Облачная платформа обеспечения безопасности и аналитики угроз
- Что такое Cisco Umbrella
- Расследование атак Cisco Umbrella Investigate
- Сравнение пакетов
- Варианты пакетов начального уровня
Cisco Umbrella — это облачная платформа обеспечения безопасности, которая служит первой линией обороны от интернет-угроз, независимо от местонахождения пользователей. Глобальная инфраструктура Cisco ежедневно обрабатывает более 100 млрд интернет-запросов, анализируя которые, подсистема безопасности заранее определяет источник будущих атак.
Безопасность, которая обеспечивается из самого интернета
Система доменных имен (DNS) — базовый компонент Интернета, сопоставляющий доменные имена с IP-адресами. Когда пользователь переходит по ссылке или вводит URL-адрес, DNS-запрос инициирует подключение устройства к Интернету. Umbrella использует DNS в качестве одного из главных механизмов для передачи трафика на облачную платформу, а также для применения политик безопасности.
Получив DNS-запрос, Umbrella оценивает его на основе данных аналитики как безопасный, вредоносный или сопряженный с риском (когда домен содержит и вредоносный, и легитимный контент). Безопасные запросы передаются как обычно, вредоносные блокируются, а сопряженные с риском перенаправляются на облачный прокси-сервер для углубленного анализа. Прокси-сервер Umbrella использует данные Cisco Talos о репутации веб-ресурсов и другие сторонние каналы для проверки URL-адреса. С помощью антивирусных систем и решения Cisco для защиты от сложного вредоносного ПО (AMP) прокси-сервер также анализирует файлы, которые пользователи пытались загрузить с сомнительных веб-сайтов. По результатам анализа подключение разрешается или блокируется.
Аналитика, позволяющая блокировать атаки до их начала
Глобальная сеть Umbrella, на основе которой построена служба рекурсивных DNS-запросов, ежедневно обрабатывает миллиарды интернет-запросов от миллионов пользователей по всему миру. Cisco анализирует этот огромный объем данных, чтобы выявить шаблоны и обнаружить инфраструктуру злоумышленников. Все данные об интернет-трафике в режиме реального времени передаются в графовую базу данных и затем непрерывно пропускаются через модели на основе статистических методов и машинного обучения. Эту информацию также постоянно изучают аналитики по безопасности Umbrella, дополняя ее сведениями от группы Cisco Talos. Успешно сочетая опыт специалистов Cisco с машинным обучением, Umbrella выявляет вредоносные сайты (домены, IP-адреса или URL-адреса) по всему Интернету.
Совместимость с другими решениями
Umbrella интегрируется с существующим стеком решений безопасности, включая устройства защиты, аналитические платформы и брокеры безопасного доступа к облачной инфраструктуре (CASB, Cloud Access Security Broker). Umbrella может передавать данные журналов об интернет-трафике в системы управления событиями и данными безопасности (SIEM) или системы управления журналами. Используя API-интерфейс, можно запрограммировать отправку вредоносных доменов в Umbrella для блокирования. Это позволяет усилить имеющиеся средства обеспечения безопасности и легко расширить комплексную защиту.
Развертывание во всей организации за считанные минуты
Umbrella — самый быстрый и простой способ обеспечить безопасность всех пользователей за считанные минуты. Так как это облачное решение, не нужно устанавливать никакое оборудование и вручную обновлять программное обеспечение. Вы можете быстро инициализировать все устройства внутри сети, включая личные устройства сотрудников и устройства Интернета вещей, и использовать существующие решения Cisco — AnyConnect, маршрутизаторы с интегрированными сервисами (ISR) серии 4000 и контроллеры беспроводных локальных сетей моделей 5520 и 8540 — для оперативной подготовки тысяч устройств, покидающих сеть, и ноутбуков в роуминге.
Преимущества:
- Снижение затрат на восстановление и ущерба в результате нарушения безопасности. Так как Cisco Umbrella — это первая линия обороны, сокращается число заражений вредоносным ПО, требующих устранения, и угрозы удается нейтрализовать до того, как они нанесут ущерб.
- Ускорение обнаружения и сдерживания угроз. Cisco Umbrella блокирует обратные вызовы командных серверов через любой порт и протокол и предоставляет отчеты об этих действиях в режиме реального времени.
- Улучшение мониторинга интернет-трафика для всех пользователей в любой точке. Cisco Umbrella обеспечивает мониторинг, столь необходимый для оперативного реагирования на инциденты, и дает уверенность в полном контроле над обстановкой.
