Уже есть учетная запись?
  •   Персонализированная информация
  •   Ваши продукты и поддержка

Нужна учетная запись?

Создать учетную запись

Как распознавать зашифрованный вредоносный трафик

1511882227760

 

Быстрый рост объемов зашифрованного трафика меняет ландшафт угроз. В частности, объем зашифрованного трафика увеличился более чем на 90 % в годовом исчислении. Более 40 % веб-сайтов использовали шифрование трафика в 2016 году по сравнению с 21 % в 2015 году. По прогнозам Gartner, к 2019 году 80 % веб-трафика будет зашифровано. 

Технология шифрования позволила значительно повысить конфиденциальность и безопасность для предприятий, использующих Интернет для связи и бизнеса в Интернете. Но не только бизнес может выиграть от использования шифрования. Хакеры использовали те же преимущества, чтобы избежать обнаружения
и защитить свою вредоносную деятельность. 

Материалы на русском языке

tile-traffic-01

Как Cisco анализирует зашифрованный трафик без его расшифрования и дешифрования

Сейчас, по оценкам Cisco, 60% трафика в Интернет зашифровано, а согласно прогнозам Gartner к 2019-му уже 80% трафика будет таковым.

tile-traffic-02

Модуль анализа зашифрованного трафика (ETA) в решении Cisco Stealthwatch

Stealthwatch без дешифрования проливает свет на зашифрованный трафик, используя расширенную сетевую телеметрию и интеллектуальный мониторинг угроз в сочетании с многоуровневым машинным обучением.

tile-traffic-03

Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафике

В статье рассматривается работа группы исследователей компании Cisco, доказывающая применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции вредоносного ПО.

Проблемы безопасности, связанные с Интернетом вещей и корпоративной мобильностью

Рост численности населения и стремительно меняющиеся условия конкуренции ставят перед ИТ-подразделениями новые задачи. Все чаще сотрудники выполняют работу вне офиса, пользуясь гостевым WiFi-доступом и личными устройствами для подключения к корпоративным сетям, где находятся системы с критически важными данными. Помимо задач, связанных с корпоративной мобильностью, ИТ-подразделения контролируют обработку растущего количества запросов на подключение от устройств IoT. Принтеры, камеры видеонаблюдения, кофемашины — в сеть попадают тысячи плохо защищенных или вовсе незащищенных новых устройств. По прогнозам Cisco, за период с 2015 по 2020 годы доля IP-трафика, исходящего от устройств, которые не являются компьютерами, увеличится с 47 % до 71 %[1].

При экспоненциальном росте числа подключений необходима автоматизация, без которой невозможно обеспечить сегментацию групп пользователей и устройств для эффективного применения политик безопасности. Игнорируя потребность в автоматизации, компании подвергают свои сети серьезной опасности. У всех сетевых угроз есть общий признак — сеть. Корпоративная сеть представляет собой источник ценной контекстной информации о любых попытках атак через уязвимые оконечные устройства. Защитить сеть от постоянно растущего количества угроз с сохранением возможности масштабирования может только полная интеграция средств безопасности в сетевую инфраструктуру.

[1] http://www.zdnet.com/article/iot-will-account-for-nearly-half-of-connected-devices-by-2020-cisco-says/

Шифрование: средство защиты данных или оружие в руках киберпреступников?

Помимо роста числа мобильных пользователей и устройств, ИТ-специалисты имеют дело с еще одной важной тенденцией. C шифрованием. Стремясь сохранить конфиденциальность данных, пользователи и организации все чаще прибегают к шифрованию сетевого трафика. По прогнозам Gartner, к 2019 году более 80 % корпоративного веб-трафика будет передаваться в зашифрованном виде.

Рост объемов зашифрованного трафика означает усиление безопасности. Однако у этой тенденции есть и обратная сторона в виде существенного усложнения задач ИТ-подразделений. Корпоративная инфраструктура обрабатывает огромные потоки трафика, не поддающегося анализу без предварительного дешифрования. Хакеры быстро освоили шифрование и с его помощью скрывают доставку вредоносного ПО, активность механизмов управления и контроля, а также факты утечки данных. Пользуясь шифрованием, злоумышленники реализуют атаки, которые остаются незамеченными в течение многих месяцев. По данным Cisco, 

в среднем на обнаружение атаки в корпоративной сети уходит от 100 до 200 дней, поскольку 80 % систем безопасности не способны выявлять и ликвидировать угрозы, содержащиеся в SSL-трафике. Новые законы, в частности Общий регламент по защите данных, возлагают на организации большую ответственность. Соответственно, задача обнаружения и изоляции атак переходит в число важнейших приоритетов. Согласно мировой статистике, средний убыток от нарушения безопасности составляет 3,62 млн долл. США[2].

