Эффективное обнаружение и устранение угроз на всех устройствах (управляемых и неуправляемых) ― ключевая потребность для всех организаций, особенно с учетом изменчивости рабочих сред и перехода на удаленную работу. Технология Cisco EDR обеспечивает подробный мониторинг, возможности отслеживания и контроля для всех управляемых устройств; для остальных компонентов используются функции NDR.
NDR-решение использует моделирование для систематизации всех устройств и объектов в сети или облаке: серверов, принтеров, МРТ-систем, тепловых контроллеров, контейнеров и т. д. Затем оно определяет базовые показатели нормального поведения на основе более 100 разных поведенческих моделей и более 400 классификаторов машинного обучения.
По результатам систематизации решение может выявлять мошеннические, вызывающие опасения, аномальные объекты и подозрительные потоки данных даже в зашифрованном трафике. Благодаря тому что SecureX обеспечивает мониторинг управляемых и неуправляемых устройств, мы можем выявлять и блокировать вредоносную активность на все уровнях, например когда система ОВКВ использует ноутбук для отправки данных. Кроме того, действия всех устройств отслеживаются и регистрируются для дальнейшего изучения. Таким образом в случае взлома все исторические данные на уровне сети, устройств и файлов становятся мгновенно доступны специалистам по безопасности.
Предприятия, внедрившие SecureX, сообщают о сокращении времени на устранение последствий атак на 85 % и экономии 4–6 часов в неделю на анализ или 100 часов на рабочий процесс ― на автоматизацию.
Время ― важный аспект безопасности. Решения Cisco Secure обеспечивают расширенное пассивное и активное обнаружение, объединяя слабые сигналы от нескольких компонентов системы безопасности в сильные сигналы вредоносного намерения, уведомляя вас об угрозах, которые в противном случае могли бы остаться незамеченными. Многоуровневые подсистемы машинного обучения (контролируемые, неконтролируемые, статистические и поведенческие) постоянно работают в среде. Чтобы сопоставить объекты с моделями злоумышленников, эти подсистемы выявляют аномалии и соотносят их с шаблонами угроз и известными акциями даже в зашифрованном трафике. Описание действий и поведенческие и технические профили новых угроз, составляемые системами машинного обучения, помогают сделать выводы для принятия окончательного решения.
Результатом становится оперативное выявление подозрительного поведения (включая сканирующие и сигнализирующие узлы, накопление данных и многое другое), которое в противном случае ускользнуло бы от вашего внимания, что дает вам возможность быстро принять меры. Более того, когда необходимо ускорить исследование определенных угроз, можно выполнить упреждающий поиск вредоносных, скрытых артефактов в реальном времени, быстро передать рабочей группе информацию о характере атаки, ее возникновении и дальнейших шагах по устранению угрозы до того, как она станет проблемой. Чтобы получить подробный контекст, журналы и данные телеметрии для всей сети до уровня оконечных устройств, нужно просто ввести имя артефакта в поисковую систему нашей платформы безопасности. Вы сразу же узнаете, был ли артефакт замечен в вашей среде, с какими географическими регионами он связан, какой трафик связан с ним, какие устройства затронуты и так далее. Заказчики сообщают, что благодаря этим возможностям XDR время обнаружения угроз удалось сократить на 95 %, а время пребывания угроз в среде ― на 85 %.
SecureX и портфель решений Cisco Secure оптимизируют работу специалистов, позволяя забыть о потоке бесполезных оповещений за счет самого низкого в отрасли уровня ложных срабатываний. Прежде чем создавать оповещения, Cisco Secure индексирует подробное представление среды (сети, оконечных устройств и облака), непрерывно анализируя файлы и трафик и оценивая состояние всех ресурсов, включая связанные удостоверения пользователей, параметры политик и типичное поведение.
