• Threat Hunting с помощью нового решения Cisco Visibility

      Представьте, что вы прочитали статью в «Коммерсанте» о том, что в Интернете оказался в публичном доступе полный пакет для атак на банки Pegasus. Вероятно вы захотите узнать, а не попали ли и вы под раздачу и не сидит ли в вашей сети вредоносный код. С одной стороны у вас есть куча логов и событий безопасности от различных средств защиты, а с другой, возможно, вы получаете информацию об угрозах в рамках подписки на какой-либо платный или бесплатный сервис Threat Intelligence (например, от BI.ZONE, ГосСОПКИ или ФинЦЕРТ). С одной стороны у вас куча данных для анализа, но вы не знаете, есть ли в них следы того, что вы ищете. С другой стороны, вы имеете информацию о следах (то есть индикаторы компрометации), но не знаете насколько они применимы именно к вам. Вам нужно объединить эти два набора данных, осуществив то, что обычно называют Threat Hunting'ом или поиском следов атак в вашей инфраструктуре. Давайте посмотрим, как можно автоматизировать данную задачу с помощью недавно выпущенного бесплатного решения Cisco Visibility.

      image
      Читать дальше →
    • Как айтишники и безопасники защищают сами себя: реальные кейсы с Cisco Connect, BlackHat, RSAC и MWC

        В широком кругу людей, далеких от современных технологий, принято считать, что ИТ- и уже тем более ИБ-специалисты — это параноики, которые под влиянием профдеформации перестраховываются и защищают себя десятками различных средств защиты, зачастую перекрывающих друг друга для большей надежности. Увы, реальность немного иная и сегодня мне хотелось бы показать то, что обычно скрыто от широкого взгляда. Речь пойдет о результатах мониторинга Интернет-активности посетителей различных крупных международных и национальных мероприятий, посвященных современных информационным технологиям и информационной безопасности. Компания Cisco часто является технологическим партнером таких конференций и выставок как RSA в Сан-Франциско, BlackHat в Сингапуре, Mobile World Congress в Барселоне, а таже является организатором собственного мероприятия, в разных странах именуемого то Cisco Live, то Cisco Connect. И везде мы используем наши технологии мониторинга которых я и хотел бы поделиться.

        image
        Читать дальше →
      • Новая информация о VPNFilter: проведение атаки на пользовательские устройства, расширен список сетевого оборудования

          image

          Введение


          Аналитическое подразделение Cisco Talos, совместно с технологическими партнерами, выявило дополнительные подробности, связанные с вредоносным ПО «VPNFilter». С момента первой публикации по данной тематике мы обнаружили, что вредоносное ПО VPNFilter нацелено на большее количество моделей устройств и расширили список компаний, продукция которых может быть инфицирована. Кроме того, мы установили, что вредоносное ПО обладает дополнительными функциями, включая возможность реализации атак на пользовательские оконечные устройства. В недавней публикации в блоге Talos рассматривалась крупномасштабная кампания по распространению VPNFilter на сетевые устройства для дома или малого офиса, а также на ряд сетевых систем хранения данных. В той же публикации упоминалось, что исследование угрозы продолжается. После выпуска первой публикации несколько отраслевых партнеров предоставили нам дополнительные сведения, которые помогли нам продвинуться в расследовании. В рамках данной публикации мы представляем результаты этого расследования, полученные в течение последней недели.
          Читать дальше →
        • Wi-Fi вне помещений для повышения производительности и не только

            Сегодня ИТ является неотъемлемым инструментом работы сотрудников практически любой компании. Подключение к корпоративным ресурсам и использование средств коммуникации необходимы для непрерывности бизнеса.

            Офисные работники в теплое время зачастую используют офисный двор для переговоров, уединенной работы, общения, радуясь тишине и свежему воздуху.

            Водители, прибывающие на склады уже на парковке хотели бы заходить в сеть и получать дальнейшие инструкции.

            Опыт от посещения торгового центра начинается у клиентов уже на парковке, расположенной на улице.

            Работники больших промышленных компаний, использующих множество зданий за ограждением хотели бы оставаться в сети при многочисленных перемещениях и здания в здание.

            Встает вопрос организации уличного Wi-Fi, который позволит оптимизировать доступ в корпоративную сеть в непосредственной близости к офису.

            Как организовать уличный Wi-Fi в РФ?

