Sophos 布收購 Braintrace,以利用 Braintrace 專屬的網路偵測和回應 (NDR) 技術進一步增強 Sophos 的自適應網路安全生態系統 (ACE)。Braintrace 的 NDR 可深入了解網路流量模式,包括加密流量,無需解密中間人 (MitM) 攻擊。Braintrace 位於美國猶他州鹽湖城,是一家創辦於 2016 年的私人企業。
完成收購後,Braintrace 的開發人員、資料科學家和安全分析師均會加入 Sophos 的全球 Managed Threat Response (MTR) 和 Rapid Response 團隊。Sophos 的 MTR 和 Rapid Response 服務業務迅速擴展,使 Sophos 成為全球最大、發展最快的 MDR 供應商之一,服務超過 5,000 個客戶。
Braintrace 的 NDR 技術將整合到 Sophos 所有產品和服務底層的自適應網路安全生態系統 (Adaptive Cybersecurity Ecosystem) 中,以支援 Sophos MTR 和 Rapid Response 分析人員以及擴展偵測和回應 (XDR) 的客戶。Braintrace 技術還將作為發射站的角色,收集和轉發來自防火牆、代理伺服器、虛擬專用網路 (VPN) 和其他來源的第三方事件資料。這些額外的可見度和事件攝取資訊將顯著改善威脅偵測、威脅搜尋和對可疑活動的回應能力。
Sophos 技術長 Joe Levy 表示:「您無法保護無法掌握的東西。所有規模的企業經常都無法正確計算他們的資產和受攻擊面,無論是在內部還是在雲端。攻擊者看準這一點,經常鎖定保護薄弱的資產作為攻擊的初始點。防禦人員將受益於『交通號誌系統』,該系統可以看到所有網路活動,揭露未知和未受保護的資產,並能比入侵保護系統 (IPS) 更可靠地找出會躲避的惡意軟體。
「我們特別高興的是,Braintrace 專注於發展這項技術,以為託管偵測和回應 (MDR) 客戶提供更好的安全保護。由熟練的從業人員和開發人員攜手建立的解決方案非常有效,可解決現實世界的網路安全問題。」
Sophos 將把 Braintrace 的 NDR 技術部署為虛擬機器,從交換埠分析器 (SPAN) 埠或網路測試存取點 (TAP) 等傳統可觀察點提供資料,以檢查邊界處的南北流量或網路內部的東西流量。這些部署有助於發現網路中任何類型的威脅 (包括維持加密狀態者),將扮演 Sophos Firewall 解密功能的補強元件。該技術的封包和流量引擎可提供給各種機器學習模型,這些模型經過訓練以偵測可疑或惡意網路模式,例如與命令和控制 (C2) 伺服器的連線、橫向移動以及與可疑域的通訊。由於 Braintrace 針對預測性、被動性的監控建立了 NDR 技術,引擎還提供智慧型網路封包擷取功能,可讓 IT 安全管理員和威脅搜尋人員在調查期間將其當為支援的證據。此項創新的 NDR 分析和預測技術正在申請專利。
根據 Gartner 的研究:「傳統作法是先定義好惡意行為,然後用預先建立的攻擊特徵和偵測引擎檢查流量,尋找是否比對成功。但 NDR 採用了不同的方法。NDR 不僅會根據已知的不良裝載或行為列表檢查流量,還會著重於尋找網路流量中的未知模式,計算該異常是否為惡意的概率。」 Gartner 還進一步指出:「位於許多 NDR 產品核心的機器學習演算法有助於找出其他偵測技術經常遺漏的異常流量。選用的自動回應功能還能減輕事件回應者的部分工作。威脅搜尋功能則為事件回應者提供了寶貴的工具。」
Braintrace 執行長暨聯合創始人 Bret Laughlin 表示:「NDR 對於成功搜尋威脅非常重要。Braintrace 的競爭優勢在於獨特的 NDR 技術,我們的 MDR 分析人員可利用該技術尋找、中斷和補救網路攻擊。透過我們自有的 NDR 技術,IT 團隊可以更快、更準確地做出回應,因為他們對加密流量具有即時、自動化的可見度和威脅驗證。我們從無到有打造了 Braintrace 的 NDR 技術以進行偵測。加入 Sophos 後,它將融入一個完整的系統,以在一個多廠商生態系統中提供跨產品的偵測和回應。」
Braintrace 的 NDR 技術是防禦當今和未來網路攻擊的關鍵要件。Sophos 研究顯示攻擊者如何積極且不斷地改變策略以逃避偵測並執行攻擊。Braintrace 的技術有助於發現來自惡意軟體的惡意 C2 流量,例如 ColbaltStrike、BazaLoader 和 TrickBot,以及可能導致勒索軟體和其他攻擊的零時差漏洞利用。這種可見度使威脅搜尋和分析人員能夠預先阻止任何潛在的勒索軟體攻擊,包括最近的 REvil 和 DarkSide 攻擊。