Сервис CTA стал доступен по опциональной лицензии к устройству Cisco Web Security Appliance

CTA обнаруживает уязвимости, вредоносное ПО и прочие угрозы внутри защищенных сетей, выполняя статистический анализ сетевого трафика

Блог Джо Маленфанта (Joe Malenfant), менеджера компании Cisco по продвижению продуктов на платформе Threat Grid

Злоумышленники изобретают все более изощренные методы, чтобы компрометировать системы безопасности организаций и получать доступ к нужным сегментам сети и критичным данным, включая секреты производства, финансовую и коммерческую информацию. Киберугрозы стали настолько сложны, что одной лишь защиты периметра недостаточно.

В недавно опубликованном ежегодном отчете Cisco по информационной безопасности исследователи компании проанализировали угрозы и изучили самые опасные тенденции в эксплуатации уязвимостей, векторах атак и их методах. Например, вредоносные расширения для браузеров обычно не считаются серьезной угрозой. Однако, по данным отчета, от них пострадали более 85 % исследованных организаций. Следовательно, такие расширения могут быть серьезным источником утечки данных.

Чтобы обнаружить вредоносное, в том числе рекламное, ПО и устранить утечку данных, необходимы многоуровневые системы информационной безопасности (ИБ). Следует внедрять новые методологии обнаружения, которые позволят отслеживать и анализировать веб-трафик и помогут специалистам в сфере ИБ более оперативно выявлять новые источники угроз и методы атак.

Cisco Cognitive Threat Analytics (CTA) — это облачный сервис, который обнаруживает уязвимости в системе безопасности, вредоносное ПО и прочие угрозы внутри защищенных сетей, выполняя статистический анализ сетевого трафика. CTA совершенствует процесс определения и блокировки угроз, выявляя признаки заражения вредоносным кодом или утечки данных путем анализа поведения и вскрытия аномалий. CTA использует современные методы статистического моделирования и машинного обучения, которые позволяют автономно находить новые угрозы, постепенно обучаться и адаптироваться.

СТА анализирует более 10 млрд веб-запросов ежедневно и находит вредоносное ПО, пропущенное средствами контроля безопасности или попавшее в систему через неконтролируемые каналы (например, съемные носители). Сервис действует внутри рабочей среды организации, за наносекунды отвечая на следующие вопросы:

• типичен ли такой трафик для данного веб-сайта?

• надежны ли источник и получатель?

• связываются ли другие пользователи в организации с этим получателем?

• связывались ли данные устройства между собой ранее?

• используют ли они приложения для анонимного соединения (например, Tor)?

• передаются ли какие-нибудь файлы и каков их размер?

Благодаря ряду аналитических методик CTA обнаруживает различные типы аномального трафика:

• хищение данных. CTA использует статистическое моделирование сети организации, чтобы идентифицировать аномальный веб-трафик и выявить хищение конфиденциальных данных. СТА распознает его в HTTPS-трафике даже без расшифровки.

• Алгоритмы генерации доменных имен. Злоумышленники генерируют произвольное количество доменных имен, чтобы их не обнаружили и не занесли в черный список хостов с вредоносным ПО. CTA распознает вредоносные и обфусцированные доменные имена, сгенерированные по словарю, анализирует частоту соединений, содержимое заголовков и сотни других параметров по каждому HTTP/HTTPS-запросу.

• Эксплойт-наборы. СТА анализирует веб-запросы и выявляет заражение при:

 посещении вредоносной веб-страницы;

 перенаправлении на домен с эксплойт-набором;

 загрузке эксплойта без ведома пользователя;

 успешной эксплуатации уязвимости;

 загрузке тела эксплойта.

• Туннелирование через HTTP/HTTPS-запросы. Злоумышленники часто пытаются замести следы и организовать утечку конфиденциальных данных (в том числе и учетных) с помощью HTTP/HTTPS-запросов на свои серверы. СТА использует комплексные индикаторы компрометации (Indicators of Compromise, IoC), которые помогают сопоставить подробную глобальную и локальную статистику. Это позволяет гарантированно определить, с какой целью используется туннелирование.

Ранее сервисом можно было воспользоваться лишь в рамках Cisco Cloud Web Security, но сейчас он доступен по опциональной лицензии к устройству Cisco Web Security Appliance и как самостоятельный продукт. СТА не требует установки специального оборудования и ПО. После сбора базовой сетевой статистики CTA выявит зараженные устройства всего за несколько часов. В среднем, в компании из 5 000 сотрудников мы еженедельно обнаруживаем 45 зараженных устройств.