            Читать дальше →
          • Зачем выставлять в Интернет интерфейс управления или атака на Cisco Smart Install

              Недавно Cisco узнала о некоторых хакерских группировках, которые выбрали своими мишенями коммутаторы Cisco, используя при этом проблему неправильного использования протокола в Cisco Smart Install Client. Несколько инцидентов в разных странах, в том числе некоторые из которых касаются критической инфраструктуры, оказались связаны с неправильным использованием протокола Smart Install. Некоторые эксперты считают, что ряд этих атак связан с хакерами, стоящими на службе государства. В результате мы занимаем активную позицию и призываем клиентов, снова, к оценке рисков и применению доступных методов нейтрализации рисков.
              Читать дальше →
            • От заплаток в борьбе с вредоносным ПО к целостной стратегии

                Как это не парадоксально, но я до сих пор регулярно слышу в качестве совета по борьбе с вредоносным ПО рекомендацию по использованию современного антивируса и его регулярному обновлению. Такое впечатление, что последние истории с WannaCry и Petya/Nyetya произошли в каком-то своем мире, отличном от того, в котором живут те, кто до сих пор считает, что антивирус — это все, что нужно для борьбы с вредоносным ПО. Даже хороший антивирус. Даже с эвристическими механизмами. Даже если они включены и при этом не тормозит ПК. Даже если эти механизмы еще и работают, а не просто являются маркетинговой заманухой. Пора уже для себя сформулировать простой вывод — борьба с современным вредоносным ПО требует целостной стратегии и сбалансированного применения различных технологий, направленных на обнаружение и предотвращение использования вредоносным кодом различных способов проникновения и заражения. И чтобы не ограничиваться банальными фразами, давайте попробуем сформулировать, что должна включать целостная стратегия борьбы с вредоносным ПО.
                Читать дальше →
              • Как Cisco мониторит безопасность в своей внутренней сети?

                  С точки зрения обеспечения кибербезопасности перед нами обычно стоит всего три основные задачи, которые, конечно, потом разбиваются на более мелкие подзадачи и проекты, но, немного утрируя, по-крупному, задач всего три:

                  • предотвращение угроз
                  • обнаружение угроз
                  • реагирование на угрозы.

                  Какие бы решения мы не рассматривали они укладываются в эти три задачи, которые мы должны реализовывать в любом месте корпоративной сети. Вот этот жизненный цикл борьбы с угрозами (ДО — ВО ВРЕМЯ — ПОСЛЕ) и положен в основу деятельности службы ИБ компании Cisco. Причем обращу внимание, что так как в компании Cisco отсутствует понятие периметра, то мы стараемся реализовать описанные выше три задачи везде — в ЦОДах, в облаках, в сегменте Wi-Fi, на мобильных устройствах сотрудников, в точках выхода в Интернет и, конечно же, в нашей внутренней сети, о мониторинге которой мы сегодня и поговорим.
                  Читать дальше →
                • Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафике (без дешифровки)

                    В данной статье рассматривается работа группы исследователей компании Cisco, доказывающая применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии, а также описание решения Encrypted Traffic Analytics, реализующая принципы, заложенные в данном исследовании.
                    Читать дальше →
                  • Open Source проекты Cisco по кибербезопасности

                      Когда речь заходит об open source проектах, развиваемых компанией Cisco в области кибербезопасности, то большинство специалистов вспоминает только популярный Snort, возможно еще ClamAV, да описанный на страницах Хабра инструмент OpenSOC. На самом деле Cisco, являясь достаточно открытой компаний (у нас куча API для работы с нашими решениями по ИБ), очень активно работает в сообществе open source и предлагает пользователям несколько десятков проектов, из которых немалое количество посвящено кибербезопасности. В этой заметке мне бы хотелось собрать воедино все open source проекты компании Cisco, которые имеют отношение именно к этой теме.
                      image
                      Читать дальше →
                    • Как бороться с майнерами криптовалют в корпоративной сети

