Блог Джо Маленфанта (Joe Malenfant), менеджера компании Cisco по продвижению продуктов на платформе Threat Grid\r\n\r\nЗлоумышленники изобретают все более изощренные методы, чтобы компрометировать системы безопасности организаций и получать доступ к нужным сегментам сети и критичным данным, включая секреты производства, финансовую и коммерческую информацию. Киберугрозы стали настолько сложны, что одной лишь защиты периметра недостаточно.\r\nВ недавно опубликованном ежегодном отчете Cisco по информационной безопасности исследователи компании проанализировали угрозы и изучили самые опасные тенденции в эксплуатации уязвимостей, векторах атак и их методах. Например, вредоносные расширения для браузеров обычно не считаются серьезной угрозой. Однако, по данным отчета, от них пострадали более 85 % исследованных организаций. Следовательно, такие расширения могут быть серьезным источником утечки данных.\r\nЧтобы обнаружить вредоносное, в том числе рекламное, ПО и устранить утечку данных, необходимы многоуровневые системы информационной безопасности (ИБ). Следует внедрять новые методологии обнаружения, которые позволят отслеживать и анализировать веб-трафик и помогут специалистам в сфере ИБ более оперативно выявлять новые источники угроз и методы атак.\r\nCisco Cognitive Threat Analytics (CTA) — это облачный сервис, который обнаруживает уязвимости в системе безопасности, вредоносное ПО и прочие угрозы внутри защищенных сетей, выполняя статистический анализ сетевого трафика. CTA совершенствует процесс определения и блокировки угроз, выявляя признаки заражения вредоносным кодом или утечки данных путем анализа поведения и вскрытия аномалий. CTA использует современные методы статистического моделирования и машинного обучения, которые позволяют автономно находить новые угрозы, постепенно обучаться и адаптироваться.\r\nСТА анализирует более 10 млрд веб-запросов ежедневно и находит вредоносное ПО, пропущенное средствами контроля безопасности или попавшее в систему через неконтролируемые каналы (например, съемные носители). Сервис действует внутри рабочей среды организации, за наносекунды отвечая на следующие вопросы:\r\n• типичен ли такой трафик для данного веб-сайта?\r\n• надежны ли источник и получатель?\r\n• связываются ли другие пользователи в организации с этим получателем?\r\n• связывались ли данные устройства между собой ранее?\r\n• используют ли они приложения для анонимного соединения (например, Tor)?\r\n• передаются ли какие-нибудь файлы и каков их размер?\r\n\r\nБлагодаря ряду аналитических методик CTA обнаруживает различные типы аномального трафика:\r\n• хищение данных. CTA использует статистическое моделирование сети организации, чтобы идентифицировать аномальный веб-трафик и выявить хищение конфиденциальных данных. СТА распознает его в HTTPS-трафике даже без расшифровки.\r\n• Алгоритмы генерации доменных имен. Злоумышленники генерируют произвольное количество доменных имен, чтобы их не обнаружили и не занесли в черный список хостов с вредоносным ПО. CTA распознает вредоносные и обфусцированные доменные имена, сгенерированные по словарю, анализирует частоту соединений, содержимое заголовков и сотни других параметров по каждому HTTP/HTTPS-запросу.\r\n• Эксплойт-наборы. СТА анализирует веб-запросы и выявляет заражение при:\r\n? посещении вредоносной веб-страницы;\r\n? перенаправлении на домен с эксплойт-набором;\r\n? загрузке эксплойта без ведома пользователя;\r\n? успешной эксплуатации уязвимости;\r\n? загрузке тела эксплойта.\r\n• Туннелирование через HTTP/HTTPS-запросы. Злоумышленники часто пытаются замести следы и организовать утечку конфиденциальных данных (в том числе и учетных) с помощью HTTP/HTTPS-запросов на свои серверы. СТА использует комплексные индикаторы компрометации (Indicators of Compromise, IoC), которые помогают сопоставить подробную глобальную и локальную статистику. Это позволяет гарантированно определить, с какой целью используется туннелирование.\r\n\r\nРанее сервисом можно было воспользоваться лишь в рамках Cisco Cloud Web Security, но сейчас он доступен по опциональной лицензии к устройству Cisco Web Security Appliance и как самостоятельный продукт. СТА не требует установки специального оборудования и ПО. После сбора базовой сетевой статистики CTA выявит зараженные устройства всего за несколько часов. В среднем, в компании из 5 000 сотрудников мы еженедельно обнаруживаем 45 зараженных устройств.\r\n\r\nРекомендуем также:\r\n• Годовой отчет Cisco по ИБ напоминает: предупрежден — значит, вооружен — \r\nhttp://www.cisco.com/web/RU/news/releases/txt/2016/01/22c.html\r\n• Инвестиции в информационную безопасность — важный фактор развития современного бизнеса — http://www.cisco.com/web/RU/news/releases/txt/2016/02/01e.html \r\n• Устаревшие инфраструктуры становятся все более острой проблемой в сфере обеспечения кибербезопасности — http://www.cisco.com/web/RU/news/releases/txt/2016/02/01a.html \r\n• Совместные действия как наиболее эффективный способ борьбы с киберпреступностью — http://www.cisco.com/web/RU/news/releases/txt/2016/01/27b.html\r\n\r\nМетки: Cisco, Cognitive Threat Analytics, CTA, облачный сервис, информационная безопасность, ИБ, годовой отчет компании Cisco по информационной безопасности, киберугрозы, кибератаки, злоумышленники, уязвимости. \r\n\r\n\r\nО компании Cisco \r\n\r\nCisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.\r\nЧистый объем продаж компании в 2015 финансовом году составил 49,2 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ru и www.cisco.com. \r\n