Sangfor Technologies nominata Example Vendor di soluzioni NDR nei report “Emerging Tech” di Gartner

Sangfor è stata nominata Example Vendor per soluzioni di Network Detection and Response

Sangfor Technologies è stata recentemente nominata Example Vendor per la Network Detection and Response (NDR) negli ultimi Emerging Tech report di Gartner: “Top Use Cases for Network Detection and Response” ed “Emerging Tech: Security – Adoption Growth Insights for Network Detection and Response”. Questo fa seguito al nostro riconoscimento come Representative Vendor per NDR nel “Gartner Market Guide for Network Detection and Response”

Quando parliamo di soluzione NDR, facciamo riferimento alla nostra soluzione Sangfor Cyber Command.

I report Emerging Tech di Gartner sono principalmente destinati ai fornitori di tecnologia e ai loro leader di prodotto, piuttosto che agli acquirenti. Tuttavia, riteniamo che le organizzazioni che desiderano investire in NDR (o lo hanno già fatto) possano comunque ottenere preziose informazioni da questi report.

Cos’è un NDR? 

Network Detection and Response (NDR) è una soluzione di sicurezza informatica che consente alle organizzazioni di rilevare e rispondere alle minacce che hanno violato la rete. 

NDR si basa principalmente su una tecnologia di rilevamento non basata su firma, specificamente progettata per identificare minacce altamente avanzate e sconosciute, che non possono essere rilevate utilizzando firme note. NDR monitora il traffico di rete e lo correla con i modelli comportamentali in tempo reale, tra cui il traffico nord-sud ed est-ovest, e lo analizza utilizzando l’intelligenza artificiale. Questa tecnologia rileva l’attività di rete anomale, che spesso nascondono malware abilitati all’IA e tecniche avversarie altamente sofisticate perse da altri controlli di sicurezza.

A differenza dei tradizionali strumenti, le soluzioni NDR non solo rilevano le minacce, ma rispondono anche in tempo reale e si integrano con altri prodotti di sicurezza, come Endpoint (EPP/ EDR) e Firewall. Molte soluzioni NDR offrono funzionalità di response automatizzate, che consentono loro di rispondere immediatamente alle minacce in base a playbook di risposta predefiniti. Le organizzazioni possono reagire in modo rapido ed efficiente alle minacce informatiche, riducendo al minimo i potenziali danni.

Casi d’uso NDR 

The Emerging Tech: Top Use Cases for Network Detection and Response identifica tre casi d’uso di NDR. Essi sono: Detection, Incident Response (IR) e Response. Di seguito, li definiamo così:  

  • Detection: identificazione automatica e/o manuale di attacchi, minacce e rischi, per esempio vulnerabilità e configurazioni errate nella rete.
  • Incident Response: le attività automatiche e/o manuali eseguite in risposta agli attacchi e alle minacce rilevate, tra cui il triaging, la tracciabilità di dati, la valutazione dell’ambito e del rischio complessivo e lo sviluppo della remediation.
  • Response: Le attività automatiche e/o manuali eseguite per contenere, rispondere e recuperare da attacchi e minacce.
Per aiutare il nostro pubblico a comprendere meglio le dinamiche attuali e future di ciascun caso d’uso, abbiamo selezionato alcuni punti chiave del report (sotto in virgolettato). Abbiamo anche valutato la nostra soluzione NDR – Sangfor Cyber Command – per aiutare a comprendere meglio come la nostra tecnologia si comporta rispetto ad essi. 

Caso d’uso 1: DETECTION 

Per essere competitivi nel mercato NDR, i leader di prodotto devono garantire che la loro offerta NDR abbia un forte rilevamento basato sull’AI”.
 

“L’intelligenza artificiale è un’evoluzione tecnologica che distingue NDR da altri prodotti di sicurezza di rete. Invece di una capacità di rilevamento che identifica solo gli attacchi “noti”, l’AI consente a un NDR di scovare anche quelli “sconosciuti” tramite correlazione di dati storici o riconoscendo attività anomale che sono (o probabilmente sono) dannose.”

“Il rilevamento NDR parte da una prospettiva di rete e deve includere anche funzionalità di rilevamento comportamentale, tra cui metodi senza firma e analisi avanzate come il machine learning (ML) e altre forme di AI.”

