1. ACSIA Ürün Açıklaması
ACSIA XDR Plus -Otomatik Siber Güvenlik İstihbarat Uygulaması, 4Securitas tarafından Avrupa'da geliştirilen ve Genişletilmiş Tespit ve Müdahale (XDR) çözümümüzü gerçek zamanlı tahmine dayalı, proaktif ve düzeltilmiş siber savunma koruması sağlayan güçlü bir Tehdit İstihbaratı özelliğiyle bütünleştiren güçlü bir siber savunma ürünüdür.
ACSIA XDR Plus'ı geleneksel siber güvenlik ürünleriyle karşılaştıracak olsaydınız, Saldırı Önleme (IPS), İzinsiz Giriş Tespit Sistemleri (IDS), DNS-Shield ile Uç Nokta Tespiti ve Yanıtı (EDR) özelliklerini bir araya getiren bir siber güvenlik ürünü olarak tanımlanırdı. , Host Insight ve End Point Protection'ı (EPP) tek bir platformda toplayın ve bunların tümü gerçek zamanlı Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemimiz tarafından desteklenir. Tasarımımız, korelasyon ve gerçek zamanlı tehdit analizi için tüm izleme araçlarından gelen telemetri verilerini SIEM'imize alır.
ACSIA XDR Plus, bu reaktif algılama özelliklerini acımasızca ve gerçek zamanlı olarak gerçekleştirir. Ayrıca, çevre güvenlik altyapısında veya bir uç nokta cihazında kendilerini göstermeden önce önemli sayıda tehdide karşı proaktif olarak korunabileceğini de biliyoruz.
Bir ağ güvenlik cihazının/aracısının geleneksel yaklaşımı, tehditleri bir şirketin altyapısının çevresinde tespit edildiğinde veya çevre güvenlik önlemlerini aşıp bir uç nokta cihazında tespit edildiğinde engellemektir.
Genişletilmiş Algılama ve Yanıt işlevlerini, yanlış IP Adreslerini, anonim ağ çıkış düğümlerini ve kötü amaçlı yazılım kaynaklarının ağa erişmesini yasaklayan tahmine dayalı bir Tehdit İstihbaratı akışıyla güçlendiriyoruz. Bu tehdit kaynaklarının ağınızın yakınında herhangi bir yere ulaşmasını engellemek, "sizi bulamazlarsa size saldıramazlar" anlamına gelir.
ACSIA XDR Plus Tehdit İstihbaratı akışı, tahmine dayalı bir siber savunma aracıdır DNS Kalkanı, bağlantı kurulmadan önce kötü amaçlı alanlara yönelik istekleri engeller. Bu yaklaşım, Kimlik Avını veya herhangi bir protokol ve bağlantı noktasında Komuta ve Kontrol (C&C) geri araması gibi daha gelişmiş tehditleri önlemeye yardımcı olur.
Uç Nokta Korumamız, Taşınabilir Yürütülebilir Dosyaların kurbanın sabit diskine indirilmesini engeller. Host Insight, uyumluluk değerlendirmesi ve yönetimi, güvenlik açığı değerlendirmesi ve yönetimi ve hatalı yazılım yapılandırmasını bulma gibi yeteneklerle dijital varlıkları sürekli olarak izler.
Ayrıca, risk değerlendirmesiyle ilgili izlenen varlıkların görünürlüğünü ve tam bir raporunu sağlar. İstihbarat toplama faaliyetlerini algılayan ve gerçekleştirilmesini önleyen bir gözetleme önleme özelliği de ekliyoruz, böylece gözetleme bilgileri bir siber saldırı planlamak için kullanılmadan önce siber güvenlik güvenlik tehditlerini ortadan kaldırıyoruz. Son derece gelişmiş izleme ve düzeltme tekniklerimiz, siber saldırıların çoğunun planlanmasını veya yürütülmesini önleyerek her kuruluş için tehdit ortamını büyük ölçüde azaltır.
