Блог Cisco в России и СНГ
Поделиться
tweet

Как решения Cisco по кибербезопасности взаимодействуют между собой без единой консоли управления

- March 30, 2017 09:47

Нередко в адрес Cisco звучат вопросы о том, когда у нас появится централизованная система управления и мониторинга по информационной безопасности, которая бы позволила на одной консоли свести воедино все наши многочисленные решения по ИБ. И если не рассматривать разработанное нами SIEM-решение OpenSOC, то вопрос закономерный. И ответ на него у нас есть, но он немного отличается от того, что делают другие игроки рынка кибербезопасности, имеющие в своем портфолио 3-4, максимум 6-7, средств защиты информации. У нас таких продуктов гораздо больше и все они разноплановые – NGFW и NGIPS, системы мониторинга аномалий и контроля доступа к внутренним ресурсам сети, защиты Web-доступа и электронной почты, мониторинга DNS и облачных сред, анализа файлов на вредоносность и защиты мобильных и стационарных рабочих мест, и т.п. Очень сложно создать универсальную консоль, которая бы могла эффективно управлять столь разнородными решениями по ИБ, да еще и эксплуатируемыми разными подразделениями внутри заказчика.

Однако и оставить эту задачу без внимания мы не могли и стали искать пути ее решения. Если вдуматься, то единая консольнам нужна для реализации четырех основных задач:

  • мониторинга и анализа событий безопасности
  • использования единой, сквозной политики безопасности
  • обмена информацией об угрозах (Threat Intelligence) и принятии на ее основе соответствующих решений
  • обмена контекстом, позволяющим принимать более эффективные решения и выстраивать динамическую политику безопасности.

Если ваша единая консоль их не решает, то какой в ней смысл? А если она их решает, то, как правило, она ограничена только решениями одного производителя, а моновендорность является недостижимой мечтой для игроков рынка. Заказчики обычно приобретают решения разных производителей в разное время и потом вынуждены решать вопросы интеграции их между собой. Поэтому обычно, используется не только несколько “единых” консолей для продуктов разных вендоров, но еще и решение класса SIEM, которое аккумулирует события безопасности от всех этих консолей, заточенных под своего производителя.

Но вернемся к исходным 4-м задачам, описанным выше. Может ли их решить Cisco? Да, следуя нашим 3-м принципам “Simple. Open. Automated” (“Простота. Открытость. Автоматизация”). Мы добавили во все наши продукты (и этот процесс идет до сих пор, по мере расширения и развития нашего портфолио по ИБ) соответствующие интерфейсы, которые позволяют нашим Cisco Firepower NGFW, NGIPS, ESA, WSA, ISE, Umbrella, AMP, Cloudlock, AMP Threat Grid и другим продуктам взаимодействовать и обмениваться нужной информацией напрямую, минуя какие-либо внешние системы (хотя через них тоже можно). На рисунке ниже вы видите текущий статус различных коммуникаций между решениями Cisco  по кибербезопасности:

Синий – события ИБ. Красный – информация об угрозах. Серый – политики ИБ. Зеленый – контекст ИБ

Какие преимущества дает такое взаимодействие без какой-либо отдельной консоли управления? Их несколько:

  • Обмен данными об угрозах позволяет ускорить процесс обнаружения и реагирования на инциденты. Например, агент Cisco AMP for Endpoint,  установленный на мобильном устройстве пользователя, базирующегося в офисе в Владивостоке, сообщает о новом вредоносном файле в сервис изучения угроз Cisco Talos, который затем распространяет знание об этой угрозе по всем средствам защиты Cisco и Cisco AMP for Email, установленный в московском офисе, получает знание об этой угрозе еще до того, как угроза доберется до него.
  • Обмен политиками позволяет оперативно локализовывать проблемы, не давая им распространяться как лавина по всей сети. Например, Cisco Stealthwatch идентифицирует компьютер, зараженный вредоносным кодом в обход периметровых средств защиты (через флешку или незащищенный Wi-Fi). Stealthwatch “уведомляет” Cisco ISE о том, что для данного компьютера или пользователя необходимо поменять статус на “скомпрометирован”. После этого, ISE может применить эти сведения:
    • на коммутаторе, заблокировав порт, к которому подключается компьютер, или перенаправив его в карантинный сегмент,
    • на сервере AD, времени заморозив учетную запись пользователя,
    • на Web Security Appliance, который применит к данному пользователю более жесткую политику контроля доступа в Интернет.
  • Обмен данными о контексте позволяет ускорить процесс реагирования на инциденты, уйдя от оперирования “голыми” IP-адресами в сторону работы с информацией вида “Пользователь Иванов И.И., подключившийся с личного планшетного компьютера под управлением Apple iOS 10.0 из переговорной комнаты на 3-м этаже московского офиса в 11 часов 12 минут утра”. Такая информация собирается Cisco ISE и может быть передана, например, Cisco Firepower NGFW, Cisco WSA или Cisco Stealthwatch для использования в соответствующих политиках, а также для хранения в журналах регистрации, которые затем могут быть проанализированы в рамках процедуры расследования инцидентов.
  • Обмен событиями безопасности позволяет ускорить блокирование угроз без участия человека или отдельных внешних решений, усложняющих цепочку передачи информации. Например, Cisco Cognitive Threat Analytics (CTA) идентифицирует в журналах регистрации прокси признаки компрометации пользователя и работы с его компьютера программы-шифровальщика, взаимодействующего с командным сервером C&C по защифрованному HTTPS-туннелю. CTA оперативно передает это событие безопасности Cisco AMP for Endpoints, который в свою очередь блокирует файл, ставший причиной заражения компьютера.

Реализация принципов “Простота. Открытость. Автоматизация”, заложенных в решения Cisco по информационной безопасности, позволяет существенно ускорить обнаружение и реагирование на угрозы, зачастую без участия человека. Если в среднем компании находятся в неведении относительно своего заражения в течение 200 дней, то с решениями Cisco, умеющими взаимодействовать между собой и без отдельной консоли управления, этот срок до нескольких часов.

Tags:
Оставить комментарий

Поделиться
tweet