APT dokáží snadno obejít běžné bezpečnostní nástroje

Bezpečnostní nástroje založené na pravidlech (firewally a systémy detekce narušení) dokáží detekovat pouze známé hrozby. APT se řadí mezi hrozby neznámé, adaptivní a specifické, které se dokáží těmto nástrojům vyhnout. APT dokáží obejít i sandboxy a infikovat IoT a BYOD zařízení.

V bezpečí před nimi nejsou ani SCADA sítě, byť jsou to systémy do značné míry uzavřené. Řešení pro správu protokolů, například SIEM, je nelehké správně implementovat, navíc analyzují již proběhlé síťové události. Tato řešení navíc generují větší množství mylných či nejasných nálezů.

Bezpečnostní řešení, která se spoléhají hlavně na protokoly NetFlow a / nebo IPFIX, jsou také ohrožena APTs, protože těmto datovým protokolům chybí dostatečně podrobná metadata síťového provozu pro efektivní analýzu.

Analýza síťového provozu MENDEL odhaluje hrozby na základě jejich chování

APT musí před samotným útokem podniknout nějakou přípravu – infikovat konkrétní zařízení, stáhnout TOR (software umožňující anonymní komunikaci), skenovat otevřené porty, komunikovat s příkazovým a řídicím serverem atp. Takové akce vyžadují komunikační síťový provoz, který samozřejmě není standardní či obvyklý.

MENDEL využívá pokročilé analýzy síťového provozu pro odhalení těchto komunikačních anomálií již v momentě, kdy k nim začne docházet, což umožňuje bezpečnostnímu týmu reagovat – blokovat nevhodné komunikace, identifikovat infikovaná zařízení, či jen zachytit komunikaci pro následnou analýzu. MENDEL dokáže monitorovat a chránit celou síť – včetně připojených IoT a BYOD zařízení právě díky své schopnosti reagovat na neznámé typy hrozeb spolu s dokonalou viditelností do sítě.