Эта информация дополняется подробным представлением всех действий на всех оконечных устройствах, включая время первого появления файлов, их поведение с момента поступления и все взаимосвязи с другими решениями защиты, подключенными к платформе. Многоуровневый механизм машинного обучения затем сопоставляет поведение угроз в среде с данными по всему миру, выявляя аномальную и вредоносную активность в сети и облаке, указывающую на нарушение безопасности. Только после этого создается оповещение, при этом вся информация доступна в единой консоли, и специалисты могут получить полную картину ситуации без лишних усилий.
Скрытый характер угроз затрудняет их обнаружение. SecureX обеспечивает четкий и понятный интерфейс, в котором возможные нарушения отображаются по типу события и хосту, приоритет оповещений определяется по уровню серьезности угроз и приводятся рекомендации по устранению их последствий. Развернув оповещение, вы получите визуальное представление всех устройств, потоков трафика и траекторий движения файлов со всеми связанными артефактами ― от вложений электронной почты до веб-запросов.
Определив первопричину, вы с легкостью сможете нейтрализовать атаку.
Ознакомьтесь с примером 6 , чтобы узнать, как мы можем помочь вам в этом.
Поскольку наша запатентованная технология ретроспективной защиты отслеживает перемещения всех файлов и потоков, данные анализа доступны в любой момент. В рамках непрерывного мониторинга новые данные об угрозах сопоставляются с историческими, и файлы автоматически помещаются в карантин, как только начинают проявляться признаки вредоносного поведения. Автоматическое реагирование на новые угрозы позволяет быстрее выявлять атаки и значительно сокращать распространение вредоносного ПО. В случае взлома специалисты могут быстро определить, когда он возник, когда был обнаружен, какие тактические приемы использовались, и просмотреть сводку по угрозе, включая бесфайловое вредоносное ПО или внутренних злоумышленников. Кроме того, они могут узнать, данные какого типа были украдены, когда и куда они были отправлены, и получить рекомендации по устранению последствий.
Выбор актуального оповещения ― это лишь первый этап «битвы», который мы постарались упростить за счет более точных и подробных уведомлений. Но затем вам нужно узнать, ЧТО именно произошло и КАКИЕ действия предпринять, а это не всегда очевидно. Именно поэтому мы привязали наши решения безопасности и основные функции к MITRE ATT&CK — платформе, задачей которой является анализ конкретных тактических приемов, методов и процедур, используемых злоумышленниками для проникновения в системы. Это позволяет специалистам быстрее определить доступные варианты ответных мер, выбрать подходящие и применить их своевременно.
Например, щелкнув оповещение, можно просмотреть все связанные артефакты и их место в структуре MITRE ATT&CK и получить рекомендации по реагированию на ситуацию. Кроме того, можно выполнить глобальные запросы, соответствующие конкретным категориям MITRE и, таким образом, быстро оценить состояние системы безопасности, выявить области, затронутые скрытыми угрозами, и принять соответствующие меры.
Запросы можно встроить в более широкие наборы сценариев безопасности, выполняемых на регулярной основе. Благодаря огромному объему работы, проделанной Cisco, для сопоставления индикаторов компрометации с матрицей MITRE ATT&CK вашим специалистам не требуются специальные знания о поведении различных типов угроз, конкретных шагах по восстановлению или самой базе MITRE. Они смогут использовать готовые функции, встроенные в наши продукты безопасности, чтобы быстрее принимать верные решения.
Кроме того, SecureX включает возможности активного поиска угроз на основе данных, полученных от группы Talos и специалистов по исследованию эффективности, для проактивного выявления угроз в средах заказчиков. Сочетание этих компонентов обеспечивает высокую точность оповещений благодаря сопоставлению результатов поиска угроз, осуществляемого человеком и автоматическими функциями. 20 лет опыта могут с лихвой компенсировать недостаток навыков или специалистов в сфере безопасности.
