Блог Cisco в России и СНГ
Share

Новое решение Cisco по борьбе с внутренними угрозами


July 8, 2013


Компания Cisco анонсировала новое решение Cisco Cyber Threat Defense по борьбе с внутренними угрозами. Предназначение этого решения – бороться с тем, что уже проникло во внутреннюю сеть компании и наносит ей ущерб. Мы прекрасно понимаем, что информационная безопасность современного предприятия не может базироваться только на защите периметра. И периметр становится размытым и угрозы усложняются настолько, что нет гарантии, что они не проникнут даже через многоуровневую систему защиты, выстроенную на периметре и состоящую из межсетевых экранов, систем предотвращения вторжений, систем контентной фильтрации и т.д.

Безусловно, средства защиты можно использовать и внутри корпоративной или ведомственной сети. Можно включить механизмы сегментации на базе коммутаторов, можно внедрить системы предотвращения вторжений, можно поставить антивирусы и иные защитные решений на каждый персональный компьютер и сервер. Но дает это ли это чувство защищенности? Не всегда. Когда в сети 3, 5, 10 коммутаторов – это не проблема и мы к каждому можем подключить по сенсору системы предотвращения вторжений. Были бы деньги на нужное количество сенсоров и свободны были бы SPAN-порты на коммутаторах. А если ни первого ни второго нет? Что делать? А если коммутаторов не 10, а 100 или 1000? А если надо контролировать трафик между виртуальными машинами, находящимися в ЦОДе на одном физическом сервере и не взаимодействующими через традиционный коммутатор вовсе? Как решить все эти проблемы?

Традиционные поставщик средств безопасности будет сетовать на сложность современной инфраструктуры и рассказывать о том, что надо выделить ключевые точки, где и установить сенсоры IPS. А еще он невзначай заметит, что при неполном охвате сетевой инфраструктуры не сможет гарантировать высокой защищенности от современных угроз, особенно APT. Но это традиционный поставщик средств защиты, который пытается свой продукт навесить на сеть как плохой портной пытается может быть и неплохо сшитый пиджак 44 размера предложить человеку с 54-м размером. В целом может он и налезет, но что-то не то…

Компания Cisco идет другим путем. Мы отличаемся тем, что можем не просто тесно интегрировать сетевые и защитные решения, но и пойти еще дальше – сделав из сети не просто инструмент пересылки трафика из точки А в точку Б, а превратив ее в платформу обеспечения безопасности, которая может отдавать данные, на основе которых принимается решение в области ИБ, и реализовывать это решение. Так работает и новое решение Cisco Cyber Threat Defense (CTD). Оно собирает данные по протоколу NetFlow от всех сетевых устройств Cisco – маршрутизаторы, коммутаторы, точки доступа, и, приложив к ним аналитические способсности CTD, анализирует их на предмет обнаружения в сетевом трафике аномалий, указывающих на различные нарушения политики безопасности. CTD может собирать данные не только от традиционного сетевого оборудования, но и других типов решений. Например, в среде виртуализации CTD может анализировать трафик, циркулирующий между виртуальными машинами, что обычно с трудом поддается традиционным средствам сетевой безопасности.

Какие задачи может решать Cisco Cyber Threat Defense?

  • обнаружение DDoS-атак
  • обнаружение утечек данных
  • обнаружение нарушения прав интеллектуальной собственности (скачивание пиратского видео и музыки)
  • обнаружение P2P-трафика
  • обнаружение незащищенных коммуникаций
  • обнаружение ботнетов и их командных серверов
  • обнаружение внутренних нарушителей
  • обнаружение бреше в настройках межсетевых экранов и иных средств сетевой безопасности
  • обнаружение несанкционированной установки точки доступа или Web-сервера
  • расследование инцидентов
  • реагирование на атаки.

Более детально познакомиться с данным решением можно в подготовленной нами презентации:

Cisco Cyber Threat Defense from Cisco Russia
Tags:
Оставить комментарий

4 Comments

  1. Я бы немного поправил Алексея, современные SIEM работают прекрасно как с трафиком беспроводным так и с трафиком в сегментах физической сети и анализ событий ИБ прекрасно коррелируется с оценкой уязвимости доступных хостов и логов с сетевого оборудования. Пример такой системы Tenable Security Center + LCE + PVS. То есть именно SIEM система, если еще прикрутить СКУД то вообще будет контроль доступа и прикладного уровня в приложения. Вопрос в том можно ли это сделать по всем уровням в NBAD ? Я думаю можно, но интересно что Алексей ответит – может там аномалии еще и на произвольные события распространяются по которым написаны правила.

  2. Это не SIEM и никогда так не позиционировался. Это продукт типа NBAD – Network-based anomaly detection. У него другая задача.

    Что же касается SIEM, то в большинстве случаев, в реальных внедрениях SIEM ограничивается работой с логами, а не с трафиком.

  3. Может быть это недоработка?

  4. А как насчет фунционала SIEM? Я так понимаю его нет?
    Современные SIEM умеют получать данные не только по Netflow а также (что очень важно) логи с очень большого парка оборудования, на основании логов и потоков Netflow создаются инциденты. Здесь же только Netflow.