                        Проблема использования корпоративных ИТ-ресурсов для майнинга криптовалют проявляется все чаще (недавно их упоминала Транснефть). А на днях ФСБ нагрянула в аэропорт Внуково и задержала администратора, который на вычислительных мощностях авиационной гавани майнил криптовалюту. Сразу отвечу на часто звучащий вопрос: “А причем тут ФСБ?” Все очень просто. Внуково — это не только аэропорт для обычных пассажиров; из Внуково-2 летает Президент России и члены Правительства, что делает эту воздушную гавань критически важным объектом для национальной безопасности. И когда в ней происходят по непонятной причине скачки напряжения, которые могут повлечь за собой отключение отдельных систем управления воздушным транспортом, то за дело берется именно ФСБ. Но вернемся к майнингу. В последнее время мы получили несколько запросов от заказчиков с просьбой объяснить, как можно обнаружить факт использования майнеров в корпоративной или ведомственной сети? Учитывая растущее число таких вопросов, мы и решили написать эту заметку.
                        Читать дальше →
                      • Корпоративный «фарш» для небольших сетей

                          Производитель решений корпоративного класса Cisco вывел на рынок РФ точки доступа Wi-Fi в сегменте малого и среднего бизнеса – Cisco Aironet серии 1815.

                          Эти современные точки доступа корпоративного класса в сегменте эконом предлагают интересный компромис функционала и цены, который будет оценет теми, кто:

                          • не имеет высоких задач по производительности, однако требуется надежность работы сети;
                          • находится на стадии роста – т.е. сейчас надо бюджетно, но с развитием бизнеса надо иметь возможность экономично перевести сеть на новый виток надежности и масштабируемости;
                          • хочет безопасно подключать к сети удаленных телеработников или микрофилиалы;
                          • подключает помещения с небольшим количеством клиентов — гостиничные комнаты, склады, коттеджи и т.д..


                          Mobility Express


                          Это функционал разбирался в статье «Mobility Express — новый подход» и представляет собой функционал беспроводного контроллера, запущеннный на аппаратной платформе одной из точек доступа в кластере.

                          С момента написания упомянутой статьи функционал Mobility Express серьезно эволюционировал и сегодня предлагает:
                          Читать дальше →
                        • Зачем IT и бизнесу сетевая фабрика и Cisco SD-Access

                            В статье анализируются типовые трудности, стоящие сегодня перед корпоративной службой IT, и предлагается современный подход к их решению на базе сетевой фабрики Cisco Software-Defined Access (SD-Access).

                            Рассматриваются ключевые компоненты и технологии, лежащие в основе Cisco SD-Access, а также принципы их работы.

                            На примере конкретных типовых сценариев подробно анализируются преимущества, предлагаемые IT и бизнесу фабрикой SD-Access.
                            Читать дальше →
                            • +10
                            • 6,8k
                            • 6
                          • Cisco Sales Associate Program

                              Никогда не писала блоги или статьи, и никогда даже дневник не вела (даже в 14 лет :D), но раз ты сотрудник Cisco, ты начинаешь делать вещи, к которым совсем не привык (тот самый девиз: get out of your comfort zone здесь очень подходит).

                              И вот вспомнился мне прошлый год, который мы провели в Праге с самой лучшей командой, в которой мне когда-либо довелось поработать. А команда у нас собралась что надо: молодые специалисты в возрасте 22-31 год из 15 стран мира: от Швейцарии и Саудовской Аравии до Южной Африки. На фото мы нашей командой с нереально крутым Майклом Харабидиеном, если когда-то довелось смотреть тренинги Cisco по маршрутизации, то, наверняка, его имя знакомо!


                              Читать дальше →
                            • Как интегрироваться с решениями Cisco по безопасности? Обзор двух десятков API, доступных всем

                                Сегодня в России очень модной стала тема SOC и SIEM. Все их строят и пишут. Вы знали, что в России уже около десятка собственных систем мониторинга событий безопасности (SIEM)? Эту цифру перевалило и число коммерческих SOCов, предлагающих свои услуги заказчикам, которые попадут под требования 187-ФЗ о безопасности критической информационной инфраструктуры и вынуждены будут оперативно отдавать данные об инцидентах в ГосСОПКУ. Но какую бы цель не преследовали создатели SIEM и SOC, и на каком бы уровне зрелости они не находились, они все равно сталкиваются с базовой задачей — сбора событий безопасности и журналов регистрации от разрозненных средств защиты информации.

                                Согласно данным компании Canalys (а она единственная кто продолжает оценивать российский рынок решений по ИБ), лидером отечественного рынка продолжает оставаться компания Cisco. Поэтому вполне разумно предположить, что одной из первых задач, которая должна стоять перед разработчиками SIEM/SOC, — это интеграция с решениями нашей компании. Но вокруг такой интеграции бытует множество мифов и заблуждений, которые можно описать диалогом, который у меня недавно случился с одним из отечественных производителей SIEM:

                                — А почему вы не интегрируетесь с решениями Cisco?
                                — Так у вас уже все проприетарное?
                                — Нет, это не так!
                                — Да? А мне говорили, что у вас закрытые API и доступ к ним стоит денег.
                                — Нет, и это не так!

