Cisco Romania Blog

Puteți bloca atacurile greu de detectat?

3 min read



În 2012, Robert Mueller, directorul FBI la acea vreme, decreta: „Există doar două tipuri de companii: cele care au fost atacate și cele care vor fi.“

Trei ani mai târziu, CEO-ul Cisco John Chambers actualiza „verdictul“: „Există două tipuri de organizații: cele care au fost victima unui atac și cele care încă nu știu că acest lucru li s-a întâmplat și lor.“

În contextul creșterii continue a volumului de amenințări și a diversificării lor rapide, ambele afirmații sunt valabile. Și asta pentru că, la momentul actual, atacurile au devenit tot mai greu de depistat, iar soluțiile tradiționale de protecție – precum firewall-urile sau sistemele de prevenire a intruziunilor (IPS) – nu mai reușesc să le blocheze.

Noi, la Cisco, abordăm această provocare dintr-un alt unghi – colectăm informații despre traficul din rețea, le analizăm și, cu ajutorul rezultatelor obținute, creăm modele dinamice ale traficului normal. Apoi, folosind aceste „tipare“, detectăm automat orice anomalie care reprezintă o potențială amenințare.

Cum realizăm acest lucru? Cu ajutorul soluției Stealthwatch care analizează nu doar traficul de date care intră și iese din rețea, respectiv fluxurile „North-South“ de tip Client-to-Server, ci și traficul „East-West“ de tip Server-to-Server (așa-numita „mișcare laterală“ din interiorul rețelei).

Stealthwatch monitorizează continuu rețeaua colectând datele furnizate de switch-uri, routere și firewall-uri prin intermediul metadatelor (NetFlow sau echivalent – sFlow, JFlow, IPFIX etc.). La capacitate maximă, Flow Collector-ul poate procesa informații provenite de la 50.000 de surse și până la 6 milioane de flow-uri pe secundă.

Datele de telemetrie furnizate în timp real de echipamentele de networking vă asigură vizibilitate maximă asupra a tot ce se întâmplă în rețeaua dvs., iar cu ajutorul  instrumentelor de Security Analytics puteți identifica rapid amenințările reale. De exemplu, din consola de management a Stealthwatch puteți vedea imediat dispozitivele, care sunt sursa și destinația atacurilor sau host-urile infectate care inițiază conexiuni către servere de Command and Control. Mai mult, Stealthwatch vă poate ajuta să depistați, pe baza analizei datelor de trafic, și atacurile de tip Distributed-Denial-of-Service (DDoS), precum și amenințările ransomware.

Unul dintre avantajele competitive importante ale Cisco Stealthwatch îl reprezintă arhitectura modulară a soluției, care vă permite să o extindeți în funcție de necesitățile specifice companiei dvs. și de nevoile care apar în timp.

De exemplu, puteți utiliza Stealthwatch împreună cu Cisco Security Packet Analyzer pentru a investiga evenimentele de securitate și activitățile anormale din rețea. Spre deosebire de soluțiile tradiționale, Packet Analyzer vă permite să capturati și să analizați doar pachetele de date din zonele de rețea unde Stealthwatch detectează un potențial risc, reducand timpul petrecut în identificarea și blocarea amenințărilor.

Împreună cu Cognitive Threat Analytics, Stealthwatch vă ajută să depistați amenințările ascunse în traficul criptat folosind tehnologia Encrypted Traffic Analytics. Cisco ETA realizează acest lucru fără a decripta traficul, prin urmare, nu mai aveți nevoie de echipamente suplimentare, nu mai aveți scăderi ale performanței rețelei și nici nu mai trebuie să vă faceți griji legate de confidențialitatea datelor).

Dintre echipamentele care suportă ETA, amintim familia Catalyst 9000 și ruterele care rulează IOS-XE (ISR 4000, ISR 1000, ASR 1001-x).

Stealthwatch se poate integra facil și cu alte soluții din portofoliul Cisco. Una dintre cele mai potrivite alegeri în acest sens este Identity Services Engine (ISE), care vă ajută ca, atunci când Stealthwatch depistează un comportament anormal generat de un dispozitiv mobil, de exemplu, să blocheze automat accesul acestuia la rețea sau trecerea lui în carantină.

În contextul în care amenințările informatice devin din ce în ce mai complexe, iar atacurile tot mai frecvente, organizațiile au nevoie de soluții care să le asigure protecție în profunzime. Cisco Stealthwatch este unul dintre cele mai eficiente răspunsuri în fața acestei provocări cu care se confruntă companiile.

Dacă doriți să aflați mai multe informații despre cum vă poate ajuta Stealthwatch, vă invit să urmăriți acest video, în care ilustrez succint câteva dintre aspectele practice ale soluției.

De asemenea, dacă doriți să aflați și alți diferențiatori ai soluției Stealthwatch, vă invit să accesați acest link).

Iar aici, puteți citi cum a ajutat Stealthwatch la detectarea atacului ransomware WannaCry, din mai 2017, care a făcut mii de victime în 150 de țări, printre care și România.

Iar dacă doriți să discutați direct cu noi, ne puteți contacta la: solutiicisco@cisco.com.

Authors

Ioana Manea

Systems Engineer

Lăsați un comentariu