Блог Cisco в России и СНГ
Поделиться
tweet

Новое решение Cisco по борьбе с Web-угрозами

- Март 26, 2016 17:48

Современные киберугрозы, вопреки распространенному мнению, используют вполне легальные каналы для своего распространения и попадания в недра корпоративных и ведомственных сетей, а также на мобильные и домашние устройства.

Современные угрозы используют легальные каналы для распространения

Современные угрозы используют легальные каналы для распространения

В 95% случаев заражение компьютера пользователя происходит через его электронную почту, а вот управление и контроль уже взломанного узла или инфраструктуры будет осуществляться через Web-канал. Иными словами в рамках HTTP-протокола (или HTTPS) злоумышленники будут скрывать передачу украденной у вас информации, а также получать извне команды для выполнения.

Web - распространенный канал управления у киберпреступников

Web — распространенный канал управления у киберпреступников

Для защиты электронной почты мы предлагаем хорошо зарекомендовавшее себя решение — Cisco Email Security, которое может быть выполнено в форме программно-аппаратного, виртуального или облачного решения. А вот с контролем и защитой Web-трафика ситуация немного иная. В условиях различного применения Web-технологий злоумышленниками и в зависимости от того, что и где необходимо контролировать, одним решением обойтись не всегда возможно. Поэтому в комплекс решений по контролю и защите Web компания Cisco включает целый спектр различных решений и технологий:

  • Программно-аппаратный или виртуальный Cisco Web Security Appliance
  • Облачное решение Cisco Cloud Web Security
  • Облачный сервис по анализу DNS-запросов Cisco OpenDNS
  • Решение по обнаружению вредоносных файлов в Web-трафике «на лету» Cisco Advanced Malware Protection (AMP)
  • Облачное или локальное решение по анализу вредоносных файлов Cisco AMP Threat Grid
Портфолио решений Cisco по борьбе с Web-угрозами

Портфолио решений Cisco по борьбе с Web-угрозами

Все указанные решения анализируют трафик, идущий к Web-серверам или от них, на разных уровнях — в виде DNS, в виде файлов, в виде URL. Однако у нас остается еще один источник информации, который может подсказать и обнаружить то, что осталось за пределами внимания названных решений. Это логи (журналы регистрации) прокси-серверов, которые накапливают огромные объемы информации, которые обычно никак не анализируются с точки зрения безопасности.

Новое решение Cisco Cognitive Threat Analytics (CTA) устраняет эту проблему, анализируя именно логи, получаемые от Cisco WSA, Cisco CWS или иных прокси-решений, например, от Blue Coat. Это решение является либо надстройкой над Cisco Web Security Appliance или над Cisco Cloud Web Security, либо берет на себя функцию анализа Web-логов решений третьих фирм. Собранные журналы регистрации непрерывно передаются в облако Cisco для проведения анализа с помощью различных алгоритмов машинного обучения, которые и обнаруживают различные взаимозависимости и аномалии в Web-логах.

Машинное обучение для многоуровневого анализа логов

Машинное обучение для многоуровневого анализа логов

Несколько десятков различных алгоритмов позволяет  обнаруживать угрозы, использующие Web как канал передачи информации или команд, и который активно используется злоумышленниками для скрытия своей активности в рамках легальных, разрешенных коммуникаций.

Угрозы, обнаруживаемые CTA

Угрозы, обнаруживаемые CTA

Cisco Cognitive Threat Analytics — это не средство защиты, это средство мониторинга и обнаружения аномальной или вредоносной активности в Web-трафике. Для того, чтобы на базе обнаруженных сигналов тревоги принимать решения о блокировании нарушений или злоумышленников или зараженных узлов необходимо интегрировать CTA с другими решениями Cisco — Cisco ISE, Cisco AMP for Endpoints, Cisco AMP for Networks и т.д.

Более подробно ознакомиться с решением Cisco CTA можно с помощью презентации, которую мы записали:

Обратившись по адресу, указанному в конце презентации, вы сможете запросить реальное тестирование данного решения. Для этого вам надо иметь Cisco WSA/CWS или прокси-сервер третьих фирм, например, Blue Coat, без которых тестирование Cisco CTA будет невозможным (надо же откуда-то брать логи для анализа).

Tags:
Оставить комментарий

Поделиться
tweet