Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Нові функції Cisco Threat Grid

2018-09-19
Автор: Телесфера

Щомісяця команда, відповідальна за розвиток нашої хмарної пісочниці Cisco Threat Grid, додає в неї нові функції і можливості. Минуле літо не стало винятком, але ми змогли зробити дійсно ряд дуже цікавих оновлень, інформацією про які ми б хотіли поділитися.

Підтримка моделі даних MITRE ATT & CK

Модель даних ATT & CK (Adversarial Technics, Tactics & Common Knowledge), розроблена корпорацією MITRE, відомої і іншими своїми проектами (CVE, CWE і т.п.), є словником для опису поведінки зловмисників, їх методів і тактик, використовуваних в різних атаках. Він дозволяє краще зрозуміти дії хакерів і в ряді випадків, по набору класифікованих за допомогою ATT & CK індикаторів, провести атрибуцію зловмисників, зв'язавши їх з тими чи іншими групами або шкідливими кампаніями. Посилання на ідентифіковані тактики і техніки з'являються як в описі кожного поведінкового індикатора для будь-якого з аналізованих (або проаналізованих раніше) семплів, так і в звітах по них, в тому числі і в даних, що вивантажуються із хмари Cisco Threat Grid.


Зв'язок з моделлю даних ATT & CK

Конфіденційність

Однією з сильних сторін Cisco Threat Grid є його хмарна природа - всі замовники можуть отримувати користь від завантажень семплів, зроблених іншими. Однак є й очевидна проблема конфіденційності від завантаження семплу в хмару. Як знайти баланс між конфіденційністю наших замовників і вигодою від загального доступу до завантажених семплів? Тепер ми прибираємо будь-яку ідентифікаційну інформацію - навіть ім'я файлу - і не надаємо жодних засобів для завантаження чи іншого способу перегляду вмісту файлу; але при цьому ми показуємо хеш файлу, метадані та пов'язані з ним поведінкові індикатори. У наведеній нижче ілюстрації зверніть увагу, що параметри завантаження відсутні і доступні тільки метадані та індикатори компрометації.


Видалення інформації про користувача, який завантажив семпл

Щомісячна зведена звітність

Тепер користувачі можуть відразу бачити, як їх організація використовувала Cisco Threat Grid за минулий місяць - завантажені семпли, ким завантажені, рівень загрози і багато іншого. На дашборді показуються дані за останні 30 днів, але можна легко переглянути зведену статистику за кожен місяць, а також відстежувати тенденції з місяця в місяць.


Звіт з щомісячної активності

Повідомлення про помилкові спрацьовування

Бувають ситуації, коли аналіз файлу призводить до помилкового спрацьовування, - чистий файл позначається як шкідливий, а аналіз шкідливого не вказує нічого підозрілого. Тепер з'явилася можливість повідомити про помилкове спрацьовування в команду RET (Reseach and Eficacy), яка самостійно проведе аналіз файлу і внесе зміни в алгоритми поведінкового аналізу і індикатори компрометації.


Повідомлення про помилкові спрацьовування

Поліпшення графічного інтерфейсу

Ще раніше ми поліпшили графічний інтерфейс, щоб користувачі могли фокусуватися на ключових аспектах роботи з хмарною пісочницею, бачити ключові тенденції в завантажених семплах, - як своїх, так і по всій своїй організації. Крім того, кілька нових панелей тепер дозволяє побачити різні аспекти використовуваної платформи аналізу - джерела завантаження семплів (аналітики, Firepower, Email Security Appliance і т.п.), статус аналізу, рівень загрози, типи файлів, що завантажуються і ін.


Новий графічний інтерфейс

Крім того, ми оновили менеджер семплів, щоб користувачі могли бачити більше і глибше, як щодо окремих семплів, так і всіх семплів разом. За допомогою лівої панелі можна здійснювати вибірку та фільтрації семплів за різними параметрами - час, завантажувач семплу, рівень загрози, тип семплу і т.п., - результат чого показується в правій панелі. Вся ця інформація може бути вивантажена для оффлайн-аналізу.


Новий менеджер семплів

Облік дій користувача при аналізі

Шкідливі програми іноді перевіряють наявність користувацької активності для того, щоб визначити, чи не намагаються їх виявити антивірусні програми або інше ПЗ для забезпечення безпеки, особливо пісочниці. Якщо під час аналізу шкідливого файлу, ніякої активності користувача не спостерігається, то шкідлива функціональність не активується, що дозволяє обійти виявлення і залишитися шкідливому файлу непомітним. Ми додали в Cisco Threat Grid можливість емуляції різних видів користувача активності, щоб виявляти шкідливе ПЗ, що переховується від засобів захисту.


Різні варіанти дій користувачів

Інтеграція з Cisco Threat Response

Досить часто ми зустрічаємося з ситуацією, коли з одного боку у нас є купа логів і подій безпеки від різних засобів захисту, а з іншого ми отримуємо інформацію про погрози в рамках підписки на будь-який платний або безкоштовний сервіс Threat Intelligence (наприклад, від BI .ZONE, ГосСОПКІ або ФінЦЕРТ). З одного боку у нас купа даних для аналізу, але ми не знаємо, чи є в них сліди того, що ми шукаємо. З іншого боку, ми маємо інформацію про сліди (тобто індикатори компрометації), але не знаємо наскільки вони застосовні саме до мам. Нам потрібно об'єднати ці два набори даних, здійснивши те, що зазвичай називають Threat Hunting'ом або пошуком слідів атак в нашій інфраструктурі. Нещодавно ми випустили нове безкоштовне рішення Cisco Threat Response, яке допомагає автоматизувати цю задачу. Крім інтеграції з Cisco Umbrella Investigate, Cisco AMP for Endpoint, VirusTotal та інших, Cisco Threat Response може використовувати Cisco Threat Grid для аналізу індикаторів компрометації, використовуваних в рамках розслідування інцидентів.


Cisco Threat Response

Джерело: https://gblogs.cisco.com/ru/threatgridnewfeatures/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Десять прогнозів на ринку IoT на 2019 рік

Десять прогнозів на ринку IoT на 2019 рік
IoT,новини,Налаштування

Згідно із прогнозом аналітиків ринку, в 2019 році світові витрати на Інтернет речей досягнуть 745 млрд дол., з'являться нові можливості для розробки додатків з штучним інтелектом на кордоні IoT-мережі, для вирішення конкретних проблем і використання нових досягнень в області датчиків. Це лише деякі з прогнозів розвитку ринку IoT в новому році виходячи з того, що говорять керівники компаній і технічні фахівці, з якими спілкувався CRN, а також останні звіти про дослідження.

Чекліст для боротьби з фішингом

Чекліст для боротьби з фішингом
Cisco,Cisco Network,cisco,Налаштування Cisco,Блог Телесфера,cisco безпека

80% успішних атак починається з фішингу (а хтось вважає, що і зовсім 95%) 10% сигналів тривоги в більшості SOC пов'язано з фішинговими атаками Рейтинг успішних кліків на фішингові посилання - 21% Рейтинг завантаження/запуску шкідливих вкладень - 11%

Серія Catalyst IE3400 Heavy Duty: Cisco Catalyst, створений для самих складних умов

Серія Catalyst IE3400 Heavy Duty: Cisco Catalyst, створений для самих складних умов
Cisco,Cisco Network,cisco,Налаштування,Налаштування Cisco,новини

Ви хочете розширити можливості підключення за межі офісу? У такі місця, як фабрики, шахти, стадіони або ферми? У місцях з наявністю пилу, води або екстремальних температур?