Облачная платформа обеспечения безопасности и аналитики угроз

  1. Что такое Cisco Umbrella
  2. Расследование атак Cisco Umbrella Investigate
  3. Сравнение пакетов
  4. Варианты пакетов начального уровня

Cisco Umbrella — это облачная платформа обеспечения безопасности, которая служит первой линией обороны от интернет-угроз, независимо от местонахождения пользователей. Глобальная инфраструктура Cisco ежедневно обрабатывает более 100 млрд интернет-запросов, анализируя которые, подсистема безопасности заранее определяет источник будущих атак.

Umbrella1

Безопасность, которая обеспечивается из самого интернета

Система доменных имен (DNS) — базовый компонент Интернета, сопоставляющий доменные имена с IP-адресами. Когда пользователь переходит по ссылке или вводит URL-адрес, DNS-запрос инициирует подключение устройства к Интернету. Umbrella использует DNS в качестве одного из главных механизмов для передачи трафика на облачную платформу, а также для применения политик безопасности.

Получив DNS-запрос, Umbrella оценивает его на основе данных аналитики как безопасный, вредоносный или сопряженный с риском (когда домен содержит и вредоносный, и легитимный контент). Безопасные запросы передаются как обычно, вредоносные блокируются, а сопряженные с риском перенаправляются на облачный прокси-сервер для углубленного анализа. Прокси-сервер Umbrella использует данные Cisco Talos о репутации веб-ресурсов и другие сторонние каналы для проверки URL-адреса. С помощью антивирусных систем и решения Cisco для защиты от сложного вредоносного ПО (AMP) прокси-сервер также анализирует файлы, которые пользователи пытались загрузить с сомнительных веб-сайтов. По результатам анализа подключение разрешается или блокируется.

Аналитика, позволяющая блокировать атаки до их начала

Глобальная сеть Umbrella, на основе которой построена служба рекурсивных DNS-запросов, ежедневно обрабатывает миллиарды интернет-запросов от миллионов пользователей по всему миру. Cisco анализирует этот огромный объем данных, чтобы выявить шаблоны и обнаружить инфраструктуру злоумышленников. Все данные об интернет-трафике в режиме реального времени передаются в графовую базу данных и затем непрерывно пропускаются через модели на основе статистических методов и машинного обучения. Эту информацию также постоянно изучают аналитики по безопасности Umbrella, дополняя ее сведениями от группы Cisco Talos. Успешно сочетая опыт специалистов Cisco с машинным обучением, Umbrella выявляет вредоносные сайты (домены, IP-адреса или URL-адреса) по всему Интернету.

Совместимость с другими решениями

Umbrella интегрируется с существующим стеком решений безопасности, включая устройства защиты, аналитические платформы и брокеры безопасного доступа к облачной инфраструктуре (CASB, Cloud Access Security Broker). Umbrella может передавать данные журналов об интернет-трафике в системы управления событиями и данными безопасности (SIEM) или системы управления журналами. Используя API-интерфейс, можно запрограммировать отправку вредоносных доменов в Umbrella для блокирования. Это позволяет усилить имеющиеся средства обеспечения безопасности и легко расширить комплексную защиту.

Развертывание во всей организации за считанные минуты

Umbrella — самый быстрый и простой способ обеспечить безопасность всех пользователей за считанные минуты. Так как это облачное решение, не нужно устанавливать никакое оборудование и вручную обновлять программное обеспечение. Вы можете быстро инициализировать все устройства внутри сети, включая личные устройства сотрудников и устройства Интернета вещей, и использовать существующие решения Cisco — AnyConnect, маршрутизаторы с интегрированными сервисами (ISR) серии 4000 и контроллеры беспроводных локальных сетей моделей 5520 и 8540 — для оперативной подготовки тысяч устройств, покидающих сеть, и ноутбуков в роуминге.

Преимущества:

  1. Снижение затрат на восстановление и ущерба в результате нарушения безопасности. Так как Cisco Umbrella — это первая линия обороны, сокращается число заражений вредоносным ПО, требующих устранения, и угрозы удается нейтрализовать до того, как они нанесут ущерб.
  2. Ускорение обнаружения и сдерживания угроз. Cisco Umbrella блокирует обратные вызовы командных серверов через любой порт и протокол и предоставляет отчеты об этих действиях в режиме реального времени.
  3. Улучшение мониторинга интернет-трафика для всех пользователей в любой точке. Cisco Umbrella обеспечивает мониторинг, столь необходимый для оперативного реагирования на инциденты, и дает уверенность в полном контроле над обстановкой.
  4. Выявление облачных приложений, используемых в компании. Cisco Umbrella позволяет контролировать разрешенные и неразрешенные облачные сервисы, используемые на предприятии: можно понять, какие новые сервисы и кем используются, а также связанный с этим потенциальный риск.

