Новое решение Cisco по борьбе с Web-угрозами
Современные киберугрозы, вопреки распространенному мнению, используют вполне легальные каналы для своего распространения и попадания в недра корпоративных и ведомственных сетей, а также на мобильные и домашние устройства.
Современные угрозы используют легальные каналы для распространения
В 95% случаев заражение компьютера пользователя происходит через его электронную почту, а вот управление и контроль уже взломанного узла или инфраструктуры будет осуществляться через Web-канал. Иными словами в рамках HTTP-протокола (или HTTPS) злоумышленники будут скрывать передачу украденной у вас информации, а также получать извне команды для выполнения.
Web – распространенный канал управления у киберпреступников
Для защиты электронной почты мы предлагаем хорошо зарекомендовавшее себя решение – Cisco Email Security, которое может быть выполнено в форме программно-аппаратного, виртуального или облачного решения. А вот с контролем и защитой Web-трафика ситуация немного иная. В условиях различного применения Web-технологий злоумышленниками и в зависимости от того, что и где необходимо контролировать, одним решением обойтись не всегда возможно. Поэтому в комплекс решений по контролю и защите Web компания Cisco включает целый спектр различных решений и технологий:
- Программно-аппаратный или виртуальный Cisco Web Security Appliance
- Облачное решение Cisco Cloud Web Security
- Облачный сервис по анализу DNS-запросов Cisco OpenDNS
- Решение по обнаружению вредоносных файлов в Web-трафике “на лету” Cisco Advanced Malware Protection (AMP)
- Облачное или локальное решение по анализу вредоносных файлов Cisco AMP Threat Grid
Портфолио решений Cisco по борьбе с Web-угрозами
Все указанные решения анализируют трафик, идущий к Web-серверам или от них, на разных уровнях – в виде DNS, в виде файлов, в виде URL. Однако у нас остается еще один источник информации, который может подсказать и обнаружить то, что осталось за пределами внимания названных решений. Это логи (журналы регистрации) прокси-серверов, которые накапливают огромные объемы информации, которые обычно никак не анализируются с точки зрения безопасности.
Новое решение Cisco Cognitive Threat Analytics (CTA) устраняет эту проблему, анализируя именно логи, получаемые от Cisco WSA, Cisco CWS или иных прокси-решений, например, от Blue Coat. Это решение является либо надстройкой над Cisco Web Security Appliance или над Cisco Cloud Web Security, либо берет на себя функцию анализа Web-логов решений третьих фирм. Собранные журналы регистрации непрерывно передаются в облако Cisco для проведения анализа с помощью различных алгоритмов машинного обучения, которые и обнаруживают различные взаимозависимости и аномалии в Web-логах.
Машинное обучение для многоуровневого анализа логов
Несколько десятков различных алгоритмов позволяет обнаруживать угрозы, использующие Web как канал передачи информации или команд, и который активно используется злоумышленниками для скрытия своей активности в рамках легальных, разрешенных коммуникаций.
Угрозы, обнаруживаемые CTA
Cisco Cognitive Threat Analytics – это не средство защиты, это средство мониторинга и обнаружения аномальной или вредоносной активности в Web-трафике. Для того, чтобы на базе обнаруженных сигналов тревоги принимать решения о блокировании нарушений или злоумышленников или зараженных узлов необходимо интегрировать CTA с другими решениями Cisco – Cisco ISE, Cisco AMP for Endpoints, Cisco AMP for Networks и т.д.
Более подробно ознакомиться с решением Cisco CTA можно с помощью презентации, которую мы записали:
Обратившись по адресу, указанному в конце презентации, вы сможете запросить реальное тестирование данного решения. Для этого вам надо иметь Cisco WSA/CWS или прокси-сервер третьих фирм, например, Blue Coat, без которых тестирование Cisco CTA будет невозможным (надо же откуда-то брать логи для анализа).
Tags:
