Cognito zdobywa informacje o prowadzonych cyberatakach dzięki analizie całego ruchu sieciowego wykorzystującej zaawansowane techniki uczenia maszynowego (w tym głębokie uczenie i sieci neuronowe). Stała ochrona jest zapewniona dzięki algorytmom sztucznej inteligencji oraz zaawansowanej analizie matematycznej. System nie opiera skuteczności wykrywania zagrożeń na bazie sygnatur, definicji ataków oraz jakichkolwiek aktualizacjach. Firma Vectra określa swoje rozwiązanie mianem „analityka bezpieczeństwa w oprogramowaniu”, przedstawia jako kolejnego członka zespołu działu SOC (Security Operations Center), który nie śpi, nie je, nie choruje, ale cały czas pracuje, uczy się i tropi intruzów.

Na rozwiązanie Vectry składa się jednostka centralna (urządzenia z serii X) – „mózg” Cognito agregujący informacje z podłączonych do niego sensorów (urządzenia z serii S). Zbierają one „surowe” dane z przełączników rdzeniowych i dostępowych z wykorzystaniem funkcji port mirroring. Dzięki niewielkim rozmiarom i bardzo prostej instalacji mogą być wdrażane w sieci na wiele sposobów, także w oddziałach firmy lub np. punktach sprzedaży detalicznej, które ona prowadzi.

Statystycznie ok. 80 proc. ruchu generowanego w centrum danych nigdy nie opuszcza korporacyjnej sieci i nie jest monitorowane przez tradycyjne brzegowe narzędzia ochronne. Dla administratorów, którzy chcą mieć zapewnioną widoczność całego ruchu i wykrywać zagrożenia funkcjonujące w środowisku wirtualnym VMware ESXi, przeznaczone są wirtualne sensory vSensors, które łączą się z dowolnym przełącznikiem VMware vSwitch. Istnieje także możliwość integracji rozwiązania Cognitoz oprogramowaniem VMware vCenter, dzięki czemu zapewniony zostaje szczegółowy wgląd w wirtualne środowisko.

Urządzenia Vectra są umieszczane w infrastrukturze w sposób pasywny, dzięki czemu nie naruszają istniejącej topologii sieci. Jako dane wejściowe dostają „surową” kopię ruchu sieciowego, a nie tylko logi (jak w rozwiązaniach SIEM) lub dane statystyczne (jak w systemach bazujących na protokołach NetFlow, sFLOW, jflow czy IPFIX). Informacje te są wprowadzane do algorytmów mechanizmu uczenia maszynowego, które umożliwiają stworzenie mapy zagrożeń. Tym samym rozwiązanie firmy Vectra nie rozpoznaje konkretnego ataku, ale informuje o tym, na jakim etapie działania jest atakujący.

Proces „polowania” na cyberataki jest w pełni automatyzowany. Cognito ujawnia miejsca, gdzie ukrywa się przestępca (a także odtwarza ścieżkę, przez którą przedostał się do firmowej infrastruktury) i sprawdza, jakie jest jego zadanie. W ten sposób skraca nawet o 29 razy (na podstawie osiągniętych rezultatów u klientów Vectry) czas potrzebny na analizę przez administratora zdarzeń związanych z bezpieczeństwem. Oprócz oczywistej korzyści w postaci szybszego wyeliminowania zagrożenia Cognito zapewnia panaceum na niedobór personelu, a szczególnie analityków bezpieczeństwa, z którym borykają się prawie wszystkie działy IT.