Компания Cisco Systems доработала специальный облачный сервис Cognitive Threat Analytics, позволяющий надежно защитить предприятие от сетевых угроз, предотвратить утечку данных, адаптировав его под работу в качестве самостоятельного продукта. На фоне повсеместной цифровой трансформации бизнеса, укрепляющей взаимоотношения с партнерами и заказчиками, повышающей качество обслуживания клиентов, эффективно претворяющей в реальность разработанные бизнес-модели, возрастают и требования к используемым в корпоративных сетях системам безопасности.
Злоумышленники применяют все более сложные средства для проведения хакерских атак, стремясь получить доступ в определенный сегмент фирменной экосистемы, не только для хищения коммерческой либо производственной информации, но и для простой компрометации фирмы-конкурента. Практика свидетельствует, что защиты периметра явно недостаточно на фоне возрастания востребованности облачных технологий.
Учитывая результаты аналитических исследований, новые тренды в области интернет-безопасности, в Cisco Systems пришли к выводу о необходимости предоставления своим партнерам действенного инструмента виртуальных вычислений, «заточенного» для автономного поиска новых сетевых угроз, самообучения, адаптированного к отражению все более усложняющихся хакерских атак.
Cognitive Threat Analytics – предлагается как самостоятельное решение
Виртуальный сервис CTA от Cisco Systems (Cognitive Threat Analytics), ранее доступный лишь в составе облачного решения Cloud Web Security, предлагается партнерам компании в форме дополнительной опции к Web Security Appliance как автономный продукт. CTA способен оперативно выявлять уязвимости в существующей защите, идентифицировать вредоносный софт, анализируя трафик.
Применение CTA в работе позволяет усовершенствовать процедуру определения, своевременного блокирования потенциальных опасностей, идентификацию вредоносного кода, появление утечки информации. Защита строится на принципах анализа трафика, выявления в нем аномалий. Научно-обоснованные методы статмоделирования, своеобразного машинно-аппаратного обучения, дают возможность усовершенствованному продукту автономно определять даже ранее не идентифицированные угрозы, самостоятельно обучаясь, адаптируясь к изменяющимся условиям.
Ежедневно анализируя не менее 10 миллиардов web-запросов, СТА выявляет опасное ПО, которое смогло обойти установленные средства безопасности либо инсталлированное на устройства со съемных носителей. Алгоритм действий СТА внутри экосистемы предприятия можно описать следующим образом:
- производится анализ соответствия трафика определенному web-ресурсу;
- проверяется соответствие источника и получателя данных стандартам надежности;
- уточняется существование связи иных участников экосистемы с этим адресатом;
- проводится проверка относительно ранее существовавшего обмена данными между устройствами;
- анализируется использование средств, обеспечивающих анонимность соединения (Tor, к примеру);
- проверяется направленность передаваемого информационного контента.
Получая в считанные наносекунды ответы на эти вопросы, используя современные аналитические методики, CTA своевременно определяет следующие виды аномального трафика:
- Хищение данных, для чего производится статмоделирование сети предприятия, что и позволяет выделять аномальный web-трафик, выявляя кражу конфиденциальной информации. При использовании HTTPS-протокола, для CTA нет необходимости даже дешифровывать контент.
- Генерацию доменов в произвольном количестве, распознавая среди огромного числа URL потенциально опасные, обфусцированные. Любой HTTP/HTTPS-запрос CTA "рассматривает", учитывая регулярность соединений, оценивая содержимое заголовков, массу иных параметров:
- Используемые злоумышленниками эксплойты, путем анализа web-запроса, что позволяет выявить заражение при:
- Tunnelling по запросам с HTTP/HTTPS-протоколами. Киберпреступностью часто провоцируются HTTP/HTTPS-запросы на собственные сервера, что дает возможность добиться утечки конфиденциальной информации, а заодно и скрыть следы своей активности. Применяя IoCs (комплексные индикаторы компрометации), CTA сопоставляет данные с существующей статистикой, что и делает возможным определение истинной задачи использования туннелирования.
Прежде сервис был доступен лишь как часть Cisco Cloud Web Security, но проведенная Cisco Security доработка создала возможность его использования в качестве самостоятельного решения, как опции к Cisco Web Security Appliance.
Несомненным достоинством нового продукта является оперативность работы CTA – уже через несколько часов после сборки будут выявлены все пораженные вредоносным софтом участки экосистемы предприятия. О том, что внедрение подобной защиты необходимо, свидетельствует статистика – еженедельно, в компании со штатом в 5 тысяч человек, обнаруживается не менее 45 устройств с инсталлированным вредоносным софтом.