pomożemy Ci w wyborze właściwego rozwiązania, a nasi eksperci zapewnią kompleksowe konsultacje. Nawet jeśli Twoja firma nie dysponuje ogromnymi zasobami IT – zaproponujemy Ci odpowiednie warstwy ochrony w ramach usług MANAGED SERVICES. Chcesz dowiedzieć się więcej? Napisz do nas

Darktrace, globalny lider w wykrywaniu anomalii w sieci, wyróżnił Integrity Partners statusem Darktrace Platinum Partner! Jest to kolejne, najwyższe wyróżnienie od partnera technologicznego oraz kolejne mocne potwierdzenie naszych kompetencji w obszarze cybersecurity.

Integrity Partners z pierwszym w Polsce statusem Platynowego Partnera Darktrace

Co oznacza status Darktrace Platinum Partner?

Inżynierowie i konsultanci Integrity Partners przeszli wymagający proces szkolenia oraz pozyskali odpowiednie certyfikaty partnerskie. Ale to nie wszystko. Platynowe Partnerstwo jest potwierdzeniem największej liczby wdrożeń rozwiązań Darktrace w Polsce. Oznacza to, że klienci mają dostęp do wykwalifikowanej kadry inżyniersko-handlowej pozwalającej na szybkie wdrożenie i adaptację rozwiązania w środowisku klienta. Ponadto klienci otrzymują najwyższy poziom wsparcia technicznego, zarówno pierwszej, jak I kolejnych linii. Jest to szczególnie istotne w przypadku zaawansowanej technologii, która dzień po dniu dostosowuje swoje algorytmy do nowopowstałych zagrożeń.

Jak mówi Patryk Pieczko, Cyber Security Vice Director w Integrity Partners: „włączenie produktów Darktrace do naszej oferty dopełnia wachlarz produktów cybersecurity, które obecnie proponujemy naszym Klientom. Zagrożenia występujące w sieciach (IT oraz OT) są niezwykle istotne. Zarówno w czasach spokojnych dla gospodarki, jak i w tak „ciekawych”, jak era Covid-19. Dynamika wprowadzanych zmian w systemach, konfiguracji stacji roboczych, podłączanie do sieci firmowych szeregu słabiej chronionych urządzeń oraz brak wykwalifikowanej kadry znacznie zwiększają ekspozycję firm na możliwe ataki. Zapewnienie ochrony w takim środowisku wymaga podejścia opartego o monitorowanie zagrożeń na poziomie sieci. A najlepiej – monitorowanie proaktywne, zawsze „o krok przed” niebezpieczeństwem. To jest właśnie znak rozpoznawczy Darktrace.”

„Inteligentna” ochrona dostępna już w Polsce

Darktrace jest światowym liderem w wykrywaniu i analizie zagrożeń w dowolnych typach sieci w czasie rzeczywistym. Pionierska technologia the Enterprise Immune System wykorzystuje uczenie maszynowe oraz sztuczną inteligencję, aby wykrywać, klasyfikować i wizualizować potencjalne zagrożenia, których nie są w stanie wykryć starsze systemy.

Anomalies Detection i Anomalies Response to technologie, dzięki którym nieregularne aktywności w sieci są wykrywane, a w przypadku pakietu AI – również izolowane w sieci, w której zostają zainstalowane. Tego rodzaju podejście oznacza zajęcie pole position w nieustającym wyścigu z zagrożeniami dla sieci firmowych – szkodliwe oprogramowanie może jeszcze nawet nie być zdefiniowane, a Darktrace jest w stanie zauważyć podejrzaną aktywność i przesłać alert do osób odpowiedzialnych za bezpieczeństwo.
https://www.youtube.com/watch?v=5iaGuOUdfHc

 
Decyzje podejmowane w ułamku sekundy są niezbędne tak w F1, jak i w ochronie danych.

Zapraszamy do śledzenia naszego profilu na LinkedIn, gdzie na bieżąco zapraszamy na organizowane przez nas webinary. Dzięki nim możesz być na bieżąco z najnowszymi informacjami na temat monitorowania zagrożeń w sieci firmowej.

