Анализируйте потоки данных с помощью Cisco Encrypted Traffic Analytics

22.01.2019

Почти половина кибер атак сегодня маскируются в зашифрованном трафике, и их число постоянно растет. Используя для анализа потоков данных интеллектуальные средства Cisco Talos и машинное обучение, сеть способна определять сигнатуры известных атак даже в зашифрованном трафике, не расшифровывая его и сохраняя конфиденциальность данных. Cредства Cisco позволяют выявлять угрозы в зашифрованном трафике с высокой точностью при низком уровне ложных срабатываний.

 

 

Этим решением является Cisco Encrypted Traffic Analytics (ETA) - это решение позволяет обнаружить вредоносное ПО и вредоносную активность в шифрованном трафике без его дешифрования. Оно может информировать службу безопасности о подобном событии, что позволяет выполнить защитное действие «одним щелчком мыши» или автоматически ввести в действие интеллектуальный карантин скомпрометированного устройства. Например, это решение может изменить группу безопасности (SGT) для ограничения доступа к некоторому критически важному ресурсу, пока оператор не убедится, что опасная ситуация успешно устранена, и только после этого вернет «обычные» права доступа.

 

Традиционные средства мониторинга потоков позволяют получить высокоуровневое представление о передаваемой по сети информации с помощью отчетов об адресах, портах, количестве байтов и пакетов в потоке. Кроме того, система мониторинга потоков позволяет выполнять сбор, хранение и анализ внутрипотоковых метаданных или информацию о событиях, которые происходят внутри потока. Эти данные особенно важны в случае, когда трафик зашифрован, так как при таких обстоятельствах глубокое инспектирование пакетов неэффективно. Технология Encrypted Traffic Analytics позволяет извлечь такие внутрипотоковые метаданные с помощью новых типов элементов данных и телеметрии, например, информации о длине сообщений и времени их прибытия внутри потока. Эти элементы данных можно одинаково эффективно применять как к шифрованным, так и к дешифрованным примерам вредоносных потоков.

 

Cisco ETA совместно использует контекстные данные о сетевых данных и интеллектуальную базу данных Talos об угрозах. Это позволяет идентифицировать вредоносное ПО в шифрованном трафике. В ходе данного процесса выполняется логическая обработка данных при использовании различных источников данных – без дешифрования и инспектирования содержимого трафика. То есть конфиденциальность обеспечивается непрерывно.

 

Основные элементы ETA:

 

Flexible Netflow

В архитектуре NetFlow данные (в виде наборов записей) передаются из модуля экспорта данных в модуль сбора данных. Каждая запись в наборе данных имеет одинаковый формат, который определяется шаблоном. Запись данных содержит несколько информационных элементов NetFlow или «полей», каждому из которых назначается конкретное значение идентификатора. Значения идентификаторов для информационных элементов можно глобально определить и архивировать в организации Internet Assigned Numbers Authority (IANA). Либо они могут быть уникальными для предприятия и определяться по-своему в организациях.

 

Stealthwatch с Cognitive Analytics

В Cisco Stealthwatch используются NetFlow, прокси-серверы, средства телеметрии конечных точек, обработчики политики и доступа, инструменты сегментации трафика и проч. Все это обеспечивает базовое «нормальное» поведение для хостов и пользователей в пределах предприятия. Благодаря интеграции с модулем Cognitive Analytics (облачной системы аналитики), Stealthwatch может коррелировать трафик с глобальным поведением угроз для автоматической идентификации инфицированных хостов, средств управления и контроля взаимодействия по сети, а также подозрительного трафика.

 

Cognitive Analytics создает и «ведет» глобальную карту рисков. То есть очень широкий поведенческий профиль о серверах в Интернете, позволяющий идентифицировать серверы, которые связаны с атаками, могут эксплуатироваться или использоваться в ходе атак в будущем. Таким образом, это не обычный черный список, а целостная картина с точки зрения безопасности. Cognitive Analytics анализирует новые шифрованные элементы информации о трафике в расширенном модуле NetFlow с помощью средств машинного обучения и статистического моделирования. Глобальная карта рисков и элементы данных Encrypted Traffic Analytics взаимодополняют друг друга в системе аналитики Cognitive Analytics. Вместо дешифрования трафика, Stealthwatch с Cognitive Analytics используют алгоритмы машинного обучения для точного выявления вредоносных шаблонов в шифрованном трафике, что позволяет идентифицировать угрозы и качественно улучшать процесс реагирования на инциденты.

 

Консоль управления Stealthwatch (SMC)

На информационной панели Security Insight на консоли управления Stealthwatch (SMC) отображаются данные о «скомпрометированных» пользователях с указанием типа риска, идентифицированного модулем Cognitive Analytics. Расширенная информационная панель Cognitive Analytics выводит подробную информацию об опасной эскалации рисков и вероятных угрозах.

 

Для внедрения этого решения необходимо соответствующее оборудование, ПО и набор лицензий, приведенные ниже.

 

 

Источник: cisco.com

 

Please reload