Sophos heeft Braintrace overgenomen, leverancier van Network Detection and Response (NDR) technologie die gebruik maakt van machine learning. Dit wordt toegevoegd aan het Adaptive Cybersecurity Ecosysteem van Sophos. NDR biedt inzicht in netwerkverkeerpatronen, inclusief versleuteld verkeer, zonder dat Man-in-the-Middle (MitM)-ontsleuteling nodig is. Braintrace is gevestigd in Salt Lake City, Utah, werd opgericht in 2016 en is een particulier bedrijf.
Als onderdeel van de overname zijn ontwikkelaars, datawetenschappers en beveiligingsanalisten van Braintrace toegetreden tot Sophos’ wereldwijde Managed Threat Response (MTR) en Rapid Response-teams. De MTR- en Rapid Response-dienstverlening van Sophos is snel gegroeid, waardoor Sophos een van de grootste en snelst groeiende MDR-aanbieders ter wereld is geworden met meer dan 5000 klanten.
Integratie
De NDR-technologie van Braintrace zal de MTR- en Rapid Response-analisten en de Extended Detection and Response (XDR)-klanten van Sophos ondersteunen door integratie in het Adaptive Cybersecurity Ecosystem, dat ten grondslag ligt aan alle Sophos-producten en -diensten. De Braintrace technologie zal ook dienen als platform voor het verzamelen en doorsturen van gegevens van derden uit firewalls, proxies, virtuele particuliere netwerken (VPN’s) en andere bronnen. Deze extra lagen van zichtbaarheid en opname van gebeurtenissen zullen de opsporing van bedreigingen, threat hunting en de respons op verdachte activiteiten aanzienlijk verbeteren.
Verdedigers
“Je kunt iets niet beschermen als je niet weet dat het er is, en zowel grote als kleine bedrijven schatten vaak hun bedrijfsmiddelen en aanvalsoppervlak verkeerd in, zowel on-premises als in de cloud. Aanvallers maken hier misbruik van en gaan vaak achter zwak beschermde middelen aan als een manier om toegang te krijgen. Verdedigers profiteren van een ’traffic control systeem’ dat alle netwerkactiviteit ziet, onbekende en onbeschermde middelen onthult en ontwijkende malware betrouwbaarder blootlegt dan Intrusion Protection Systems (IPS)”, zegt Joe Levy, chief technology officer bij Sophos.
“We zijn bijzonder verheugd dat Braintrace deze technologie specifiek heeft gebouwd om betere beveiligingsresultaten te bieden aan hun Managed Detection and Response (MDR)-klanten. Het is moeilijk om de effectiviteit te overtreffen van oplossingen die zijn gebouwd door teams van deskundige ontwikkelaars om echte cyberbeveiligingsproblemen op te lossen.”
Virtuele machine
Sophos zal Braintrace’s NDR-technologie inzetten als een virtuele machine, gevoed vanuit traditionele observatiepunten zoals een Switched Port Analyzer (SPAN) poort of een netwerk Test Access Point (TAP) om zowel inkomend en uitgaand verkeer als verkeer tussen servers te inspecteren. Deze implementaties helpen bedreigingen te ontdekken binnen elk type netwerk (inclusief versleutelde netwerken) en dienen als aanvulling op de decoderingsmogelijkheden van Sophos Firewall.
De packet- en flow engine van de technologie voedt een verscheidenheid aan machine learning-modellen die zijn getraind om verdachte of kwaadaardige netwerkpatronen te detecteren, zoals verbindingen met Command and Control (C2) servers, laterale bewegingen en communicatie met verdachte domeinen. Aangezien Braintrace zijn NDR-technologie specifiek heeft ontwikkeld voor voorspellende, passieve bewaking, biedt de engine ook intelligente netwerkpakketopname die IT-beveiligingsbeheerders en threat hunters kunnen gebruiken als ondersteunend bewijsmateriaal tijdens onderzoeken. Op de nieuwe NDR-analyse en voorspellingstechniek is octrooi aangevraagd.
Kwaadaardig gedrag
Volgens Gartner, “in vergelijking met traditionele benaderingen, waarbij kwaadaardig gedrag van tevoren wordt gedefinieerd in de vorm van vooraf opgestelde handtekeningen en detectie-engines die het verkeer inspecteren op zoek naar overeenkomsten, kiest NDR voor een andere benadering. In plaats van alleen het verkeer te inspecteren aan de hand van een lijst met bekende slechte payloads of gedragingen, richt NDR zich ook op het zoeken naar onbekende patronen in het netwerkverkeer, waarbij een waarschijnlijkheid wordt berekend of die afwijking kwaadaardig is.” Verder merkt Gartner op:
“De machine learning-algoritmes die de kern vormen van veel NDR-producten helpen bij het detecteren van afwijkend verkeer dat vaak wordt gemist door andere detectietechnieken. De optionele geautomatiseerde responsmogelijkheden helpen om een deel van de werklast voor incident responders te verlichten. De threat hunting functionaliteit biedt waardevolle hulpmiddelen voor incident responders.”
Threat hunting
“NDR is van cruciaal belang voor succesvolle threat hunting. Braintrace’s onderscheidende vermogen ten opzichte van de concurrentie is zijn unieke NDR-technologie die onze MDR-analisten gebruikten voor het vinden, onderbreken en herstellen van cyberaanvallen”, zegt Bret Laughlin, CEO en medeoprichter van Braintrace. “Met onze eigen NDR-technologie reageert het team sneller en nauwkeuriger vanwege de real-time, geautomatiseerde zichtbaarheid en verificatie van bedreigingen die ze hebben in versleuteld verkeer. We hebben Braintrace’s NDR-technologie vanaf de grond opgebouwd voor detectie en nu, met Sophos, zal het passen in een compleet systeem om cross-product detectie en respons te bieden in een multi-vendor systeem.”