Поиск по публикациям и новостям

Что предлагает Cisco? Это набор продуктов и сервисов. Сервисы начинаются с Incident Readiness and Response Retainer, это означает, что Cisco готова помочь в реагировании на инцидент установкой инструментария, который позволяет зафиксировать, локализовать и расследовать инцидента

Начал свое выступление Алексей Лукацкий, бизнес-консультант по безопасности Cisco, с того, что привел слова руководителя компании Cisco Джона Чемберса: «В мире существует только два типа компаний: те, кого уже взломали и те, кто просто об этом еще не знает». Поэтому Алексей посоветовал не бояться инцидентов, потому что они происходили, происходят и будут происходить в будущем.

При этом, инциденты могут быть разными: у вас случайно могут перерубить кабель во время проведения регламентных работ у провайдера связи, к вам могут ворваться люди в масках для проведения оперативно-разыскных мероприятий, у вас может начаться эпидемия вредоносного кода, поэтому вы должны быть готовы к тому, чтобы реагировать и на такого рода инциденты.  Если мы посмотрим на статистику, то увидим, что, к сожалению, многие компании не готовы к этому, либо реагируют очень поздно.

66% взломов обнаруживаются спустя месяцы и даже годы. Среднее медианное время, в течение которого продвинутые хакеры проникают в сеть, и их вредоносная активность не обнаруживается в современных корпоративных сетях, в которых установлено различные средства защиты периметра, составляет 229 дней. 60% всех взломов и инцидентов сопровождают утечки данных в первые сутки. И интересный факт, что только 33% организаций фиксируют взломы через собственные системы мониторинга.

Ущерб, который возникает вследствие инцидентов, бывает не только в финансовой плоскости, есть требования законодательства, которые обязывают нас уведомлять о различных инцидентах, которые произошли в корпоративных или ведомственных сетях. Скажем, General Data Protection Regulation (GDPR) – европейские правила по защите персональных данных, которые вступили в силу весной 2018 года и распространяются на все европейские компании, а также на российские компании и компании стран СНГ, которые выходят на европейский рынок и которые обязаны в течение 72 часов после наступления какого-либо инцидента с персональными данными, сообщить об этом инциденте как уполномоченному органу, так и пострадавшей стороне.

Кроме GDPR в России есть и другие нормативные акты, о которых надо не забывать, это и сам закон о персональных данных, это и новые ГОСТы банка России по информационной безопасности, это и закон о безопасности критической инфраструктуры (ФЗ №187). Все эти документы заставляют по-другому посмотреть на выстроенную инфраструктуру реагирования на инциденты. В частности, ряд нормативных документов банка России требует уведомлять об инциденте в элементах платежной системы в течение трех часов с момента наступления инцидента.

Закон о безопасности критической инфраструктуры также требует незамедлительно уведомлять соответствующие структуры о наступлении инцидента в сети, которая подключается к государственной системе обнаружения, предотвращения и ликвидации последствий компьютерных атак. В отличие от европейского GDPR, требующего 72 часа на уведомление об инциденте, многие российские документы требуют гораздо более оперативного реагирования, в течение 3 часов.

Когда мы выстраиваем процедуру реагирования на инцидент, мы должны выстроить целый комплекс организационных и технических мероприятий. Во-первых, не нужно паниковать и надо быть к инцидентам готовыми, морально и организационно-технически. Во-вторых, мы должны быть проактивными, заранее начать работать над планом реагирования на инциденты еще до того, как они произошли. Мы должны задействовать первую и последнюю линию обороны, которые находятся перед периметром и за периметром уже на рабочих местах и мобильных устройствах. Кроме того, мы должны проверить наш план, быть уверенными что он работает.

Что предлагает Cisco в качестве помощи? Это два набора продуктов и сервисов. Сервисы начинаются с так называемой услуги Incident Readiness and Response Retainer, что означает, что компания Cisco готова помочь заказчикам в реагировании на инцидент, не просто советами, а установкой соответствующего инструментария, который позволяет зафиксировать, локализовать и провести расследование инцидента. Вендор также готов помочь с выездом специалиста для проведения расследования уже на площадке заказчика.