Cyber Command ha un rilevamento basato su AI e utilizza diverse tecniche e tecnologie avanzate, tra cui: 

  1. Network Traffic Analysis (NTA): Cyber Command sfrutta algoritmi avanzati di apprendimento automatico e modelli basati su AI appositamente costruiti per correlare e analizzare il traffico di rete in tempo reale. Studiando continuamente grandi quantità di dati, Cyber Command identifica con precisione le anomalie nei modelli di traffico che sono altamente indicative di attività dannose, come il movimento laterale e l’esfiltrazione dei dati. I malware abilitati all’AI eseguono sempre di più questi attacchi utilizzando tecniche avanzate, che non possono essere rilevate utilizzando le firme.
  2. User and Entity Behavioral Analytics (UEBA): Cyber Command integra l’analisi comportamentale dell’AI e estende l’analisi del traffico di rete per rilevare le deviazioni nel comportamento normale di utenti e applicazioni. Questo approccio migliora il rilevamento di attacchi furtivi che sfruttano account validi compromessi e programmi legittimi, nonché le minacce interne.
  3. Neural-X Threat Intelligence: Cyber Command si integra con Sangfor Neural-X, la nostra piattaforma di analisi intelligente basata su cloud e su AI. Neural-X arricchisce continuamente il Cyber Command con informazioni sulle minacce in tempo reale, sui modelli e comportamenti dannosi provenienti da fonti proprietarie e di terze parti, assicurando che rimanga efficace contro le minacce emergenti.
 
 “I carichi di lavoro dell’acquirente si spostano sempre più verso ambienti cloud pubblici, riducendo la necessità di rilevamento on-premise… Per rilevare in questi ambienti, i leader di prodotto NDR dovrebbero esplorare fonti di dati alternative, potenzialmente non basate sulla rete.”
 
Cyber Command aggrega e mette in correlazione i dati provenienti da più fonti attraverso la rete, inclusi i pacchetti di rete e i record NetFlow, nonché le informazioni sulle minacce esterne. Supporta inoltre il rilevamento delle minacce in ambienti cloud, grazie all’ingestione di dati di protezione endpoint, registri DNS e altri dati distribuiti sull’infrastruttura cloud.
Correlando i dati provenienti da un’ampia copertura di fonti, Cyber Command genera avvisi di alta fedeltà che indicano minacce alla sicurezza reali.

Caso d’uso 2: INCIDENT RESPONSE

“Esso (IR) richiede di recuperare alert, artefatti e altri dati forensi insieme, organizzandoli in un modo da ottenere un quadro storico. Organizzare questi dettagli in strutture riconosciute dal settore, come MITRE ATT&CK, è un buon punto di partenza che sta vedendo la trazione nel mercato NDR.”
 
L’esclusiva funzione Golden Eye di Cyber Command fornisce ai team di sicurezza una rappresentazione grafica altamente intuitiva della catena di attacchi APT, visualizzando ogni loro fase semplicemente inserendo indirizzi IP, domini, porte o URL. Fornisce anche una visibilità approfondita degli attacchi, inclusa la tracciabilità della fonte e del percorso, e li aiuta a valutarne l’impatto e la gravità in modo che possano intraprendere le azioni più appropriate ed efficaci. Gli utenti durante ogni step posso usufruire di approfondimenti dettagliati e suggerimenti di remediation.
 
Cyber Command fornisce anche una mappatura MITRE ATT&CK completa, che comprende l’intero spettro delle tecniche avversarie, con ogni azione mappata con precisione dai suoi cinque motori di rilevamento. Questa mappatura consente ai team di sicurezza di acquisire una comprensione completa delle tecniche sfruttate dagli attori delle minacce per infiltrarsi e propagarsi attraverso la rete.
 
Per sfruttare l’aumento di interesse negli NDR tra le organizzazioni di medie dimensioni, aggiustamenti di prodotto sarnno necessari perché le organizzazioni di medie dimensioni hanno meno risorse e richiedono più automazione. Per esempio, la maggior parte dell’intelligenza artificiale (AI) usata oggi negli NDR è ancora focalizzata sulla detection. Questo rimane importante, ma reindirizzare lo sviluppo dell’IA ai flussi di lavoro operativi dovrebbe produrre grandi miglioramenti nell’automazione e nella facilità d’uso generale. I leader di prodotto dovrebbero cercare opportunità per utilizzare l’AI in aspetti operativi, tra cui:
 
1. Priorità degli alert
2. Passi successivi raccomandati
3. Cercare dati forensi automaticamente”
 
Cyber Command sfrutta la potenza di ML e modelli di AI appositamente costruiti per semplificare il processo di risposta agli incidenti, consentendo ai team di sicurezza di agire rapidamente ed efficacemente.
 
