Киберзащита? Cisco Umbrella and Investigate

(Ди Алессандро Руголо)
25/01/18

Термин «кибер» теперь стал частью общей лексики и связан с другими терминами, такими как «атака», «защита», «операции», ограничивает очень специфический сектор наиболее распространенных киберпространстве.

Сегодня я хочу заниматься киберзащитой, и в этом отношении я обратился к Cisco, который познакомил меня с его решением под названием «Umbrella». В частности, в этой поездке по безопасности пассажиры Cisco были Джованни Ди Венута, предпродажный технический представитель на оборонном рынке, Паоло Карини в качестве эксперта по решениям Cloud Security и Алессандро Монфорте в качестве главы коммерческих отношений для решений Cloud Security.

После введения, давайте начнем с самого начала: что такое Cisco Umbrella?

Cisco Umbrella - это облачное решение, обеспечивающее службу защиты на переднем крае (только зонтик безопасности) для тех, кому нужно смотреть в Интернете.

Операция Cisco Umbrella относительно проста, даже если ее эффективность основана на очень сложных технологических решениях.

Давайте посмотрим, вкратце, как это работает.

Чтобы объяснить, как это работает, стоит упомянуть, что Cisco Umbrella происходит от приобретения Cisco OpenDNS, которая исторически предлагает надежный, безопасный и с низкой задержкой DNS-сервер имен DNS. Cisco Umbrella объединяет типичные функции DNS с безопасностью, т. Е. На основе сайта сайта, запрошенного пользователем, применяются соответствующие политики безопасности.

Чтобы быть более ясным, если сотрудник из корпоративного компьютера через браузер просматривает Интернет и запрашивает доступ к определенной веб-странице, запрос доступа «опосредуется» Cisco Umbrella (DNS), который проверяет, является ли этот адрес сеть указана как опасная; если это так, пользователю будет показана веб-страница, информирующая о том, что запрашиваемая страница недоступна по соображениям безопасности.

Таким образом, пользователь может продолжать свою деятельность без дополнительных проблем и, прежде всего, без рисков, связанных с навигацией на опасном сайте.

Но как Зонтик знает, что сайт опасен? И уверены ли мы, что это действительно так? Каков процент «ложных срабатываний» или ошибок, сделанных Umbrella, которые идентифицируют как «опасный» сайт, который не является и «надежным» сайтом, который вместо этого «опасен»?

Обычная работа Cisco Umbrella заключается в сборе информации в Интернете и в Интернете; в Интернете, потому что инфраструктура Umbrella находится в облаке, получая около 125 миллиардов DNS-запросов в день на сегодняшний день. В Интернете, когда он собирает данные и информацию о инфраструктуре Интернета, о сетях, входящих в нее, о доменах, автономных системах, IP-адресах, о том, кто их владеет, о кибератаках, их происхождении и т. Д.

Таким образом, Umbrella может получить информацию о том, как сайты взаимосвязаны друг с другом с инфраструктурной точки зрения и, следовательно, имеют информацию о «атакующих».

Данные и информация сопоставляются с использованием проприетарных алгоритмов, которые позволяют нам понять, в какой части Интернета мы подвергаемся большему риску, и на основе этого, чтобы предотвратить подключение к определенной области, даже перед лицом конкретного запроса приложения или пользователя. Одна из особенностей Umbrella также должна быть прогностической для анализа безопасности для нового веб-сайта, а затем блокировать новые угрозы до их появления.

Cisco оценивает, что процент ложных срабатываний очень низок, о 1 / 10.000, что означает, что статистически каждый домен 10.000, классифицированный как вредоносный, не является.

Обновление информации тем не менее непрерывное, так что в этот момент может быть ложным положительным, через несколько минут, вероятно, будет исправлено; это связано с тем, что сбор данных и предсказательный анализ невозможен. Ниже представлено представление (выполненное через OpenGraffiti, бесплатный инструмент представления 3D, используемый для анализа данных) сетевой инфраструктуры, поддерживающей хорошо известный ботнет (MIRAI), из которого можно графически проанализировать взаимодействия между доменами, системами автономного управления, используемыми адресами IP / электронной почты от нападавших.

Решение Cisco Umbrella работает уже несколько лет и основано на огромной инфраструктуре сбора и анализа данных, 26 Data Centers, распространенной по всему миру (v.mappa).

Cisco Umbrella родилась благодаря идее Дэвида Улевича, которая в 2006 (в возрасте 25 лет!) Основана компания под названием OpenDNS, базирующаяся в Сан-Франциско. Компания должна была предоставлять DNS (Domain Name System) и службы безопасности и все еще так.

OpenDNS продолжает существовать и предоставляет бесплатные услуги непрофессиональным клиентам, в то время как Umbrella предоставляет платные услуги компаниям и организациям. С приобретением Cisco решение OpenDNS также использует технологию безопасности Cisco или TALOS, сформированную командой исследователей, которая в специальном порядке занимается анализом информации об угрозах.

