O Enterprise Immune System

Detecta e combate ameaças cibernéticas em tempo real
Detecção em tempo real e resposta autônoma
Machine learning e IA
Sem regras ou assinaturas

O Enterprise Immune System é a tecnologia de machine learning mais avançada do mundo quando se trata de defesa cibernética. Inspirada pelo sistema imunológico humano, que aprende de forma autônoma, esta nova classe de tecnologia permitiu uma mudança fundamental na maneira das organizações de se defenderem, em meio a uma nova era de ameaças cibernéticas sofisticadas e sutis.

O sistema imunológico humano é incrivelmente complexo e se adapta continuamente a novas formas de ameaças, tais como o DNA dos vírus, que sofre constantes mutações. Ele funciona aprendendo o que é normal para o proprio organismo, identificando e neutralizando agentes atípicos que não se encaixam em um padrão de normalidade em constante evolução.

A Darktrace emprega a mesma lógica as redes corporativas e industriais. A tecnologia Enterprise Immune System, que se baseia em machine learning e algoritmos de IA, aprende iterativamente um ‘padrão de vida’ único (‘self’) para cada equipamento e usuário em uma rede e, em seguida, faz a correlação desses conhecimentos para identificar ameaças emergentes que, do contrário, passariam desapercebidas.

Como o sistema imunológico humano, o Enterprise Immune System não requer experiência prévia com uma ameaça ou padrão de atividade para que possa compreender que trata-se de algo potencialmente ameaçador. Ele funciona automaticamente, sem conhecimentos prévios ou assinaturas, detectando e combatendo ataques sutis e dissimulados dentro da rede — em tempo real.

Graças ao Enterprise Immune System da Darktrace, temos a certeza de estarmos bem preparados para nos defender contra os ataques sofisticados da atualidade.
Dane Sanderson, Global Security Director, Trek

Darktrace Threat Visualizer

Não deixe a sua rede ficar no escuro

O Threat Visualizer é a interface de notificação de ameaças 3D e em tempo real da Darktrace. Além de exibir alertas de anomalias, o Threat Visualizer oferece uma visão gráfica da atividade diária de sua(s) rede(s), a qual oferece facilidade de uso e de acesso tanto aos especialistas em segurança quanto aos executivos de empresas.

Ao empregar as mais modernas técnicas de visualização, o Threat Visualizer automaticamente alerta os usuário sobre incidentes e ameaças importantes em seus ambientes, permitindo que investiguem, de forma proativa, áreas específicas da infraestrutura.

Vantagens
  • Visualização 3D da topologia de toda a rede
  • Visão global do nível de ameaça corporativa em tempo real
  • Agrupa em clusters as anomalias de forma inteligente
  • Visualização abrangente – topologia de rede de nível superior; clusters específicos, sub-redes e eventos de host
  • Logs e eventos pesquisáveis
  • Repetição de dados sobre eventos anteriores
  • Resumo conciso do comportamento geral de equipamentos e IPs externos
  • Concebido para executivos de empresas e analistas de segurança

100% de visibilidade

As técnicas de visualização também podem ser usadas para oferecer uma visão de alto nível da rede de uma empresa aos seus executivos, ajudando a aproximar os especialistas técnicos e a diretoria. Os executivos contam com uma apresentação fácil de entender dos problemas de segurança, o que aumenta a sua conscientização e compreensão do ambiente de rede e melhora a sua capacidade de tomar decisões de gerenciamento.

Graças à Darktrace, os nossos sistemas não ficam no escuro, o que nos proporciona uma ideia visual do que realmente acontece ‘nos bast’idores.
Conor Claxton, COO, Macrosynergy

IA e machine learning

Aprende o ‘self’ (si mesmo) de sua empresa — automaticamente

A inteligência artificial e o machine learning representam uma importante oportunidade à indústria de segurança cibernética. Os métodos de machine learning de hoje podem amplamente aperfeiçoar a precisão da detecção de ameaças e aumentar a visibilidade da rede, graças ao aumento do volume de análise computacional que são capazes de processar. Eles também são os precursores de uma nova era de resposta autônoma, onde um sistema de máquinas é inteligente o suficiente para saber como e quando combater ameaças em andamento.

Desde os seus primórdios, a Darktrace rejeitou a hipótese de que os dados relacionados aos ataques prévios seriam capazes de prever ataques futuros. Ao invés disso, a plataforma de IA cibernética da Darktrace emprega o machine learning não supervisionado para analisar os dados das redes em grande escala, além de fazer bilhões de cálculos baseados em probabilidades de acordo com a evidência disponível. Ao invés de depender de conhecimentos sobre ameaças anteriores, ela classifica os dados de maneira independente e detecta padrões convincentes.

