19.02.2019 | Bulgaria

DZ BANK избра платформата Cognito® на Vectra

Втората по големина банка в Германия - DZ BANK - избра платформата Cognito® на Vectra за откриване и лов на кибер заплахи


"Класическите системи за превенция като защитни стени и системи за откриване и предотвратяване на проникване не покриват напреднали постоянни заплахи или неправилно поведение в мрежата", казва Матиас Таубер, старши мениджър услуги за ИТ сигурността в DZ BANK, която служи като централна институция за повече от 900 кооперативни банки в Германия. "Системите, базирани на подпис, откриват само това, което знаят, вместо това, което са пропуснали", казва той. „Искахме да преминем от традиционна технология към нова.” Таубер и екипът му търсеха новия клас на анализ на мрежовия трафик, задвижван от Изкуствен Интелект, за да открият скрити кибератаки и да спрат заплахите по-бързо.

Постигане на сигурност и поверителност
С активи в размер на 506 млрд. Евро през 2017 г., ДЗ БАНК е втората по големина банка по размер на активите в Германия. Кооперативните банки обслужват многобройните малки и средни предприятия в Германия. Като централна кредитна институция, ДЗ БАНК укрепва бизнеса си и осигурява достъп до капиталовите пазари. Тя предлага услуги на дребно, корпоративни и институционални банкови услуги.
В банката работят 30 000 души в Европа, Азия и САЩ. Мисията на Таубер да защитава активите, операциите и чувствителната информация на банката е усложнена от широк спектър от регулации за поверителност на данните и финансови регламенти. В Германия са забранени много видове надзор и електронно наблюдение на служителите и комуникациите.
Германските работнически съвети, известни като Betriebsrat, представляват работниците на местно или фирмено равнище, което също влияе върху практиките на DZ BANK за киберсигурност и защита на данните. В допълнение, както Общия регламент на Европейския съюз относно защита на личните данни (GDPR), така и втората Германска Директива за пазарите на финансови инструменти (MiFID II) влязоха в сила през 2018 г.

Идентифицирайте пропуските в сигурността
Като част от усилията на банката за непрекъснато повишаване на нейната киберсигурност, Таубер и неговият екип сравниха сигурността на финансовата институция спрямо рамката за киберсигурност на Националния институт за стандарти и технологии (The National Institute of Standards and Technology, NIST) в САЩ.
„Установихме, че имаме празнина в откриването на напреднали постоянни заплахи и аномалии в мрежата“, казва Таубер. За да затвори тази празнина, DZ BANK избра платформата Cognito® за откриване и лов на кибер атаки от Vectra®. Cognito дава възможност на DZ BANK да открива заплахите в реално време, автоматично предава сигнали и реагира бързо на скрити нападатели в работните натоварвания на центровете за данни и устройствата на потребителите и интернет на нещата. Комбинирайки човешкия опит с широк набор от наука за данни, техники за машинно обучение и поведенчески анализи, Cognito автоматизира ръчното, отнемащо време за ловуване и реагиране на заплахите. Cognito съкращава дните и седмиците на лов на заплахи в минути, което намалява натоварването на операциите по сигурността с 36X.

Открийте заплахите по-бързо
Поведенческите модели на Cognito, които винаги се обучават, откриват нападателите в реално време, за да позволят бърз, решителен отговор и логична отправна точка за разследване. „С Cognito мога да се съсредоточа върху най-рисковите заплахи“, казва Таубер. "С други решения трябва да филтрирам, за да се отърва от стотици или хиляди фалшиви положителни резултати." Cognito автоматично разглежда сигнали със заплахи и резултати за сигурност, които се показват на интуитивния Индекс за сигурност на Vectra ™. В резултат на това, ДЗ БАНК веднага знае кои хост- устройства с индикатори за атака представляват най-голям риск с най-висока степен на доверие. Тъй като Cognito анализира обогатени мрежови метаданни, съответни логове и събития в облака - а не съдържание от трафик и комуникации - DZ BANK автоматично открива модерните заплахи в реално време, като спазва стриктно законите за поверителност.

Координирани усилия
„ Cognito помага да се запълнят пропуските в уменията“, казва Таубер. „Cognito е лесен за използване и разбиране и за нас е по-лесно да пишем runbooks за следващия оперативен екип по сигурността.“ Операциите на фронтовата линия се управляват от доставчик на управлявана охранителна услуга. Агентите от Tier 1 и Tier 2 използват Cognito за откриване на кибератаки и ескалиране на най-рисковите заплахи към екипа за сигурност на DZ BANK, който също използва Cognito за по-нататъшно разследване.

„С Cognito можем да видим поведение в сивите зони“, казва Таубер. "Ако видим подозрителна дейност, можем да проверим какво се случва около клиента."

Намаляване на риска от недобросъвестни служители
Въпреки, че DZ BANK избра Cognito за откриване на усъвършенствани заплахи и за разграничаване на доброкачествени аномалии от поведението на нападателя в глобалната мрежа, той бързо се превърна в инструмент за намаляване на риска от вътрешни заплахи. Акаунтите на ИТ администраторите са особено ценни за нападателите. Като част от практиките за сигурност на DZ BANK, ИТ администраторите могат да извършват работата си само от определени, специално защитени клиенти. Но поради бързане или забравяне, хората понякога пропускат тези предпазни стъпки. „Имаме указания, че всички администратори трябва да използват само техните специфични административни клиенти“, казва Таубер. "Ние използваме Cognito, за да сме сигурни, че го правят." Например, ако Cognito открие поведение на отдалечено командване и контрол, това може да е индикатор, че някой работи от клиент на неодобрен ИТ администратор. Или може да е компрометиран профил. С Cognito екипът за операции по сигурността може бързо да определи дали заплахата е с висок риск. А ако беше вътрешен, екипът може да разбере защо ИТ администраторът не следва предписаните указания. Автоматичното пътуване Таубер и неговият екип напредват с използването на Cognito, управляван от Изкуствен Интелект, за автоматизиране на откриването на заплахи в реално време и ускоряване на реакцията при инциденти, като същевременно се намалява натоварването на операциите по сигурността за вътрешни и външни екипи. Cognito също е част от добре координираната екосистема за сигурност на DZ BANK. Събитията в Cognito се публикуват и в системата за информация за сигурността и управление на събития (SIEM) на Splunk. В момента Tauber обмисля разширяването на възможностите на платформата Cognito да извършва по-бързи, по-убедителни разследвания на инциденти и да търси ретроспективно за скрити кибератаки. С Cognito можем да се съсредоточим върху заплахите с най-висок риск.

S&T България е дистрибутор за българския пазар на Vectra® - световен лидер в прилагането на Изкуствен интелект за откриване и залавяне на кибератаки.