Блог Cisco в России и СНГ
Поделиться
tweet

Новое решение Cisco по кибербезопасности — Cisco Threat Intelligence Director

- Март 21, 2017 10:42

Одной из проблем, с которыми сталкиваются компании сегодня — большое количество предупреждений систем безопасности, которые так и остаются нерасследованными. По данным нашего ежегодного отчета по кибербезопасности за прошлый год 44% всех уведомлений остаются без внимания специалистов по безопасности! Вдумайтесь в это число — 44%!

Причин этому мы выделяем три:

  • нехватка квалифицированного персонала, способного разобраться в получаемых предупреждениях
  • нехватка времени на отработку каждого предупреждения (а их может быть очень много)
  • отсутствие инструментов, позволяющих автоматизировать процесс приоритезации и расследования причин возникновения предупреждений безопасности.

И проблема усугубляется, чем больше источников информации об угрозах мы используем в своей организации. С одной стороны мы уже не можем целиком полагаться только на один, даже доверенный источник таких сведений. С другой — рост числа источников начинает нависать Дамокловым мечом над специалистами по безопасности, которые тонут в лавине получаемых данных о все более возрастающем числе событий ИБ, имеющих негативный окрас.

Чтобы решить эту проблему, компания Cisco разработала новое решение под названием Cisco Threat Intelligence Director (TID), которое позволяет подгружать данные об угрозах из внешних источников и опираясь на данные от сенсоров системы безопасности Cisco, в качестве которых могут выступать межсетевые экраны нового поколения Cisco Firepower NGFW, системы предотвращения атак нового поколения Cisco Firepower NGIPS, системы борьбы с вредоносным кодом Cisco AMP, идентифицировать новые угрозы и аномалии.

Решения Cisco выступают в качестве анализаторов сетевого трафика и поведения оконечных устройств (файлов, приложений, пользователей), на которые накладываются получаемые из нескольких десятков внешних источников индикаторы компрометации. Среди таких источников, например, могут выступать компании Alien Vault, Symantec, ThreatQ, ThreatConnect, а также отраслевые организации — FS-ISAC (аналог российского FinCERT), Cyber Threat Alliance (Cisco также входит в него) и другие. Тем самым Cisco TID расширяет возможности средств защиты Cisco, которые теперь могут опираться на информацию об угрозах не только от Cisco Talos, но  от других поставщиков так называемой информации Threat Intelligence.

Преимущество Cisco Threat Intelligence Director в том, что он работает полностью в автоматическом режиме, собирая данные об угрозах из внешних источников в машинно читаемых форматах STIX, TAXII или CSV. Достаточно один раз внести соответствующие настройки и дальit Cisco TID будет сам подгружать новые данные и сравнивать их с информацией получаемой от NGFW, NGIPS и AMP компании Cisco.

Инициатиром разработки этих стандартов STIX и TAXII стала компания MITRE, известная своим стандартом CVE. Она же «шефствует» над OVAL, CCE, CEE, CME, CWE, CPE, CRF, CAPEC, SCAP, CVSS и XCCDF. Но если все эти стандарты были ориентированы в первую очередь на управление уязвимостями, то STIX и TAXII направлены на обмен информацией об угрозах и стали практически стандартами де-факто в этой области. Нельзя сказать, что раньше такого обмена не было, но он был не стандартизован. Каждое ведомство или компания использовали какие-то собственные наработки, непозволяющие эффективно коммуницировать между собой. Язык STIX должен устранить этот недостаток. Он позволяет унифицировать описание различных угроз и связанных с ними параметров — индикаторы атаки, информация об инциденте, используемый для атаки инструментарий или уязвимости, предполагаемые меры нейтрализации атаки, информация о предполагаемом противнике/нарушителе и т.п. А вот идея TAXII заключается в унификации способов обмена информации об угрозах, описанных с помощью STIX.

Обратите внимание — Cisco TID в настоящий момент работает со следующими типами индикаторов компрометации — IP-адреса, хеши файлов, домены, URL и адреса электронной почты. При этом у этих индикаторов может быть установлен срок жизни (TTL), который определяет в течение какого количества дней эти индикаторы считаются актуальными. По окончанию установленного срока Cisco Threat Intelligence Director перестает использовать «старые» индикаторы в процессе обнаружения инцидентов безопасности.

Если с помощью полученных от внешних источников Threat Intelligence индикаторов компрометации Cisco TID находит в представленных сенсорами безопасности Cisco следы несанкционированной активности, то он формирует соответствующие записи об инцидентах, которые соответствующим образом приоритезируются и по ним проводится расследование с соответствующими вариантами реагирования.

По сути мы говорим о корреляции и анализе событий безопасности. И тут впору спросить — а почему нельзя использовать для этой задачи какое-либо из имеющихся на рынке решений класса SIEM? Можно. Однако есть два «но». Первое заключается в том, что SIEMы предназначены для анализа и корреляции большого объема данных, но пост-фактум. Cisco TID выполняет свою задачу в реальном времени, не требуя никаких внешних систем управления событиями безопасности.

Второе «но» — это цена. SIEM обычно стоит денег, в то время как решение Cisco Threat Intelligence Director является бесплатным. Оно просто расширяет возможности системы управления Cisco Firepower Management Center (FMC), начиная с версии 6.2.1. Для его активации не требуется никаких лицензий — достаточно будет просто обновить FMC до версии 6.2.1.

Подразделение Cisco по разработке решений по кибербезопасности использует в качестве своего девиза фразу «Open. Simple. Automate» (Открытый. Простой. Автоматизированный), означающую, что разработанные нами решения должны по максимум автоматизировать рутинные задачи специалистов безопасности, давая им возможность сконцентрироваться на управленческих решениях. Cisco Threat Intelligence Director в полной мере реализует данный девиз, позволяет очень просто автоматизировать подключение к решениям Cisco по сетевой безопасности источники данных об угрозах, поддерживающие открытые стандарты STIX и TAXII.

Tags:
Оставить комментарий

Поделиться
tweet