С технической точки зрения Cisco предлагает два инструмента: это первая линия обороны в лице Open DNS Umbrella или Cisco Umbrella Secure Internet Gateway, т.е. система, позволяющая обнаруживать и блокировать атаки и инциденты еще до того, как они достигнут периметра, а ряде случаев когда угроза проникла внутрь защищаемой сети через уязвимый периметр, либо вообще обойдя периметр. Здесь стоит задача зафиксировать факт взаимодействия, например, с командными серверами ботнетов, вредоносных программ и т. д. И второе решение – последняя линия обороны – это AMP for Endpoints, которое устанавливается на широком спектре мобильных и стационарных платформ под управлением Windows, Linux, Mac, Android, iOS и т. д.

Начнем с сервиса Incident Readiness and Response Retainer, который позволяет реагировать на те проблемы, которые происходят у заказчиков. Данный сервис обычно представляется в виде двух вариантов.

Фиксированная услуга подразумевает четко очерченный временной промежуток, в течение которого она действует, как правило это происходит в результате какого-то инцидента, когда нужна немедленная реакция со стороны специалистов компании Cisco.

Второй вариант, он означает, что мы заранее приготовились к реагированию на инцидент, заключили соответствующий договор, который действует в течение года, в течение которого Cisco предоставляет как выделенных консультантов, так и набор инструментов. Это и AMP for Endpoints, позволяющие провести расследование на оконечных устройствах, это и  Cisco Umbrella, позволяющий зафиксировать трафик с ботнетами, командными серверами и т. д. Это и система мониторинга аномалий Cisco Stealthwatch, который позволяет отслеживать то, что остается за пределами внимания систем защиты, установленных на рабочих станциях, мобильных устройствах, серверах и т. д.

Кроме этого, в сервис по реагированию на инциденты включается набор дополнительных компонентов, которые можно выбирать в зависимости от необходимости. Это может быть услуга немедленного реагирования, когда сотрудники компании Cisco выезжают на место и проводят расследование. Это может выглядеть и как удаленный доступ к защищаемой инфраструктуре, в которой после установки соответствующего инструментария компания Cisco собирает доказательства противоправной деятельности, чтобы оперативно устранить инцидент или чтобы собрать базу для предоставления в судебные или правоохранительные органы. Сюда же включаются услуги, связанные в редхантингом, т.е. проведение обнаружения и расследование угроз, сбор криминалистической базы. Можно также провести проверку готовности сети и ИБ-службы к инцидентам, проведя анализ имеющихся у вас документов, акцентируя внимание на отсутствующих либо слабых местах в этих документах, которые в случае наступления инцидента позволят вам оперативно, эффективно среагировать и локализовать проблему. Есть среди услуг и киберучения для руководства и для ИБ-специалистов. Первые - похожи на штабные учения, вторые – это набор инструментов и сервисов, которые позволяют вам стать на сторону злоумышленника и попробовать смоделировать атаку.

Что касается жизненного цикла услуги, то он включает в себя целый набор шагов, который позволяет регулярно отслеживать статус данной услуги, получать отчеты, которые делает выделенный специалист. Речь не идет о мониторинге, для этого у вендора есть другой сервис Cisco ATA, который включает в себя аутсорсинговый мониторинг.

«Мы предоставляем широкий спектр инструментов, который устанавливается в местах, в которых возможно произошел инцидент и мониторим взаимодействие с Интернетом и внешним миром, что позволяет оперативно зафиксировать следы инцидента и пытаемся понять, почему инцидент произошел и как предотвратить в будущем повтор такого рода инцидентов», - констатирует Алексей Лукацкий.

Немедленное реагирование включает в себя возможность выезда специалиста к заказчику, чтобы на месте оперативно провести расследование и подготовить набор рекомендаций. Начинается услуга с обсуждения того, какие подсервисы внутри реагирования нужны: киберучения, немедленное реагирование и иные возможности, связанные с анализом нормативно-распорядительной документации, различные плейбуки, хендбуки, готовность инструментария и т. д.