Матрицы ATT&CK включают сведения о методах, применяемых злоумышленниками для получения доступа к средам предприятий. В рамках MITRE сотни таких тактических приемов соотносятся с относительно небольшим списком из 41 конкретной меры.
Таким образом специалисты могут говорить о конкретных методах, таких как «ограничение веб-контента», вместо попытки найти ответ на бесконечную череду вопросов: «Как предотвратить кражу маркеров доступа?», «Как остановить атаки drive-by?» и т. д.
Чтобы узнать больше, ознакомьтесь с этой публикацией блога и этим официальным документом или посетите веб-сайт cisco.com.
Основным преимуществом XDR является ускорение и автоматизация мер по реагированию на угрозы. Каким бы большим не был ИТ-отдел, у его сотрудников нет времени на проверку каждого оповещения, именно поэтому устранение угроз занимает так много времени. Учитывая тот факт, что утечка данных происходит в течение трех часов с момента взлома, время обнаружения играет огромную роль. В рамках функции оркестрации нашей платформы мы предоставляем вашим специалистам готовые рабочие процессы активного поиска угроз (SecOps), управления уязвимостями (SecOps и ITOps) и оптимизации трафика (SecOps и NetOps). Это означает, что им не потребуется создавать их с нуля. Кроме того, на примере этих рабочих процессов они могут разрабатывать собственные. Таким образом, при необходимости создать или настроить собственный набор автоматических сценариев можно воспользоваться обширной библиотекой шагов рабочего процесса, включая ответные меры и утверждения, просто перетащив их в свой шаблон.
Восстановление также упростилось и стало более ориентированным на процессы. Благодаря точному отслеживанию файлов на всех оконечных устройствах, соотносимых с действиями в сети, Интернете и электронной почте, можно настроить автоматическую блокировку файлов и защиту от уязвимостей на основе результатов анализа до выполнения или ретроспективно. Мы также автоматизировали такие действия, как создание аналитических моментальных снимков, анализ файлов, блокирование файлов и доменов и применение более агрессивной защиты, включая запрет доступа к сети и помещение в карантин. А значит у вас будет больше времени на принятие верных решений. Все эти данные содержатся на одной панели: вам не нужно постоянно переключаться между консолями, чтобы оценить ситуацию. По отзывам заказчиков, наша платформа безопасности помогла им сократить время восстановления на 97 %.
Большим преимуществом интегрированных уровней защиты, международной клиентской базы и крупнейшей неправительственной организации по исследованию угроз в мире является возможность действовать своевременно и эффективно. В момент обнаружения и блокирования угрозы в одной среде она автоматически удаляется со всех затронутых оконечных устройств и блокируется в сети, электронной почте, на веб-ресурсах и в облаке ― сразу для всех 500 000 заказчиков Cisco Secure. Если оконечное устройство, например, переходит по взломанному URL-адресу, как только адрес распознается как вредоносный, домен блокируется для всех устройств, а взломанное оконечное устройство изолируется во избежание дальнейшего заражения.
Хранение, агрегация и анализ журналов масштабных сред ― довольно трудная задача даже для очень опытных специалистов. Чтобы упростить ее и ускорить доступ к нужным данным, решения Cisco Secure переносят основные элементы в облако. Журналы трафика, исторические данные об оконечных устройствах, имена файлов, сведения о перемещении файлов и другие наборы данных доступны постоянно и хранятся за пределами среды. Кроме того, мы используем облачную систему анализа угроз на основе огромного хранилища информации, доступной в реальном времени.
Чтобы вам было проще оценить масштаб: наши системы могут отслеживать все файлы на всех оконечных устройствах, вложенные в эл. письма, загруженные из Интернета или пересылаемые по сети либо в облако. Мы постоянно анализируем все неизвестные файлы (о хорошей или плохой репутации которых нет достоверных данных), поскольку именно файлы могут выглядеть безопасно, но иметь вредоносную природу. Решения Cisco используют облачную систему анализа вредоносного ПО для ретроспективного оповещения об атаках. А в сочетании с возможностями 3 и 7 решение может узнать, где данный файл находился в прошлом, и предложить автоматические или выполняемые пользователем процедуры для устранения последствий.
