Enterprise Immune System

Rileva e combatte le minacce cyber in tempo reale
Rilevamento real-time delle minacce e risposta autonoma
Machine learning e IA
Senza regole o firme

L'Enterprise Immune System è la tecnologia di machine learning più avanzata al mondo per la cyber defense. Ispirata all'intelligenza di auto-apprendimento del sistema immunitario umano, questa nuova classe di tecnologia ha consentito un passaggio fondamentale nel modo in cui le organizzazioni si difendono, in mezzo a una nuova era di minacce cyber sofisticate e dilaganti.

Il sistema immunitario umano è incredibilmente complesso e si adatta continuamente a nuove forme di minacce, come il DNA virale che cambia incessantemente. Funziona imparando cos'è normale per il corpo, identificando e neutralizzando le anomalie che non si adattano a quel pattern di normalità in evoluzione.

Darktrace applica la stessa logica agli ambienti aziendali e industriali. Grazie al machine learning e agli algoritmi IA, la tecnologia Enterprise Immune System apprende iterativamente un "pattern of life" ("sé") unico per ciascun dispositivo e utente di una rete, e correla tali informazioni al fine di individuare le minacce emergenti che diversamente passerebbero inosservate.

Come il sistema immunitario umano, l'Enterprise Immune System non richiede una precedente esperienza di una minaccia o pattern di attività per comprendere che potrebbero rappresentare una minaccia. Funziona automaticamente, senza una pregressa conoscenza o signature, rilevando e combattendo gli attacchi sottili e clandestini all'interno della rete — in tempo reale.

L'Enterprise Immune System di Darktrace ci ha dato la tranquillità di essere ben equipaggiati per difenderci dagli attacchi sofisticati di oggi.
Dane Sanderson, Global Security Director, Trek

Darktrace Threat Visualizer

Fai luce nella tua rete

Il Threat Visualizer è l'interfaccia grafica 3 D di notifiche di minacce, in tempo reale, di Darktrace. Oltre a visualizzare le notifiche di minacce, il Threat Visualizer fornisce una panoramica grafica dell'attività giornaliera delle tue reti, facile da utilizzare e accessibile sia per gli specialisti della sicurezza che per i manager aziendali.

Usando tecniche di visualizzazione all'avanguardia, l'interfaccia utente Threat Visualizer avvisa automaticamente gli analisti riguardo a eventi significativi e a minacce presenti all'interno del loro ambiente, consentendo agli analisti di indagare proattivamente su aree specifiche dell'infrastruttura.

Vantaggi
  • Visualizzazione in 3D dell'intera topologia della rete
  • Panoramica globale real-time del livello di minaccia dell'azienda
  • Raggruppa in modo intelligente le anomalie
  • Visualizzazione pan-spectrum – topologia di rete di ordine superiore; cluster specifici, subnet ed eventi host
  • Ricerca registri ed eventi
  • Riproduzione di dati storici
  • Breve riepilogo del comportamento generale per l'IP dispositivo e gli IP esterni
  • Progettato per manager aziendali e analisti della sicurezza

100% di visibilità

Le tecniche di visualizzazione possono essere usate anche per fornire una panoramica di alto livello di una rete aziendale ad uso dei manager aziendali, aiutando a colmare la distanza tra gli specialisti tecnici e le sale riunioni. Ai manager viene data una supervisione dei problemi della sicurezza, facile da usare, migliorando la loro consapevolezza e comprensione dell'ambiente di rete e potenziando la loro capacità di prendere decisioni gestionali.

Darktrace fa luce sui nostri sistemi, dandoci una panoramica visiva di quello che succede veramente ‘sotto la superficie’.
Conor Claxton, COO, Macrosynergy

L’IA e il machine learning

Apprende il "sé" della tua organizzazione – automaticamente

L'intelligenza artificiale e il machine learning rappresentano un'opportunità significativa per il settore della cyber security. Oggi, i nuovi metodi di machine learning possono migliorare ampiamente la precisione del rilevamento delle minacce e potenziano la visibilità della rete grazie alla maggiore quantità di analisi computazionale che possono gestire. Stanno anche proclamando una nuova era di risposta autonoma, in cui un sistema automatico è abbastanza intelligente da comprendere come e quando combattere le minacce in corso.

Dall'inizio, Darktrace ha rifiutato il presupposto che i dati relativi agli attacchi storici potessero predire quelli futuri. Anzi, la piattaforma cyber IA di Darktrace utilizza un machine learning non supervisionato per analizzare i dati di rete in scala e fa miliardi di calcoli basati sulla probabilità in base all'evidenza che riscontra. Anziché affidarsi alla conoscenza di minacce passate, classifica i dati in modo indipendente e rileva i pattern interessanti.