Расследование атак Cisco Umbrella Investigate

Umbrella2

Как это работает

Отправная точка — огромный массив разнородных данных. В 2006 годом компания Cisco начала создавать крупнейшую в мире сеть интернет-безопасности для накопления глобальных аналитических данных. На сегодняшний день свыше 65 миллионов активных пользователей из более чем 160 стран ежедневно направляют свой DNS-трафик в глобальную сеть Cisco. Это позволяет отслеживать более 100 миллиардов интернет-запросов в день. Кроме того, более 500 пиринг-партнеров обмениваются с Cisco BGP-маршрутами. В результате получается полная картина связей и отношений между различными сетями в Интернете. Этот огромный массив разнородных данных обеспечивает беспрецедентный обзор всего Интернета.

Применение статистических моделей. Чтобы выявлять шаблоны и обнаруживать аномалии в данных, были разработаны статистические модели для категоризации и оценки. Несколько примеров перечислено ниже:

  • Многие модели анализируют пространственные отношения. Пример — графическое отображение отношений между сетями в Интернете;
  • Некоторые модели анализируют временные отношения. Пример — выявление причинно-следственной связи перехода между доменами в результате последовательных DNS-запросов, которые многократно отправляют тысячи пользователей за очень короткие интервалы времени;
  • Другие модели анализируют статистические отклонения от нормальной активности. Пример — оценка географического распределения IP-сетей, запрашивающих доменное имя;
  • Используя обработку естественного языка, модель NLP Rank выявляет фишинговые домены, которые имитируют фирменные наименования, анализируя их лексическую структуру и расположение в Интернете.

Использование опыта и знаний специалистов. Перечисленные модели созданы и отлажены группой Cisco Umbrella, в которую входят специалисты по обработке и анализу данных, инженеры, математики и аналитики по информационной безопасности. С помощью 3D-визуализации, многочисленных методов интеллектуального анализа данных и экспертных знаний в области информационной безопасности аналитики Umbrella совершенствуют модели и добавляют дополнительный контекст к результатам их применения. Специалисты постоянно находят новые способы анализа данных для выявления новых взаимосвязей и шаблонов.

Результат: прогнозная аналитика. Результаты этого анализа позволяют нам точно обнаруживать вредоносные домены, IP-адреса, сети и хеш-суммы файлов в Интернете и даже прогнозировать источники будущих атак.

Варианты использования Investigate

Динамическая поисковая система. Веб-консоль обеспечивает доступ ко всей аналитике в режиме реального времени и возможность интерактивной комбинации различных элементов данных во время расследований. В Investigate можно создать запрос на точные совпадения доменных имен, IP-адресов, адресов электронной почты, номеров ASN и хеш-сумм файлов либо использовать поиск по шаблону, формируя более гибкие запросы определенных терминов, фирменных наименований, образцов и неточных совпадений.

REST API-интерфейс. Investigate предоставляет доступ к API-интерфейсу для передачи контекстных данных в систему управления событиями и данными безопасности, платформу аналитики угроз или процесс обработки инцидентов. Это ускоряет обнаружение серьезных нарушений безопасности.

Возможности продукта:

  • Связывание атак с определенными доменами, IP-адресами, номерами ASN и вредоносным ПО для определения плана инфраструктуры злоумышленников;
  • Отображение подозрительных пиков в количестве глобальных DNS-запросов к определенному домену;
  • Прогнозирование источников будущих атак путем выявления доменов и IP-адресов, связанных с вредоносным ПО;
  • Исследование поведенческих индикаторов и сетевых подключений образцов вредоносного ПО с использованием данных от Cisco AMP Threat Grid;
  • Использование данных WHOIS для определения владельцев доменов и обнаружения вредоносных доменов, зарегистрированных с одинаковыми контактными данными;
  • Применение системы оценки риска к различным атрибутам доменов с целью выявить среди них подозрительные;
  • Обнаружение доменов, использующих Fast Flux, и доменов, созданных с помощью алгоритмов генерации доменных имен;
  • Доступ к крупнейшей пассивной базе данных DNS и WHOIS для просмотра ретроспективных данных о доменах.