A IA cibernética da Darktrace, a melhor do mercado, permite que milhares de organizações em todo o mundo identifiquem e respondam a todos os tipos de ameaças, além de destacar os desvios do comportamento ‘normal’ que exigem atenção. É a plataforma de inteligência artificial mais comprovada, mais flexível e mais usada pelas empresas.

A IA da Darktrace detecta ameaças que outras soluções deixam passar despercebidas.
William Reid, Director of IT, Wyndham New Yorker
A IA da Darktrace detecta ameaças que outras soluções deixam passar despercebidas, e as combate

A IA da Darktrace para defesa cibernética emprega técnicas de machine learning exclusivas, desenvolvidas por matemáticos em Cambridge no Reino Unido, usada por milhares de organizações do mundo inteiro confiam.

O Enterprise Immune System é capaz de diferenciar amigos de inimigos em tempo real, identificando ameaças cibernéticas antes que se espalhem. Mas a nossa tecnologia de autoaprendizagem não para na detecção – ela também combate ameaças conforme progridem com velocidades impressionantes.

Independentemente de você se deparar com uma ameaça interna ou um comprometimento permanente, ser alvo de ransomware ou sofrer uma invasão de sistema, a Darktrace vê os indicadores sutis de atividade anormal e defende os seus sistemas mais críticos.

Especialistas de nível internacional

Nossos especialistas em machine learning em Cambridge, Reino Unido

Nossos engenheiros são especialistas em machine learning e matemática. Pioneiros em uma nova utilização da matemática Bayesiana, chamada de Recursive Bayesian Estimation (RBE — Estimativa Recursiva Bayesiana), eles construíram os alicerces da premiada tecnologia Enterprise Immune System da Darktrace, e sua abordagem probabilística para a identificação de ameaças cibernéticas.

A matemática Bayesiana permite extrair sentido de conjuntos de dados grandes e profusos, bem como atualizar as probabilidades calculadas de um dado evento, conforme são observadas mais informações. A RBE permite que essa abordagem seja adotada sem a necessidade de um supercomputador.

A nossa equipe de pesquisa e desenvolvimento em Cambridge, no Reino Unido, continua a criar inovações que desafiam os limites do possível em engenharia de softwares de segurança cibernética e inteligência artificial.

Casos de ameaças detectadas

Ameaças em andamento identificadas pela Darktrace

A Darktrace é capaz de detectar várias ameaças em andamento, brechas e vulnerabilidades — de invasões da IoT e campanhas criminosas, até as ameaças internas ou vulnerabilidades latentes. Os case studies selecionados demonstram várias ameaças que a Darktrace identificou em tempo real, antes que ocorressem danos graves.

Ataque externo em um servidor Cloud

A Darktrace detectou um ataque de força bruta contra um servidor dentro da infraestrutura Cloud, que foi acidentalmente exposta à Internet.

Devido à conexão entre o Cloud e os segmentos físicos da rede, ela, como um todo, poderia ter sido comprometida caso o ataque tivesse tido êxito. A atividade não somente representou um importante risco de segurança, como também houve a possibilidade real de uma negação de serviço ter afetado o servidor, devido ao fato de tantas tentativas de conexão terem sido recebidas de forma contínua.

O que a Darktrace encontrou:
  • Durante um período de quatro semanas, mais de 8.000 tentativas de acesso foram observadas por parte de mais de 100 endereços de origem.
  • Os endereços sistematicamente tentavam ganhar acesso a um servidor RDP Cloud, utilizando um único nome de usuário: “hello”.
  • A atividade era responsável pela maioria do tráfego que se dirigia e se originava do servidor.
Ataque avançado de ransomware

A Darktrace encontrou uma nova forma avançada de ransomware na rede de uma empresa de telecomunicações. O ataque era automatizado e se espalhava mais rapidamente do que os ataques ransomware comuns. Tudo começou quando um funcionário violou os protocolos de segurança corporativa ao acessar seu e-mail pessoal e provavelmente foi enganado a baixar um arquivo mal-intencionado. Segundos depois, o aparelho começou a se conectar a um servidor externo na rede Tor.

Nove segundos após o início das atividades de criptografia SMB, a Darktrace emitiu uma alerta que dizia que a anomalia exigia investigação. Visto que o comportamento persistiu durante os 24 segundos seguintes, a Darktrace revisou continuamente sua compreensão do desvio, conforme ele progredia para se tornar uma ameaça séria. A equipe de segurança já tinha ido para casa para aproveitar o final de semana e, assim, a Darktrace Antigena entrou em ação e automaticamente interrompeu todas as tentativas de gravar arquivos criptografados em arquivos compartilhados da rede.

