Infowatch Targeted Attack Detector

Решение InfoWatch Targeted Attack Detector основано на технологии динамического обнаружения атак. Действия злоумышленников на каждом этапе атаки неизбежно приводят к изменению атакуемых систем. Безопасность можно обеспечить, если защита, как и атака, представляет собой постоянный, протяженный во времени процесс:

  • постоянный мониторинг изменений состояния систем, входящих в ИТ-инфраструктуру;
  • анализ изменений состояния систем и поиск в них аномалий: если система атакована, в изменениях появляются аномалии (нехарактерные свойства для работающего программного обеспечения);
  • классификация и выявление признаков атаки.

Продукт InfoWatch Target Attack Detector основан на контекстном анализе изменений операционной системы, выявлении и анализе аномалий во времени. Решение постоянно выполняет сканирование с целью сбора и классификации широкого спектра характеристик объектов системы. Результатом сканирования является срез системы (slice), который подвергается нескольким видам анализа:

технологии анализа infowatch targeted attack detector

Статический анализ

Классификация всех объектов, входящих в срез системы. Используются такие методы, как классификаторы («decision tree»), «белые списки» (whitelisting), анти-руткит технологии, механизмы выявления похожих объектов («задача k-ближайших соседей»). С помощью статического анализа выявляются объекты, обладающие нетипичными характеристиками.

Динамический анализ – основа решения

Целью данного вида анализа является выявление изменений и поиск в этих изменениях аномалий. Для определения того, какие срезы сравнивать между собой, используется алгоритм, учитывающий динамику во времени, возникновение критических событий в системе, внешние изменения.

Анализ аномалий

Для определения причин появления аномалий в решении InfoWatch Targeted Attack Detector используется уникальная Экспертная система и ряд метаклассификаторов, оперирующих результатами работы других анализаторов (статического и динамического). При обнаружении неизвестного вредоносного ПО для предоставления в отчете подробного описания его действий и последствий работы для инфраструктуры предприятия привлекается аналитик компании InfoWatch.

ПРЕИМУЩЕСТВА

  • Эффективная защита ценной информации, снижение репутационных и финансовых рисков
  • Уникальные технологии по обнаружению специализированного ПО
  • Быстрая и точная классификация аномалий
  • Контроль передачи данных в облако
  • Простота внедрения и использования
  • Возможность привлечения аналитиков

Подробнее о продукте InfoWatch Targeted Attack Detector