Сравнение пакетов

ПроизводительностьProfessional
для небольших компаний
Insights
для средних компаний
Platform
для специалистов по расширенным функциям безопасности
Полностью облачное решение — не нужно устанавливать оборудование и обслуживать ПО V V V
Стопроцентная отказоустойчивость — ежедневная обработка более 80 миллиардов запросов без увеличения задержки в сети
Одновременное блокирование более 7 миллионов уникальных вредоносных узлов в 25 центрах обработки данных
 Защита
Добавление нового уровня защиты на основе прогноза для любого устройства в любой точке V V V
Предотвращение проникновения вредоносного ПО, фишинга и обратных вызовов командных серверов через любой порт
Применение политик допустимого использования по 60 категориям контента
Применение политик безопасности
Блокирование запросов к вредоносным доменам и IP-ответов на уровне DNSVVV
Блокирование вредоносных URL-адресов и прямых IP-подключений на уровне IPVV
Передача трафика из сомнительных доменов на прокси-сервер для анализа URL-адресов и файлов с помощью антивирусных систем и Cisco AMPVV
Мониторинг
Получение информации в реальном времени о действиях в масштабе всего предприятия, с возможностью поиска и запланированными отчетамиVVV
Обнаружение целенаправленных атак путем сравнения локальной и глобальной активностиVV
Выявление рисков, связанных с использованием облака и устройств Интернета вещей, на основании отчетов о более чем 1800 сервисахVV
Управление
Настраиваемые списки запрещенных и разрешенных ресурсов, встроенные страницы блокировки и варианты обходаVVV
Применение политик и функции мониторинга для каждой внутренней сети или для каждого пользователя/группы ADVV
Бессрочное хранение журналов благодаря интеграции с контейнером Amazon S3VV
Уникальные возможности пакета Platform
Интеграция на основе API-интерфейса для применения политик и управления сторонними списками запрещенных ресурсовV
Investigate Console — аналитика угроз по всем доменам, IP-адресам и хеш-суммам файловV
Дополнительные возможности
Варианты поддержки — все пакеты включают поддержку через Интернет и по электронной почте варианты для всех пакетов
API-интерфейс Investigate — добавление глобального контекста к локальным событиям (управление событиями и данными безопасности) пакет приобретается отдельно
Multi-Org Console — централизованное управление децентрализованными подразделениямидополнительная возможностьдополнительная возможность

Варианты пакетов начального уровня

Roaming
для межсетевого экрана нового поколения Cisco и AnyConnect
Branch
для маршрутизаторов Cisco ISR серии 4000
WLAN
для Cisco WLAN и других точек беспроводного доступа
Лицензированиепо числу пользователейпо числу маршрутизаторов Cisco ISR серии 4000по числу точек доступа
Производительность
Полностью облачное решение — не нужно устанавливать оборудование и обслуживать ПО V V V
Стопроцентная отказоустойчивость — ежедневная обработка более 80 миллиардов запросов без увеличения задержки в сети
Одновременное блокирование более 7 миллионов уникальных вредоносных узлов в 25 центрах обработки данных
 Защита
Добавление нового уровня защиты на основе прогноза для любого устройства в любой точкетолько для устройств, не подключенных к сетитолько для устройств, подключенных к сетитолько для устройств, подключенных к сети
Предотвращение проникновения вредоносного ПО, фишинга и обратных вызовов командных серверов через любой портVVV
Применение политик допустимого использования по 60 категориям контентаVV
Применение политик безопасности
Блокирование запросов к вредоносным доменам и IP-ответов на уровне DNSVVV
Блокирование вредоносных URL-адресов и прямых IP-подключений на уровне IP
Мониторинг
Получение информации в реальном времени о действиях в масштабе всего предприятия, с возможностью поиска и запланированными отчетамиVVV
Управление
Настраиваемые списки запрещенных и разрешенных ресурсов, встроенные страницы блокировки и варианты обходатолько список разрешенных ресурсов и одна встроенная страница блокировкиVV
Применение политик и функции мониторинга для каждой внутренней сети или для каждого пользователя/группы ADтолько для каждой внутренней сети (без Active Directory)для каждого идентификатора SSID, точки доступа, группы точек доступа и группы пользователей (без Ative Directory)
Дополнительные возможности
Варианты поддержки — все пакеты включают поддержку через Интернет и по электронной почте варианты для всех пакетов
Investigate Console — доступ к аналитике угроз по всем доменам, IP-адресам и хеш-суммам файлов с помощью веб-консоли пакет приобретается отдельно
API-интерфейс Investigate — добавление глобального контекста к локальным событиям (управление событиями и данными безопасности пакет приобретается отдельно