Pull to refresh

Как Cisco мониторит безопасность в своей внутренней сети?

Cisco corporate blog Information Security *Network technologies *
С точки зрения обеспечения кибербезопасности перед нами обычно стоит всего три основные задачи, которые, конечно, потом разбиваются на более мелкие подзадачи и проекты, но, немного утрируя, по-крупному, задач всего три:

  • предотвращение угроз
  • обнаружение угроз
  • реагирование на угрозы.

Какие бы решения мы не рассматривали они укладываются в эти три задачи, которые мы должны реализовывать в любом месте корпоративной сети. Вот этот жизненный цикл борьбы с угрозами (ДО — ВО ВРЕМЯ — ПОСЛЕ) и положен в основу деятельности службы ИБ компании Cisco. Причем обращу внимание, что так как в компании Cisco отсутствует понятие периметра, то мы стараемся реализовать описанные выше три задачи везде — в ЦОДах, в облаках, в сегменте Wi-Fi, на мобильных устройствах сотрудников, в точках выхода в Интернет и, конечно же, в нашей внутренней сети, о мониторинге которой мы сегодня и поговорим.
Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Views 16K
Comments 0

Интеграция Cisco Threat Response и Cisco Stealthwatch Enterprise

Cisco corporate blog Information Security *
Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с Cisco Email Security для помощи в расследовании инцидентов, источником которых является электронная почта. Сегодня поговорим о том, как CTR интегрируется с системой обнаружения сетевых аномалий Cisco Stealthwarch Enterprise. Это новая интеграция и про нее еще не все знают.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 3.1K
Comments 0

Кейсы для применения средств анализа сетевых аномалий: обнаружение утечек

Cisco corporate blog Information Security *
На одном из мероприятий завязалась у меня интересная дискуссия на тему полезности решений класса NTA (Network Traffic Analysis), которые по полученной с сетевой инфраструктуры телеметрии Netflow (или иных flow-протоколов) позволяет выявлять широкий спектр атак. Мои оппоненты утверждали, что при анализе заголовков и сопутствующей информации (а NTA не занимается анализом тела данных пакетов в отличие от классических систем обнаружения атак, IDS) нельзя увидеть многое. В данной статьей я попробую опровергнуть это мнение и чтобы разговор был более предметным, приведу несколько реальных примеров, когда NTA действительно помогает выявлять различные аномалии и угрозы, пропущенные на периметре или вообще минувшие периметр. А начну я с угрозы, которая вышла на первые места в рейтинге угроз прошлого года и, думаю, останется таковой в этом году. Речь пойдет об утечках информации и возможности их обнаруживать по сетевой телеметрии.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 4.8K
Comments 0

Кейсы для применения средств анализа сетевых аномалий: обнаружение распространения вредоносного кода

Cisco corporate blog Information Security *
Продолжу рассмотрение кейсов, связанных с применением решений по мониторингу ИБ с помощью решения класса NTA (Network Traffic Analysis). В прошлый раз я показал, как можно обнаруживать утечки информации, а в этот раз поговорим о выявлении вредоносного кода внутри корпоративной или ведомственной сети.

image
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 5K
Comments 0

Кейсы для применения средств анализа сетевых аномалий: обнаружение кампании DNSpionage

Cisco corporate blog Information Security *
Продолжаем рассмотрение кейсов для систем анализа сетевого трафика (NTA) применительно к целям кибербезопасности. Сегодня мы посмотрим, как такие решения можно применить для обнаружения очень непростых, целенаправленных и очень эффективных кампаний под названием DNSpionage и Sea Turtle.

Но перед этим, я вкратце напомню как работает система доменных имен (DNS), которая лежит в основе взаимодействия в Интернет. Человеческий мозг так устроен, что неспособен запоминать много цифр и чисел, которые никак не ассоциируются у человека с чем-то знакомым. Да и число запоминаемых комбинаций цифр и чисел в любом случае невелико. Поэтому, чтобы не запоминать и не хранить в записной книжке сотни и тысячи IP-адресов интересующих нас сайтов и была придумана система DNS, которая транслирует более понятные человеку символьные адреса сайтов в их IP-адреса. Если мне нужно попасть на какой-либо сайт, то я отправляю DNS-запрос с именем сайта на DNS-сервер, который возвращает мне его IP-адрес, по которому я и перехожу.

image
Читать дальше →
Total votes 4: ↑3 and ↓1 +2
Views 3.6K
Comments 0

Кейсы для применения средств анализа сетевых аномалий: атаки через плагины браузеров

Cisco corporate blog Information Security *
Атаки на браузеры являются достаточно популярным вектором для злоумышленников, которые через различные уязвимости в программах для серфинга в Интернете или через слабо защищенные плагины к ним пытаются проникать внутрь корпоративных и ведомственных сетей. Начинается это обычно на вполне легальных и даже внесенных в белые списки сайтах, которые при этом имеют уязвимости, используемые злоумышленниками. Дополнения (add-on), расширения (extensions), плагины (plugin), будучи однажды установленными даже в благих целях, начинают мониторить пользовательскую активность, “сливать” разработчикам историю посещенных сайтов, внедрять в посещаемые страницы назойливую рекламу, иногда вредоносную. Пользователи часто даже не понимают, что рекламный банер, который они видят на странице сайта, добавлен ими же установленным плагином, а не является изначально внедренным на странице. А иногда такие плагины и расширения и вовсе служат входной дверью для злоумышленников на компьютеры пользователей, с которых начинается победное шествие по внутренней сети предприятия. Именно через такие расширения злоумышленники могут устанавливать вредоносный код, отслеживать данных или красть их. При этом не всегда мы в состоянии заставить всех пользователей правильно настраивать свои браузеры и следить за их конфигурацией. Что же делать в такой ситуации, когда всего один пользователь может стать самым слабым звеном и открыть “ворота в ад”? Решения по мониторингу сетевого трафика могут помочь и в данном кейсе.