- Выявление облачных приложений, используемых в компании. Cisco Umbrella позволяет контролировать разрешенные и неразрешенные облачные сервисы, используемые на предприятии: можно понять, какие новые сервисы и кем используются, а также связанный с этим потенциальный риск.
Расследование атак Cisco Umbrella Investigate
Как это работает
Отправная точка — огромный массив разнородных данных. В 2006 годом компания Cisco начала создавать крупнейшую в мире сеть интернет-безопасности для накопления глобальных аналитических данных. На сегодняшний день свыше 65 миллионов активных пользователей из более чем 160 стран ежедневно направляют свой DNS-трафик в глобальную сеть Cisco. Это позволяет отслеживать более 100 миллиардов интернет-запросов в день. Кроме того, более 500 пиринг-партнеров обмениваются с Cisco BGP-маршрутами. В результате получается полная картина связей и отношений между различными сетями в Интернете. Этот огромный массив разнородных данных обеспечивает беспрецедентный обзор всего Интернета.
Применение статистических моделей. Чтобы выявлять шаблоны и обнаруживать аномалии в данных, были разработаны статистические модели для категоризации и оценки. Несколько примеров перечислено ниже:
- Многие модели анализируют пространственные отношения. Пример — графическое отображение отношений между сетями в Интернете;
- Некоторые модели анализируют временные отношения. Пример — выявление причинно-следственной связи перехода между доменами в результате последовательных DNS-запросов, которые многократно отправляют тысячи пользователей за очень короткие интервалы времени;
- Другие модели анализируют статистические отклонения от нормальной активности. Пример — оценка географического распределения IP-сетей, запрашивающих доменное имя;
- Используя обработку естественного языка, модель NLP Rank выявляет фишинговые домены, которые имитируют фирменные наименования, анализируя их лексическую структуру и расположение в Интернете.
Использование опыта и знаний специалистов. Перечисленные модели созданы и отлажены группой Cisco Umbrella, в которую входят специалисты по обработке и анализу данных, инженеры, математики и аналитики по информационной безопасности. С помощью 3D-визуализации, многочисленных методов интеллектуального анализа данных и экспертных знаний в области информационной безопасности аналитики Umbrella совершенствуют модели и добавляют дополнительный контекст к результатам их применения. Специалисты постоянно находят новые способы анализа данных для выявления новых взаимосвязей и шаблонов.
Результат: прогнозная аналитика. Результаты этого анализа позволяют нам точно обнаруживать вредоносные домены, IP-адреса, сети и хеш-суммы файлов в Интернете и даже прогнозировать источники будущих атак.
Варианты использования Investigate
Динамическая поисковая система. Веб-консоль обеспечивает доступ ко всей аналитике в режиме реального времени и возможность интерактивной комбинации различных элементов данных во время расследований. В Investigate можно создать запрос на точные совпадения доменных имен, IP-адресов, адресов электронной почты, номеров ASN и хеш-сумм файлов либо использовать поиск по шаблону, формируя более гибкие запросы определенных терминов, фирменных наименований, образцов и неточных совпадений.
REST API-интерфейс. Investigate предоставляет доступ к API-интерфейсу для передачи контекстных данных в систему управления событиями и данными безопасности, платформу аналитики угроз или процесс обработки инцидентов. Это ускоряет обнаружение серьезных нарушений безопасности.
Возможности продукта:
- Связывание атак с определенными доменами, IP-адресами, номерами ASN и вредоносным ПО для определения плана инфраструктуры злоумышленников;
- Отображение подозрительных пиков в количестве глобальных DNS-запросов к определенному домену;
- Прогнозирование источников будущих атак путем выявления доменов и IP-адресов, связанных с вредоносным ПО;
- Исследование поведенческих индикаторов и сетевых подключений образцов вредоносного ПО с использованием данных от Cisco AMP Threat Grid;
- Использование данных WHOIS для определения владельцев доменов и обнаружения вредоносных доменов, зарегистрированных с одинаковыми контактными данными;
- Применение системы оценки риска к различным атрибутам доменов с целью выявить среди них подозрительные;
- Обнаружение доменов, использующих Fast Flux, и доменов, созданных с помощью алгоритмов генерации доменных имен;
- Доступ к крупнейшей пассивной базе данных DNS и WHOIS для просмотра ретроспективных данных о доменах.