Güvenlik Operasyonlarınız için Bir Kuvvet Çarpanı
Tehdit istihbaratı beslemesini saldırı öncesi keşif algılama çözümüyle entegre ederek, daha sonra uç nokta algılama, kernel seviyesi izleme ve IDS ve IPS özelliklerini içeren bu farklı şekilde birbirinden farklı güvenlik araçlarının paylaşılan telemetri sistemini birleştirilmiş bir SIEM'e dönüştürerek ACSIA XDR Plus'ın tehditleri adli doğruluk seviyeleriyle gerçek zamanlı olarak ilişkilendirmesini ve iyileştirmesini sağladık.
Tespit edilen tehditlerin otomasyonu ve düzeltilmesi için Yapay Zeka ve Makine Öğrenimi kullanıyoruz.
2. Tasarım Amaçları
Ürünün ayrıntılarını keşfetmeden önce, ilk olarak ACSIA XDR Plus için sahip olduğumuz bazı ana hedeflerimizin ana hatlarını vereceğiz, bu da sırayla ürünle birlikte alınan bazı tasarım kararlarını ve yönergeleri açıklamaya yardımcı olacaktır.
Şirket misyonumuz, "Açık kaynak teknolojisini uygun bir fiyata kullanarak, pazardaki en yüksek veri koruma düzeylerini sağlayan, tercih edilen bir sonraki modern siber savunma platformu olarak ACSIA'nın kullanılabilirliğini demokratikleştirmektir."
Bu, hem son derece etkili hem de diğer platformlarla eşanlamlı olan kör noktaları hedef alan bir siber savunma çözümünü sıfırdan tasarlamamızı ve inşa etmemizi gerektiren, oldukça yüklü bir misyon ifadesidir. Çözümün ölçeklenebilir, sağlam, çalıştırması basit, yönetimi ve kurulumu kolay ve uygun fiyatlı olması da zorunluydu. ACSIA XDR Plus ürünü aşağıdaki özelliklerle oluşturulmuştur:
- Açık kaynak teknolojisi ve 150'den fazla benzersiz algoritma kullanılarak tamamen 4Securitas tarafından oluşturulmuş ve desteklenen bağımsız bir üründür.
- Üçüncü taraf lisanslanabilir ürünler kullanmıyoruz
- Ürün yenilikleri arasında son derece etkili anti-gözetleme teknolojisi ve ayrıntılı doğruluk için Kernel & Registry düzeyinde izleme yer alır.
- Ürün altyapısı gereksinimleri küçüktür ve fiziksel/sanal/bulut veya konteyner ortamlarında devreye alınabilir.
- ACSIA XDR Plus, her bir uç noktada bir aracı kullanılarak veya aracısız bir dağıtım modelinde dağıtılabilir.
ACSIA XDR Plus, aşağıdaki saldırı türlerine karşı korunmaya yardımcı olmak için tasarlanmıştır:
3. Ürün Bileşenleri
Bu belge, ürün mantığının ana bileşenleri aracılığıyla ACSIA XDR Plus ürününün istemci uç noktasından son kullanıcı deneyimi ve yönetim raporlarına kadar olan bileşimini açıklar. Aşağıdaki Şekil 2'de gösterildiği gibi bu yaşam döngüsü, her biri aşağıda daha ayrıntılı olarak ele alacağımız yedi ayrı öğeden oluşur.
Şekil 2. ACSIA XDR Plus siber savunma uygulamasının bileşenleri.
İstemciler Aracılar kullanılarak dağıtılmalıdır
ACSIA XDR Plus, izlenen tüm uç noktalara dağıtılan Aracılara sahip bir istemci-sunucu mimarisidir. Uygulama motorunun yerleşik bir OpenSearch yığını vardır ve günlük göndericileri olarak sağlanan Beats'i kullanır.
