Блог Cisco в России и СНГ
Share

Новые функции Cisco Threat Grid


September 16, 2018


Каждый месяц команда, отвечающая за развитие нашей облачной песочницы Cisco Threat Grid, добавляет в нее новые функции и возможности. Прошедшее лето не стало исключением, но мы смогли сделать действительно ряд очень интересных обновлений, информацией о которых мы бы хотели поделиться.

Поддержка модели данных MITRE ATT&CK

Модель данных ATT&CK (Adversarial Technics, Tactics & Common Knowledge), разработанная корпорацией MITRE, известной и другими своими проектами (CVE, CWE и т.п.), является словарем для описания поведения злоумышленников, их методов и тактик, используемых в различных атаках. Он позволяет лучше понять действия хакеров и в ряде случаев, по набору классифицированных с помощью ATT&CK индикаторов, провести атрибуцию злоумышленников, связав их с теми или иными группами или вредоносными кампаниями. Ссылки на идентифицированные тактики и техники появляются как в описании каждого поведенческого индикатора для любого из анализируемых (или проанализированных ранее) семплов, так и в отчетах по ним, в том числе и в выгружаемых из облака Cisco Threat Grid данных.

Связь с моделью данных ATT&CK

Связь с моделью данных ATT&CK

Конфиденциальность

Одной из сильных сторон Cisco Threat Grid является его облачная природа – все заказчики могут получат пользу от загрузок семплов, сделанных другими. Однако есть и очевидная проблема конфиденциальности от загрузки семпла в облако. Как найти баланс между конфиденциальностью наших заказчиков и выгодой от общего доступа к загруженным семплам? Теперь мы убираем любую идентифицирующую информацию – даже имя файла – и не предоставляем никаких средств для загрузки или иного какого способа просмотра содержимого файла; но при этом мы показываем хэш файла, метаданные и связанные с ним поведенческие индикаторы. В приведенной ниже иллюстрации обратите внимание, что параметры загрузки отсутствуют и доступны только метаданные и индикаторы компрометации.

Отчеты

Удаление информации о пользователе, загрузившем семпл

Ежемесячная сводная отчетность

Теперь пользователи могут сразу видеть, как их организация использовали Cisco Threat Grid за прошедший месяц – загруженные семплы, кем загружены, уровень угрозы и многое другое. На дашборде показываются данные за последние 30 дней, но можно легко просмотреть сводную статистику за каждый месяц, а также отслеживать тенденции из месяца в месяц.

Отчет по ежемесячной отчетности

Отчет по ежемесячной активности

Уведомление о ложных срабатываниях

Бывают ситуации, когда анализ файла приводит к ложному срабатыванию, – чистый файл помечается как вредоносный, а анализ вредоносного не показывает ничего подозрительного. Теперь появилась возможность сообщить о ложном срабатывании в команду RET (Reseach and Eficacy), которая самостоятельно проведет анализ файла и внесет изменения в алгоритмы поведенческого анализа и индикаторы компрометации.

 

Отчет о ложных срабатываниях

Уведомление о ложных срабатываниях

Улучшение графического интерфейса

Еще раньше мы улучшили графический интерфейс, чтобы пользователи моглу фокусироваться на ключевых аспектах работы с облачной песочницей, видеть ключевые тенденции в загруженных семплах, – как своих, так и по всей своей организации. Кроме того, несколько новых панелей теперь позволяет увидеть различные аспекты используемой платформы анализа – источники загрузки семплов (аналитики, Firepower, Email Security Appliance и т.п.), статус анализа, уровень угрозы, типы загружаемых файлов и др.

Новый графический интерфейс

Новый графический интерфейс

Кроме того, мы обновили менеджер семплов, чтобы пользователи могли видеть больше и глубже, как относительно отдельных семплов, так и всех семплов вместе. С помощью левой панели можно осуществлять выборку и фильтрации семплов по различным параметрам – время, загрузчик семпла, уровень угрозы, тип семпла и т.п., – результат чего показывается в правой панели. Вся эта информация может быть выгружена для оффлайн-анализа.

Новый менеджер семплов

Новый менеджер семплов

Учет действий пользователя при анализе

Вредоносные программы иногда проверяют наличие пользовательской активности для того, чтобы определить, не пытаются ли их обнаружить антивирусные программы или иное ПО для обеспечения безопасности, особенно песочницы. Если во время анализа вредоносного файла, никакой активности пользователя не наблюдается, то вредоносная функциональность не активируется, что позволяет обойти обнаружение и остаться вредоносному файлу незаметным. Мы добавили в Cisco Threat Grid возможность эмуляции различных видов пользовательской активности, чтобы обнаруживать вредоносное ПО, скрывающееся от средств защиты.

Различные Playbook с вариантами действий пользователей

Различные варианты действий пользователей

Интеграция с Cisco Threat Response

Достаточно часто мы встречаемся с ситуацией, когда с одной стороны у нас есть куча логов и событий безопасности от различных средств защиты, а с другой мы получаем информацию об угрозах в рамках подписки на какой-либо платный или бесплатный сервис Threat Intelligence (например, от BI.ZONE, ГосСОПКИ или ФинЦЕРТ). С одной стороны у нас куча данных для анализа, но мы не знаем, есть ли в них следы того, что мы ищем. С другой стороны, мы имеем информацию о следах (то есть индикаторы компрометации), но не знаем насколько они применимы именно к мам. Нам нужно объединить эти два набора данных, осуществив то, что обычно называют Threat Hunting’ом или поиском следов атак в нашей инфраструктуре.  Недавно мы выпустили новое бесплатное решение Cisco Threat Response, которое помогает автоматизировать данную задачу. Помимо интеграции с Cisco Umbrella Investigate, Cisco AMP for Endpoint, VirusTotal и других, Cisco Threat Response может использовать  Cisco Threat Grid для анализа индикаторов компрометации, используемых в рамках расследования инцидентов.

Cisco Threat Response

Cisco Threat Response

Раздел по Threat Grid на Cisco Developer Network

Мы добавили раздел по Cisco Threat Grid на сайте, созданном специально для разработчиков, – https://developer.cisco.com/threat-grid/. Там можно найти примеры использования REST API для интеграции Cisco Threat Grid с собственными решениями, которые могут автоматически отправлять файлы в облако для анализа и получения вердикта, включая и детальные индикаторы компрометации, которые затем можно использовать внутри своей организации в рамках расследования инцидентов и процесса Threat Hunting.

 

Если вас заинтересовало данное решение, то вы можете протестировать его. Для этого необходимо обратиться к вашему менеджеру Cisco или партнеру.

Дополнительная информация:

Tags:
Оставить комментарий