O que a Darktrace encontrou:
  • O aparelho do funcionário realizou uma série de solicitações HTTP anormais para acessar domínios externos raros.
  • O aparelho baixou um arquivo .exe suspeito.
  • Teve início a leitura e criptografia bem-sucedidas dos SMB Share.
Leitor biométrica vira alvo

Em uma empresa multinacional de manufatura, um atacante explorou vulnerabilidades conhecidas para comprometer um leitor biométrico, que era usada como controle de o acesso a fabrica. O invasor começou a alterar os dados de impressões digitais armazenados no equipamento.

Se a ameaça tivesse passado desapercebida, o atacante poderia ter adicionado os dados de sua impressão digital ao banco de dados para ganhar acesso físico à instalação industrial. As soluções convencionais de anti-malware que baseadas em assinaturas não detectou a atividade sutil que causou o comprometimento.

O que a Darktrace encontrou:
  • Após a instalação, a Darktrace detectou conexões Telnet suspeitas oriundas de um computador externo.
  • O computador externo acessou com êxito o leitor através da utilização de credenciais padrão, e usou privilégios root (irrestritos) para obter informações do CPU.
  • O invasor, em seguida, tentou mudar de estratégia para chegar a outros sistemas internos.
  • Uma investigação mais aprofundada revelou que a disponibilidade do leitor biométrico na porta Telnet 23 tinha sido registrada no banco de dados de IPs shodan.io.
O comprometimento de um sistema de videoconferências

Uma empresa esportiva internacional abriu várias filiais novas em vários lugares do mundo, e investiu em equipamentos para videoconferências para facilitar as comunicações diárias entre as suas equipes. Ao aprender o ‘padrão de vida’ da organização, a Darktrace observou um comportamento anormal pertencente a um dispositivo em particular na rede – o sistema de videoconferência na sala da diretoria da empresa. Um invasor explorou a falta de autenticação no acesso remoto e começou a transmitir dados de áudio para fora da empresa.

Ao coletar a transmissão de áudio oriundo de reuniões confidenciais, o invasor começou a acumular informações corporativas sensíveis. Se não tivesse sido detectado, o invasor também poderia ter se infiltrado mais ainda e localizado os dispositivos de pontos de venda, causando ainda mais danos.

O que a Darktrace encontrou:
  • Uma das unidades era o único aparelho interno que se conectava externamente via Telnet.
  • Volumes anormalmente grandes de informações foram carregados para seis computadores externos raros.
  • Um Trojan Backdoor foi carregado no aparelho antes da instalação da solução da Darktrace.
  • O aparelho se conectava a servidores externos suspeitos através de FTP, Telnet e HTTP.
Transferência anormal de dados em Cloud privada

Um funcionário descontente decidiu passar o seu último dia na empresa tentando roubar uma grande quantidade de dados de clientes, e carregá-los no serviço Dropbox.

O serviço Dropbox era amplamente utilizado nessa empresa e, assim, o funcionário provavelmente acreditou que sua atividade passaria desapercebida. As ferramentas de segurança tradicionais não teriam reconhecido esse comportamento como uma ameaça, mas a abordagem de autoaprendizagem da Darktrace pode detectar, com precisão, até mesmo os mínimos desvios do normal. Consequentemente, as transferências ilegais foram identificadas antes que o funcionário pudesse ter roubado as informações.

O que a Darktrace encontrou:
  • Um servidor da empresa carregou 17GB de dados ao Dropbox, um volume excepcionalmente grande para o equipamento.
  • Era comum haver conexões ao Dropbox na empresa, mas elas raramente eram feitas a partir daquele servidor em questão.
  • Os dados continham informações sobre a localização geográfica dos clientes da empresa.
Roubo automatizado de credenciais

A rede de um serviço de saúde foi infectada com um tipo de malware criado para roubar as credenciais dos usuários. Uma vez na rede, o malware se espalha ao copiar programas em pastas sensíveis em outros dispositivos, descobrindo os detalhes de login.

O invasor estava tentando obter da rede as credenciais dos usuários. O tipo de malware usado era diferente de qualquer previamente vista nos bancos de dados de ameaças, e era automatizado. Por isso, a equipe de segurança não foi capaz de reagir com rapidez suficiente e as defesas tradicionais não puderam identificá-lo. A abordagem de IA da Darktrace reconheceu os programas copiados e o acesso forçado dos gerenciadores de senhas como anormais, pois sabia o que era considerado como atividade normal dos usuários e das organizações.

