Блог Cisco в России и СНГ
Share

Как увидеть невидимое?


November 1, 2013


Про наше решение по обнаружению внутренних угроз Cisco Cyber Threat Defense (CTD) я уже писал несколько месяцев назад. И вот сегодня можно уже говорить о его успехе на российском рынке и занятии той ниши, которой так не хватало отечественным специалистам по информационной безопасности. Внедрение данного решения обычно начинается с PoC (Proof of Concept), позволяющего оперативно оценить возможности решения, осуществляющего мониторинг внутренней сети и происходящей в ней активности. Это распространенная практика для решений по мониторингу чего-нибудь – утечек информации (Cisco IronPort Email DLP), электронной почты (E-mail Security Appliance), приложений (Cisco ASA Next-Generation Firewall Services) и т.п. Обычно уже после первой недели мониторинга результат работы этих решений удивляет – специалисты по безопасности узнают немало интересного о своей сети и о действиях пользователей в ней. Спам, вирусы, утечки конфиденциальной информации, внешние IP-адреса во внутренней сети, управляющий трафик ботнетов, троянцы, несанкционированно установленные точки беспроводного доступа или Web-сервера… Да мало ли что можно найти в сети, в которой работают продвинутые и не очень пользователи?

И вот недавно у нас завершился еще один проект по тестированию Cyber Threat Defense. На этот раз в одном из банков. Не из последних. Очень серьезная организация, очень серьезно относящаяся к информационной безопасности. Но как показывает практика последнего времени, целенаправленные атаки становятся все активнее и все опаснее. Их число превышает традиционные атаки и они специально разрабатываются, чтобы обходит периметровые средства защиты. Разумеется, я не говорю, что средства защиты периметра не нужны; ни в коем случае. Просто надо понимать их область применения, их сильные и слабые стороны. Иными словами, эти средства являются необходимым элементов системы защиты корпоративной или ведомственной сети, но явно недостаточным – защита должны распространяться на всю сеть. Именно эту задачу берет на себя Cisco Cyber Threat Defense. И именно это решение спустя всего 7 дней работы со своими базовыми настройками наткнулось на целый букет аномалий – среди них банковский троянец Zeus. несколько ботов, управляемых извне, и ряд других таких же “приятных сюрпризов”.

Вот только один скриншот Cisco Cyber Threat Defense. На нем виден очень высокий уровень CI, т.е. Concert Index или иными словами индекса подозрительности трафика, который характеризует наличие в сети признаков киберугрозы. Вычисляется этот индекс автоматически, по заложенному в Cisco CTD алгоритму. Чем выше это значение, тем вероятнее и серьезнее угроза (обратите внимание на показатель в 708 тысяч процентов) – это однозначно характеризует угрозу. Дополнительный анализ позволяет понять, что это за угроза, ее источник и жертва.

Высокий уровень Concern Index характеризует признаки угрозы ИБ

Высокий уровень Concern Index характеризует угрозу ИБ

Так как решение Cisco Cyber Threat Defense может поставляться как в виде программно-аппаратного комплекса, так и в виде виртуального решения (на базе VMware), то его развертывание может быть осуществлено достаточно быстро.

5 ноября в 11.00 (по московскому времени) мы проводим онлайн-семинар, посвященный данному решение. Если вас оно заинтересовало и вы хотите узнать о нем побольше, то зарегистрироваться вы можете на сайте Webex.

Дополнительная информация:

Tags:
Оставить комментарий