Новые инструменты Cisco для борьбы с Web-угрозами

Постоянное возрастание уровня киберугроз может быть сравнимо лишь с распространением терроризма во всем мире, хоть и используются для хакерских атак чаще всего вполне легальные способы проникновения в зону защищаемых интересов ведомств, корпораций, конкретных пользователей. Именно применение доступных, общепризнанных каналов, через которые происходит распространение/обмен информацией, обеспечивает киберпреступности столь масштабное поле деятельности.

Если первоначальное заражение информационно-коммуникационного устройства проводится путем отправки сообщения на электронную почту (на 95%), то уж последующая активация «зловреда», управление им, контроль функциональности находящихся «под колпаком» злоумышленника рабочей машины или мобильного девайса, ведется с использованием web-канала. Естественно, что факт передачи информации по HTTP/HTTPS протоколу, получение команд извне, скрываются от пользователя.

Web-каналы – один из инструментов киберпреступности

RSS-каналы стали распространенным средством управления внедренными вредоносными программами. В сфере защиты e-mail от существующих киберугроз хорошо себя зарекомендовал комплекс Cisco Email Security, предлагаемый производителем для работы локализовано, в сети либо "облаке".

Web-трафик требует использования иных средств защиты, поскольку киберпреступностью применяются разные способы удаленного и скрытого контроля за действиями владельца «зараженного» устройства. Компания Cisco предлагает создавать систему безопасности, используя существующие средства защиты комплексно:

- локально-сетевое Web Security Appliance;

- разработку Cloud Web Security для «облака»;

- софт, вычисляющий Domain Name System запросы - OpenDNS;

- Advanced Malware Protection  – средство выявления в веб-трафике опасных файлов;

- средство анализа даже потенциально опасных файлов в облаке либо локализованной сети - AMP Threat Grid.

Чем Cisco предлагает бороться с угрозами?

Вышеперечисленные продукты Cisco способны надежно «прикрыть» web-трафик, защитив сервера от информационного потока, поступающего как в форме URL, DNS-запросов либо файлов. Существует и еще одна угроза - log files, способные накопить большой информобъем, одновременно «выпадая» с поля зрения всех применяемых систем безопасности.

Представленное недавно решение Cognitive Threat Analytics от Cisco устраняет и эту опасность, подвергая анализу файлы с записями о событиях, получаемых от Cisco WSA/CWS, иных proxy-servers (Blue Coat). Указанные утилиты от Cisco выполняют задачу по обеспечению контентной виртуальной и облачной безопасности, проводят анализ Web-logs разработок иных компаний. Накопленная в регистрационных журналах информация отправляется на «облачные» сервисы Cisco для соответствующего их анализа, где и определяются существующие закономерности либо отклонения от обычных показателей в Web-logs.

Машинное обучение процесса анализа логов

Используемые в разработках Cisco десятки разнообразных алгоритмов предоставляют возможность выявить потенциальные угрозы, которыми используются RSS-каналы для перемещения информации, получения управленческих команд от кибер-злоумышленников, пытающихся максимально долго сохранить в тайне свои действия в легально используемых коммуникациях.

Выявляемые CTA угрозы

Статистический облачный сервис Cognitive Threat Analytics, выявляющий уязвимости, вредоносное ПО внутри взятой под защиту сети, анализируя трафик, не может защитить от попыток злоумышленников взять рабочую машину либо всю инфраструктуру под контроль. Как средство мониторинга – CTA лишь выявляет аномальную активность Web-трафика, подавая сигнал тревоги.

CTA рекомендуется интегрировать с иными разработками Cisco - AMP for Endpoints, ISE, AMP for Networks, способными блокировать зараженные узлы,

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.