La adquisición de ZoneFox es estratégica para Fortinet, ya que encaja en Fortinet Security Fabric, especialmente con FortiClient, la plataforma de protección de endpoints de próxima generación (EPP) de Fortinet y con FortiSIEM.
Este 23 de octubre, Fortinet dio a conocer a través de un comunicado de prensa la adquisición de ZoneFox, una solución basada en la nube que identifica amenazas internas, con la capacidad de destilar miles de millones de eventos en información útil utilizando el aprendizaje automático y el análisis de Big Data.
Las amenazas internas están a la vanguardia de cada CISO (oficial principal de seguridad de la información) sofisticado cuando se trata de la gestión de riesgos, se ven ataques dirigidos que emplean malware personalizado y la disponibilidad de herramientas y servicios del mercado web oscuro que cubren todos los aspectos de la cadena de ciberataques.
De acuerdo con el Informe de investigación y detección de violaciones Verizon de 2018, el 30% de las violaciones involucró información privilegiada, abuso de las credenciales robadas y el acceso privilegiado se encontraba entre las cinco actividades principales en dichas violaciones.
El comunicado de prensa explicó sobre los problemas de las amenazas internas y cómo las empresas se enfrentan a una serie de desafíos de seguridad, pero ninguno es mayor que la amenaza de un interno que puede ser un empleado, ex empleado, contratista, socio comercial o un experto atacante sofisticado que pretenda ser un empleado.
Los usuarios internos pueden tener acceso legítimo a los sistemas informáticos, pero lo que parece ser un acceso autorizado podría ser un usuario que maltrata accidental o intencionalmente las credenciales para dañar la organización, este, podría dar acceso indebido a intrusos simplemente debido a la falta de capacitación o coacción, y un intruso malintencionado podría intentar robar información para obtener ganancias financieras, beneficiar a otra organización o país.
Es aquí donde Fortinet explica cómo encaja perfectamente ZoneFox, cerrando todos los puntos ciegos:
La amenaza interna no es un problema fácil de resolver, principalmente debido a las incógnitas desconocidas, es decir los puntos ciegos que requieren la recopilación de datos en el punto final. Las soluciones existentes que dependen de los archivos de registro o el tráfico de la red simplemente no pueden proporcionar el nivel correcto de "fidelidad" o información detallada sobre las actividades para permitir que su equipo SecOps sepa lo que está sucediendo.
Cuando un usuario ingrese ZoneFox, la solución proporcionará monitoreo de punto final continuo incluso cuando no está conectado a una red empresarial. Es fácil de instalar y brinda contexto y visibilidad granular de alta fidelidad.
El agente transmite de forma segura secuencias continuas de actividades desde puntos finales monitoreados (computadoras de escritorio, computadoras portátiles, servidores) o servicios en la nube al motor AI de ZoneFox, sin afectar la productividad o la privacidad del usuario. Al ejecutar la solución durante al menos 30 días en la red, ZoneFox recopilará datos suficientes y aprenderá automáticamente el comportamiento "normal" del usuario. El algoritmo de detección de anomalías no supervisadas (basado en las matemáticas bayesianas) identificará los eventos que no se ajustan al patrón de las actividades diarias, y estas anomalías será revisadas para detectar factores de riesgo conocidos como ransomware, uso de herramientas de piratería o violaciones de políticas de acceso; luego, atribuirá un puntaje de riesgo a la anomalía y si la actividad se considera riesgosa, activará una alerta en tiempo real para que se pueda tomar una acción rápida.
Por otra parte entre sus cualidades, ZoneFox también proporciona un registro forense completo que incluye una línea de tiempo que permita identificar y responder rápidamente las preguntas clave sobre un incidente: ¿Quién fue el autor? ¿Qué tomaron? ¿A dónde fueron los datos? ¿Cuándo sucedió esto y cómo? Esto no solo proporciona las respuestas detrás de un comportamiento o ataque de riesgo, sino que también permite ajustar sus políticas a las preocupaciones de una organización y los comportamientos existentes.
_page-0001.jpg)
