O que você precisa saber sobre Network Traffic Analysis (NTA)

O Gartner formalizou a categoria de ferramentas de Network Traffic Analysis (NTA). Veja como a Zerum usa esse tipo de tecnologia para proteger sua operação de TI.

Em um guia de mercado publicado recentemente, o Gartner “formalizou” a categoria de Network Traffic Analysis (NTA), apresentando a seguinte definição:

“Network Traffic Analysis (NTA) usa uma combinação de machine learning, advanced analytics e detecção baseada em regras para detectar atividades suspeitas em redes corporativas.”

Ferramentas convencionais como Firewall eram (e na verdade ainda são) importantes para barrar a entrada de parte das ameaças cibernéticas no ambiente. Mas o que fazer com agentes maliciosos mais avançados que conseguiram se infiltrar? Como detectá-los?

Saber o que acontece dentro do perímetro e distinguir ameaças em meio à imensa quantidade de transações da operação de TI é crítico para a segurança do ambiente. Ferramentas de Network Traffic Analysis ajudam a preencher essa lacuna.

Quando capturado e tratado pela ferramenta certa, o tráfego é uma fonte extremamente rica de insights para TI, áreas de negócio e, claro, Cybersecurity. É o que chamamos de Wire Data.

Recursos das ferramentas de Network Traffic Analysis (NTA)

O Gartner listou os principais características que ferramentas devem ter para entrar na categoria de Network Traffic Analysis:

  • Análise de tráfego da rede (flows, pacotes, etc) em real-time ou near real-time;

  • Visibilidade north/south e east/west do tráfego de rede;

  • Modelagem do tráfego normal para detecção de anomalias;

  • Detecção de anomalias de rede sem depender de assinaturas;

  • Foco na fase de detecção de ameaças ao invés da investigação forense.

Ficam fora da categoria as ferramentas que dependem de outros componentes (como SIEM ou Firewall) e aquelas cuja função primária seja:

  • Análise de logs;

  • Detecção baseada em assinaturas, regras ou reputação;

  • Análise de sessões de usuários (UEBA);

  • Análise de tráfego IoT.

Qual é a função das ferramentas de NTA?

A principal função de uma ferramenta NTA é detectar tráfego suspeito na rede. Tráfego suspeito pode significar desde um usuário interno tentando acessar um sistema que não deveria até uma tentativa de exfiltração de dados.

A ferramenta coleta os dados da rede e aplica os recursos citados acima para identificar ameaças enquanto elas se movimentam entre um ponto e outro do ambiente de TI.

A maioria das empresa não têm esse nível de visibilidade. Se a ameaça passou pelo Firewall e antivírus (e hoje a maioria das ameaças avançadas de fato atravessa as proteções convencionais), não há como saber o impacto delas. Não à toa, existem atores maliciosos que ficam meses infiltrados na rede, buscando os melhores alvos e/ou exportando furtivamente dados sensíveis. A tecnologia de NTA lança uma luz sobre esse tráfego até então “sem fiscalização”.

Zerum Lynx

O Zerum Lynx é uma solução completa de Security Analytics que coleta e analisa o tráfego da rede. Ele tem todos os recursos de um NTA e vai além, oferecendo ainda:

  • Real-Time Security Analytics: conta com ferramentas poderosas de busca, exploração e visualização, em uma interface intuitiva e customizável.

  • Deep Learning: usando algoritmos de inteligência artificial, o Zerum Lynx aprende o comportamento de todos os usuários internos, apontando anomalias causadas por roubo de senhas, malware e movimento lateral;

  • Threat Intelligence: integração nativa para investigação dos ataques, usando as melhores fontes de Threat Intelligence. Dispensa a necessidade de integrar outras ferramentas e orquestradores.

  • Implementação Plug & Play: é implementado em minutos, literalmente. Hoje se você quiser recursos semelhantes precisa adquirir duas, três ou até mais ferramentas, todas elas complexas para implementar manter.

O Zerum Lynx é uma opção segura para empresas que querem uma solução completa de detecção de ameaças avançadas na rede. E além do produto, a Zerum oferece ainda um Serviço Gerenciado de Detecção e Resposta (sigla MDR, em inglês).

O serviço é uma opção inteligente para empresas que precisam de uma alternativa rápida e acessível enquanto amadurecem sua infraestrutura e equipe de segurança cibernética. Ele oferece monitoramento, detecção e resposta a incidentes 24/7 através de especialistas dedicados e tecnologia Zerum.

A Zerum responde questões que desafiam as ferramentas convencionais. Desenvolvemos soluções inovadoras de Fast Data, Big Data e Inteligência Artificial para operações de TI, Segurança Cibernética e projetos de Data Science.