Вы регулярно будете получать отчеты: что сделано, что делается в данный момент, что будет сделано в ближайшее время выделенным для вас специалистом. Отличиями данного сервиса является вендоронезависимость, т. е. неважно, какая инфраструктура есть в вашей сети, выделенный консультант, который работает с вами постоянно и знает, что у вас происходило в прошлом. Также обеспечена взаимодействие со специалистами Cisco Talos, которые круглосуточно занимаются анализом угроз по всему миру, а это более 600 инженеров.

Помимо сервисной части Cisco предлагает и ряд технических решений. Дело в том, что основной точкой входа по-прежнему остаются персональные компьютеры пользователей – это стационарные рабочие станции, мобильные компьютеры или мобильные устройства: в 70% случаев инциденты начинаются на ПК, при этом 65% организаций заявляют, что те атаки, с которыми они сталкиваются, обходили их средства защиты, а это зачастую самые новомодные сетевые экраны, они все равно оставались неэффективными для ряда современных угроз. 48% атакующих обходят защиту ПК из-за ошибок рядовых пользователей. 55% организаций вообще не могут определить причину инцидента, потому что не имеют соответствующего инструментария и среднее время обнаружения в индустрии составляет примерно 100 дней.

Для того, чтобы отслеживать вредоносные файлы, специализированные вредоносы, которые уклоняются от детектирования используя специальные механизмы, полиморфизмы и тому подобные вещи, заражения из Интернета, связь с командными серверами ботнетов вредоносных программ, пиринговых сетей и т. д., для всего этого необходимо так называемая «видимость».

Если у нас есть «видимость», то можно остановить утечки и шифровальщиков. Если мы пытаемся вторгнуться между инфраструктурой злоумышленника и точкой входа злоумышленника, это безусловно необходимо, но сегодня это явно недостаточно, потому что они могут шифровать взаимодействие с командными серверами и соответственно файервол не сможет проникнуть внутрь зашифрованного трафика и понять что в нем происходит. Поэтому мы должны фиксировать активность за периметром в Интернете и фиксировать активность до периметра.

Для этого мы предлагаем два решения. Первое – это первая линия защиты – это решение Cisco Umbrella Secure Internet Gateway – задача которого мониторить. В чем необходимость мониторинга DNS-трафик или IP-трафика за его периметром? Причин несколько. Во-первых, сегодня половина всех пользователей являются мобильными. Во-вторых, 82% подключений к Интернету не используют VPN, поэтому устройства остаются незащищенными. Рост использования облачных платформ и доступ к ним мобильных устройств минуя корпоративный периметр тоже налицо. Можно было бы все дочерние предприятия и офисы перенаправить через схему «звезда», через VPN-шлюз, который стоит в штаб-квартире, в центральном офисе, но по статистике этого не происходит, поэтому многие дочерние предприятия имеют прямой выход в Интернет, оставаясь незащищенными, поэтому нет возможности поставить в дополнительном офисе такой же набор защиты как и в штаб-квартире. Поэтому защиту надо строить не только на периметре, но и за его пределами.

Здесь хорошо работает Cisco Umbrella Secure Internet Gateway, которое позволяет видеть и блокировать инфраструктуру злоумышленника.

Анализируя DNS-трафик, который является основой Интернета, поскольку с ним взаимодействуют все устройства без исключения, все начинается с DNS. Любой запрос в Интернет начинается с DNS-запроса.

И если я могу взять на себя функцию контроля DNS-трафика, то я обеспечение безопасности начну не с периметра, а гораздо раньше. Cisco Umbrella Secure Internet Gateway представляет собой расширенный защищенный DNS-сервер с нулевым простоем за 11 лет существования.

