Gatewatcher

// o producencie rozwiązania

Gatewatcher to europejski producent rozwiązań cyberbezpieczeństwa, założony w 2015 roku z siedzibą w Paryżu.

Firma specjalizuje się w wykrywaniu zaawansowanych cyberataków, takich jak Advanced Persistent Threat (APT). Dzięki połączeniu wysokowydajnych rozwiązań opartych na metodach sygnaturowych i uczeniu maszynowemu, Gatewatcher zdobył pozycję lidera na rynku dostawców rozwiązań cyberbezpieczeństwa.

W swojej ofercie posiada trzy komplementarne produkty: AionIQ® (NDR), AionBytes® (Sandbox) i LastInfoSec® (CTI).

STRONA PRODUCENTA

Gatewatcher NDR z flagową technologią AionIQ

AionIQ® to w pełni lokalna technologia, która monitoruje ruch sieciowy we wszystkich kierunkach (północ-południe oraz wschód-zachód), wykorzystując pełną kopię ruchu sieciowego (tzw. Full Packet Capture) jako dane wejściowe. AionIQ® łączy metody sygnaturowe i uczenie maszynowe, aby skutecznie wykrywać i reagować na zaawansowane zagrożenia cybernetyczne.

Połączenie tych możliwości z wyjątkową wydajnością w analizowaniu złośliwych zachowań, nawet w przypadku zaszyfrowanych przepływów sieciowych, pozwala na kompleksowe modelowanie poziomu cyberryzyka związanego z każdym połączeniem między zasobami i użytkownikami.

AionIQ® oferuje niezrównany poziom wykrywania i widoczności cyberzagrożeń, zarówno znanych, jak i nieznanych, takich jak ransomware, APT, exploity podatności zero-day i inne.

Monitoring ruchu sieciowego

Źródłem danych do analizy dla AionIQ® jest pełna kopia ruchu sieciowego (full packet capture). Zapewnia to możliwość skanowania obiektywnego, niezmodyfikowanego pasma informacji.

Modułowa architektura

Architektura rozwiązania umożliwia adaptację do specyfiki każdej infrastruktury, w tym takiej która jest rozproszona geograficznie.

Dywersyfikacja silników detekcji

Każde połączenie przekazane do AionIQ® jest skanowane przez szereg silników detekcji o różnym profilu, umożliwiając wykrycie zróżnicowanych technik wykorzystywanych przez cyberprzestępców.

Integracja z obecnymi systemami

Dzięki otwartym API i możliwości integracji z systemami typu EDR, XDR, SIEM czy SOAR, AionIQ® w łatwy sposób stanie się integralną częścią infrastruktury bezpieczeństwa.

AionIQ - architektura on-premise

Wszystkie analizy sieci dokonywane przez AionIQ® są realizowane lokalnie, dzięki czemu dane dotyczące zasobów infrastruktury IT nie są nigdzie przekazywane.

// kluczowe cechy architektury

W głównych węzłach sieci kopia ruchu zostaje przekazana do Sondy AionIQ®. Rolę dostawców kopii mogą pełnić switche obsługujące port-mirroring lub dedykowane Test Access Pointy.
Kopie pakietów trafiają do sondy Gcap, gdzie dokonuje się wstępnej analizy. Następnie ruch zostaje zoptymalizowany i z pomocą szyfrowanego połączenia przekazany dalej. W konfiguracji może występować tylko jedna sonda lub zależności od potrzeb, większa ich ilość (np. oddziały znajdujące się w różnych lokalizacjach).
Centralnym elementem systemu jest Gcenter. W tym miejscu zbierane są dane ze wszystkich skojarzonych sond, gdzie poddawane są kolejnym analizom bezpieczeństwa. Gcenter odpowiedzialny jest za administrację całego zestawu rozwiązania, a także za utrzymanie niezbędnej retencji danych.
Wyniki analizy bezpieczeństwa prezentowane są w konsolach administracyjnych, a także mogą być na bieżąco przekazywane do innych systemów poprzez otwarte API.

Silniki detekcji w AionIQ od Gatewatcher NDR

AionIQ® zapewnia pełną transparentność i obszerne informacje związane z analizowanym ruchem oraz konfiguracjami silników detekcji. Celem takiego zabiegu jest zapewnienie operatorowi wszelkich niezbędnych danych do podjęcia adekwatnej reakcji na występujące zagrożenie.

W celu wykrycia wszystkich metod, które mogą być wykorzystane w przebiegu cyberataku AionIQ® stosuje szereg silników skanujących wszystkie połączenia w sieci.

SIGFLOW

Wykorzystuje mechanizm działania rozwiązania Intrusion Detection System (IDS), oparty na sygnaturach połączeń mających znamiona niebezpiecznej aktywności

RETROACT

Wszystkie pliki utrzymane w pamięci urządzenia podlegają regularnym ponownym skanom po aktualizacji baz sygnatur, a administarator zyskuje dostęp do historycznych połączeń. W sytuacji pojawienia się doniesień o nowych kampaniach malware, AionIQ® automatycznie sprawdzi, czy nasza infrastruktura nie stała się ich celem.

CODEBREAKER

Silnik przeznaczony do dekodowania oraz detekcji prób wykorzystania w procesie ataku shellcode i powershell, wliczając w to nawet kod polimorficzny.

MACHINE LEARNING

Zastosowanie uczenia maszynowego uzupełnia zwyczajowo używane metody bazujące na sygnaturach, szukając zagrożeń w połączeniach, których niejednokrotnie nie da się sparametryzować. Za przykład może posłużyć mechanizm wykrywania Domain Generation Algorithms używanych w mechanizmach Command & control.