La tecnologia cyber IA leader al mondo di Darktrace consente a migliaia di organizzazioni in tutto il mondo di identificare e rispondere a tutti i tipi di minacce e a mettere in evidenza le deviazioni dal comportamento "normale" che richiedono attenzione. È la piattaforma di intelligenza artificiale meglio dimostrata, più scalabile e più accurata usata oggi a livello Enterprise.

Il machine learning nell’era della cyber IA
L'IA di Darktrace rileva le minacce che gli altri non trovano.
William Reid, Director of IT, Wyndham New Yorker
L'IA di Darktrace rileva le minacce che gli altri non trovano — e le combatte

La tecnologia IA di Darktrace per la cyber defense è sostenuta dall'eccezionale machine learning sviluppato dai matematici di Cambridge (UK) e viene scelta da migliaia di organizzazioni in tutto il mondo.

L’Enterprise Immune System riesce a distinguere un amico da un nemico, in tempo reale, identificando le minacce informatiche prima che si diffondano. Ma non è tutto, la nostra tecnologia di auto-apprendimento riesce anche a combattere le minacce quando si diffondono alla velocità della macchina.

Indipendentemente che incontri una minaccia interna o una compromissione a lungo termine, che sia bersaglio di ransomware o che un oggetto collegato sia sottoposto ad hack, Darktrace osserva e riconosce i più deboli indicatori di attività anomale e difende i tuoi sistemi più critici.

Esperti di livello internazionale

I nostri specialisti di machine learning di Cambridge (UK)

I nostri esperti tecnici software sono specialisti di machine learning e di matematica. Aprendo la strada a un nuovo uso della matematica bayesiana, chiamata stima ricorsiva bayesiana (RBE), stanno gettando le basi della vincente tecnologia Enterprise Immune System di Darktrace e del suo approccio probabilistico per l'identificazione delle minacce cyber.

La matematica bayesiana consente di estrarre il significato da dataset ampi e abbondanti e per le probabilità stimate di un determinato evento da aggiornare quando si osservano maggiori informazioni. La stima ricorsiva bayesiana consente di applicare questo approccio senza la necessità di un supercomputer.

Il nostro team di ricerca e sviluppo di Cambridge (UK), continua a creare innovazioni tecnologiche che spingono sempre più in là i confini di ciò che è possibile nell'ingegneria software della cyber security e nell'intelligenza artificiale.

Case studies delle minacce

Minacce in corso rilevate da Darktrace

Darktrace è in grado di rilevare una gamma di minacce in corso, violazioni e punti deboli — dagli hack IoT alle campagne criminali, dalle minacce interne ai punti deboli latenti. I case study selezionati dimostrano diversi scenari di minacce che Darktrace ha individuato in tempo reale, prima di arrecare gravi danni.

Attacco esterno su un server cloud

Darktrace ha rilevato un attacco brute-force contro un server all'interno dell'infrastruttura cloud che era accidentalmente esposta a Internet.

La connessione tra il cloud e i segmenti di rete fisica significava che la rete, come un tutt'uno, sarebbe stata compromessa qualora l'attacco fosse stato completato con successo. Non solo l'attività rappresentava un significativo rischio per la sicurezza, ma con così tanti tentativi di connessione ricevuti continuamente, c'era anche la reale possibilità di un rifiuto del servizio che interessava il server.

Cosa ha scoperto Darktrace:
  • In un periodo di tempo di quattro settimane, sono stati osservati più di 8.000 tentativi di accesso da più di 100 diversi indirizzi di origine.
  • Gli indirizzi stavano tentando sistematicamente di accedere ad un server RDP basato su cloud che utilizza un solo nome utente: “hello”.
  • L'attività causava la maggior parte del traffico da e verso il server.
Attacco ransomware avanzato

Darktrace ha trovato una nuova specie avanzata di ransomware nella rete di un'azienda di telecomunicazioni. L'attacco è stato automatizzato e si è diffuso velocemente rispetto ai ransomware tradizionali. È iniziato quando un dipendente ha eluso i protocolli di sicurezza dell'azienda accedendo alle e-mail personali, nelle quali probabilmente veniva chiesto con l'inganno di scaricare un file dannoso. Alcuni secondi dopo, il dispositivo ha iniziato a collegarsi a un server esterno sulla rete Tor.

Nove secondi dopo l'inizio delle attività di crittografia SMB, Darktrace ha generato un allarme per indicare che l'anomalia richiedeva un'indagine più accurata. Poiché il comportamento è continuato nei 24 secondi successivi, Darktrace ha esaminato continuamente la sua comprensione della deviazione quando si è trasformata in una grave minaccia. Il team di sicurezza è andato a casa per il week-end, quindi Darktrace Antigena è intervenuto e ha interrotto automaticamente tutti i tentativi di scrivere i file crittografati nelle condivisioni dei file di rete.

