Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Нові функції Cisco Threat Grid

2018-09-19
Автор: Телесфера

Щомісяця команда, відповідальна за розвиток нашої хмарної пісочниці Cisco Threat Grid, додає в неї нові функції і можливості. Минуле літо не стало винятком, але ми змогли зробити дійсно ряд дуже цікавих оновлень, інформацією про які ми б хотіли поділитися.

Підтримка моделі даних MITRE ATT & CK

Модель даних ATT & CK (Adversarial Technics, Tactics & Common Knowledge), розроблена корпорацією MITRE, відомої і іншими своїми проектами (CVE, CWE і т.п.), є словником для опису поведінки зловмисників, їх методів і тактик, використовуваних в різних атаках. Він дозволяє краще зрозуміти дії хакерів і в ряді випадків, по набору класифікованих за допомогою ATT & CK індикаторів, провести атрибуцію зловмисників, зв'язавши їх з тими чи іншими групами або шкідливими кампаніями. Посилання на ідентифіковані тактики і техніки з'являються як в описі кожного поведінкового індикатора для будь-якого з аналізованих (або проаналізованих раніше) семплів, так і в звітах по них, в тому числі і в даних, що вивантажуються із хмари Cisco Threat Grid.


Зв'язок з моделлю даних ATT & CK

Конфіденційність

Однією з сильних сторін Cisco Threat Grid є його хмарна природа - всі замовники можуть отримувати користь від завантажень семплів, зроблених іншими. Однак є й очевидна проблема конфіденційності від завантаження семплу в хмару. Як знайти баланс між конфіденційністю наших замовників і вигодою від загального доступу до завантажених семплів? Тепер ми прибираємо будь-яку ідентифікаційну інформацію - навіть ім'я файлу - і не надаємо жодних засобів для завантаження чи іншого способу перегляду вмісту файлу; але при цьому ми показуємо хеш файлу, метадані та пов'язані з ним поведінкові індикатори. У наведеній нижче ілюстрації зверніть увагу, що параметри завантаження відсутні і доступні тільки метадані та індикатори компрометації.


Видалення інформації про користувача, який завантажив семпл

Щомісячна зведена звітність

Тепер користувачі можуть відразу бачити, як їх організація використовувала Cisco Threat Grid за минулий місяць - завантажені семпли, ким завантажені, рівень загрози і багато іншого. На дашборді показуються дані за останні 30 днів, але можна легко переглянути зведену статистику за кожен місяць, а також відстежувати тенденції з місяця в місяць.


Звіт з щомісячної активності

Повідомлення про помилкові спрацьовування

Бувають ситуації, коли аналіз файлу призводить до помилкового спрацьовування, - чистий файл позначається як шкідливий, а аналіз шкідливого не вказує нічого підозрілого. Тепер з'явилася можливість повідомити про помилкове спрацьовування в команду RET (Reseach and Eficacy), яка самостійно проведе аналіз файлу і внесе зміни в алгоритми поведінкового аналізу і індикатори компрометації.


Повідомлення про помилкові спрацьовування

Поліпшення графічного інтерфейсу

Ще раніше ми поліпшили графічний інтерфейс, щоб користувачі могли фокусуватися на ключових аспектах роботи з хмарною пісочницею, бачити ключові тенденції в завантажених семплах, - як своїх, так і по всій своїй організації. Крім того, кілька нових панелей тепер дозволяє побачити різні аспекти використовуваної платформи аналізу - джерела завантаження семплів (аналітики, Firepower, Email Security Appliance і т.п.), статус аналізу, рівень загрози, типи файлів, що завантажуються і ін.


Новий графічний інтерфейс

Крім того, ми оновили менеджер семплів, щоб користувачі могли бачити більше і глибше, як щодо окремих семплів, так і всіх семплів разом. За допомогою лівої панелі можна здійснювати вибірку та фільтрації семплів за різними параметрами - час, завантажувач семплу, рівень загрози, тип семплу і т.п., - результат чого показується в правій панелі. Вся ця інформація може бути вивантажена для оффлайн-аналізу.


Новий менеджер семплів

Облік дій користувача при аналізі

Шкідливі програми іноді перевіряють наявність користувацької активності для того, щоб визначити, чи не намагаються їх виявити антивірусні програми або інше ПЗ для забезпечення безпеки, особливо пісочниці. Якщо під час аналізу шкідливого файлу, ніякої активності користувача не спостерігається, то шкідлива функціональність не активується, що дозволяє обійти виявлення і залишитися шкідливому файлу непомітним. Ми додали в Cisco Threat Grid можливість емуляції різних видів користувача активності, щоб виявляти шкідливе ПЗ, що переховується від засобів захисту.


Різні варіанти дій користувачів

Інтеграція з Cisco Threat Response

Досить часто ми зустрічаємося з ситуацією, коли з одного боку у нас є купа логів і подій безпеки від різних засобів захисту, а з іншого ми отримуємо інформацію про погрози в рамках підписки на будь-який платний або безкоштовний сервіс Threat Intelligence (наприклад, від BI .ZONE, ГосСОПКІ або ФінЦЕРТ). З одного боку у нас купа даних для аналізу, але ми не знаємо, чи є в них сліди того, що ми шукаємо. З іншого боку, ми маємо інформацію про сліди (тобто індикатори компрометації), але не знаємо наскільки вони застосовні саме до мам. Нам потрібно об'єднати ці два набори даних, здійснивши те, що зазвичай називають Threat Hunting'ом або пошуком слідів атак в нашій інфраструктурі. Нещодавно ми випустили нове безкоштовне рішення Cisco Threat Response, яке допомагає автоматизувати цю задачу. Крім інтеграції з Cisco Umbrella Investigate, Cisco AMP for Endpoint, VirusTotal та інших, Cisco Threat Response може використовувати Cisco Threat Grid для аналізу індикаторів компрометації, використовуваних в рамках розслідування інцидентів.


Cisco Threat Response

Джерело: https://gblogs.cisco.com/ru/threatgridnewfeatures/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Кейси для застосування засобів аналізу мережевих аномалій: виявлення витоків

Кейси для застосування засобів аналізу мережевих аномалій: виявлення витоків
Cisco,cisco,cisco безпека,Блог Телесфера,Налаштування,Налаштування Cisco

На одному із заходів зав'язалася у мене цікава дискусія на тему корисності рішень класу NTA (Network Traffic Analysis), які за отриманою з мережевої інфраструктури телеметрії Netflow (чи інших flow-протоколів) дозволяє виявляти широкий спектр атак.

Cisco представила рішення для прискорення додатків в мультихмарних середовищах

Cisco представила рішення для прискорення додатків в мультихмарних середовищах
Cisco,Cisco Network,cisco,cisco безпека,Налаштування,Налаштування Cisco,новини

На конференції Cisco Live 2020 компанія зробила ряд анонсів і представила нові рішення, які покликані допомогти бізнесу маштабуватися, підтримувати інформаційну безпеку і прискорювати процеси цифрової трансформації.

Складно, вразливо, недоналаштовано: кіберзагрози 2020

Складно, вразливо, недоналаштовано: кіберзагрози 2020
Cisco,Cisco Network,cisco,cisco безпека,Блог Телесфера,Налаштування Cisco,Послуги Телесфера Інтеграція

Технології розвиваються і ускладнюються рік за роком, а разом з ними удосконалюються методики атак. Сучасні реалії вимагають онлайн-додатків, хмарних сервісів і платформ для віртуалізації, тому вже не вийде сховатися за корпоративним файрволом - і не висовувати носа в «небезпечний інтернет».