image
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 2.3K
Comments 0

Кейсы для применения средств анализа сетевых аномалий: контроль удаленного доступа

Cisco corporate blog Information Security *
Тема удаленного доступа сейчас на подъеме, но обычно при ее описанию речь идет либо о решениях, устанавливаемых на устройствах сотрудников (например, описанный вчера Cisco AnyConnect), либо о решениях, устанавливаемых на периметре. Такое впечатление, что именно эти два набора защитных средств позволяют полностью исключить угрозы со стороны удаленных пользователей, подключающихся к корпоративной или ведомственной инфраструктуре. В этой заметке я хотел бы рассмотреть применение средств класса NTA (Network Traffic Analysis) для мониторинга удаленного доступа.

image
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 3.6K
Comments 7

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery

Positive Technologies corporate blog Information Security *Network technologies *


В предыдущей статье мы рассмотрели техники двух тактик MITRE ATT&CK — первоначальный доступ (initial access) и выполнение (execution), а также как с помощью нашего NTA-решения можно распознавать подозрительную активность в сетевом трафике. Теперь мы расскажем, как наши технологии работают с техниками закрепления (persistence), повышения привилегий (privilege escalation) и предотвращения обнаружения (defense evasion).
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 2.8K
Comments 1

NTA здорового человека: что должны уметь системы анализа сетевого трафика (и пока что не умеют)

Ростелеком-Солар corporate blog Information Security *

Кадр из м/ф «Инспектор Гаджет»

У людей, занимающихся обнаружением и расследованием компьютерных инцидентов, есть неписаная истина: «Инцидент рождается и умирает на хосте». Сегодня подавляющее большинство статей, исследований и правил детекта связаны именно с хостовыми логами (поэтому на рынке и появился EDR). Тем не менее очевидно, что события с хоста не дают полной картины происходящего и необходимо анализировать то, что происходит не только на конечных точках, но и в сети. Не так давно появился Network Traffic Analysis (NTA) – относительно молодой класс решений, который помогает обнаружить злоумышленника, «живущего в сети». Четкого понимания о функционале NTA у ИБ-сообщества пока не сформировалось, но мы со стороны центра мониторинга и реагирования на кибератаки все-таки попробуем рассказать, какой должна быть такая система и как она должна работать в идеале, чтобы полностью решать свои задачи.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 4.9K
Comments 1

Всё что вы хотели узнать об XDR в одном посте

Information Security *
Tutorial

Хабр, привет!

На днях мне посчастливилось поучаствовать тут (обойдемся ссылкой на запись, без прямой рекламы), где обсуждалась такая новая тема на рынке ИБ, как XDR.

По горячим следам эфира зафиксирую основные тезисы: мои собственные мысли и факты относительно XDR и, в целом, отвечу на два важных вопроса: что такое XDR? зачем он стал нужен?

Все что вы хотели узнать об XDR
Total votes 2: ↑0 and ↓2 -2
Views 8.4K
Comments 1

Нерешённые проблемы кибербезопасности в ML

Information Security *Programming *Machine learning *

Искусственный интеллект (ИИ) имеет свойство не только помогать людям в бизнесе, творчестве и жизни в целом, но и вызвать всевозможные проблемы. Вопросы корректности, этичности и применение ИИ для угроз различным системам заставили людей серьезно относиться к исследованию способов сделать искусственный интеллект и машинное обучение (ML) более безопасными.

В данной статье я постараюсь кратко изложить некоторые из нерешённых проблем, связанных с кибербезопасностью, на которые исследователи в области машинного обучения советуют обратить внимание уже сейчас, во избежание рисков в будущем.

Читать далее
Total votes 4: ↑3 and ↓1 +2
Views 1.6K
Comments 1

Анализируй это, или почему мы назвали PT NAD комбайном в мире ИБ

CTI — Communications. Technology. Innovations corporate blog Information Security *

В области информационной безопасности существует большое количество решений, но в основном они узкоспециализированные и позволяют защищаться максимум от 2-3 векторов атаки. Мы решили рассказать о решении, которое претендует на роль лидера по числу векторов атак, которые способно предотвратить, и по числу задач ИБ, которое способно решить. Это NTA-продукт (Network Traffic Analysis), предназначенный для выявления атак на периметре и внутри сети.

Читать далее
Rating 0
Views 1.1K
Comments 0

Что может система анализа трафика в руках охотника за киберугрозами

Positive Technologies corporate blog Information Security *IT Infrastructure *Network technologies *

Кибератакам подвержена компания из любой сферы экономики. Попытки злоумышленников закрепиться внутри инфраструктуры оставляют следы — сетевые артефакты. Обнаружить их и снизить вероятность атаки позволяют системы анализа трафика (NTA-решения). Главное — правильно их использовать.

В этом посте мы пошагово покажем:

·        как искать Tor-трафик, аномалии в LDAP и следы сканирований;

·        выявлять нестандартное шифрование;

·        обнаруживать SSH-туннели;

·        определять туннели SOCKS5 и HTTP, вложенные протоколы, использование Meterpreter и удаленное выполнение команд (через WMI, удаленное создание сервисов или задач);

·        анализировать протоколы и многое другое.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 3.8K
Comments 0