Cosa ha scoperto Darktrace:
  • Il dispositivo di un dipendente ha fatto una serie di richieste HTTP anomale a domini esterni rari.
  • Il dispositivo ha scaricato un file .exe sospetto.
  • Le condivisioni SMB hanno iniziato a essere lette e crittografate con successo.
Scanner biometrico mirato

Presso un'azienda di produzione multinazionale, un pirata informatico ha sfruttato i punti deboli noti per compromettere uno scanner biometrico che veniva utilizzato per limitare l'accesso ai macchinari e agli impianti industriali. Il pirata informatico ha iniziato a cambiare i dati tra le informazioni sulle impronte digitali conservati sul dispositivo.

Se la minaccia fosse rimasta inosservata, il pirata informatico avrebbe potuto aggiungere i propri dati sulle impronte digitali al database per accedere fisicamente all'impianto industriale. Le soluzioni anti-malware e le signature standard non hanno rilevato la sottile attività che ha portato alla compromissione.

Cosa ha scoperto Darktrace:
  • Dopo l'installazione, Darktrace ha rilevato connessioni Telnet sospette da un computer esterno.
  • Il computer esterno accedeva con successo agli scanner utilizzando le credenziali predefinite e usava i privilegi root per recuperare informazioni CPU.
  • Il pirata informatico ha poi tentato di cambiare rotta per raggiungere altri sistemi interni.
  • Ulteriori indagini hanno rivelato che la disponibilità dello scanner sulla porta Telnet 23 è stata registrata sul database IP shodan.io.
Sistema di videoconferenza compromesso

Una società sportiva internazionale ha aperto alcuni nuovi uffici in tutto il mondo e ha investito in sistemi di videoconferenza per facilitare le comunicazioni giornaliere tra i team. Durante l'apprendimento del "pattern of life" dell'organizzazione, Darktrace ha osservato un comportamento insolito relativo a un determinato dispositivo nella rete: il sistema di videoconferenza nella sala riunioni dell'azienda. Un pirata informatico aveva sfruttato un accesso remoto non autenticato e ha iniziato a trasmettere i dati audio fuori dall'organizzazione.

Raccogliendo l'audio stream da riunioni riservate, il pirata informatico ha iniziato ad accumulare informazioni aziendali sensibili. Non controllato, il pirata informatico poteva anche essersi trasferito lateralmente per individuare dispositivi Point-of-Sale e aver arrecato ulteriori danni.

Cosa ha scoperto Darktrace:
  • Una delle unità era l'unico dispositivo interno collegato esternamente tramite Telnet.
  • Volumi di informazioni stranamente grandi sono stati caricati in sei computer esterni rari.
  • Un backdoor Trojan è stato caricato nel dispositivo prima che fosse installato Darktrace.
  • Il dispositivo era collegato ai server esterni sospetti tramite FTP, Telnet e HTTP.
Trasferimento anomalo di dati nel cloud privato

Un dipendente scontento ha deciso di trascorrere il suo ultimo giorno in azienda tentando di rubare un grande volume di dati dei clienti, caricandoli in Dropbox.

Dropbox è stato ampiamente usato in questa azienda, quindi il dipendente probabilmente ha creduto che la sua attività sarebbe passata inosservata. Gli strumenti obsoleti non avrebbero riconosciuto il comportamento come una minaccia, ma l'approccio auto-apprendente di Darktrace può rilevare con precisione le più piccole deviazioni dalla normalità. Di conseguenza, i trasferimenti illegali sono stati individuati prima che il dipendente potesse rubare con successo le informazioni.

Cosa ha scoperto Darktrace:
  • Un server dell'azienda ha caricato 17 GB di dati su Dropbox, un volume insolitamente grande per quel server.
  • Le connessioni Dropbox erano comuni nell'azienda, ma sono state ampiamente fatte dal server in questione.
  • I dati contenevano delle informazioni sulla geolocalizzazione dei clienti dell'azienda.
Furto automatizzato di credenziali

La rete di un fornitore di assistenza sanitaria era stata infettata da una specie di malware progettata per rubare le credenziali degli utenti. Una volta sulla rete, il malware si è diffuso copiando i programmi nelle cartelle sensibili di altri dispositivi e indovinando i dettagli di login.

Il pirata informatico stava tentando di estrarre le credenziali degli utenti dalla rete. Il tipo di malware usato non apparteneva proprio ai database di minacce esistenti ed è stato automatizzato. Ciò significa che il team di sicurezza non avrebbe potuto rispondere abbastanza rapidamente e le difese tradizionali probabilmente non l’avrebbero individuato. Invece, l’approccio IA di Darktrace ha riconosciuto i programmi copiati e l'accesso forzato dei gestori password come anomalo considerata la sua comprensione della normale attività degli utenti e organizzazioni.

