Alef

Flowmon a kybernetická bezpečnost

Roman Tomášek

Sr. Systems Engineer

roman.tomasek@alef.com

Flowmon řešení hraje velmi důležitou roli v kybernetické bezpečnosti. Obzvláště Flowmon modul s názvem ADS (Anomaly Detection System).

Flowmon ADS doplňuje tradiční bezpečnostní řešení, jako je zabezpečení koncových stanic, perimetru, datových center a podobně. Flowmon na základě toků analyzuje síťový provoz a hledá známky nežádoucí aktivity nebo podezřelé události, o kterých pak informuje administrátory. Je schopný detekovat události na základě chování uživatelů na síti (tzv. behaviorální analýza) a včas a proaktivně odhalit malware a další síťové hrozby.

Detekované bezpečnostní události jsou kategorizovány podle MITRE ATT&CK taktik a technik, čímž se získá přehled o závažnosti útoku, jeho rozsahu a možném vývoji.

Pro detekci hrozeb Flowmon ADS využívá více než 40 detekčních metod a přes 200 algoritmů včetně strojového učení, behaviorální analýzy, MISP databází, indikátorů kompromitace či reputační databáze (blacklisty, seznam DoH serverů, apod.). Při detekci určité události je možné automaticky spustit záchyt paketů pomocí dalšího Flowmon modulu, který se nazývá Flowmon Packet Investigator (FPI).

Strojové učení dokáže rozeznat anomálie od běžného provozu. Umožní tak vyloučit vybraný segment z detekce a může celý systém odladit. Bezpečnostní události jsou řazené podle závažnosti a je možné získat detailní informace jediným proklikem. Zároveň je možné změnit závažnost bezpečnostních událostí dle potřeb a požadavků bezpečnostních analytiků.

Flowmon ADS je možné integrovat s dalšími bezpečnostními řešeními. Události detekované pomocí Flowmon ADS je možné posílat do SIEM systému pro získání kompletního náhledu na bezpečnostní incidenty v síti. Dále je možné integrovat firewall a Flowmon ADS s tím, že IP adresy, které se účastní určité události v síti je možné umístit do karantény.

Flowmon ADS je možné také obohatit o signatury IDS systému Suricata na Flowmon sondách. Tím se detekují bezpečnostní incidenty, které odpovídají signaturám útoku a tyto se pak zobrazují ve Flowmon ADS kolektoru.

Řešení pro síťovou bezpečnost Flowmon získalo roku 2022 ocenění Technology Leader v oblasti Customer Impact a Technology Excellence.Toto ocenění bylo zveřejněno v hodnocení SPARK MatrixTM vydávaném společností Quadrant Knowledge Solutions.