[2] https://www.ibm.com/security/data-breach/index.html

Безопасность сети без ущерба для конфиденциальности

До недавнего времени зашифрованный трафик обычно дешифровали
и анализировали с помощью межсетевых экранов нового поколения или иных подобных устройств. Однако такой подход требует больших затрат времени и подразумевает установку дополнительного оборудования. В связи с усложнением атак и непрерывной эволюцией ландшафта угроз назрела очевидная необходимость в целостной системе безопасности, которая сможет обнаруживать и изолировать угрозы, вне зависимости от того, зашифрован трафик или нет.

Работая над этой проблемой, специалисты Cisco и Advanced Security Research Group создали решения, позволяющие строить виртуальные сети для различных групп пользователей и проверять зашифрованный трафик на наличие вредоносного ПО, не прибегая к дешифрованию.

Компания Cisco представила решение программно-определяемого доступа к сети Cisco Software-Defined Access. Это первая в отрасли сетевая фабрика, которая охватывает проводные и беспроводные локальные сети и позволяет автоматизировать управление политиками доступа — соответствующие политики применяются к любому пользователю или устройству, вне зависимости от IP-адреса. С помощью Cisco SD-Access можно за считаные минуты создать политику, разрешающую или запрещающую доступ одной группы к другой (устройства IoT, разработчики, сотрудники отдела маркетинга и т. д.) и таким образом ввести дополнительный уровень безопасности посредством сегментации сети.

Проблема проверки зашифрованного трафика решается путем анализа генерируемых сетью метаданных (метаданные TLS-квитирования, контекстуальные потоки DNA, HTTP-заголовки из контекстуальных HTTP-потоков) с помощью аналитических средств безопасности Cisco Stealthwatch. Затем данные направляются в облачную систему когнитивной аналитики Cisco и сверяются с базой данных всех известных экземпляров вредоносного ПО (Cisco Threat Grid). Далее с помощью методов машинного обучения выполняется поиск признаков аномального поведения. Этот метод получил название «аналитика зашифрованного трафика» (Encrypted Traffic Analytics, ETA) и позволяет обнаруживать в зашифрованных данных характерные признаки вредоносного ПО, не прибегая к дешифрованию больших объемов трафика. В экспериментах на основе реальных данных специалистам Cisco удалось достичь точности свыше 99 %. Доля ложных срабатываний составила всего 0,01 % (одно ложное срабатывание на каждые 10 000 TLS-соединений). 

Безопасная сегментация на основе мониторинга благодаря возможностям ETA

Аналитика зашифрованного трафика (ETA) обеспечивает массу преимуществ. 

  • Мониторинг: извлечение ценной информации из зашифрованного трафика, контекстная аналитика угроз в режиме реального времени
    с учетом информации о пользователях и устройствах. 
  • Криптографическая оценка: контроль над соблюдением криптографических протоколов, анализ и учет зашифрованного
    и незашифрованного трафика. 
  • Более быстрое время отклика. Ускорение поиска и изоляции зараженных устройств и скомпрометированных учетных записей. 
  • Экономия времени и средств: основой анализа состояния защищенности является сама сеть, что увеличивает эффективность инвестиций в сетевую инфраструктуру.

Возможности Cisco ETA по умолчанию интегрируются в новые коммутаторы Catalyst® 9000 и маршрутизаторы с интегрированными сервисами Cisco серии 4000 с функциями Cisco Stealthwatch. Благодаря новым программируемым интегральным микросхемам UADP 2.0 сложные аналитические операции можно выполнять непосредственно на коммутаторах. Ранее для этого требовалось дополнительное оборудование.

spotlight-trustsec

Forrester TEI: Cisco Trustsec

Упрощенная технология безопасности от Cisco.

Диалог с представителем Cisco

Cisco:

  • Добро пожаловать в Cisco!
  • Позвольте помочь подобрать решение, оптимально подходящее под ваши требования.