W ostatnich latach technologie oparte o sztuczną inteligencje zyskują coraz więcej zwolenników. Z powodzeniem technologię te wykorzystują biolodzy, lekarze i inżynierowie na całym świecie. Nie do podważenia jest też rola sztucznej inteligencji w rozwoju bezpieczeństwa cybernetycznego.  

Doskonałym przykładem wykorzystania AI do walki z cyberprzestępczością jest rozwiązanie Darktrace. Platforma Cyber AI wykorzystuje algorytmy sztucznej inteligencji do ochrony sieci korporacyjnych przed atakami. Dzięki zastosowaniu uczenia maszynowego, Darktrace wykrywa i neutralizuje dotąd nieznane zagrożenia we wszystkich typach sieci. 

Wykorzystanie sztucznej inteligencji zrewolucjonizowało bezpieczeństwo IT. Czy to jednak koniec walki o cyberprzestrzeń? 

Od kilku lat niezmiennie najpopularniejszą formę atak stanowią phishing i spear-phishing. W przypadku spear-phishingu atakujący poświęcają wiele czasu zanim przystąpią do działania. Muszą dokonać dokładnej rewizji środowiska wybranej ofiary (w tym przegląd mediów społecznościowych, zarówno prywatnych jak i biznesowych). Jest to zabieg czasochłonny i kosztowny, ale na pewno bardzo skuteczny. Gdyby prace ludzką w projektowaniu szkodliwego mailingu zastąpić złośliwą sztuczną inteligencją, efekt mógłby być zatrważający.  

Hipotetycznie: E-wiadomość wysłana przez złośliwą AI o wiele łatwiej przenika do wybranych struktur firmowych niż tradycyjny phishing. Złośliwe oprogramowanie napędzane przez sztuczną inteligencję omija nawet najbardziej zaawansowane systemy obronne i niezauważone wtapia się w normalną aktywność. W ten sposób złośliwe oprogramowanie pozostaje nieuchwytne i „po cichu” skanuje sieć w poszukiwaniu słabych punktów. Następnie szkodliwe AI samodzielnie odnajduje czułe punkty i przenika do wrażliwych danych zainfekowanej organizacji.  

Podsumowując

Atak przeprowadzony z udziałem sztucznej inteligencji może być bardzo precyzyjny i wręcz niemożliwy do wykrycia. Dodatkowo szacuje się, że czas skonstruowania takiego maila jest kilkakrotnie krótszy niż standardowy email phishing. Sztuczna inteligencja staje się coraz bardziej wyrafinowana w swojej zdolności do modelowania ludzkich zachowań. W związku z tym, musimy ponownie przemyśleć nasze podejście do bezpieczeństwa cybernetycznego, aby w przyszłości lepiej bronić się przed „inteligentnymi napastnikami”. 

Rozwój sztucznej inteligencji nabiera zaskakującego tempa. Niedawno machine learning stał się zdolny do generowania i modyfikowania obrazów i wideo. Twarz generowana przez sztuczną inteligencję wykorzystuje sieci neuronowe do tworzenia fałszywych obrazów (GAN). Technologia ta kryje się pod nazwą deepfakes. Deepfakes mnożą się w Internecie przybierając formę wysokiej rozdzielczości zdjęć ludzi, którzy naprawdę nie istnieją.  

Podczas gdy GAN są wykorzystywane głównie do tworzenia fałszywychobrazów i wideo – te same lub bardzo podobne technologie są już wykorzystywane do złośliwych celów. Tak jak AI produkuje deepfake’y, tak sztuczna inteligencja zastosowana podczas kampanii spear-phishingowych może produkować e-maile, które wyglądają i brzmią dokładnie tak samo jak prawdziwe wiadomości z wiarygodnego źródła. Rezultatem jest prawie pewna metoda oszukiwania niczego nieświadomych ofiar. 

Wchodzimy w nową erę technologiczną, w której sztuczna inteligencja oprócz pozytywnego zastosowania, staje się jednocześnie niebezpieczną bronią w rękach cyberprzestępców. Jedyną technologią, która będzie w stanie przeciwdziałać złośliwej AI – jest sama AI.  