                                image
                                Читать дальше →
                              • Правильный выбор СрЗИ: от рекламных листовок к use case

                                  Раздается недавно звонок:
                                  — Добрый день! Я бы хотел получить спецификацию на межсетевой экран Cisco ASA. У меня уже есть спецификации от компании <имярек> и я хочу сравнить их и выбрать подходящую. Вы можете мне помочь в этом?
                                  — Да, конечно. А для чего вам нужна Cisco ASA?
                                  — Мне необходимо заблокировать Tor.
                                  — А вам нужна именно Cisco ASA для этого?
                                  — Ну а как? Вот компания <имярек> говорит, что ее межсетевой экран блокирует Tor. Поэтому я хочу сравнить стоимость их экрана с вашим.
                                  — То есть вам нужно заблокировать Tor и вы ищите для этого нужное вам решение?
                                  — Да-да (раздраженно). Так вы можете мне составить спецификацию? Какие исходные данные вам нужны?
                                  — Для решения именно этой вашей задачи, если другие перед вами не стоят, необязательно использовать Cisco ASA. Блокировать работу с Tor вы можете с помощью различных наших решений — Cisco Web Security Applaince, Cisco Umbrella Security Internet Gateway, Cisco Cloud Web Security, Cisco Meraki MX, Cisco Firepower, Cisco AMP for Endpoints… В конце концов вы можете с помощью скрипта подгружать адреса узлов сети Tor в маршрутизатор Cisco ISR и блокировать их с помощью ACL. В последнем случае вам и тратить ничего не придется.
                                  — Да? Вот блин. Мне надо тогда подумать…
                                  — Давайте мы с вами вместе составим перечень задач, которые вам надо решить, и угроз, с которыми надо бороться, и тогда уже выберем наилучшим образом подходящий продукт?
                                  — Хорошо, давайте. Вы сможете к нам подъехать завтра к 10-ти утра?
                                  — Конечно.
                                  Читать дальше →
                                • Wi-Fi или iBeacon? Или хорошо, когда возможности технологии совпадают с желаемым результатом

                                    Сегодня многие владельцы торговых площадок, выставочных центров и других заведений, принимающих у себя клиентов, задумываются — как сделать опыт посещения площадки инновационным, удобным и повысить лояльность клиентов, например, предложив навигацию по помещению? Как взаимодействовать с посетителями через их мобильные устройства? Как собирать аналитику, чтобы лучше понимать свою аудиторию, ее интересы и потребности?

                                    Для этих целей предлагаются решения на основе технологий Wi-Fi и радиомаячков (iBeacon). Вместе с мобильным приложением или без него такие решения должны обеспечивать три основных сервиса – навигацию в помещении, информирование при приближении (proximity messaging) и аналитику по присутствующим устройствам. Фантазия позволит нам расширить количество сервисов для разных отраслей – аудиогид для музеев, поиск опаздывающего к выходу пассажира для аэропортов и т.д.

                                    Предлагаю разобраться в особенностях обеих технологий, их преимуществах и ограничениях, и сделать выводы о том, какие результаты возможны, а какие нет.
                                    Читать дальше →
                                  • Как построить маленькую, но хорошую сеть?

                                      Мы все наблюдаем проникновение цифровизации в бизнес — рост трафика данных, использование мобильных приложений, облачные сервисы. Качественная сеть с надежным беспроводным доступом в офисе сегодня – базовая потребность не только для больших корпораций, но и для малого бизнеса.

                                      Как построить надежную, производительную, простую в эксплуатации сеть за небольшие деньги?

                                      Продажей торговой марки Linksys в 2013 году компания Cisco продемонстрировала свою приверженность масштабным высокопроизводительным решениям для корпораций, использующих богатый функционал. Однако, жизнь меняется, и сегодня за небольшими сетями компания видит большой бизнес.

