Flowmon ADS 11.2 přichází s řadou vylepšení, které vám umožní vyhnout se známým hrozbám, ale také se poučit z útoků, které byly vedeny na jiné organizace.

Hlavní novinky ADS 11.2:

  • blacklisty s JA3 otisky

  • Integrace s platformou MISP

Blacklist pro hrozby v šifrované komunikaci

Šifrování je dnes běžně využívané pro zabezpečení komunikace řady aplikací. V této šifrované komunikaci se však stále častěji ukrývá také malware. Naštěstí existuje rychlý způsob, jak takový malware odhalit – pomocí otisků JA3.  

JA3 otisk je unikátní identifikátor aplikace založený na datech z SSL/TLS a získává se při zahájení šifrované komunikace.  

Co je tedy nového?

Kromě schopnosti generovat otisky JA3, dokáže nové ADS 11.2 využít k detekci škodlivých aplikací blacklisty s JA3 otisky známého malwaru. Není tak potřeba otisky ručně kopírovat a porovnávat s databázemi. Systém všechno udělá sám a automaticky.

Detail detekce využívající JA3 otisk

Využíváním externích blacklistů dokážete přizpůsobit systém pro různé situace, například k detekci známého malwaru nebo nepovolených aplikací v síti. 

Připravili jsme pro vás startovací blacklist, který můžete využít ihned. Narozdíl od interního blacklistu jej lze editovat, takže dokážete korigovat situaci, kdyby některé JA3 otisky legitimních aplikací mohly být označeny jako falešně pozitivní. Někdy totiž mohou být JA3 otisky stejné pro legitimní i škodlivé aplikace. 

Integrovaný zdroj informací o hrozbách

Aktuální zkušenosti s hrozbami jsou velmi důležité a je pro všechny výhodné, že se dají sdílet. Bezpečnostní platformy jako je MISP umožňují sdílet indikátory kompromitace mezi organizacemi a společně tak posilovat bezpečnost celé komunity. 

Co umí Flowmon nabídnout v této oblasti?

Pokud jste jedním z více než 6 tisícovek členů komunity MISP můžete integrovat tento důležitý zdroj informací přímo v rámci Flowmon ADS (pokud dosud nejste, stačí když se zapojíte zde). Ze sdílených MISP dat si tak automaticky vytvoříte aktuální IoC blacklisty, které vám pomohou s identifikací nebezpečného malwaru.

Nastavení vzdáleného zdroje MISP s IoC blacklisty

Pokud dojde k detekci události, v detailu se zobrazí, zda vychází z dat MISP s odkazem na MISP ID. Je velký rozdíl, když ihned víte, co stojí za danou událostí nebo únikem, než když musíte všechny informace zjišťovat sami. 

Detail události zobrazující MISP blacklist jako metodu detekce

Toto je také nejrychlejší způsob, jak zjistit, jestli jste se nestali obětí útoku (říká vám něco SUNBURST?). 

Tato funkce obsahuje všechny podporované formáty dat blacklistu využívané ve Flowmon ADS (IP adresu, web nebo domény, služby a nově také JA3 otisky).  

Vylepšené zobrazení

Pokročilá detekce si zaslouží také pokročilé zobrazení. Flowmon ADS 11.2 proto pro větší přehlednost a snadnou orientaci přináší grafy v novém, uhlazenějším stylu. 

Nový graf v novém designu

Zautomatizujte si rutinu 

Flowmon ADS 11.2 byl navržen tak, aby dokázal bezpečnostním administrátorům uvolnit ruce v mnohem větší míře než kdykoli dříve. V nové verzi proto přináší pokročilou automatizaci, kterou propojuje s inteligencí využívající rozsáhlou databázi informací o hrozbách.