Funcionários, terceirizados, parceiros e usuários privilegiados podem se tornar ameaças internas. Eles são difíceis de detectar, com consequências devastadoras se tiverem sucesso. A plataforma Arcsight Intelligence capacita as equipes de segurança com visibilidade de endpoints, servidores, redes e até terabytes de dados de log. O ArcSight oferece uma visão completa das ameaças internas do backend ao endpoint.
Com o machine learning, o ArcSight Intelligence cria uma visão holística dos comportamentos normais. Ao detectar atividades anômalas ou de alto risco, ele conecta esses eventos aos usuários envolvidos, aumenta a pontuação de risco deles (minimiza radicalmente alertas falso-positivos) e apresenta o contexto do incidente em uma interface clara, prática e interativa. A Arcsight Intelligence detecta e apresenta ameaças internas, permitindo que as equipes de segurança trabalhem com mais rapidez e eficiência para mitigá-las.
Os ataques cibernéticos atuais entram regularmente até em perímetros sofisticados de defesa em profundidade. As empresas devem monitorar essas ameaças que estão dentro de suas redes. Porém, peneirar grandes quantidades de dados de eventos geralmente produz, em sua maioria, falsos positivos. Construído em uma verdadeira plataforma de big data, o Arcsight Intelligence ingere e analisa grandes quantidades de dados para identificar ataques rapidamente e com precisão.
A Arcsight Intelligence detectará, conectará e visualizará um caminho de ataque: de contas comprometidas a movimentação lateral, reconhecimento de dados, propagação de dados em fases e movimentação de dados para exfiltração. Nesse contexto, a Arcsight Intelligence pode identificar ataques rapidamente, à medida que eles surgem. Um analista imediatamente recebe visualizações de incidentes e fluxos de trabalho que permitem a validação, investigação e resposta eficientes. Veja a Intelligence em ação, solicite uma demonstração hoje mesmo.
Muitos clientes implantam a Arcsight Intelligence em um programa de segurança centrada em dados porque as análises fornecem pontuação do risco para ativos digitais, incluindo projetos em repositórios, unidades compartilhadas, servidores, etc.
A plataforma trata exclusivamente de problemas de visibilidade de back-end aplicando análises comportamentais aos logs de aplicativos de repositórios IP, como o Source Code Management (SCM). A Arcsight Intelligence identifica atividades de alto risco para os analistas, para que eles possam interromper o mau comportamento antes que uma violação ocorra.
As soluções de detecção e resposta de endpoint (EDR) fornecem os dados mais detalhados e precisos para a detecção de ameaças. Combinadas com a habilidade de analisar bilhões de eventos de endpoint da Arcsight Intelligence, as equipes de segurança podem detectar, de maneira rápida e eficaz, indícios de contas comprometidas, movimentação lateral, reconhecimento interno ou exfiltração de dados. A Arcsight Intelligence lança uma nova luz sobre as informações de usuário, como frequência anormal de login, data ou hora de trabalho ou uma máquina diferente das usuais, adicionando um contexto valioso para ajudar a detectar ameaças difíceis de encontrar.
Combine a análise comportamental da Arcsight Intelligence com os dados abrangentes do endpoint da CrowdStrike para descobrir rapidamente ameaças difíceis de encontrar, como os ataques internos ou dirigidos. Essa solução permite que os centros de operações de segurança respondam de maneira mais acurada às ameaças, destilando bilhões de eventos de endpoint em um pequeno conjunto de ameaças priorizadas, reduzindo a fadiga de alerta e permitindo que eles se concentrem nas ameaças realmente importantes.
Embora sejam os pilares dos centros de operações de segurança de hoje, os produtos SIEM, DLP, IAM e NAC criaram falhas de segurança: muitos falsos positivos e estruturas políticas excessivamente complicadas reduzem a capacidade de um centro de operações de segurança detectar, validar e responder a ameaças com precisão. Os analistas perdem muito tempo tentando adivinhar qual é a verdadeira ameaça. A plataforma de análise avançada da Arcsight Intelligence foi criada para maximizar a eficácia das ferramentas de segurança existentes e otimizar as operações de segurança.