Cisco предоставляет возможность, пропуская через свои DNS-сервисы, разбросанные по всему миру, ваши DNS-запросы, фильтровать их на предмет соответствия требованиям политик безопасности, взаимодействия с вредоносными ресурсами, обнаружения вредоносного кода. При этом ваш межсетевой экран, стоящий на вашем периметре, может пропускать такого рода DNS-трафик, потому что не каждый межсетевой экран в отрасли имеет возможность фильтрации DNS.

Cisco Umbrella Secure Internet Gateway может контролировать DNS-трафик, IP-трафик, вредоносные файлы, доступ к ненужным ресурсам, блокировать доступ к фишинговым ресурсам и тому подобное. Cisco Umbrella Secure Internet Gateway не требует от пользователей никаких настроек и установки каких-то дополнительных виртуальных или аппаратных решений.

Вам надо будет только поменять настройки вашего DNS-сервера на адреса, которые пришлет Cisco. В отдельных случаях, например, для мобильных пользователей, понадобится установка дополнительного легкого агента, который позволит связать пользователя с учетной записью.

Еще одно решение, которое является частью Cisco Umbrella, это Cisco Umbrella Investigate, которое позволяет проводить расследование инцидентов и анализировать инфраструктуру злоумышленника, определять по е-мейлу одного его домена другие домены, которые ему могут принадлежать и с которых в ближайшем будущем могут осуществляться какие-то атаки.

Вторым элементом предложения Cisco является последняя линия обороны, то что находится внутри периметра, это решение AMP for Endpoints, которое работает на платформах Windows, Linux, Mac, Android, iOS и т. д. Это решение позволяет предотвращать, блокировать вредоносное ПО в реальном времени, детектировать любые аномалии и реагировать, попутно проводя расследование.

AMP for Endpoints, позволяющие провести расследование на оконечных устройствах, это и  Cisco Umbrella, позволяющий зафиксировать трафик с ботнетами, командными серверами и т. д. Это и система мониторинга аномалий Cisco Stealthwatch, которая позволяет отслеживать то, что остается за пределами внимания систем защиты, установленных на рабочих станциях, мобильных устройствах, серверах и т. д

Это решение может управляться как локально, так и из облака. AMP for Endpoints не является агентом, он также позволяет агентам общаться между собой, обмениваясь индикаторами компрометации, политиками и командами. AMP for Endpoints является частью общей инфраструктуры AMP, когда движки устанавливаются на сетевом оборудовании, на файерволах, системах предотвращения вторжений, на системах защиты электронной почты, на системах вэб-доступа, в облаке и все эти агенты могут обмениваться информацией.

AMP for Endpoints – это не антивирус, хотя у него есть антивирусный движок, он относится к продуктам класса PDR. В этих продуктах акцент сдвигается с предотвращения угроз к детектированию и к реагированию.

AMP for Endpoints позволяет обеспечить непрерывный мониторинг.

AMP for Endpoints позволяет ответить на ряд ключевых вопросов, которые изображены на нижеследующем рисунке.

Все упомянутые выше решения и другие решения Cisco взаимодействуют между собой.

Что же надо сделать прямо сейчас, как протестировать эти решения? Для этого надо воспользоваться ссылками, которые даны на последнем слайде и в случае необходимости получить на тестирование некоторые из инструментов.

2019-11-24 00:33:00
Геннадий Ветров

Сейчас на главной

28 апр. 2025 г., 16:08:14
Вход без сбоев: как построить надежную авторизацию в приложениях для финтеха

Никита Летов, архитектор финтех-систем, Java Tech Lead, IEEE Senior Member и Hackathon Raptors Fellow поделился своими подходами к созданию надежной авторизации и рассказал, какие технологические принципы формируют архитектуру современных банковских и платежных сервисов. 5 апреля пользователи по всей России столкнулись со сбоями в работе системы быстрых платежей (СБП), а также в работе приложений Альфа-Банка и T-Банка.

22 апр. 2025 г., 12:02:24
NLP (обработка естественного языка) – недалекое будущее в том числе и российской медицины

Представьте себе врача, который никогда не забывает детали вашей медицинской истории, мгновенно анализирует миллионы записей и предсказывает потенциальные риски для здоровья. Звучит как фантастика? Нет, это реальность, которая становится возможной благодаря NLP — обработке естественного языка.