Cosa ha scoperto Darktrace:
  • I dispositivi infettati stavano inviando i programmi ad archivi sensibili.
  • Il trasferimento dei file stava accadendo a velocità maggiori rispetto a quelle a cui gli utenti avrebbero potuto agire.
  • I dispositivi stavano tentando di comunicare con un'infrastruttura di terze parti sospette.
Keylogger auto-modificante

Alcuni degli attacchi più sofisticati trovati da Darktrace contengono "meccanismi di difesa attivi" che consentono di evitare il rilevamento tramite sistemi di sicurezza tradizionali. Uno di questi attacchi ha usato il malware auto-modificante per infiltrarsi silenziosamente nella rete di una grande università. Il pirata informatico ha usato lo strumento "Smoke Malware Loader" per estrarre autonomamente le password dell'utente. Cambiando dinamicamente la sua threat signature e generando finti messaggi di errore come una cortina di fumo, il malware ha tentato di oscurare la propria presenza sulla rete.

Il malware era ingannevole e indicava maggiormente un attacco mirato e non una campagna indiscriminata convenzionale. Darktrace ha creato una comprensione dettagliata di questa operazione molto evoluta, combinando una serie di comportamenti anomali per determinare l'esistenza di una grave anomalia che richiedeva un'azione immediata.

Cosa ha scoperto Darktrace:
  • Il download del file iniziale ha avuto origine da una rara sorgente esterna.
  • Trasferimenti di successo – probabilmente contenenti password – sono stati effettuati verso una destinazione insolita.
  • I trasferimenti sono stati seguiti da numerosi messaggi di errore che indicavano connessioni non riuscite.
  • L'attività di segnalazione rappresentava una deviazione maggiore dall'attività normale dei dispositivi.
Operazione di estrazione di bitcoin da un insider

Un tecnico software presso un'azienda di servizi finanziari (che aveva accesso ai parchi di server dell'azienda) era in possesso di un dispositivo aziendale che era stato osservato perché comunicava con un raro endpoint esterno.

In seguito, è stato scoperto che il dipendente stava programmando di avviare una redditizia operazione di estrazione di bitcoin. Tra IP raro, nome host, attività RDP e query SMB, Darktrace ha capito che questi indicatori facevano parte di un pattern di minaccia più ampio e ha individuato l'attività in tempo reale.

Cosa ha scoperto Darktrace:
  • Sul dispositivo del dipendente sono state osservate un'attività RDP anomala e le query SMB.
  • Il dispositivo si stava collegando alla rete domestica dell'utente che stava usando un server FTP.
  • Il server conteneva una cartella con il nome dell'azienda.
  • All'interno della cartella c'era una serie di file con trojan con operazioni di estrazione di bitcoin dannose.
Esfiltrazione di dati da una rete di alimentazione industriale

Durante un lavoro con una rete SCADA nel Medio Oriente, Darktrace ha individuato un server interno che era compromesso e una fuga di dati verso un pirata informatico esterno.

La rete di alimentazione era un obiettivo di alto profilo, rendendo l'estrazione di dati particolarmente allarmante. Darktrace è stata in grado di attirare l'attenzione verso questo attacco informatico sofisticato attraverso il suo approccio di machine learning e il team di sicurezza è potuto intervenire in modo rapido e decisivo prima che qualsiasi informazione critica uscisse dalla rete.

Cosa ha scoperto Darktrace:
  • Una connessione SSH anomala al server è stata osservata da un dispositivo esterno che non aveva mai comunicato con il server in precedenza.
  • Il server stava insolitamente inviando grandi volumi di informazioni fuori dalla rete tramite connessioni ICMP.
  • Le connessioni SSH sono state effettuate dopo una serie di connessioni SSH fallite usando codici di accesso elencati come impostazioni predefinite online.
Furto di dati sotto le assi del pavimento

Dopo essere stato utilizzato in una rete aziendale, Darktrace ha rilevato un dispositivo "dannoso" che agiva in modo anomalo nel data center dell'azienda. Nel frattempo, il team di sicurezza non sapeva dell'esistenza del dispositivo. Dopo che Darktrace ha ripetutamente segnalato l'attività anomala nel corso di due settimane, l'azienda ha deciso di indagare. Il team ha scoperto un piccolo computer installato sotto le assi del pavimento del loro data center. È trapelato che il dispositivo era collegato al retro del server e si stava appropriando dei dati. È stato sospettato un attacco dannoso su cui sono state fatte indagini.

Successivo: Settori