A Arcsight Intelligence correlaciona os dados coletados das ferramentas de segurança existentes (como o gerenciamento de identidade e acesso, acesso remoto, proxy da web e sistemas de repositório de código-fonte) para fornece uma visão corporativa das contas, autenticações e dos acessos de usuário e de serviços nos níveis de sistema e de aplicativo. A plataforma também fornece informações sobre o acesso e a movimentação de dados de alto risco e alimenta, automaticamente, retornando os dados contextuais ao SIEM ou ferramenta de resposta a incidentes. E ainda pode chamar APIs para ativar os controles de TI nos sistemas de autenticação, DLP ou NAC.
Dados comprometidos podem ocorrer por phishing, malware ou uma violação de dados. Os invasores roubam credenciais de clientes e funcionários para obter vantagens financeiras ou para acessar dados sensíveis em outros aplicativos e redes. Baseada no machine learning avançado, a plataforma da Arcsight Intelligence utiliza centenas de algoritmos focados na detecção de contas comprometidas, tanto de usuários quanto de serviços. A Arcsight Intelligence é capaz correlacionar indicadores de endpoints, diretórios, listas de controles de acesso e logs de aplicativos de vários programas de software de colaboração de código e controle de versão. Isso abrange todos os tipos de ataques direcionados a contas.
A ampla visibilidade da Arcsight Intelligence capacita as equipes de segurança a detectar comprometimentos de contas, conectando esses ataques aos IOCs relacionados. Em outras palavras, ele não apenas identifica ameaças com rapidez e precisão, mas também dá um passo adiante e fornece as informações contextuais subjacentes a um ataque bem antes que ele atinja seu alvo.
A Arcsight Intelligence vai apontar um ataque antes que ele atinja seu alvo. E isso é só o começo. Ele ajudará os analistas de segurança a validar o ataque, a integrar ao processo de resposta a incidentes da empresa e a fornecer informações sobre incidentes às equipes de toda a organização. A interface do usuário fornece uma imagem tridimensional de um ataque, essencial para entender na hora como interrompê-lo. As visualizações de risco de entidade permitem que os analistas visualizem linhas do tempo de ataques, tendências de risco e novas anomalias à medida que um ataque surge. A exibição da linha do tempo também pode incluir alertas de outros produtos de segurança e informações de inteligência de ameaças relacionadas a um ataque. Isso otimiza o processo de validação e de resposta.
Investigadores e caçadores de ameaças têm acesso com um clique a informações profundas, no nível de evento, para um incidente. Além disso, as APIs RESTful e a integração nativa a diversos outros componentes Arcsight otimizam o processo de resposta e investigação, fornecendo às equipes de segurança as ferramentas necessárias para interromper um ataque antes que os dados sejam comprometidos.
Incidentes de grande visibilidade que envolvem ameaças internas nos lembram o quanto somos vulneráveis contra ações de contas privilegiadas. Se o funcionário for a ameaça ou suas credenciais forem comprometidas, o acesso a esse tipo de conta pode causar uma perda significativa.
Para cada conta privilegiada, a Arcsight Intelligence leva em consideração comportamentos como tempo, autenticação, acesso, uso de aplicativos e movimentação de dados para caracterizar diversos comportamentos. Quando uma conta se desvia de suas características básicas, as análises da Arcsight Intelligence visualizam a atividade de um usuário privilegiado, reduzindo falsos positivos por meio de pontuações de risco e alertando a segurança para que uma ação seja tomada.
Quais são os casos de uso mais importantes para sua empresa? Agende uma demonstração com um de nossos profissionais de segurança para saber como a Arcsight Intelligence pode fornecer as ferramentas para turbinar seu SOC.