  1. Priorità degli avvisi: Cyber Command assegna in modo intelligente le priorità agli avvisi in base a fattori quali tipo di minaccia, gravità, criteri e intervallo rilevato per garantire che i team di sicurezza si concentrino sugli incidenti più critici, riducendo in modo significativo l’affaticamento degli avvisi.
  2. Passi successivi consigliati: Cyber Command fornisce agli utenti gli step successivi consigliati per ogni incidente di sicurezza rilevato. La mappatura degli incidenti di sicurezza nel framework MITRE ATT&CK fornisce anche un contesto e informazioni preziose. Facendo leva su questo, Cyber Command consiglia i prossimi passi appropriati per i team di sicurezza da prendere in base alle migliori pratiche contro le minacce specifiche.
  3. Ricercare dati forensi automaticamente: l’AI svolge un ruolo cruciale nella capacità del Cyber Command di raccogliere e analizzare i dati forensi in caso di incidente di sicurezza. Analizzando i modelli di traffico di rete, il comportamento degli utenti e altri dati rilevanti, Cyber Command ricerca e convalida automaticamente una vasta gamma di indicatori di compromissione (IOCs) e indicatori di comportamento di compromissione (BIOCs).

Caso d’uso 3: RESPONSE

Nelle analisi passate di Gartner su NDR e sulle sue capacità di risposta, non c’era un canale dominante verso cui il mercato si stava muovendo. Nell’ultimo anno, l’indagine degli utenti finali indica l’integrazione di NDR con i prodotti endpoint o EDR come il punto di risposta di controllo più comune.” 

Cyber Command si integra perfettamente con altri prodotti e servizi Sangfor, tra cui Endpoint Secure (EDR), NGAF (NGFW) e Neural-X. Utilizzando il modulo SOAR integrato, il Cyber Command esegue azioni di risposta efficaci insieme agli altri componenti. Ad esempio, Endpoint Secure può eseguire istruzioni della piattaforma NDR per isolare gli host compromessi e la scansione di tutti gli endpoint per lo stesso malware. Cyber Command si integra anche con firewall di terze parti, protezione endpoint e prodotti SIEM di altri fornitori, tra cui Palo Alto, Sophos, Fortinet, Check Point, Cisco, Bitdefender, Symantec, Trend Micro, Splunk, IBM QRadar e altro ancora.
 
I falsi positivi e la paura dei falsi positivi rimangono le principali ragioni per cui le organizzazioni non consentono la risposta…
 
…Una maggiore fiducia dietro le convinzioni dovrebbe eliminare la riluttanza a usare la risposta, che è importante per aumentare il valore dei prodotti NDR.”
 
Cyber Command offre una soluzione di risposta automatizzata attraverso il modulo SOAR integrato. Questo modulo comprende playbook predefiniti che affrontano una serie di minacce alla sicurezza e scenari di attacco comuni. Inoltre, gli amministratori della sicurezza possono personalizzare i playbook di risposta per le minacce specifiche per il loro ambiente e le operazioni aziendali. Questa funzione garantisce che la risposta automatica venga eseguita esclusivamente per condizioni preconfigurate e minacce ad alta affidabilità, riducendo al minimo il rischio di rispondere a falsi positivi.

Sangfor Cyber Command 

Sangfor Cyber Command è una soluzione NDR best-in-class che aiuta le organizzazioni a rilevare con precisione e a rispondere in modo efficace alle minacce alla sicurezza avanzate e sconosciute che risiedono nella loro rete. 

La soluzione Cyber Command è stata testata e collaudata in una vasta gamma di settori, tra cui government, sanità, manufacturing e altri. Le sue eccezionali capacità di rilevamento hanno aiutato gli utenti a scoprire minacce nascoste come ransomware, cryptomining, apts, attività IT ombra e altro ancora. Gli utenti hanno costantemente elogiato l’efficacia di Cyber Command e la sua capacità di proteggere le loro reti. 

Con Sangfor Cyber Command, le organizzazioni si trasformeranno da spettatori passivi a partecipanti attivi nella loro difesa informatica e rimarranno al passo con le minacce sempre più sofisticate di oggi e di domani. Ora puoi sperimentare la potenza di Cyber Command in prima persona richiedendo la tua prova gratuita: Proof of Value (POV) of Sangfor Cyber Command – NDR Platform 

Gartner Disclaimer: GARTNER è un marchio registrato e un marchio di servizio di Gartner, Inc. e/ o le sue affiliate negli Stati Uniti. e a livello internazionale e sono utilizzati qui con il permesso. Tutti i diritti riservati. Gartner non approva alcun fornitore, prodotto o servizio raffigurato nelle sue pubblicazioni di ricerca, e non consiglia agli utenti della tecnologia di selezionare solo i fornitori con i più alti rating o altra designazione. Le pubblicazioni di ricerca di Gartner consistono nelle opinioni dell’organizzazione di ricerca di Gartner e non dovrebbero essere interpretate come affermazioni di fatto. Gartner declina ogni garanzia, espressa o implicita, in relazione a questa ricerca, incluse eventuali garanzie di commerciabilità o idoneità per uno scopo particolare.