Aracıyı dağıtırken, bağlantı noktaları ve hizmet kullanıcısı gereksinimleri için önkoşullar minimum düzeydedir, yani hiçbir hizmet kullanıcısı önkoşulu mevcut değildir. Bağlantı noktaları, birleşik bağlantı noktaları 443 (HTTPS) ve 444 (TCP/UDP) ve ) olarak birleştirilir. Cihaz ACSIA motoruna/sunucusuna erişemezse, ajan otonom olarak çalışacaktır. Client Agent, aşağıdaki günlükleri
ACSIA uygulamasına göndermek için Beats'i kullanır:
- System Logs
- Web Application Logs
- Audit Logs
- Network Traffic
- Kernel/Registry Logs
- Compliance Related Logs
4. İstemci Aracısı (Agent'ı)
Yukarıda belirtilen Beats, Windows, Linux ve MAC OS işletim sistemleri için tek bir İstemci Aracısı halinde paketlenmiştir ve ACSIA Kullanıcı Arabiriminden indirilebilir (resmi kılavuza bakın) ve indirilen yürütülebilir dosya çalıştırıldığında otomatik olarak kurulacaktır. ACSIA aracısı, tüm iletişim bağlantı noktalarını 443 (HTTPS) ve 444 (TCP/UDP) olan tek bir bağlantı noktasında birleştirir. Aracı, ACSIA için bir hizmet kullanıcısı gerektirmez.
5. Günlük Gönderimi
OpenSearch tarafından sağlanan beatler, çeşitli günlük dosyalarını ACSIA'daki Security Information Event Manager'a aktarmak için günlük gönderici olarak kullanılır. İlgili veri hacimleri çok küçüktür (kilobit olarak ölçülür), bu nedenle ACSIA'yı dağıtırken istemci veya ağ üzerinde herhangi bir performans yükü yoktur.
Tüm istemci trafiği, istemci-sunucu sertifikaları kullanılarak Taşıma Katmanı Güvenliği (TLS V1.2 veya üstü) kullanılarak şifrelenir.
6. Çok Katmanlı Algılama Mantığı
ACSIA XDR Plus içindeki algılama mantığı, güvenlik mimarlarımız tarafından 4Securitas'ta tasarlanan ve geliştirilen 150'den fazla benzersiz algoritmanın yedi entegre mantıksal bileşenini içeren gelişmiş çok katmanlı, yüksek performanslı bir güvenlik modülüdür.
ACSIA XDR Plus Çok Katmanlı Savunma tasarımındaki yedi mantıksal bileşenin tümü, doğru tehdit algılama ve düzeltme için paylaşılan telemetri kullanır.
7. Öngörücü ve Proaktif Siber Savunma
4Securitas, ACSIA XDR'ye özgü iki proaktif Siber Güvenlik özelliği geliştirmiştir, bu nedenle ona ACSIA XDR Plus diyoruz.
- Tahmine dayalı Tehdit İstihbaratı
- Proaktif Saldırıdan Öncesi Gözetimi Önleme
- Saldırgan araç algılama modeli
Tahmine Dayalı Tehdit İstihbaratı, milyarlarca aktif tehdidin verilerinize herhangi bir siber erişim elde etmesini engeller. BT Sisteminizi kirletmekten kaynaklanan en üretken ve zarar verici siber tehditlerin birçoğunu ortadan kaldırarak işletmeye yönelik tehdit düzeylerini büyük ölçüde azaltır.
Proaktif Ön Saldırı ve Gözetleme Önleme, bir ortamın çevresinde keşif koruması sağlayan aktif bir modüldür. Tüm bilgi taleplerini yakalar ve karmaşık ve karmaşık siber saldırı yöntemlerini istihbarat toplamadan reddetmek için araçları ve istismar tekniklerini ilişkilendirir. Gözetleme ve bilgi toplama teknikleri, siber suçluların bir saldırı planlamadan önce gerçekleştirmesi gereken gerekli adımlardır. ACSIA bu faaliyetleri tespit edecek ve engelleyecektir; toplanan veriler bir siber saldırı planlamak için kullanılabilir.
