Повысьте свою безопасность с помощью индикаторов компрометации сообщества и используйте данные репутации для обнаружения угроз в зашифрованном трафике.
На цифровом поле битвы стоит быть начеку, но есть способы облегчить работу. Flowmon ADS 11.2 предлагает вам новые и усовершенствованные методы предотвращения известных угроз и обучения на основе опыта атак, проводимых против других.
Главные новости:
- Черные списки с технологией JA3
- Интеграция интеллектуальной аналитики угроз MISP
Черный список зашифрованных угроз
Обычно приложения используют шифрование для защиты связи, но также известно, что некоторые вредоносные программы используют его для прикрытия. К счастью, есть быстрый способ обнаружить это – отпечатки JA3.
Отпечаток JA3 - это своего рода штамп, уникальный для каждого приложения, созданный во время установки зашифрованного сеанса.
Итак, что нового?
Помимо возможности генерировать отпечатки JA3, ADS 11.2 может использовать черные списки JA3 и отпечатки известных вредоносных программ для обнаружения вредоносных или других нежелательных приложений.
Это означает, что вам не нужно вручную копировать отпечатки из потоков и сравнивать их с базами данных. Система делает все это автоматически.
Загрузив черные списки, вы сделаете систему более подходящей для ваших конкретных обстоятельств. Например, для обнаружения известных вредоносных программ или обнаружения запрещенных приложений в вашей сети.
Мы подготовили для вас стартовый черный список, который вы можете добавить и использовать прямо сейчас.
Причина, по которой мы решили предоставить файл вместо готового черного списка, заключается в том, что этот метод имеет ограничение, так как отпечатки JA3 законных и вредоносных приложений иногда могут быть одинаковыми.
Это означает, что существует определенный риск ложных срабатываний, когда законные приложения обнаруживаются как нежелательные. Вы не сможете редактировать внутренний черный список и, следовательно, не сможете устранить ложные срабатывания. Но с помощью внешнего файла вы можете это сделать.
Интеграция аналитики угроз MISP
С опытом накапливаются знания, и знаниями нужно обмениваться. Такие платформы, как MISP, позволяют организациям обмениваться индикаторами компрометации и, таким образом, коллективно улучшать состояние безопасности сообщества.
Что здесь может предложить Flowmon?
Если вы являетесь одним из 6000 участников MISP, вы можете интегрировать информационный канал в свой Flowmon ADS (если нет, вам нужно установить экземпляр). Он будет извлекать данные MISP для автоматического создания черных списков IoC для обнаружения и идентификации вредоносных сообщений, обеспечивая немедленную идентификацию того, какому типу атаки вы можете подвергнуться.
Если обнаружено событие, то в поле «Detail» будет отображено, использовались ли при этом данные MISP, если да, то добавится ссылка на идентификатор события MISP.
Существует огромная разница между обнаружением события в ADS и знанием того, к какому виду нарушения оно относится, и необходимостью обнаружить это самостоятельно.
Это также быстрый способ проверить, не стали ли вы жертвой атаки, которая недавно возникла.
Эта возможность включает в себя все поддерживаемые форматы данных черного списка, присутствующие в Flowmon ADS (IP-адрес, веб-сайт или домен, сервис, а также недавно появившиеся отпечатки JA3).
Улучшение визуализации
Улучшенное обнаружение заслуживает улучшенной визуализации. ADS 11.2 отходит от угловатого стиля графиков и приобретает более плавный, приятный вид.
Автоматизируйте рутину
Flowmon ADS 11.2 - это союз трудосберегающей автоматизации и обширных разведывательных данных угроз, предназначенный для того, чтобы освободить руки любому администратору безопасности.
Следите за интересными новостями об обнаружении контекстно-зависимых аномалий, которые появятся в ближайшем будущем.
Есть ли у вас какие-либо отзывы о Flowmon ADS 11.2? Дайте нам знать!