21 апр. 2025 г., 15:35:29
Ирина НИКУЛИНА: «EKF Impulse – это комплексный подход к проектированию, развертыванию и эксплуатации зарядной инфраструктуры»

Ирина Никулина, руководитель направления Электрозаправочные станции компании «Электрорешения».

21 апр. 2025 г., 13:50:24
ПК и комплект периферии «Инферит»: создаём рабочее место в офисе

Тестируем комплексное решение для организации рабочего места офисного сотрудника, предлагаемое российским вендором оборудования и ПО для ИТ-инфраструктуры и информационной безопасности — компанией «Инферит», входящей в группу Softline.

21 апр. 2025 г., 10:20:59
Что делать, если мотивация теряется по пути к достижению результата?

Единомышленники, продолжаем наш сериал о технологии достижения результата. Ранее вышли три статьи - о правильной постановке цели, готовности идти к результату и диагностике мотивации в момент постановки цели.

14 апр. 2025 г., 13:17:52
DDoS-атаки: как защитить свой бизнес от разрушительных последствий

Кибератаки становятся все более изощренными и опасными, представляя серьезные вызовы для компаний любых размеров. Компании могут терять деньги, информацию и репутацию, если злоумышленникам в сети удается достичь своей цели.

1 апр. 2025 г., 09:47:22
Линейно-интерактивный ИБП Ippon Pacific 1000: стабильная энергия для малого бизнеса

ИБП Ippon Pacific 1000 — устройство, которое отлично вписывается в сценарии использования, характерные для совсем небольшого офиса или рабочих мест предпринимателей-фрилансеров. Устройство эффективно защищает подключенное оборудование от перепадов напряжения и кратковременных отключений электропитания. Диапазон доступных настроек достаточен для разных сфер применения, ИБП будет одинаково уместно смотреться и на рабочем месте фрилансера, и в составе серверной стойки.

29 мар. 2025 г., 22:14:16
«Полигон»: оборудование для ИТ-инфраструктуры

Мероприятие научно-производственного предприятия «Полигон», ведущего российского производителя сетевого оборудования. В рамках встречи Иван Лялин, коммерческий директор ООО «ТВК Инзер» (ГК АО НПП «Полигон»), рассказал о структуре компании, разработках, особенностях производства, а также работе с партнёрами.

10 мар. 2025 г., 20:36:49
Проверьте вашу мотивацию движения к цели

Продолжаем разговор о технологии достижения результата.

6 мар. 2025 г., 11:46:57
IT-эксперт о потерянных $1,46 млрд Bybit: как технически стало возможным крупнейшее в истории крипто-ограбление

Криптовалютный рынок продолжает привлекать внимание как инвесторов, так и злоумышленников. Недавно произошел громкий инцидент в сфере безопасности, который поставил под угрозу репутацию одной из крупнейших криптобирж в мире — Bybit. По оценкам экспертов, хакеры смогли украсть рекордные $1,46 млрд. Это событие стало самой масштабной цифровой кражей в истории.

27 февр. 2025 г., 15:08:11
Российский рынок корпоративного ПО: перспективы роста и ключевые тренды

Российский рынок корпоративного программного обеспечения демонстрирует уверенный рост, который, согласно исследованию консалтинговой компании Strategy Partners, в среднем составит 24% ежегодно до 2030 года. В результате его объем превысит 700 млрд рублей, а общая емкость ИТ-рынка может достигнуть 7 трлн рублей. Ключевыми факторами роста остаются цифровая трансформация бизнеса, импортозамещение и активная государственная поддержка отрасли

20 февр. 2025 г., 21:40:23
Новости линейки IP-телефонов Flat-Phone

Мероприятие «Флат-ПРО», российского разработчика программно-аппаратных решений в области связи. Встреча посвящена итогам первого года продаж IP-телефонов компании, продуктовой линейке устройств «Флат-ПРО», а также планам и перспективам её развития в 2025 году.

Все новости