8. XDR Koruması
ACSIA içindeki XDR özellikleri aşağıdaki temel özellikleri içerir.
- Saldırgan araçlarI algılama
- Kernel İzleme
- Kullanıcı Davranış Analizi
Saldırı öncesi ve saldırı aşamalarında kullanılan saldırı araçlarının imzaları ve davranışları, tehditleri proaktif olarak durdurmak için ACSIA XDR Plus'ın temel işlevlerinden biridir. Siber suçluların bir saldırı planlamadan önce bir siber savunmadaki zayıflıkları keşfetmek üzere istihbarat toplamak için kullandıkları saldırı araçlarını yakalar. Ayrıca, tekniklerini, yöntemlerini ve sorgulanan verileri analiz ederek bir kuruluş içinden bilgi toplamaya çalışan bir saldırganı da belirleyecektir.
Çekirdek katmanı, anormallikleri ve tehditleri tespit etmek için işletim sisteminin çekirdeğini analiz eder. Meşru kullanıcılardan ve kötü amaçlı yazılım veya rootkit dağıtımlarından gelen içeriden gelen tehditleri tespit etmede çok etkilidir. Bu güvenlik düzeyi, tehdidin türünden/olgunluğundan bağımsız olarak çalışır ve bu nedenle önceden bilinmeyen tehditleri (sıfır gün saldırıları) yakalama konusunda benzersiz bir yeteneğe sahiptir.
UEBA (kullanıcı varlığı davranış analizi veya Profil Oluşturucu), özellikle dahili kullanıcılar veya güvenliği ihlal edilmiş hesaplar verilere erişirken veya ilişkili olmayan rutinleri yürütürken, gerçekleştirilen eylem modelindeki olağandışı değişiklikleri tespit etmek için kullanıcıların günlük rutin etkinliklerinin profilini çıkarmak için kullanılır. günlük aktiviteleri ile. Bu güçlü özellik, özellikle geriye dönük olarak "kimin ne yaptığını" belirlerken, personel faaliyetlerini denetlemek için yararlıdır.
9. Korelasyon
Daha önce tartışılan tüm veri noktalarımızdan gelen günlükleri, aşağıdaki veri kaynaklarıyla birlikte Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ile ilişkilendiririz:
- Saldırı Önleme Sistemi
- Saldırı tespit sistemi
- Uç Nokta Tespiti ve Yanıtı
ACSIA, tek bir platformda İzinsiz Giriş Önleme (IPS) ve İzinsiz Giriş Algılama Sistemleri (IDS) içeren entegre bir Uç Nokta Algılama ve Yanıt (EDR) içerdiğinden, bu güvenlik modüllerinin günlüklerini, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemimizi kullanarak gerçek zamanlı ilişki ve analiz için yakalar.
Bu zengin veri kaynaklarını bir SIEM'de bir araya getirmek, ACSIA XDR Plus'ın birden çok siber savunma araç setindeki tehditleri belirleme yeteneğini güçlendirir.
10. Otomasyon, İyiletirme & Sürekli İyileştirmeler
ACSIA XDR Plus, kötü aktörleri izlenen varlığı tehlikeye atmadan önce daha iyi tespit etmek için tehdit yanıtlarını otomatikleştirmek ve sürekli olarak iyileştirmek ve tehdit istihbaratı bilgilerini iyileştirmek için Makine Öğrenimi/Yapay Zekayı kullanır.
ACSIA Detection Logic tarafından analiz edilen veriler, tehdit türü ve önem düzeyine göre en uygun düzeltme eylemini otomatik olarak belirlemek için ML/AI'ye aktarılır. Bunlar, düzeltme eylemlerinin düzenlenmesi için Ansible oyun kitapları kullanılarak otomatikleştirilir.