Сравнение пакетов
| Производительность | Professional для небольших компаний | Insights для средних компаний | Platform для специалистов по расширенным функциям безопасности |
| Полностью облачное решение — не нужно устанавливать оборудование и обслуживать ПО |  | | |
| Стопроцентная отказоустойчивость — ежедневная обработка более 80 миллиардов запросов без увеличения задержки в сети | |||
| Одновременное блокирование более 7 миллионов уникальных вредоносных узлов в 25 центрах обработки данных | |||
| Защита | |||
| Добавление нового уровня защиты на основе прогноза для любого устройства в любой точке | | | |
| Предотвращение проникновения вредоносного ПО, фишинга и обратных вызовов командных серверов через любой порт | |||
| Применение политик допустимого использования по 60 категориям контента | |||
| Применение политик безопасности | |||
| Блокирование запросов к вредоносным доменам и IP-ответов на уровне DNS | | | |
| Блокирование вредоносных URL-адресов и прямых IP-подключений на уровне IP | | | |
| Передача трафика из сомнительных доменов на прокси-сервер для анализа URL-адресов и файлов с помощью антивирусных систем и Cisco AMP | | | |
| Мониторинг | |||
| Получение информации в реальном времени о действиях в масштабе всего предприятия, с возможностью поиска и запланированными отчетами | | | |
| Обнаружение целенаправленных атак путем сравнения локальной и глобальной активности | | | |
| Выявление рисков, связанных с использованием облака и устройств Интернета вещей, на основании отчетов о более чем 1800 сервисах | | | |
| Управление | |||
| Настраиваемые списки запрещенных и разрешенных ресурсов, встроенные страницы блокировки и варианты обхода | | | |
| Применение политик и функции мониторинга для каждой внутренней сети или для каждого пользователя/группы AD | | | |
| Бессрочное хранение журналов благодаря интеграции с контейнером Amazon S3 | | | |
| Уникальные возможности пакета Platform | |||
| Интеграция на основе API-интерфейса для применения политик и управления сторонними списками запрещенных ресурсов | | ||
| Investigate Console — аналитика угроз по всем доменам, IP-адресам и хеш-суммам файлов | | ||
| Дополнительные возможности | |||
| Варианты поддержки — все пакеты включают поддержку через Интернет и по электронной почте | варианты для всех пакетов | ||
| API-интерфейс Investigate — добавление глобального контекста к локальным событиям (управление событиями и данными безопасности) | пакет приобретается отдельно | ||
| Multi-Org Console — централизованное управление децентрализованными подразделениями | дополнительная возможность | дополнительная возможность | |
Варианты пакетов начального уровня
| Roaming для межсетевого экрана нового поколения Cisco и AnyConnect | Branch для маршрутизаторов Cisco ISR серии 4000 | WLAN для Cisco WLAN и других точек беспроводного доступа | |
| Лицензирование | по числу пользователей | по числу маршрутизаторов Cisco ISR серии 4000 | по числу точек доступа |
| Производительность | |||
| Полностью облачное решение — не нужно устанавливать оборудование и обслуживать ПО | | | |
| Стопроцентная отказоустойчивость — ежедневная обработка более 80 миллиардов запросов без увеличения задержки в сети | |||
| Одновременное блокирование более 7 миллионов уникальных вредоносных узлов в 25 центрах обработки данных | |||
| Защита | |||
| Добавление нового уровня защиты на основе прогноза для любого устройства в любой точке | только для устройств, не подключенных к сети | только для устройств, подключенных к сети | только для устройств, подключенных к сети |
| Предотвращение проникновения вредоносного ПО, фишинга и обратных вызовов командных серверов через любой порт | | | |
| Применение политик допустимого использования по 60 категориям контента | | | |
| Применение политик безопасности | |||
| Блокирование запросов к вредоносным доменам и IP-ответов на уровне DNS | | | |
| Блокирование вредоносных URL-адресов и прямых IP-подключений на уровне IP | |||
| Мониторинг | |||
| Получение информации в реальном времени о действиях в масштабе всего предприятия, с возможностью поиска и запланированными отчетами | | | |
| Управление | |||
| Настраиваемые списки запрещенных и разрешенных ресурсов, встроенные страницы блокировки и варианты обхода | только список разрешенных ресурсов и одна встроенная страница блокировки | | |
| Применение политик и функции мониторинга для каждой внутренней сети или для каждого пользователя/группы AD | только для каждой внутренней сети (без Active Directory) | для каждого идентификатора SSID, точки доступа, группы точек доступа и группы пользователей (без Ative Directory) | |
| Дополнительные возможности | |||
| Варианты поддержки — все пакеты включают поддержку через Интернет и по электронной почте | варианты для всех пакетов | ||
| Investigate Console — доступ к аналитике угроз по всем доменам, IP-адресам и хеш-суммам файлов с помощью веб-консоли | пакет приобретается отдельно | ||
| API-интерфейс Investigate — добавление глобального контекста к локальным событиям (управление событиями и данными безопасности | пакет приобретается отдельно | ||