O que a Darktrace encontrou:
  • Dispositivos infectados estavam enviando programas a arquivos sensíveis.
  • As transferências de arquivos estavam ocorrendo a velocidades mais rápidas do que as possivelmente executadas por usuários.
  • Os dispositivos estavam tentando se comunicar com uma infraestrutura intermediária suspeita.
Keylogger que se modifica sozinho

Alguns dos ataques mais sofisticados que a Darktrace encontra contêm ‘mecanismos ativos de defesa’, que lhes permitem evitar a detecção por sistemas de segurança tradicionais. Um desses ataques usou um malware capaz de se modificar, para se infiltrar, sem ser notado, na rede de uma importante universidade. O invasor utilizou a ferramenta ‘Smoke Malware Loader’ para extrair senhas de usuários de forma anônima. Ao modificar dinamicamente a sua assinatura de ameaça e gerar mensagens de erro falsas como uma ‘cortina de fumaça’, o malware tentava ocultar a sua presença na rede.

O malware era enganador – o que indicava mais ser um ataque direcionado do que uma campanha convencional e indiscriminada. A Darktrace elaborou uma compreensão detalhada desta operação altamente evoluída, combinando vários comportamentos anormais para determinar a existência de uma anomalia séria que exige ação imediata.

O que a Darktrace encontrou:
  • O arquivo foi inicialmente baixado de uma fonte externa rara.
  • Transferências bem-sucedidas, que provavelmente continham senhas, foram enviadas a um destino altamente incomum.
  • As transferências eram acompanhadas por uma enxurrada de mensagens de erro que informavam que não era possível realizar as conexões.
  • A atividade de sinalização representou um importante desvio da atividade normal dos dispositivos.
Operação de mineração de bitcoins por um funcionário

Um engenheiro de software em uma empresa de prestação de serviços financeiros, o qual tinha acesso aos parques de servidores da empresa, possuía um equipamento da empresa o qual foi observado se comunicar com um endpoint externo raro.

Posteriormente descobriu-se que o funcionário estava planejando estabelecer uma lucrativa operação de mineração de bitcoins. De posse de informações como o IP raro, nome de host, atividade RDP e consultas SMB, a Darktrace interpretou estes indicadores como parte de um padrão maior de ameaça e identificou a ameaça em tempo real.

O que a Darktrace encontrou:
  • Foi observada uma atividade RDP e consultas SMB anormais no aparelho do funcionário.
  • O aparelho estava se conectando à rede doméstica do usuário, que utilizava um servidor FTP.
  • O servidor continha uma pasta que tinha o nome da empresa.
  • Dentro da pasta havia vários arquivos Trojan com operações mal-intencionadas de mineração de bitcoins.
Exfiltração de dados de uma rede elétrica industrial

Ao trabalhar com uma rede elétrica SCADA no Oriente Médio, a Darktrace identificou um servidor externo que encontrava-se comprometido e vazava dados a um invasor externo.

A rede era um alvo de alto nível, o que tornava a exfiltração de seus dados algo particularmente alarmante. A Darktrace conseguiu chamar a atenção a este sofisticado ataque cibernético através de sua abordagem de autoaprendizagem, e a equipe de segurança foi capaz de agir de forma rápida e decisiva antes que qualquer informação crítica vasasse da rede.

O que a Darktrace encontrou:
  • Foi observada uma conexão SSH anormal ao servidor oriunda de um dispositivo externo, que nunca havia se comunicado antes com ele.
  • O servidor estava enviando volumes anormalmente grandes de informações para fora da rede através de conexões ICMP.
  • As conexões SSH foram realizadas após várias tentativas de conexões SSH sem êxito, utilizando códigos de acesso listados online como defaults de fábrica.
Roubo de dados por debaixo do piso

Após ser implantada em uma rede corporativa, a IA da Darktrace identificou um dispositivo ilegítimo que agia anormalmente na central de dados da empresa. Enquanto isso, a equipe de segurança não tinha ideia da existência de tal dispositivo. Depois que a Darktrace repetidamente alertou sobre a existência da atividade anormal no período de duas semanas, a empresa por fim decidiu investigar. A equipe descobriu um pequeno computador instalado sob o piso da central de dados da empresa. Descobriu-se que o computador estava ligado na parte traseira do servidor e estava roubando dados. Suspeitou-se de um ataque mal-intencionado, o qual foi investigado.

Próximo: Produtos