NetWitness NDR Network

NetWitness, dzięki zastosowaniu pełnego przechwytywania pakietów (Full Packet Capture), oferuje możliwość dogłębnej analizy także ruchu szyfrowanego, zapewniając pełną widoczność na poziomie warstw transportowej i aplikacyjnej. Pozwala to na wykrywanie i alertowanie o zaawansowanych technikach stosowanych przez atakujących, takie jak tunelowanie ruchu w legalnie dozwolonych protokołach w danej sieci (np. DNS, HTTPS), wykorzystanie niestandardowych kanałów komunikacji, a także nietypowe wzorce w sesjach szyfrowanych (jak beaconing czy anomalia w negocjacji TLS).

NetWitness umożliwia odtworzenie przechwyconego ruchu w formie przeglądalnej – strony internetowe mogą być rekonstruowane w oryginalnym formacie HTML. Daje to analitykom możliwość dokładnego wglądu w to, co widział użytkownik końcowy w momencie wejścia na złośliwą stronę, co znacząco przyspiesza ocenę zagrożenia i analizę używanej socjotechniki.

Podobny efekt jest możliwy do uzyskania w przypadku także odtworzenia pełnej zawartości e-maili, włącznie z nagłówkami, treścią oraz załącznikami. To kluczowy atut w kontekście badania kampanii phishingowych, gdzie szczegóły zawarte w wiadomości (np. linki przekierowujące czy treść socjotechniczna) mogą mieć krytyczne znaczenie.

Proaktywność w sieci - NetWitness umożliwia aktywne poszukiwanie zagrożeń (threat hunting) dzięki pełnemu dostępowi do ruchu sieciowego, logów oraz kontekstu użytkownika i urządzeń. Analitycy mogą identyfikować anomalie i wskaźniki kompromitacji (IoC), zanim zostaną one wykorzystane w pełni przez atakującego.

Mozliwosc rekonstrukcji sesji z przeszłości - NetWitness pozwala na cofnięcie się do dowolnego momentu w historii komunikacji i odtworzenie pełnej sesji – łącznie z zawartością przesyłanych danych(przy założeniu dostarczeni ruchu zdeszyfrowanego) oraz metadanymi. To nieocenione podczas analizy incydentu bezpieczeństwa w sytuacji gdy nie został zauważony w czasie rzeczywistym.

Pełna widoczność sieci - NetWitness zapewnia granularny wgląd w cały ruch sieciowy – od warstwy L2 do L7 – w tym ruch szyfrowany. Umożliwia to identyfikację wewnętrznych i zewnętrznych komunikacji, anomalii, nieautoryzowanych urządzeń, a także segmentów sieci, które wcześniej były "niewidzialne". Zebrane dane są automatycznie wzbogacane o kontekst poprzez liczne integracje z innymi systemami infrastruktury lub systemami bezpieczeństwa.

Aktywna poprawa bezpieczeństwa – pełna widoczność sieci jaką zapewnia Netwitness może zostać wykorzystana do aktywnego podniesienia bezpieczeństwa sieci poprzez np. analizę poświadczeń nie spełniających wymagań(słabe hasła), użycie przestarzałych protokołów czy też przesyłanie plików mogących zawierać w sobie poświadczenia.

Wykrywanie eksfiltracji danych - nawet gdy atakujący wykorzystują szyfrowane kanały komunikacji, takie jak HTTPS, TLS, SSH czy DNS over HTTPS (DoH). W tradycyjnych rozwiązaniach bezpieczeństwa, szyfrowanie uniemożliwia wgląd w zawartość przesyłanych danych, co pozwala napastnikom bezpiecznie „wynosić” informacje bez wzbudzania alarmów.

Możliwość przechwytywania malware – poprzez pełną widoczność jaką dostarcza Netwitness jesteśmy w stanie zrekonstruować np. pobierane złośliwe oprogramowanie lub niezidentyfikowane pliki które następnie mogą być przeanalizowane przez zespół analityków. Pozwala to na ochronę nawet w przypadku jeżeli Hashe widocznych programów nie są jeszcze dostępne w publicznych źródłach Threat Intelligence.