Обеспечение соответствия ― сложная задача для многих организаций, как в плане постановки целей, так и их реализации. Правила межсетевого экрана настроить несложно, но определить несоответствие и выяснить, когда оно возникло, гораздо труднее. Человеческие ошибки, недостаток опыта, инструментов и возможностей диагностики могут привести (и, как правило, приводят) к пробелам в этой сфере. Благодаря встроенной аналитике на уровне сети, облака и оконечных устройств вы можете полностью контролировать обмен данными, происходящий в среде и за ее пределами. Мониторинг позволяет выявить риски конфигурации, включая нестрогие правила, устаревающие ключи API и встроенные оповещения о соответствии в облачных инфраструктурах. Кроме того, специалисты получают доступ к контрольным журналам и оповещениям о нарушении политик, на основе которых можно создать бизнес-логику.
Поскольку отслеживаются все отдельные оконечные устройства, можно быстро получать данные о версиях ОС, уязвимостях ПО и последних исправлениях и на их основе оценивать степень риска. Более того, такие проверки типов устройств и политик можно автоматизировать в SecureX, используя запросы к устройствам в реальном времени (компонент Orbital в Secure Endpoint). Также доступна возможность унификации защиты оконечных устройств и пользователей для оперативного применения политик соответствия и реализации принципов нулевого доверия. Решения аналитики и доступа могут использовать данные телеметрии, собираемые агентами на оконечных устройствах, включая сведения о расположении, устройствах, состоянии и т. д., и на их основе автоматически корректировать доступ. Таким образом можно гарантировать, что пользователи получают доступ нужного уровня к нужной информации, не ставя под угрозу безопасность компании.
По результатам отчета Forrester Wave «Поставщики платформ с расширенной экосистемой нулевого доверия» (Zero Trust eXtended Ecosystem Platform Providers) компания Cisco дважды получила звание лидера рынка. Продукты Cisco удостоились самых высоких оценок аналитиков по таким критериям, как концепция, стратегия и популяризация принципов нулевого доверия, подход к маркетингу и направление развития для инфраструктур, где применяются эти принципы.
Одна из самых очевидных проблем, указанных Gartner при анализе продуктов XDR, ― жесткая зависимость от поставщика. И это неудивительно. Интеграция ― это сложная задача сама по себе, однако интеграция с технологиями конкурентов требует поистине титанических усилий. Однако безопасность заказчиков должна быть превыше всего.
SecureX ― это открытая платформа, которая позволяет объединять различные инструменты: интегрируемые, встроенные, готовые и специализированные.
Встроенная интеграция ― мгновенная настройка интеграции решений, разработанных Cisco и избранными сторонними партнерами, в SecureX на внутреннем уровне.
Готовая интеграция ― в рамках пакетов решений Cisco и партнеров заказчики могут использовать готовые сценарии и ресурсы собственной облачной инфраструктуры для настройки интеграции.
Пользовательская интеграция ― заказчики могут использовать API реагирования на угрозы SecureX и сторонние API для пользовательской настройки интеграции.
Многие инструменты можно интегрировать любым из этих способов. Кроме того, мы предлагаем расширение для браузера, которое позволяет использовать интегрированные функции SecureX в любом стороннем решении на основе веб-интерфейса. Наши партнеры по технологиям уже предлагают источники аналитики угроз, рабочие инструменты, такие как SIEM и SOAR, и решения мониторинга и защиты, которые дополняют возможности активного поиска угроз и реагирования на инциденты, встроенные в SecureX. Фактически, 82 % наших текущих заказчиков подтверждают, что интеграция сторонних решений уже обеспечила существенные преимущества в сфере анализа угроз.
