, менеджера компании Cisco по продвижению продуктов на платформе Threat Grid
Злоумышленники изобретают все более изощренные методы, чтобы компрометировать системы безопасности организаций и получать доступ к нужным сегментам сети и критичным данным, включая секреты производства, финансовую и коммерческую информацию. Киберугрозы стали настолько сложны, что одной лишь защиты периметра недостаточно.
В недавно опубликованном ежегодном отчете Cisco по информационной безопасности[1] исследователи компании проанализировали угрозы и изучили самые опасные тенденции в эксплуатации уязвимостей, векторах атак и их методах. Например, вредоносные расширения для браузеров обычно не считаются серьезной угрозой. Однако, по данным отчета, от них пострадали более 85 % исследованных организаций. Следовательно, такие расширения могут быть серьезным источником утечки данных.
Чтобы обнаружить вредоносное, в том числе рекламное, ПО и устранить утечку данных, необходимы многоуровневые системы информационной безопасности (ИБ). Следует внедрять новые методологии обнаружения, которые позволят отслеживать и анализировать веб-трафик и помогут специалистам в сфере ИБ более оперативно выявлять новые источники угроз и методы атак.
Cisco Cognitive Threat Analytics (CTA) — это облачный сервис, который обнаруживает уязвимости в системе безопасности, вредоносное ПО и прочие угрозы внутри защищенных сетей, выполняя статистический анализ сетевого трафика. CTA совершенствует процесс определения и блокировки угроз, выявляя признаки заражения вредоносным кодом или утечки данных путем анализа поведения и вскрытия аномалий. CTA использует современные методы статистического моделирования и машинного обучения, которые позволяют автономно находить новые угрозы, постепенно обучаться и адаптироваться.
СТА анализирует более 10 млрд веб-запросов ежедневно и находит вредоносное ПО, пропущенное средствами контроля безопасности или попавшее в систему через неконтролируемые каналы (например, съемные носители). Сервис действует внутри рабочей среды организации, за наносекунды отвечая на следующие вопросы:
- типичен ли такой трафик для данного веб-сайта?
- надежны ли источник и получатель?
- связываются ли другие пользователи в организации с этим получателем?
- связывались ли данные устройства между собой ранее?
- используют ли они приложения для анонимного соединения (например, Tor)?
- передаются ли какие-нибудь файлы и каков их размер?
Благодаря ряду аналитических методик CTA обнаруживает различные типы аномального трафика:
- хищение данных. CTA использует статистическое моделирование сети организации, чтобы идентифицировать аномальный веб-трафик и выявить хищение конфиденциальных данных. СТА распознает его в HTTPS-трафике даже без расшифровки.
- Алгоритмы генерации доменных имен. Злоумышленники генерируют произвольное количество доменных имен, чтобы их не обнаружили и не занесли в черный список хостов с вредоносным ПО. CTA распознает вредоносные и обфусцированные доменные имена, сгенерированные по словарю, анализирует частоту соединений, содержимое заголовков и сотни других параметров по каждому HTTP/HTTPS-запросу.
- Эксплойт-наборы. СТА анализирует веб-запросы и выявляет заражение при:
§ посещении вредоносной веб-страницы;
§ перенаправлении на домен с эксплойт-набором;
§ загрузке эксплойта без ведома пользователя;
§ успешной эксплуатации уязвимости;
§ загрузке тела эксплойта.
- Туннелирование через HTTP/HTTPS-запросы. Злоумышленники часто пытаются замести следы и организовать утечку конфиденциальных данных (в том числе и учетных) с помощью HTTP/HTTPS-запросов на свои серверы. СТА использует комплексные индикаторы компрометации (Indicators of Compromise, IoC), которые помогают сопоставить подробную глобальную и локальную статистику. Это позволяет гарантированно определить, с какой целью используется туннелирование.
Ранее сервисом можно было воспользоваться лишь в рамках Cisco Cloud Web Security, но сейчас он доступен по опциональной лицензии к устройству Cisco Web Security Appliance и как самостоятельный продукт. СТА не требует установки специального оборудования и ПО. После сбора базовой сетевой статистики CTA выявит зараженные устройства всего за несколько часов. В среднем, в компании из 5 000 сотрудников мы еженедельно обнаруживаем 45 зараженных устройств.
Рекомендуем также:
· Годовой отчет Cisco по ИБ напоминает: предупрежден — значит, вооружен —
http://www.cisco.com/web/RU/news/releases/txt/2016/01/22c.html
· Инвестиции в информационную безопасность — важный фактор развития современного бизнеса — http://www.cisco.com/web/RU/news/releases/txt/2016/02/01e.html
· Устаревшие инфраструктуры становятся все более острой проблемой в сфере обеспечения кибербезопасности — http://www.cisco.com/web/RU/news/releases/txt/2016/02/01a.html
· Совместные действия как наиболее эффективный способ борьбы с киберпреступностью — http://www.cisco.com/web/RU/news/releases/txt/2016/01/27b.html
Метки: Cisco, Cognitive Threat Analytics, CTA, облачный сервис, информационная безопасность, ИБ, годовой отчет компании Cisco по информационной безопасности, киберугрозы, кибератаки, злоумышленники, уязвимости.
О компании Cisco
Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.
Чистый объем продаж компании в 2015 финансовом году составил 49,2 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ru и www.cisco.com.