Darktrace je unikátny tým, že proces ladenia konfigurácie vykonáva umelá inteligencia, ktorá vyžaduje minimálnu interakciu zo strany používateľa a konfiguráciu prispôsobuje automaticky podľa individuálnych potrieb zákazníckej infraštruktúry. Tým automaticky zvyšuje stupeň zabezpečenia a pokrytia známych aj neznámych hrozieb prostredia organizácie.
Riešenie Darktrace je rozdelené do niekoľkých modulov. Detekciu hrozieb zabezpečuje v rámci modulu Darktrace Enterprise Immune System sledovaním sieťovej komunikácie, jej analýzou a klasifikáciou. Elimináciu a odizolovanie hrozieb, ktoré prerástli do útoku, realizuje modul Antigena a identifikáciu príčin a rozsahu útoku, určenie súvisiacich udalostí, ktoré útoku predchádzali, zaisťuje modul Cyber AI Analyst.
Komponenty
Enterprise Immune System
Pravidlá, ktoré využíva pri identifikácii hrozieb, si Darktrace vytvára na základe sledovania a analýzy komunikácie v prostredí, v ktorom je nasadený. Jadrom Darktracu je detekčný stroj využívajúci neasistované strojové učenie, t.j. strojové učenie ktoré sa ladí samostatne. Vo fáze učenia „sleduje“ komunikáciu prebiehajúcu v infraštruktúre, analyzuje ju a získava jedinečnú a viacrozmernú predstavu o aktivitách každého používateľa, zariadenia a komplexných vzťahoch medzi nimi. Takto si vytvára predstavu o „normálnom“ stave komunikačného prostredia, pričom udalosti a interakcie ktoré sú voči takto vytvorenému obrazu sveta abnormálne, považuje a označuje ako potenciálne hrozby.
Antigena
Sekundy a minúty sú v digitálnom svete a vo svete elektronickej komunikácie ako hodiny a dni v ľudskom svete - počas nich môžu byť napáchané rozsiahle a nenapraviteľné škody. Preto z pohľadu efektívnosti aplikovania ochrany infraštruktúry je na mieste hľadať adekvátne rýchly mechanizmus realizácie autonómnej reakcie systému na vzniknutú hrozbu a aplikovanie primeraného opatrenia. Odpoveďou Darktrace na túto výzvu je Antigena, určená na blokovanie prebiehajúcich útokov. Dokáže odizolovať len podozrivú komunikáciu, pričom komunikácia, ktorá je systému „známa“ je ponechaná bez obmedzení. Podľa zvoleného spôsobu nasadenia je to možné zaistiť buď priamo z Darktrace sondy alebo cez integráciu s existujúcimi bezpečnostnými zariadeniami v infraštruktúre zákazníka.
Cyber AI Analyst
Je bežnou praxou, že analytik – človek dohľadáva po incidente ďalšie udalosti, ktoré mohli spolu súvisieť, vyvodzuje zo zistení hypotézy a formuluje doporučenia zmien, ktoré v budúcnosti umožnia efektívnejšiu detekciu a elimináciu hrozby. V rámci Darktrace riešenia je toto úlohou komponentu Cyber AI Analyst. Jeho úlohou je skrátiť čas na pochopenie príčin, rozsahu a dosahu zaznamenaných hrozieb. Keď Enterprise Immune System zaznamená podozrivé správanie, Cyber AI Analyst začína hľadať ďalšie zaznamenané anomálie, ktoré by mohli s danou aktivitou súvisieť. Schopnosť paralelného vyhľadávania a spracovania získaných informácií analytikom s umelou inteligenciou umožňuje interpretáciu a formuláciu zistení z priebehu incidentu vo veľmi krátkej dobe, čo umožní bezpečnostným tímom prijať veľmi rýchlo primerané opatrenia.
Scenáre nasadenia
Darktrace Immune System master server:
- fyzický master server
- virtuálny master server
Zber údajov na analýzu:
- sieťová sonda – pripojenie master servera k fyzickej sieťovej infraštruktúre
- Darktrace vSensor virtuálne zariadenie v podporovaných cloud prostrediach (AWS, Microsoft Azure, Google Cloud) – pripojenie k virtuálnej sieťovej infraštruktúre a preposielanie komunikácie na analýzu na Darktrace master server
- Darktrace osSensor softvérový agent na koncových zariadeniach – lokálna komunikácia posielaná cez vSensor na analýzu Darktrace master server
- Darktrace Security Module – priame doručenie komunikácie na analýzu Darktrace Immune System master serveru cez API
Integrácia
Príklady existujúcej integrácie s aplikáciami z vybratých oblastí:
- SIEM & SOAR > splunk, IBM Security, Swimlane, LogRhytm, RAPID7, Alien Vault, CortexXSOAR, servicenow, sentinel
- Ticketing System & Case Management > servicenow, Jira
- Firewalls, NACLs & Preventive Controls > paloalto, Check Point, Fortinet, Cisco, Juniper
- VPN & Zero-Trust Technologies > Citrix, Cisco, paloalto, zscaler
- Endpoints > Apple, MS Windows, Carbon Black, cyberreason, Crowdstrike