Organizacje na całym świecie coraz częściej poszukują rozwiązań opartych o cybernetyczną inteligencję do ochrony przed niepewną przyszłością. Firma Darktrace dostarcza rozwiązania oparte o tą nowoczesną i obecnie bardzo pożądaną technologię AI. Darktrace podaje, że liczba klientów korzystających z rozwiązania do inteligentnej ochrony poczty elektronicznej – Antigena Email, od stycznia 2020 roku wzrosła dwukrotnie. 

Zdolność Antigena Email do odróżniania złośliwych wiadomości e-mail od legalnej komunikacji biznesowej oraz powstrzymywania tych wiadomości przed dotarciem do skrzynki odbiorczej pracownika – nigdy nie była bardziej krytyczna. Technologia ta, napędzana przez cyberinteligencję, po wdrożeniu w struktury firmy uczy się „normalnych zachowań” pracowników i procesów jakie w niej zachodzą. Pozwala to na wykrywanie i zatrzymywanie wszelkich anomalii oraz nietypowych działań, które mogą poważnie zaszkodzić infrastrukturze firmy. 

Podsumowując, technologie oparte o sztuczną inteligencję – to przyszłość naszego cybernetycznego świata. Tylko od nas zależy, czy wykorzystamy AI do ochrony naszych firm, czy też padniemy jej ofiarą. 

Jeśli masz pytania dotyczące rozwiązania Darktrace – zapraszamy do kontaktu z nami.

Źródło: https://www.wired.com/brandlab/2020/02/offensive-ai-surfacing-truth-age-digital-fakes/

W ostatnich miesiącach świat żyje doniesieniami na temat koronawirusa SARS-CoV-2.  Zarówno Internet, jak i wiadomości e-mail zdominowały treści dotyczące szalejącej pandemii. Ochrona poczty w tym kontekście jest szczególnie istotna.

Omawiany na tak szeroką skalę temat – sprytnie próbują wykorzystać także cyberprzestępcy.  Według doniesień firmy Darktrace w ostatnim czasie zarejestrowano 16 000 nowych domen COVID-19, z których część prawdopodobnie zostanie wykorzystywana do przeprowadzania nowatorskich kampanii phishingowych.  Potwierdzeniem tego jest rosnąca od początku roku liczba ataków na pocztę e-mail z wykorzystaniem treści nawiązujących do pandemii koronawirusa SARS-CoV-2. 

Szybkie przestawienie się na inny model pracy, z wykorzystaniem domowej sieci i słabiej zabezpieczonych urządzeń, to również pole do popisu dla oszustów. Sprawcy umiejętnie grają na ludzkich emocjach: strachu, niepewności, a nawet współczuciu związanym z epidemią COVID-19. Dzięki temu zyskują nowe możliwości dystrybucji złośliwego oprogramowania, kradzieży danych czy oszustw finansowych. 

Do walki z nową falą ataków na pocztę e-mail staje sztuczna inteligencja. Firma Darktrace przygotowała dla swoich klientów usługę Antigena Email dla Office 365, która reaguje na obecną falę zagrożeń związanych z COVID-19, jak i inne nowatorskie ataki.  

Dla swoich obecnych klientów Darktrace, oferuje usługę Antigena Email dla Office 365 – bezpłatnie, na okres 2 miesięcy. 

Jak to działa?

Aby aktywować usługę Antigena Email dla Office 365, wystarczy zalogować się na Portalu Klienta Darktrace i wybrać opcję Aktywuj usługę Antigena Email. Po aktywacji aplikacja Antigena Email zostanie uruchomiona w trybie pasywnym. Z perspektywy użytkownika oznacza to, że oprogramowanie podpowiada zalecane działania, które SI chciałaby podjąć w celu neutralizacji zagrożenia. W ciągu dwóch miesięcy istnieje możliwość przełączenia jej w tryb aktywny, w którym SI podejmie działania autonomiczne. 

