Suche senden
Hochladen
Cognitive Threat Analytics
•
2 gefällt mir
•
739 views
Cisco Russia
Folgen
Интеллектуальная облачная защита от угроз
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 61
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Cisco Russia
Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"
Cisco Russia
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
Cisco Russia
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Новые вызовы кибербезопасности
Новые вызовы кибербезопасности
Cisco Russia
Empfohlen
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Cisco Russia
Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"
Cisco Russia
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
Cisco Russia
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Новые вызовы кибербезопасности
Новые вызовы кибербезопасности
Cisco Russia
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
Service portfolio 18
Service portfolio 18
Cisco Russia
Аналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Andrey Klyuchka
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
SkillFactory
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Cisco Russia
AnyConnect, NVM и AMP
AnyConnect, NVM и AMP
Cisco Russia
Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2
Cisco Russia
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Russia
Защита и контроль приложений
Защита и контроль приложений
Cisco Russia
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
Weitere ähnliche Inhalte
Was ist angesagt?
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
Service portfolio 18
Service portfolio 18
Cisco Russia
Аналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Andrey Klyuchka
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
SkillFactory
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Cisco Russia
AnyConnect, NVM и AMP
AnyConnect, NVM и AMP
Cisco Russia
Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2
Cisco Russia
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Russia
Защита и контроль приложений
Защита и контроль приложений
Cisco Russia
Was ist angesagt?
(20)
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Service portfolio 18
Service portfolio 18
Аналитика в ЦОД
Аналитика в ЦОД
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
AnyConnect, NVM и AMP
AnyConnect, NVM и AMP
Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Защита и контроль приложений
Защита и контроль приложений
Ähnlich wie Cognitive Threat Analytics
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
Cisco Russia
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Cisco Cloud Security
Cisco Cloud Security
ifedorus
Cisco Email & Web Security. Обзор технологии и функционала.
Cisco Email & Web Security. Обзор технологии и функционала.
Cisco Russia
Cisco Email & Web Security
Cisco Email & Web Security
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015
Cisco Russia
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
Cisco Russia
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
Expolink
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
Cisco Russia
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
Denis Batrankov, CISSP
Cisco Cyber Threat Defense
Cisco Cyber Threat Defense
Cisco Russia
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Alexey Kachalin
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
Ähnlich wie Cognitive Threat Analytics
(20)
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Cisco Cloud Security
Cisco Cloud Security
Cisco Email & Web Security. Обзор технологии и функционала.
Cisco Email & Web Security. Обзор технологии и функционала.
Cisco Email & Web Security
Cisco Email & Web Security
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
Cisco Cyber Threat Defense
Cisco Cyber Threat Defense
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
алексей лукацкий 1
алексей лукацкий 1
Mehr von Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Cisco Russia
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
Cisco Russia
Интуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнеса
Cisco Russia
Next Generation Campus Architecture
Next Generation Campus Architecture
Cisco Russia
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Cisco Russia
Географическое резервирование BNG
Географическое резервирование BNG
Cisco Russia
Mehr von Cisco Russia
(19)
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Umbrella
Cisco Umbrella
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco FirePower
Cisco FirePower
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
Интуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнеса
Next Generation Campus Architecture
Next Generation Campus Architecture
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Географическое резервирование BNG
Географическое резервирование BNG
Cognitive Threat Analytics
1.
Интеллектуальная облачная защита
от угроз Cognitive Threat Analytics
2.
2© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Старые угрозы Новые Сложно найти современные угрозы в рамках обычных операций Вредоносное ПО использует хорошо известные вектора, уже внесенные в черные списки Современное вредоносное ПО использует легальные каналы для распространения Skype Email Tor
3.
3© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Реалии современных киберугроз Злоумышленники вероятнее всего будут контролировать вашу инфраструктурой через web Вероятнее всего вас взломают через email Ваше окружение будет взломано
4.
4© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Угрозы ОкружениеПериметр Email-вектор Web-вектор 3 Жертв кликает на резюме Инсталляция бота, установка соединения с сервером C2 4 5 Сканирование LAN & альтернативный бэкдор и поиск привилегированных пользователей Система скомпрометирована и данные утекли. Бэкдор сохранен 8 Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS 7 Посылка фальшивого резюме (you@gmail.com) 2 Адми н Изучение жертвы (SNS) 1 Привилегированные пользователи найдены. 6 Админ ЦОДПК Елена Иванова Елена Иванова • HR-координатор • Нужны инженеры • Под давлением времени Анатомия современной атаки
5.
5© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Вредоносный код: обнаружение и обход Техники обнаружения Техники обхода Известные сайты и узлы в Интернет Смена узлов / страницы перенаправления Песочница Обнаружение виртуализации Антивирус Обнаружение антивируса / безфайловое инфицирование Сигнатурные системы (IDS/IPS) Обфускация файлов / полиморфный код
6.
6© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Защита от современных угроз должна… Идентифицировать угрозы, опираясь на разные методы и огромные объемы данных Видеть уже произошедшие инциденты и заражения Реализовывать реагирование, базируясь на контексте
7.
7© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Что может быть использовано для обнаружения Web-угроз? Разве это все?! Анализ файлов в Web- трафике на лету Отправка файлов для анализа в песочнице Анализ DNS- запросов и ответов Категоризация и контроль репутации URL ThreatGRID WSA/CWS
8.
8© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Распространенные техники хакеров 0 + Webrep AV Возраст домена: 2 недели 0 Возраст домена: 2 недели - Возраст домена: 3 часа - Возраст домена: 1 день Domain Generation Algorithm (DGA) Туннелирование данных через URL (C&C) DGA C&C DGA DGA DGA C&C Техники хакеров: Активные каналы Web периметр CTA Анализ Web-логов
9.
9© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Рост видимости Контроль коммуникаций с серверами C2 для идентификации угроз Снижение времени нейтрализации (TTR) Получение сигналов тревоги на подтвержденные угрозы Обнаружение аномалий Быстрая идентификация угроз в web и сетевом трафике, используя расширенную аналитику и моделирование Что нового предлагает Cisco
10.
10© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA расширяет безопасность web за счет дополнительного анализа трафика и обнаружения сложно идентифицируемых угроз С Cognitive Threat Analytics (CTA) Аномалии Web-запросы Угрозы Инциденты Вредоносное ПО События Обнаружение аномалий Моделирование доверия Классификация событий Моделирование взаимоотношений 10B запросов в день 1K инцидентов в день
11.
11© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA Анализ Web-логов Инфицированные email или USB stick Инфраструктура угрозы Админ STIX / TAXII (API) Идентификация взломов используя обнаружение аномалий и анализ сетевого трафика. Видимость угроз которые могут обходить вектор web-заражения, например, инфицированные email, USB stick или гостевые устройства. CTA 0I000III0I00II0II00III000I000III0I000III0 I00I0I00I0000I0I00I0II0I00I0I00I000I00I0I0 0I00 0I II0I 0II 00I 0II0 0I0 I00 I0II II0I 000 0I00 0I II00 I0I0 0I0 000 0II0 0II IIII 00I 0I0 00I II0I I0II 00I 00II 0I0I I00 0III I00I 00II 0I00 0I II0I 0II 00I 0II0 0I0 I00 I0II II0I 000 0I00 0I II00 I0I0 0I0 000 0II0 0II IIII 00I 0I0 00I II0I I0II 00I 00II 0I0I I00 0III I00I 00II Command & Control Domain Generated Algorithm CTA Tunneling 0I000III 0I00 II 0I I0000 III000II00II0I 00I0I0000II 0000I Web-периметр Cognitive Threat Analytics Обнаружение взломов & видимость продвинутых угроз
12.
12© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Идентификация аномального web- трафика с помощью статистического анализа Распознавание атак путем анализа имени доменов в каждом запросе HTTP/HTTPS Обнаружение инфекций в web- запросах Обнаружение широкого спектра угроз путем анализа коммуникаций с серверами C2 Определение опасного трафика, тунелированного в HTTP/HTTPS- запросы путем использования IOC Что может обнаруживать CTA? Утечки данных Domain Generation Algorithm (DGA) Exploit KitКоммуникации с C2- серверами Туннелирование через HTTP/S
13.
13© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA представляет результаты 2-х типов Подтвержденная угроза Подтвержденные угрозы – Хакерские кампании • Угроза, которой подверглось множество пользователей • 100% подтвержденные взломы/заражения • Автоматизация обработки приводит к быстрому лечению • Добавление контекста от Cisco CSI
14.
14© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential AMP Threat Grid расширяет отчеты CTA AMP Threat Grid помогает расследовать на ПК представляя: • Ассоциированные артефакты угрозы из AMP Threat Grid, соотнося сетевое поведение с ПОДТВЕРЖДЕННОЙ угрозой от CTA • Сигнатуры безопасности контента для ассоциации с глобальными семплами угроз • Исследования того, что угроза делает на самом деле (поведение на ПК)
15.
15© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential
16.
16© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA представляет результаты 2-х типов Обнаруженные угрозы Обнаруженные угрозы– Разовые угрозы • Уникальные угрозы, обнаруженные в отношении одиночек • Подозреваемая угроза и уровень риска • Полуавтоматическая обработка • Почти или совсем отсутствующий контекст
17.
17© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential
18.
18© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Интеграция CTA с внешними системами STIX / TAXII API TAXII Log Adapter: https://github.com/CiscoCTA/taxii-log- adapter Информация об угрозе от CTA в формате STIX Poll ServiceTransform Адаптер Инцидент CTA
19.
19© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Интеграция с Splunk
20.
20© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Как происходит обнаружение?
21.
21© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Layer 1 Layer 2 AMP CTA CWS PREMIUM AMP CTA Layer 3 File Reputation Anomaly detection Trust modeling Event classification Entity modeling Dynamic Malware Analysis File Retrospection Relationsh CTA Идентификация подозрительного трафика с помощью обнаружения аномалий Норма Неизвестно Аномалия HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Обнаружение аномалий 10B+ запросов обрабатывается ежедневно с помощью 40+ детекторов Каждый детектор обеспечивает свой рейтинг аномалии Агрегированный рейтинг используется для сегрегации нормального трафика
22.
22© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Layer 1 Layer 2 AMP CTA CWS PREMIUM AMP CTA Layer 3 File Reputation Anomaly detection Trust modeling Event classification Entity modeling Dynamic Malware Analysis File Retrospection Relationsh CTA • Каждый HTTP(S) запрос сканируется 40+ детекторами, каждый по своему алгоритму • Множество детекторов увеличивают рейтинг аномалии, снижая число ложных срабатываний и необнаружений Примеры обнаружения аномалий (HTTP, реальный и искусственное вредоносное ПО) HTTP(S) Request Множество детекторов & Моделирование доверия Норма Аномалия 0 1 2 3 4 5 7 6 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1.0 Динамический порог Необнаружение Ложное срабатывание # of web запросов Рейтинг аномалии Норма Аномалия 0 1 2 3 4 5 7 6 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1.0 Ложное срабатывание Динамический порог # web запросов Рейтинг аномалии Один детектор
23.
23© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Layer 1 Layer 2 AMP CTA AMP CTA Layer 3 File Reputation Anomaly detection Trust modeling Event classification Entity modeling Dynamic Malware Analysis File Retrospection Relationsh CTA HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Снижение ложных срабатываний с моделированием доверия Аномалия Норма Неизвестно Неизвестно Норма Unknown Unknown Неизвестно HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Моделирование доверия HTTP(S) запросы с аналогичными атрибутами объединяются в кластер Спустя время, кластер меняет свой рейтинг аномалии, за счет добавления новых запросов
24.
24© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Layer 1 Layer 2 AMP CTA AMP CTA Layer 3 File Reputation Anomaly detection Trust modeling Event classification Entity modeling Dynamic Malware Analysis File Retrospection Relationsh CTA Категорирование запросов с классификацией событий Оставить легитимным Пометить вредоносным Оставить подозрительным HTTP(S) Request HTTP(S) Request HTTP(S) Request Сайт с мультимедиа Обновление ПО Проверка сертификата Туннелирование Алгоритм генерации доменов C&C Подозрительное расширение Повторный запрос Неожиданное окончание Классификация событий 100+ классификаторов применяются к аномальным и неизвестным кластерам Рейтинг аномалии запросы обновляется исходя из его классификации
25.
25© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Layer 1 Layer 2 AMP CTA CWS PREMIUM AMP CTA Layer 3 File Reputation Anomaly detection Trust modeling Event classification Entity modeling Dynamic Malware Analysis File Retrospection Relatio CTA Атрибуция аномальных запросов к ПК идентификация угроз с моделирование сущностей HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Угроза HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request УГРОЗА HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request УГРОЗА HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request УГРОЗА HTTP(S) Request УГРОЗА Моделирование сущностей Угроза возникает, когда превышается пороговое значение Новые угрозы помечаются, когда больше доказательств аккумулируется за тоже самое время
26.
26© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Layer 1 Layer 2 AMP CTA CWS PREMIUM AMP CTA Lay File Reputation Anomaly detection Trust modeling Event classification Entity modeling Dynamic Malware Analysis File Retrospection Relationsh CTA Компания B Компания C Определение угрозы, как части кампании с моделированием взаимосвязей Атакующий 1 Атакующий 2 Компания A Компания A Компания A Фаза 1 Фаза 2 Фаза 3 Тип угрозы 1 Тип угрозы 1 Тип угрозы 2 Инцидент Инцидент Инцидент Инцидент Корреляция по похожести Корреляция по инфраструктуре Компания B Компания C Компания B Компания C Инцидент Инцидент Инцидент Инцидент Инцидент Инцидент Инцидент Инциден т Аналогичное глобальное поведение Аналогичное локальное поведение Аналогичное локальное & глобальное поведение Общая инструктура атакующего Моделирование взаимосвязей
27.
27© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Что в итоге?.. Обработка, близкая к реальному времени 1K-50K инцидентов в день10B запросов в день +/- 1% аномалий 10M событий в день HTTP(S) Request Классифи катор X Классифи катор A Классифи катор H Классифи катор Z Классифи катор K Классифи катор M Кластер 1 Кластер 2 Кластер 3 HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Кластер 1 Кластер 2 Кластер 3 HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Обнаружение аномалий Моделирование доверия Классификация Моделирование сущностей Моделирование отношений HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request ПОДТВЕРЖДЕН взлом (нескольких пользователей) ОБНАРУЖЕНА угроза (unique)
28.
28© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Примеры обнаружения угроз с помощью CTA
29.
29© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Обнаружение криптолокера Фев 25 Мар 1 Мар 21 Мар 24 Мар 25 Апр 4 Активность угрозы продолжает детектироваться CTA ! CTA обнаруживает AV удаляет троян AV сигнатура обновилась & троян удален Червь удален при ежедневном сканировании CryptoLocker подтвержден & ПК отправляется на переустановку < Вредоносное ПО действовало более 20 дней > Время AV удаляет червя & сигнатура устарела 1Пример
30.
30© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential ПОСТРАДАЛ winnt://emeauser1 Amazon.com, Inc LeaseWeb B.V. intergenia AG Qwest communication.. 95.211.239.228 85.25.116.167 54.240.147.123 54.239.166.104 63.234.248.204 54.239.166.69 63.235.36.156 54.240.148.64 6 Http traffic to ip addr… 6 Http traffic to ip addr… 6 Http traffic to ip addr… 6 Http traffic to ip addr… Activities (8) Domain (8) IPs (8) Autonomous systems (5) 9 Url string as comm… 9 Url string as comm… 6 Http traffic to ip addr… 6 Http traffic to ip addr… 95.211.239.228 85.25.116.167 54.239.166.69 63.235.36.156 54.240.148.64 54.240.147.123 54.239.166.104 Amazon.com Tech Tel… 63.234.248.204 1Пример http://95.211.239.228/MG/6XYZCn5dkOpx7yzQbqbmefOBUM9H97ymDGPZ+X8inI56FK/0XHGs6uRF5zaWKXZxmdVbs 91AgesgFarBDRYRCqEi+a8roqlRl77ZucRB4sLOlkpoG5d44OZ95VO6pVjtKVAj0SIOXHGFTr7+w5jqe46Kz4//NDHGJw6 C2L2hCLEExuNJaeA9wtSRmOgxVg9NhpJXK7oD8dTDoGOD46zWaWDDpQ9zNdmhNtmOfeWA3xxgZ9KzDpd7SVUnz ATdD3E1USpWmkpsYsGkTE8fVQ692WQd8h2cRp+KHDg8F2ECZlcDXGOPQPU9TrWFw… Зашифрованный Command & Control 9 УГРОЗА 100% уверенность
31.
31© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1Пример Локальный контекст Впервые обнаружен в вашей сети 11 марта 2015, а последний раз 14 апреля 2015. Всего 3 пользователя демонстрировали аномальное поведение за последние 45 дней. Глобальный контекст Также обнаружено в 5+ других компаниях, где пострадало 10+ других пользователей. Угроза связана с семейством Zeus Trojan, которое имеет сложную структуру и большие возможности, например, функции руткита для скрытия своего присутствия, а также использует разные механизмы C2. Zeus часто используется для отслеживания активности пользователя и кражи информации за счет перехвата ввода с клавиатуры и анализа форм. Zeus моет быть также использовать для установки CryptoLocker для кражи данных. Просканируйте вашу сеть и переустановите ОС/ПО на скомпрометированных узлах. 9 УГРОЗА 100% уверенность ПОСТРАДАЛО 3 пользователя
32.
32© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Число пострадавших пользователей в месяц Malvertising BotNet Cisco обнаружила 4000+ вариантов расширения для браузера (add-on)! Malvertising для браузера собирает данные, используемые для продажи Регулярно обновляемый код и интересная бизнес-модель 17511170 Компаний Месяцев 886,646 пользователей Узлов пострадало Ноябрь, 2014 Источник: Cisco Security Research Июнь, 2014 # пострадавших в месяц 2Пример
33.
33© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential IPs (3)Activities (5) Domain (10) Autonomous systems (0) 54.68.144.135 54.69.230.10 54.68.109.54anomalous http traf…7 7 anomalous http traf… 7 Url string as comm… 7 Url string as comm… veterance.com veterances.net Getjpi77.info probookmynew.us skyfunnjobbest.info Versiontraffic.com filehelper.co.il appzappzappz.com 2Пример hXXp://getjpi77.info/sync2/?q=hfZ9oeZHrjYMCyVUojC6qGhTB6lKDzt4ok8gtNtVh7n0rjnEpjwErjrGrHrEtMFHhd9Fqda4rj aFqTr6qjaMDMlGojUMAe4UojkFrdg5rjwEqjnGrTw5pjY4qHYMC6qUojk7pdn5rHY9pdUHqjwFrdUGqTCMWy4ZBek0nMl HDwmPC7qLDe49nfbEtMZPhd99qdg5qHn5qHk5rdUErjg4rHkGtM0HAen0qTaFtMVKC6n0rTwMgNr0rn%3D%3D&amse =hs18&xname=BestDiscountApp hXXp://getjpi77.info/sync2/?q=ext=hs18&pid=777&country=MX®d=140910132330&lsd=140910163750&ver=9&ind=5 106811054221898978&ssd=5684838489351109267&xname=BestDiscountApp&hid=4468748758090169352&osid=601 &inst=21&bs=1%3D%3D&amse=hs18&xname=BestDiscountApp Зашифрованный Command & Control ПОСТРАДАЛ winnt://emeauser26 УГРОЗА 100% уверенность
34.
34© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Червь Qakbot Постоянно адаптировался для обхода защитных механизмов Появился в 2011, а в 2014 появился вновь 500,000+ зараженных ПК & большой доход у мошенников Способность руткита для скрытия своего присутствия, может распространяться через расширенные локальные ресурсы и отчуждаемые носители Кража данных пользователей и паролей, может отслеживать пользовательскую активность или устанавливать другой вредоносный код 3Пример
35.
35© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Amazon.com, Inc RCS & RDS SA Unified Layer bnhrtqbyaujiujosnevtvn.info ehawgbpcjefdjzxohshnmu.com hwtmnipazuwtghl.biz ibxyfokmjbxyfqikjiis.org iyulawjlxbltrsut.com julfmuljitllgtnop.biz kkgjxxpt.biz qfvkuoiasjqbmqrwx.info vmdekoznnkqmerkch.net wqdiulsyylepifnbkyatwqcr.com olbkpxtpgckuoaharw.biz vwnlzeuaaygbgahiwrmxsp.biz rgfxyewwsvtaobjbdlxc.infio Activities (10) Domain (18) IPs (7) Autonomous system (4) 9 8 8 8 8 8 8 5.2.189.251 86.124.164.25 54.72.9.51 69.89.31.210 74.220.207.180 Communication to automatically gener Communication to automatically gener Communication to automatically gener Communication to automatically gener Communication to automatically gener Communication to automatically gener Communication to automatically gener 3Пример ПОСТРАДАЛ winnt://emeauser39 УГРОЗА 100% уверенность
36.
36© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4Пример Локальный контекст Впервые обнаружен в вашей сети 15 марта 2015, а последний раз 17 апреля 2015. Всего 1 пользователей демонстрировал аномальное поведение за последние 45 дней. Глобальный контекст Также обнаружена в 5+ других компаниях, где пострадало 5+ других пользователей. Угроза связана с Dridex. Обычно распространяемый через спам, Dridex – это банковский троян, основная цель которого красть конфиденциальную информацию относительно онлайн-банкинга и других платежных систем. Троян взаимодействует с C2-сервером с помощью HTTP, P2P или I2P. Просканируйте вашу сеть и переустановите ОС/ПО на скомпрометированных узлах. ПОСТРАДАЛ 1 user9 УГРОЗА 100% уверенность
37.
37© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9 9 9 9 9 9 9 9 9 9 9 9 9 54.83.43.69 95.211.239.228 85.25.116.167 178.162.209.40 188.138.1.96 94.242.233.162 184.107.255.138 193.105.134.63 79.103.160.138 Amazon.com, Inc LeaseWeb B.V. intergenia AG root SA iWeb Technologies Inc. Portlane Networks AB Telenor Norge AS qcnbmfvglhxlrorqolfxaeh.org 95.211.239.228 85.25.116.167 retufator.com 188.138.1.96 krjbjccop.com 94.242.233.162 184.107.255.138 193.105.134.63 79.103.160.138 Anomalous http traffic Commination to automatically ge… Commination to automatically ge… Http traffic to ip address (no domain… Http traffic to ip address (no domain… Url string as communication channel Http traffic to ip address (no domain Url string as communication channel Url string as communication channel Url string as communication channel Anomalous http traffic Commination to automatically ge… Url string as communication channel Activities (14) Domain (10) IPs (10) Autonomous systems (7) 88.208.57.103 4Пример ПОСТРАДАЛ winnt://emeauser49 УГРОЗА 100% уверенность
38.
38© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Место CTA в среде заказчика
39.
39© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Cisco WSA (Web Security Appliance) Внешняя телеметрия (BlueCoat Sec. GW) Cisco CWS (Cloud Web Security) Cisco Cognitive Threat Analytics (CTA) Confirmed Threats Detected Threats Threat Alerts Реагирование на инциденты HQ STIX / TAXII API CTACTACTA SIEMs: Splunk, ArcSight, Q1 Radar, ... HQ Web Security Gateways Cloud Web Security Gateways CTA a-la-carte ATD bundle = CTA & AMP WSP bundle = CWS & ATD CTA a-la-carte CTA a-la-carte Логи Web (входная телеметрия) Обнаружение взломов & Видимость сложных угроз Архитектура Cognitive Threat Analytics
40.
40© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA как часть вашей стратегии безопасности 3. CTA делает ваш SIEM еще «умнее» 1. CTA превращает ваш proxy в сенсор безопасности 2. CTA помогает вам уменьшить время реакции на взлом/заражение/компрометацию
41.
41© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA превращает ваш proxy в сенсор ИБ Server IP | URL | User | Rule Action |…. 75.82.2.16 | www.xydsdd.com/ | oskiemk | Blocked | 78.84.3.16| www.xproex.com/ | jsmith | Allow| 75.82.2.16| www.cnn.com/new| pjames | Allow| 75.82.2.16| www.tripcost.com/ | Mozilla | Blocked | 75.82.2.16| www.78.87.53.16/ | Mozilla | Blocked | 75.82.2.16| www.xydsdd.com/ | Mozilla | Blocked | 75.82.2.16| www.xydsdd.com/ | Mozilla | Allowed | 75.82.2.16| www.xydsdd.com/ | Mozilla | Blocked | 75.82.2.16| www.xydsdd.com/ | Mozilla | Blocked | 75.82.2.16| www.xydsdd.com/ | Mozilla | Blocked | 75.82.2.16| www.xydsdd.com/ | Mozilla | Blocked | 75.82.2.16| www.seznam.com/ | Mozilla | Allow | 75.82.2.16| www.google.com/ | Internet Exp. | Allow| 75.82.2.16| www.xydsdd.com/ | Mozilla | Blocked | CTA Context Advanced Correlation Long term modeling Anomaly Detection ЧТО&КОГДА
42.
42© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Превратить Web Proxy в сенсор безопасности CWS WSAW W W Экспорт телеметрии из решений третьих фирм Расширить существующие инвестиции в Cisco Других решений по ИБ Blue Coat
43.
43© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Реагирование на угрозы
44.
44© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Подтвержденные взломы: Автоматическое создание тикета, используя существующий SIEM для команды на очистку или переустановку ПК Процесс реагирования Фильтрация через GUI или интеграция с TAXII Подозреваемые взломы и целевые атаки: Комбинация высокого риска и высокой уверенности с подозреваемой утечкой данных может быть эскалирована на аналитиков 3-го уровня поддержки для ручного анализа
45.
45© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA: что происходит после обнаружения IPS ISE ИТ-служба CTA AMP For Endpoint SIEM AMP For Endpoint Обнаружение угрозы Немедленная реакция Финальная реакция Быстрота и автоматизация Цель: блокировать каналы, по которым работает ВПО для предотвращения утечки данных Тщательность и адаптация Цель: понять причину и источник, оценить потери, обновить политики
46.
46© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA: Обнаружение C2 10мин Обнаружение угрозы Немедленная реакция Финальная реакция
47.
47© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential ISE: Карантин пользователя 15мин Обнаружение угрозы Немедленная реакция Финальная реакция
48.
48© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential AMP4E: Блокирование C2-канала 20мин Обнаружение угрозы Немедленная реакция Финальная реакция
49.
49© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential AMP4E: Поиск файлов, генерящих C2 20мин Обнаружение угрозы Немедленная реакция Финальная реакция
50.
50© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential AMP4E: Блокирование ВПО Unknow n 30мин Обнаружение угрозы Немедленная реакция Финальная реакция
51.
51© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential AMP4E+SIEM: разбор полетов 1 день Ошибка пользователя? Уязвимое приложение? Новый эксплойт? Обнаружение угрозы Немедленная реакция Финальная реакция
52.
52© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Связь CTA с другими решениями по ИБ
53.
53© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential CTA дополняет портфолио Cisco 10 миллиардов запросов ежедневно 20k взломов ежедневно 10 взломов @ 1000 seats еженедельно Обнаружение аномалий (машинное обучение) FW/NGFW NGIPS Антивирус Репутация/Правила Политика/Патчи Web Security CTA
54.
54© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Web Reputation Web Filtering Application Visibility & Control CTA для Cisco Web Security (CWS / WSA)Talos Отчеты Управление Allow Warn Block Partial Block Админ STIX / TAXII (APIs) CTA Cognitive Threat Analytics Anti- Malware File Reputation Webpage Outbreak Intelligence После www. websit e. co m Dynamic Malware Analysis File Retrospection
55.
55© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Сила – в комбинации технологий AV+IDS Sandbox CTA Strategy Усилия по обходу
56.
56© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Подводим итоги
57.
57© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Пользователи видят результат “CTA закрыл у нас дыру в безопасности. Он помог на найти множество инфицированных машин.” -- Нефтегазовая индустрия “Посмотрели на новый интерфейс… вы проделали феноменальную работу!” -- Фармацевтическая компания “CTA определяет APT и аномалии в дополнение к существующим инструментамas (CWS & защите ПК).” -- Логистическая компания “Мы использовали результаты работы CTA для нейтрализации продвинутых угроз.” -- Химическая индустрия “Безсигнатурный анализ дает интересную перспективу.” -- Глобальная ИТ- и сервисная компания “Информация чере STIX/TAXIIAPI в наш SIEM помогла нашему SoC.” -- Глобальный ритейл-бренд
58.
58© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential С CTA вы получаете… Рост видимости Контроль коммуникаций с серверами C2 для идентификации угроз Обнаружение аномалий Быстрая идентификация угроз в трафике, используя расширенную аналитику и моделирование Снижение времени устранения (TTR) Получение уведомлений о подтвержденных угрозах
59.
59© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Что надо сделать дальше? • Получить учетную запись CTA • Связать CWS/WSA или BlueCoat с CTA • Протестировать решение в течение 45 дней и получить отчет о найденных проблемах • Интегрироваться с вашим SIEM Протестировать Узнайте как CTA может помочь вашей организации обнаруживать и локализовывать инциденты Изучить больше
60.
60© 2015
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
Jetzt herunterladen