Блог Cisco в России и СНГ
Share

Как контролировать то, что нельзя контролировать?!


September 16, 2013


Среда угроз сетевой безопасности находится в постоянном развитии. Следует отметить, что лидирующие позиции в ней занимают специально написанные, скрытые угрозы, которым все чаще удается преодолевать традиционные средства защиты. Эти угрозы проникают внутрь сети, — на уровень ядра, уровень распространения и уровень доступа пользователей, — где защита от угроз и их видимость находятся на минимальном уровне. Оттуда они без труда выбирают свои цели — конкретные ресурсы и даже конкретных людей в организации. Цель этих современных кибер-угроз заключается отнюдь не в получении известности и славы и даже не в создании прибыльного ботнета, она — в захвате и краже интеллектуальной собственности или государственных и коммерческих тайн для достижения конкурентного преимущества в промышленности, экономике и социально-политической системе.

Эффективную защиту от известных угроз безопасности обеспечивает хорошо спроектированная и развитая инфраструктура безопасности, которая включает в себя такие компоненты, как предотвращение вторжений, антивирус, безопасность контента и межсетевой экран. Однако серьезной проблемой являются специально написанные угрозы, рассчитанные на достижение конкретных целей и имеющие четкие намерения. Эти угрозы разработаны на базе конкретных знаний о цели, часто основанных на долгосрочных исследованиях сети и поведения пользователей в организации. После проникновения сквозь механизмы защиты периметра эти угрозы обычно распространяются по всей сети, где отсутствует широкомасштабное развертывание устройств безопасности. Оставаясь скрытыми в рамках активности обычного сетевого трафика, угрозы могут распространяться под прикрытием различных приложений. Средства защиты периметра не могут обнаружить эти угрозы. Фактически, эти угрозы нередко вводятся внутрь периметра через социотехнические приемы, путем целевого фишинга или на внешних носителях, таких как USB-устройства. И несмотря на то, что важное значение имеют мероприятия по предотвращению вторжений, даже самые тщательно разработанные исправления и сигнатуры не помогают полностью защититься от направленных угроз. По сравнению с 2006 г. сейчас зафиксировано уже трехкратный рост целенаправленных атак, который перенимают пальму первенства у массовых нападений.

После проникновения этих угроз через периметр сети единственным местом их идентификации является среда, в которой они распространяются: внутренняя сеть. Для определения признаков угрозы следует проанализировать профили трафика, проходящего через коммутаторы и маршрутизаторы, формирующие внутреннюю сеть. На основе результатов анализа можно получить представление о тех признаках, которые свидетельствуют о наличии трафика современных кибер-угроз. Будь то внутренний клиент, который пытается установить одноранговые подключения с другими клиентами в своей подсети, или клиенты, которые обмениваются данными с необычными регионами мира, анализ трафика позволяет обеспечить прозрачность и контроль потенциальных кибер-угроз.

Решение Cisco Cyber Threat Defense как раз и обеспечивает решение этой непростой задачи, расширяя те защитные функции, которые реализуются в наших межсетевых экранах, средствах предотвращения вторжений и системах контентной фильтрации. Оно обеспечивает прозрачность самых уклончивых и опасных угроз благодаря сочетанию следующих элементов:

  • Уникальные возможности сбора телеметрических данных внутреннего сетевого трафика за счет использования протокола NetFlow, поддерживаемого коммутаторами Cisco Catalyst®, маршрутизаторами Cisco и устройствами NetFlow Generation Appliances (NGA), а также механизма регистрации событий NetFlow (NSEL) из многофункциональных устройств Cisco ASA серии 5500 и 5500-X.
  • Возможности анализа сетевого трафика, предоставляемые системой Lancope StealthWatch. Компания Cisco в сотрудничестве с Lancope разработала и предлагает решение Cisco Cyber Threat Defense.
  • Идентификация, межсетевой экран и контекстная информация уровня приложений для выявления характера и серьезности угроз. Эти контекстные данные генерируются в Cisco Identity Services Engine, МСЭ ASA и маршрутизаторах Cisco, соответственно.

На основе этой телеметрической и контекстной информации аналитики сетевой безопасности могут с помощью единого инструментария идентифицировать подозрительные действия, получить необходимые сведения о пользователе, определить подозрительное приложение и найти другой соответствующий контекст безопасности. Это позволяет оценить характер и возможную опасность подозрительных действий. Придерживаясь этой информации, специалист может правильно определить дальнейшие шаги, которые следует предпринять в отношении таких современных кибер-угроз, как:

  • проникновение в сеть — вход в сеть для поиска направлений и областей, в которые можно внедрить специально созданные кибер-угрозы;
  • распространение вредоносных программ внутри сети — распространение вредоносных программ между узлами с целью сбора разведывательных данных о безопасности, кражи данных или создания обходных путей для входа в сеть;
  • управляющий трафик — соединения между злоумышленником и скомпрометированными внутренними узлами;
  • кража данных — экспорт конфиденциальных данных злоумышленнику, обычно путем использования инкапсулированного трафика.

Более подробную информацию о данном решении вы можете найти на сайте Cisco или в специальной презентации:

Cisco Cyber Threat Defense from Cisco Russia
Tags:
Оставить комментарий