                                      Cisco запускает в России линейку точек доступа Wi-Fi в нижнем ценовом сегменте – это модели Cisco WAP150, WAP361, WAP571, а через пару месяцев появится и уличный вариант WAP571E. Эти продукты поддерживают новейший стандарт 802.11ac и позволяют строить сети, в которых работает 50-500 пользователей. Решения широко применяются в офисах, рознице, для подключения удаленных работников, на парковках, в школах, бассейнах, складах, логистических центрах и конференц залах. В тех местах, где требуются экономичные надежные решения без сверхзадач по производительности и функционалу. Данные продукты часто выбираются операторами связи для услуги управляемого Wi-Fi.

                                      Основные преимущества беспроводных решений Cisco для малого бизнеса:
                                       Надежные и простые в использовании
                                       Конкурентоспособный функционал
                                       Доступная цена
                                       Простота установки, web интерфейс
                                       Техподдержка Cisco

                                      Решение для малого бизнеса от Cisco дополняется коммутаторами и маршрутизаторами, разработанными для этого же сегмента.
                                      Читать дальше →
                                    • Сказ про НеПетю, а точнее не про Петю

                                        Я не хотел писать заметку про Petya/Nyetya/NePetya и другие названия вредоносного кода, который в начале недели в очередной раз заставил содрогнуться мир по версии многих СМИ. Мое нежелание было продиктовано двумя причинами. Во-первых, именно нас, то есть компанию Cisco и ее подразделение Talos (про него я уже упоминал тут, но, видимо, придется рассказать чуть больше, что это за подразделение), пригласили участвовать в расследовании происходящего в Украине, а писать о результатах следствия до его окончания мы, понятно, что не имеем возможности. Да и после окончания следствия не все его результаты будут опубликованы. Во-вторых, надо признаться, что я не разделяю того ажиотажа вокруг вредоносного кода, названного нами Nyetya, который последние дни только подогревается разными публикациями и заявлениями.

                                        Что в нем такого уникального, что его отличает от других вредоносных программ и от того же WannaCry? Почему никто так много не пишет про Jaff или BitKangoroo, которые распространялись в то же время, что и WannaCry и использовали схожие методы? Почему никто не снимает репортажей и не обсуждает Untukmu, Shifu, Blackshades или тот же Locky, который заразил больше компьютеров чем WannaCry, Petya, Misha и Nyetya вместе взятые? Почему специалисты по ИБ с серьезным лицом обсуждают, кто раньше из них отреверсил “Петю” и кто быстрее всех распространил индикаторы компрометации? Кто-то называет 30 минут, кто-то 37 минут, кто-то “проснулся” только через несколько часов…

                                        image
                                        Читать дальше →
                                      • Cisco Meraki MX: настройки безопасности на периметре в 4 клика

                                        • Tutorial
                                        Администраторы небольших и средних компаний часто не используют большинство функций своего корпоративного файрвола. По статистике, основных причин этого несколько. В 25 % случаев главные настройки выполнены, а на другие у администратора не хватает времени. Еще в 34 % случаев они не справились с настройками. И в 41 % случаев все имеющиеся функции попросту не требуются им. Из этого можно сделать вывод: шлюз безопасности нужно выбирать только в соответствии со своими собственными задачами и возможностями, не ориентируясь на весь перечень функций.

                                        Для требований большинства компаний – как малых и средних, так и крупных с географически распределенной инфраструктурой – отлично подойдут шлюзы безопасности Cisco Meraki MX. Они просты в настройке, не требуют присутствия администраторов безопасности в отдаленных филиалах и вместе с тем используют те же наборы сигнатур, что и топ-решения Cisco Firepower.
                                        Читать дальше →
                                      • Исследование угроз Cisco ACR 2017: изменения по ту сторону баррикад

                                          В компании Cisco есть подразделение Talos, которое занимается широким спектром исследований в области угроз информационной безопасности (последнее исследование WannaCry — тоже их рук дело). В основе Talos лежит множество данных, собираемых по всему миру и анализируемых в круглосуточном режиме:

                                          • 90 миллиардов DNS-запросов ежедневно
                                          • 18,5 миллиардов файлов ежедневно, из которых 1,5 миллиона вредоносных (к слову сказать, Лаборатория Касперского 2 миллиона вредосноных программ детектирует еженедельно)
                                          • 16 миллиардов Web-запросов (URL) ежедневно
                                          • 600 миллиардов сообщений электронной почты ежедневно.

                                          Последние отчеты Cisco с анализом угроз ИБ
                                          Читать дальше →

                                        Самое читаемое