O acordo proporciona visibilidade sobre padrões suspeitos de tráfego de rede, adicionando uma nova inteligência de ameaças aos serviços da Sophos em rápido crescimento: Resposta Gerida a Ameaças (MTR), Resposta Rápida, Tecnologia de Deteção e Resposta Alargada (XDR) e Data Lake
A Sophos, líder global em soluções de cibersegurança de próxima geração, anuncia que adquiriu a Braintrace, cuja tecnologia patenteada de Deteção e Resposta de Rede (Network Detection and Response – NDR) vem melhorar ainda mais o seu Ecossistema Adaptativo de Cibersegurança. O NDR da Braintrace oferece uma visibilidade profunda sobre os padrões de tráfego de rede, incluindo tráfego encriptado, sem necessidade de desencriptação Man-in-the-Middle (MiTM). Sediada em Salt Lake City (Utah, EUA), a Braintrace é uma empresa privada lançada em 2016.
Como parte da aquisição, os programadores, cientistas de dados e analistas de segurança da Braintrace foram integrados nas equipas globais de Resposta Gerida a Ameaças (MTR) e Resposta Rápida da Sophos. As divisões de negócio de MTR e Resposta Rápida da empresa expandiram-se rapidamente, posicionando-a como um dos maiores, e em mais rápido crescimento, fornecedores de MDR do mundo, com mais de 5.000 clientes ativos.
A tecnologia NDR da Braintrace apoiará os analistas de MTR e Resposta Rápida da Sophos, bem como os clientes dos serviços de Deteção e Resposta Alargada (XDR), através da integração no Ecossistema Adaptativo de Cibersegurança, no qual se alicerçam todos os produtos e serviços da empresa. A tecnologia da Braintrace vai também servir como ponto de partida para recolher e transmitir dados de eventos de terceiros a partir de firewalls, proxies, redes privadas virtuais (VPNs) e outras fontes. Estas camadas adicionais de visibilidade e integração de eventos vão melhorar significativamente a deteção de ameaças, o threat hunting e a resposta a atividades suspeitas.
“Não podemos proteger o que não sabemos que existe, e é frequente as empresas de todas as dimensões errarem nos cálculos dos seus ativos e superfície de ataque, tanto físicos como na Cloud. Os atacantes tiram partido disto e escolhem, muitas vezes, ativos pouco protegidos como meio de acesso inicial. As equipas de defesa beneficiam agora de um ‘sistema de controlo de tráfego aéreo’ que vê toda a atividade da rede, revela ativos desconhecidos e desprotegidos e expõe malware invasivo de forma mais fiável do que os Sistemas de Proteção contra Intrusões (IPS),” afirmou Joe Levy, Chief Technology Officer da Sophos. “Estamos particularmente entusiasmados por a Braintrace ter desenvolvido esta tecnologia especificamente para oferecer melhores resultados de segurança aos seus clientes de Deteção e Resposta Gerida (MDR). É difícil bater a eficácia de soluções desenvolvidas por equipas de profissionais e programadores qualificados que resolvem problemas de cibersegurança no mundo real.”
A Sophos vai implementar a tecnologia NDR da Braintrace como uma máquina virtual, alimentada através de pontos de observação tradicionais, como uma porta Switched Port Analyzer (SPAN) ou um Test Access Point (TAP) de rede, para inspecionar tráfego a norte-sul nas margens, ou este-oeste dentro das redes. Estas implementações vão ajudar a descobrir ameaças dentro de qualquer tipo de rede, incluindo aquelas que permanecem encriptadas, servindo como complemento das capacidades de desencriptação da Sophos Firewall. O pacote e o fluxo da tecnologia alimentam uma variedade de modelos de Machine Learning treinados para detetar padrões de rede suspeitos ou maliciosos, como ligações aos servidores de Comando e Controlo (C2), movimento lateral e comunicações com domínios suspeitos. Uma vez que a Braintrace desenvolveu a sua tecnologia NDR especificamente para uma monitorização preditiva e passiva, o seu motor também oferece captura inteligente de pacotes de rede, que os gestores de segurança de TI e os threat hunters podem utilizar como provas de apoio durante as investigações. A nova técnica de análise e previsão NDR está pendente de ser patenteada.
De acordo com a Gartner, “em comparação com as abordagens tradicionais, em que o comportamento malicioso é definido antecipadamente sob a forma de assinaturas pré-concebidas e motores de deteção que inspecionam o tráfego em busca de correspondências, o NDR escolhe uma outra abordagem. Em vez de apenas inspecionar o tráfego em busca de uma lista de maus comportamentos ou payloads, o NDR foca-se também em procurar padrões desconhecidos no tráfego da rede, calculando a probabilidade de aquela anomalia ser maliciosa” . A Gartner aponta ainda que “os algoritmos de machine learning que estão na base de muitos produtos NDR ajudam a detetar tráfego anómalo que é, muitas vezes, negligenciado por outras técnicas de deteção. As capacidades opcionais de resposta automatizada ajudam a aliviar parte da carga de trabalho dos profissionais de resposta a incidentes, e funcionalidade de threat hunting oferece ferramentas que são valiosas para estes profissionais” .
“O NDR é fundamental para o sucesso do threat hunting. A diferenciação da Braintrace em relação à concorrência reside nesta exclusiva tecnologia NDR, de que os nossos analistas MDR tiraram partido para descobrir, deter e resolver ciberataques,” comentou Bret Laughlin, CEO e Co-fundador da Braintrace. “Com a nossa própria tecnologia de NDR, a equipa responde de forma mais rápida e precisa devido à visibilidade e à verificação de ameaças automatizada e em tempo real que conseguem ter sobre o tráfego encriptado. Desenvolvemos a tecnologia NDR de raiz para a deteção e agora, com a Sophos, ela vai integrar-se num sistema completo para proporcionar deteção e resposta em diversos produtos, num ecossistema de vários fornecedores.”
A tecnologia NDR da Braintrace é um componente-chave para a defesa contra ciberataques, agora e no futuro. Uma investigação da Sophos demonstra como os adversários alteram as suas táticas de forma agressiva e constante para evitar a deteção e executar os seus ataques. A tecnologia da Braintrace ajuda a descobrir tráfego C2 malicioso proveniente de malware, como CobaltStrike, BazaLoader e TrickBot, bem como ameaças de dia zero, que podem levar a ataques de ransomware e outros. Esta visibilidade permite aos threat hunters e analistas evitar qualquer potencial ataque de ransomware, incluindo os ataques recentes por parte da REvil e da DarkSide.
A Sophos planeia introduzir a tecnologia NDR da Braintrace para MTR e XDR no primeiro semestre de 2022.
1 Gartner, Emerging Technologies: Adoption Growth Insights for Network Detection and Response, 24 março 2021, Nat Smith, Christian Canales, Josh Chessman
2 Gartner, Hype Cycle for Network Security, 2021, 14 julho 2021, Shilpi Handa, Pere Shoard