MALCORE

Każdy plik przesyłany w ruchu sieciowym zostaje wyizolowany i przeskanowany przez 16 niezależnych silników antywirusowych. Dzięki dywersyfikacji źródeł sygnatur redukcji ulega ryzyko wystąpienia false-negative.

LastInfoSec® - kompleksowa platforma threat intelligence od Gatewatcher

Dzięki bibliotece zawierającej 6 mln IoC, ponad 5000 nowym markerom dodawanym każdego dnia oraz ponad 3000 różnym źródłom danych infrastruktura LASTINFOSEC® oferuje bogate i osadzone w kontekście dane threat intelligence.

Technologia ta ułatwia podejmowanie decyzji zespołom ds. bezpieczeństwa operacyjnego, znacząco skracając czas wymagany na analizę i reagowanie na zdarzenia, nie ingerując przy tym w procesy wewnętrzne.

Ponadto korzysta ze zautomatyzowanych silników gromadzenia, analizy i korelacji danych, dzięki którym informacje na temat zagrożeń dostępne są na ogół 24 godziny wcześniej, niż w przypadku konkurencyjnych rozwiązań.

LASTINFOSEC® można w prosty i szybki sposób zintegrować dzięki eksportom do najnowszych standardów CTI (Stix v2, Stix v2.1, JSON itp.) oraz kompatybilnością z wiodącymi narzędziami
analitycznymi (Splunk, OpenCTI itp.)

Technologia LASTINFOSEC® nieustannie inwentaryzuje i ocenia źródła danych z różnych kanałów: portali społecznościowych, specjalistycznych stron, darknetu oraz deep webu.

Informacje dostarczane przez LASTINFOSEC® mogą być wykorzystywane przez całą organizację lub przez konkretne oddziały. Oferta obejmuje wdrożenie w ramach części technologii wykrywania, np. IDS lub EDR, narzędzi używanych przez zespoły SOC i CERT lub w całej organizacji w ramach platform threat intelligence. LASTINFOSEC® pozwala na proste zwiększenie skuteczności zabezpieczeń dzięki pełniejszemu i bardziej przejrzystemu spojrzeniu na zagrożenia. Wyszukiwanie zagrożeń można również zautomatyzować, dzięki czemu przyspieszone zostanie wykrywanie.

// Platforma threat Intelligence

AIONBYTES® - Lokalny sandbox do analizy podejrzanych plików i linków od Gatewatcher

AIONBYTES® oferuje bezpieczne środowisko, które uruchamia złośliwe oprogramowanie, a następnie dostarcza danych na temat zmian, które chce ono wprowadzić w systemie. W ciągu zaledwie kilku minut analitycy bezpieczeństwa otrzymują wstępną ocenę zagrożenia, jakie stanowi dane oprogramowanie lub shellcode, a także dane dotyczące jego zachowania.

Silniki detekcji w AIONBYTES® od Gatewatcher NDR

AIONBYTES® dostarcza szczegółowych wyników z każdego silnika w oparciu o globalne statystyki, dzięki czemu możesz podejmować skuteczniejsze decyzje w obliczu zagrożenia.

ANALIZA STATYCZNA

Umożliwia szybkie sprawdzenie metadanych pliku

ANALIZA DYNAMICZNA

Pozwala na ocenę zachowania pliku uruchomionego na maszynie wirtualnej. Dane generowane podczas analizy mogą być eksportowane (jako zrzut pamięci czy pcap).

ANALIZA SHELLCODE

Pozwala na identyfikację niektórych typów kodu i identyfikację wywołań systemowych

DETEKTOR DGA

Wykrywa algorytmy generowania domen.

ANALIZA HEURYSTYCZNA

Oparta na 16 silnikach antymalware działających jednocześnie. Silniki te zostały wyselekcjonowane przez laboratorium Gatewatcher ze względu na ich komplementarność, skuteczność, używane technologie wykrywania oraz pochodzenie geopolityczne wykorzystywanych przez nie danych bezpieczeństwa.

Najważniejsze cechy rozwiązania Gatewatcher

Wspiera w kreowaniu polityki bezpieczeństwa

Wykrywanie i analiza słabych punktów
Wsparcie przy podejmowaniu decyzji
Opracowanie planu działania

Ułatwia wykrywanie i gromadzenie danych o sieci

Monitorowanie
Audyty
Ciągła analiza ruchu sieciowego

Automatyzuje analizę danych

Ogranicza liczbę fałszywych alarmów
Ocenia prawdopodobieństwo wykorzystania podatności i jego wpływu na infrastrukturę

Webinary oraz wersja testowa

// darmowe webinary na żądanie oraz wersja testowa

Jeśli masz jakieś pytania lub chcesz dowiedzieć się więcej na temat rozwiązania z rodziny GATEWATCHER, zachęcamy do zapisania się na zupełnie darmowy webinar.

Webinary możemy zorganizować dla Ciebie na żądanie. Jeśli nie otrzymałeś jeszcze od naszych specjalistów #cybersec dogodnego dla siebie terminu, zarejestruj się poniżej na webinar na żądanie, a skontaktujemy się z Tobą w celu umówienia konkretnego terminu, w jakim będziesz dostępny.

Podczas webinarów masz możliwość dowiedzieć się więcej o funkcjach GATEWATCHER, zadać pytania czy umówić dialog techniczny.

Ponadto, jeśli potrzebujesz wersji testowej lub masz jakiekolwiek pytania, zapraszamy do kontaktu.