Antigena  Email  stanowi jedną z 3 modułów Antigena Darktrace. W skład rozwiązania wchodzą również: Antigena Cloud i Antigena Network. Razem, moduły te tworzą “cyfrowe przeciwciała”, które w sposób autonomiczny reagują na incydenty w środowisku sieciowym, mailowym lub w chmurze. 

Dzięki wieloletniej współpracy z firmą Darktrace z sukcesem wdrożyliśmy na Polski rynek technologię opartą na sztucznej inteligencji. Jeżeli zainteresowała Cię usługa Antigena Email i chcesz ją wypróbować bezpłatnie, skontaktuj się z nami, chętnie pomożemy – Skontaktuj się tutaj

Ataki cyberprzestępców coraz częściej przybierają wyrafinowany i długotrwały charakter. Hakerzy chętniej porywają się na duże firmy, skupiając swoje wysiłki na słabych punktach jednego wartościowego celu. Wykrycie takich ataków wymaga narzędzi opartych na sztucznej inteligencji, które uczą się zachowań normalnych dla każdego użytkownika i urządzenia podłączonego do infrastruktury danej sieci.

Doskonałym przykładem takiego wyrafinowanego ataku może być zainfekowanie firmy „X” przez Ransomware RYUK. Podczas ataku firma ta była w trakcie POC przeprowadzanego przez Darktrace.

Historia przypadku:

Na początku Darktrace zasygnalizował podejrzaną liczbę nowych tożsamości administracyjnych wykorzystywanych w firmie, które zostały stworzone przez atakujących.

Następnie zasygnalizował pobranie podejrzanego pliku (pobierany plik miał rozszerzenie PNG, podczas gdy jego prawdziwy typ to plik wykonywalny) – był to Trojan TrickBot, który pozwolił atakującym na stały dostęp do środowiska firmy.

Na podstawie obserwacji rodzaju i charakterystyki ruchu Darktrace wykrył utrzymujące się połączenie do serwerów C&C atakujących.

Dodatkowo przy pomocy TLS fingerprinting Darktrace oznaczył, że jest to podejrzany, zaszyfrowany ruch do nigdy wcześniej nie występujących serwerów.

Po uruchomieniu Ryuk, Darktrace wygenerował incydenty związane z zaobserwowanym szyfrowaniem zasobów przez protokół SMB, rozprzestrzenianiem się Ryuka (lateral movement) i wykrytymi działaniami typu rekonesans (skanowanie sieci/portów).

Przypadek ten miał miejsce u klienta, który przeprowadzał POC, a więc Darktrace nie miał pełnego wglądu na całe środowisko klienta i nie miał aktywnego modułu umożliwiającego automatyczną odpowiedź oraz powstrzymywanie zagrożeń.

Gdyby firma korzystała z pełnego deploymentu Darktrace:

Prawdopodobnie zasygnalizowałby włamanie wcześniej, widząc inne podejrzane działania, które doprowadziły do uzyskania dostępu do sieci wewnętrznej.
Mając aktywny moduł Antigena, Darktrace zablokowałby kolejno:

połączenia ze stacją, na którą został pobrany podejrzany plik PNG, będący Trojanem,
połączenia do serwerów C&C,
próbę szyfrowania zasobów przez protokół SMB,
próbę propagacji Ryuk do kolejnych hostów (lateral movement).

W przypadku zaobserwowania podejrzanego ruchu Darktrace może, w zależności od preferencji:

Zaalarmować administratorów.
Zablokować podejrzane połączenie.
Totalnie odizolować stację, z której pochodzą podejrzane połączenia.
Wykonać akcję „Enforce pattern of life” – pozwolić stacji na wykonywanie dotychczasowo obserwowanych połączeń, zgodnych z normalnym zachowaniem stacji, a blokować jedynie odstępstwa od normy (anomalie).

Dzięki unikalnej technologii uczenia maszynowego (machine learning) Darktrace zidentyfikował już ponad kilkanaście tysięcy wcześniej nieznanych zagrożeń w kilku tysiącach sieci, łącznie z atakami zero-days, zagrożeniami wewnętrznymi czy atakami ukierunkowanymi.

Przeczytaj więcej o rozwiązaniu Darktrace!