Блог Cisco в России и СНГ
Поделиться
tweet

Новая модель информационной безопасности с учетом жизненного цикла атаки

- Ноябрь 21, 2015 18:46

Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Согласно отчету Cisco среднее время обнаружения взлома современной компании составляет 200 дней.

Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.

Модель "ДО - ВО ВРЕМЯ - ПОСЛЕ"

Модель «ДО — ВО ВРЕМЯ — ПОСЛЕ»

Такая ориентация на весь жизненный цикл атаки позволяет не только выстроить «стену», предотвращающую реализацию большого числа угроз, но и в самом худшем сценарии оперативно обнаружить заражение и утечку и локализовать их, не давая нанести еще больший ущерб предприятию, не дать вредоносному коду распространяться по сети, не давать злоумышленнику развивать свой успех, «переходя» с одного узла на другой.

Указанная модель «ДО — ВО ВРЕМЯ — ПОСЛЕ» применяется не только при построении систем защиты на предприятии, но и при создании всех решений по безопасности Cisco. Например, система контроля и защиты доступа в Интернет Cisco Web Security Appliance обладает целым спектром защитных механизмов, учитывающих жизненный цикл атаки:

  • ДО — разграничение доступа к сайтам по их репутации и категории, а также ограничение использования Web-приложений с помощью технологии AVC.
  • ВО ВРЕМЯ — контроль утечек информации через Web-почту, сканирование входящего Web-трафика с помощью антивирусных движков, а также использование механизма репутации загружаемых из Интернета файлов с целью обнаружения среди них вредоносных.
  • ПОСЛЕ — механизм ретроспективного анализа, позволяющий обнаруживать угрозу постфактум, а также функция сканирования всего исходящего трафика в поисках уже случившихся заражений и взаимодействия с ботнетами.
Модель "ДО - ВО ВРЕМЯ - ПОСЛЕ" для Cisco Web Security Appliance

Модель «ДО — ВО ВРЕМЯ — ПОСЛЕ» для Cisco Web Security Appliance

Модель учета жизненного цикла включена не только в отдельные продукты, но и может быть распространена сразу на несколько взаимоувязанных между собой продуктов. Например, система контроля сетевого доступа Cisco Identity Service Engine не только сама по себе построена по указанной трехзвенной модели, но и позволяет обмениваться контекстной информацией о происходящем в сети другим решениям Cisco (и не только) в области информационной безопасности. Например, Cisco ISE может предотвратить несанкционированный доступ, передав соответствующую команду на сетевое оборудование или межсетевой экран. Идентификация и профилирование устройств, заложенные в Cisco ISE, позволяют в реальном времени обнаруживать посторонние устройства в сети, которые пытаются реализовать какие-либо атаки. А функция локализации зараженного узла или блокировки учетной записи пользователя позволяют Cisco ISE получать команды от других решений, например, класса SIEM.

Модель "ДО - ВО ВРЕМЯ - ПОСЛЕ" для Cisco Identity Service Engine

Модель «ДО — ВО ВРЕМЯ — ПОСЛЕ» для Cisco Identity Service Engine

Все новые продукты и решения также используют данную модель. Например, решение по анализу Интернет-трафика Umbrella недавно приобретенной нами компании OpenDNS или средство нейтрализации вредоносного кода Cisco Advanced Malware Protection (AMP).

Модель "ДО - ВО ВРЕМЯ - ПОСЛЕ" для Cisco Advanced Malware Protection

Модель «ДО — ВО ВРЕМЯ — ПОСЛЕ» для Cisco Advanced Malware Protection

С целью более подробного описания данной модели информационной безопасности с учетом трех этапов жизненного цикла атаки «ДО — ВО ВРЕМЯ — ПОСЛЕ», мы подготовили несколько материалов — ролик, выложенный на наш корпоративный канал YouTube,

и white paper, знакомящую читателя с новой моделью обеспечения информационной безопасности.

Охват всего периода атаки: до, во время и после from Cisco Russia
Tags:
Оставить комментарий

Поделиться
tweet