11. Yönetim ve İdare
ACSIA kullanıcı arayüzüne, herhangi bir standart masaüstü cihazına veya bir akıllı telefon cihazına bir web tarayıcısı aracılığıyla erişilir. Varsayılan olarak, ACSIA, HTTPS taraması için kendinden imzalı SSL sertifikaları oluşturur, ancak ACSIA, istemciye özel SSL sertifikalarıyla dağıtılabilir. Yönetim ve Yönetim erişimi için çok faktörlü kimlik doğrulama veya iki faktörlü kimlik doğrulama kullanılır.
Uyarıların bildirimi yapılandırılabilir ve e-posta, Slack mesajlaşma sistemi veya Microsoft Teams aracılığıyla gönderilebilir.
Ana Bilgisayarlar sayfası, ACSIA tarafından izlenen ve basit bir sihirbaz kullanılarak yeni istemcilerin eklenebileceği istemci ana bilgisayarlarının bir tablosunu içerir.
Canlı Bildirimler sayfası, tüm etkin ve bekleyen uyarıların inceleme veya işlem için listelendiği yerdir.
Öngörüler, varsayılan ve özel panoların listelendiği yerdir. Bunlar özellikle adli soruşturma için faydalıdır ve şunları içerir:
- Access Control Dashboard
- User Activity Dashboard
- General Network Traffic Dashboard
- IP Address Activity Dashboard
- All Traffic Dashboard
Uyumluluk bölümü, uyumluluk ve düzenleyici çerçevelerle ilgili analizlerin ve gösterge tablolarının bulunduğu yerdir - bunlar şunları içerir:
-
Güvenlik Açıkları Gösterge Tablosu
-
Security Events Dashboard
-
Integrity Monitoring Dashboard
-
PCI DSS Compliance Dashboard
-
GDPR Compliance Dashboard
-
NIST 800-53 Framework Dashboard
-
Mitre Att&ck® Framework Dashboard
-
Vulnerabilities Dashboard
-
Policy Monitoring Dashboard
-
HIPAA Compliance Dashboard
-
System Auditing Dashboard
-
Trusted Services Criteria Dashboard
Tüm analizler ve gösterge panoları, ana standart biçimlere aktarılabilen raporlama özelliklerine sahiptir.
Politikalar bölümü, aşağıdakiler gibi tüm eyleme geçirilmiş olayları içerir:
- IP Blacklist
- Sessiz Bildirimler
- IP Whitelist
- Konum Tabanlı Erişim
- Kilitli Kullanıcılar
'Olay Geçmişi' bölümü, ACSIA kullanıcı arayüzündeki her bir etkinliğin ve azaltma yanıtlarının kaydedildiği yerdir. Örneğin, bir kullanıcıya kimin yetki verdiği, bir hesabı kimin kilitlediği, bir IP adresini kimin yasakladığı vb. Bu, kimin ne yaptığını takip etmek için kaydedildi.
Bir uyarı oluşturulduğunda birden fazla üyenin bilgilendirileceği bir "Dağıtım Listesi" kullanılır. Bekleyen tüm uyarılar, son kullanıcı tarafından düzeltme eylemlerinin gerekli olduğu "Canlı Bildirimler" bölümünde listelenir.
"Ayarlar", tüm UI ayarlarının işlendiği yerdir:
Preferences
Notifications
Integration
DNS Shield
Log Retention
License
Users
E-mail
2FA
Software Update
Clients Uninstall
12. Temel Ürün Özellikleri ve Faydaları
Aşağıdaki ürün özellikleri ve avantajları, ACSIA ürün setimizin temel bileşenleridir. 4Securitas'taki ekibimizin yıllarca süren araştırma ve geliştirme çalışmalarının sonucudur ve siber güvenlik pazarındaki en son teknolojik ve yenilikçi gelişmeleri temsil eder.
Tehdit Algılama |
Teknik Avantajlar |
Ticari & Kullanıcı Avantajları |