Сила системы основана на статистике больших чисел и на прогнозирующем анализе, который постоянно выполняется в базе данных графов, содержащей всю информацию об инфраструктуре, о которой мы говорили ранее. По этой причине даже отдельные пользователи приветствуются, даже если они не приносят прямой прибыли, они позволяют собирать данные, полезные для анализа.

Но как реализован Cisco Umbrella? Реализация очень проста, поскольку просто настроить Cisco Umbrella как DNS организации для разрешения общедоступных запросов (интернет) и в дополнение к разрешению домена, запрошенному пользователем, будут применяться политики безопасности, установленные администратором безопасности на панели управления Cisco Зонт.

Легко понять, что огромный объем данных, доступных Cisco, представляет большую добавленную стоимость для всех, кто интересуется анализом инфраструктур, с которых он подвергся нападению, или которые просто имеют частые взаимодействия со своими собственными. Cisco предоставляет доступ к данным через решение под названием «Расследование», которое можно использовать через консоль (панель управления) или через интерфейсы программирования (API); это предложение, как правило, направлено на компонент организации компании, отвечающей за анализ уязвимостей и ИТ-исследований (например, CERT и / или SOC).

https://www.opendns.com/data-center-locations/

Я хочу сказать, что, используя «Исследование», можно понять, находится ли ваша организация под кибер-атакой или если она была в прошлом, если вы были объектом глобальной, секторальной или целенаправленной атаки. Вы также можете получить информацию о доменах или их уровне безопасности, и вы можете получать информацию о сетях злоумышленников (где зарегистрирован вредоносный домен, кем и т. Д.).

Можно подумать, что это бесполезная информация, поскольку она устарела, но это не всегда так.

Возможность понять, что вы стали объектом кибератаки, не признанной таковой, может иметь организационные последствия, например, заставляя организацию больше инвестировать в персонал кибербезопасности для снижения риска и это, безусловно, решение высокого уровня.

Давайте оставим слово с номерами Cisco Umbrella с точки зрения используемой инфраструктуры и управления данными, которые в этом случае действительно являются репрезентативными:

- Центры обработки данных 26 распространяются по всему миру (v.mappa);

- государства 160, из которых собирается информация;

- 15 тысячи компаний используют услуги Umbrella;

- около 100 миллионов активных пользователей в день;

- проанализировано 125 миллиардов ежедневных DNS-запросов.

Эти данные постоянно обновляются и отображаются на следующая ссылка.

Из этих цифр можно понять, что Cisco (через Umbrella, ранее OpenDNS) имеет информацию об Интернете, которая, вероятно, не имеет другого оператора безопасности.

Но какое значение может иметь Cisco Umbrella для военной организации?

Современные военные организации нуждаются в огромных объемах данных, от самых тривиальных, что временное выравнивание (время) можно рассматривать как наиболее сложный поток данных прогноза погоды, проходя через потоки данных, касающиеся потребностей сторон в поставках. запасных частей или тех, которые связаны с надлежащим функционированием компьютерных систем.

Эти данные не всегда ограничиваются интрасети (классифицированной или нет) военной организации, но, действительно, часто принимаются или передаются с использованием Интернета.

Дело в том, что действительно «изолированных» систем практически не существует.

Оцифровка подталкивает вооруженные силы к оснащению себя все более сложными инструментами, которые часто требуют вмешательства специалистов, принадлежащих к отраслям, а это означает, что периметр безопасности становится все более обширным и увеличивает сложность и необходимость контроля.

Cisco Umbrella также может быть полезной помощью для аналитиков кибербезопасности, поскольку она предоставляет данные и информацию о структуре Интернета и о рисках, связанных с одной и той же сетью, и инструментами Intelligence Analysis (одним из них является Investigation).

Естественно, использование сложных инструментов требует подготовки персонала в этом секторе, подготовки, которая не может быть делегирована доброй воле отдельного оператора, но которая должна быть частью хорошо структурированного учебного курса для оператора кибербезопасности.

Возможность предотвращения атак путем блокирования опасных DNS-запросов и интеллектуальных аналитических навыков также делает его полезным инструментом для мониторинга возможного злоумышленника и потенциально для совершения действия даже превентивного, если это будет сочтено необходимым и санкционированным соответствующим законодательством.

Соответствующая стратегия киберзащиты требует оценки множественных факторов риска, связанных с работой технологических платформ. Более того, та же самая операционная структура, которая предоставляет услугу Umbrella, подвержена постоянным и различным попыткам нарушения. По этой причине и чтобы сервис всегда был работоспособным и доступным (с момента его запуска в 2006, Umbrella разместил 100% запросов DNS). OpenDNS и Cisco постоянно инвестировали в технологии и процедуры для внедрения, разработки и поддержания адекватных обороны.

 

Для получения дополнительной информации:

- https://umbrella.cisco.com/products/our-intel

- https://learn-umbrella.cisco.com/datasheets/investigate-from-opendns

- https://www.talosintelligence.com/

(фото: веб / ВВС США)