Блог Джо Маленфанта (Joe Malenfant), менеджера компании Cisco по продвижению продуктов на платформе Threat Grid
3 ноября компания Cisco объявила о расширении своей стратегии повсеместной безопасности (Cisco Security Everywhere) с помощью новых решений и услуг , призванных помочь заказчикам более эффективно осуществлять мониторинг, контроль и учет контекста для облачных сред, вычислительных сетей и оконечных устройств. Для организаций эти новые возможности имеют огромное значение, позволяя получать детальную информацию о состоянии компьютерных систем. Что особенно важно, отныне можно осуществлять мониторинг не только систем Windows, но и устройств Mac, мобильных устройств, виртуальных машин и систем Linux.
Решение Cisco AMP для оконечных устройств (AMP for Endpoints) теперь имеет выделенный интерфейс для соединения с Linux. Атаки против центров обработки данных набирают силу. Поскольку корпоративные ЦОД, как правило, содержат чрезвычайно важную конфиденциальную информацию и обслуживают критически важные бизнес-приложения, можно представить, насколько внимательно организациям необходимо следить за этими векторами атак и с максимальной быстротой и эффективностью обеспечивать предупреждение, обнаружение, оценку, сдерживание и восстановление после целенаправленных нападений. Интерфейс для соединения с Linux будет работать с системами RHEL 6.5 и 6.6, а также CentOS 6.4, 6.5 и 6.6. Эта возможность будет доступна всем заказчикам систем AMP, а также заказчикам, имеющим действующую лицензию ELA v4.
Анализ вредоносного ПО: от периметра сети до оконечных устройств
Расширение сферы применения технологий AMP Threat Grid, обеспечивающих улучшенный анализ вредоносного кода и аналитическую информацию о киберугрозах, стало очень важным событием в сфере ИБ.
Cisco интегрировала возможности решения AMP Threat Grid в свои МСЭ серии ASA с функциями FirePower, в системы предотвращения вторжений нового поколения FirePower Ngips и в решение AMP for Networks. Теперь эти платформы могут использовать всю мощь технологий Threat Grid для анализа вредоносного кода. Данные улучшения стали результатом долгой подготовительной работы. Она началась летом 2014 года, когда Cisco приобрела компанию ThreatGRID. К январю 2015 года технологии ThreatGrid были интегрированы в решение AMP для оконечных устройств (AMP for Endpoints). Следующий важный рубеж был пройден летом текущего года, когда возможности AMP Threat Grid по реализации изолированных сред («песочниц») были добавлены к возможностям решений Cisco для безопасности электронной почты и интернет-трафика. Теперь, всего несколько месяцев спустя, с помощью единой платформы AMP Threat Grid компания Cisco претворяет в жизнь свое видение комплексной реализации изолированных сред на всем протяжении сети — от периметра до оконечных устройств. Это, несомненно, чрезвычайно важная веха, имеющая огромное значение для всех пользователей данной платформы.
Поскольку Threat Grid представляет собой облачную платформу, пользователи могут получить доступ к информации обо всех потенциально вредоносных образцах, занесенных в базу данных (кроме частных образцов, имеющих закрытый статус). Специалисты служб ИБ теперь могут изучать любые существующие в мире киберугрозы. Это предоставляет всем пользователям чрезвычайно важные преимущества, обусловленные применением совместной аналитической информации о киберугрозах и ситуационной осведомленности о вредоносном ПО.
Информацию в базе данных AMP Threat Grid можно искать по 25 различным критериям. К примеру, пользователи при желании могут получить сведения о наиболее распространенных поведенческих индикаторах (эти индикаторы подобны индикаторам компрометации, но базируются на шаблонах поведения, а не на сигнатурах) или об IP-адресах, обслуживающих новейшее вредоносное ПО.
Кроме того, интеграция значительно облегчает жизнь организациям, вынужденным работать одновременно со многими поставщиками решений ИБ. Порой бывает так, что организации пользуются услугами 30-90 вендоров. Само собой, это требует невообразимых усилий по обслуживанию и поддержке. С помощью своих интегрированных технологий безопасности, обеспечивающих защиту на всем протяжении сети — от периметра до оконечных устройств, — Cisco может помочь решить проблему переусложненных и фрагментированных систем ИБ.
Решение AMP Threat Grid имеет в своем составе мощный API-интерфейс Rest API, который можно использовать для интеграции с существующими средствами безопасности. И не важно, что именно установлено в организации. Это может быть решение Guidance Software’s EnCase, автоматически отправляющее образцы в базу данных Threat Grid, или сканер Tenable’s Nessus, автоматически загружающий аналитическую информацию из AMP Threat Grid, или любая другая платформа от сторонних производителей, чья продукция поддерживаются решениями Cisco. Главное, чтобы в распоряжении организации имелись технологии Threat Grid (в виде устройства или услуги SaaS). В таком случае специалистам ИБ не придется тратить время на изучение и сопоставление множества отдельных отчетов о работе каждого решения. Решение AMP Threat Grid предоставляет общую аналитическую платформу для всей инфраструктуры ИБ.
32-битный и 64-битный анализ
Как правило, разработчики вредоносного ПО имеют серьезную финансовую заинтересованность. Именно поэтому такое широкое распространение получили программы-вымогатели, заражающие огромное количество систем для получения небольшой мзды с каждой зараженной системы. К примеру, широко известный эксплойт-набор Angler приносил своим создателям около 60 млн долларов США ежегодно. Само собой, разработчики вредоносного ПО будут продолжать охотиться за вашими деньгами. По мере того, как 64-битные системы становятся все более распространенными, естественным образом увеличивается и количество программ, созданных специально для них. Соответственно, будет расти и количество вредоносного ПО, предназначенного для заражения именно таких систем.
Решение AMP Threat Grid позволяет использовать среду 64-разрядных систем Windows для анализа потенциально вредоносного кода. Чтобы обеспечить точный анализ с полным учетом контекста, виртуальная среда заполняется стандартным ПО, и в ней воспроизводится работа настоящих оконечных устройств.
Технология Glovebox
В последнее время заметно выросло количество чрезвычайно изощренных видов вредоносного ПО, способных анализировать рабочее окружение и умело скрываться от средств обнаружения. Чтобы противодействовать этому, компания Cisco разработала технологию под названием Glovebox.
Как известно, для безопасной работы с опасными веществами используются специальные защищенные вытяжные шкафы с прозрачным экраном и встроенными перчатками-манипуляторами. Подобным же образом технология Glovebox позволяет пользователю безопасно взаимодействовать с вредоносным ПО в надежно изолированном виртуальном окружении. Некоторые виды вредоносного ПО терпеливо ждут, пока пользователь проявит какую-либо активность — например, откроет интернет-обозреватель или нажмет на диалоговое окно. Если подобные действия не будут замечены, то вредоносный код останется в скрытом состоянии, чтобы избежать обнаружения. Технология Glovebox позволяет пользователям безопасно взаимодействовать с вредоносным ПО и тщательно анализировать его поведение и намерения.