Cisco Umbrella
 
Cisco Umbrella jest usługą chmurową, która realizuje pierwszą linię obrony przed atakami i zagrożeniami w sieci Internet. Ukierunkowana jest na ochronę przed złośliwym oprogramowaniem (ang. malware), wyłudzaniem informacji (ang. phishing) i wywołaniami zwrotnymi do zdalnej kontroli (ang. C&C - command-and-control). 
 
Dzięki pakietowi Cisco Umbrella Roaming do klienta Cisco AnyConnect (dla Microsoft Windows i Mac OS X) istnieje możliwość zapewnienia ochrony nawet wtedy, gdy użytkownicy pracują poza bezpieczną siecią organizacji bez nawiązanego do niej połączenia VPN.
 
Cisco Umbrella obsługuje także szyfrowanie ruchu DNS, dzięki czemu zabezpiecza przed podsłuchiwaniem zapytań przez dostawców usługi internetowej, zapewniając nam większą poufność.
 

Usługa Cisco Umbrella sprzedawana jest w formie pakietów subskrypcji dla określonej ilości urządzeń o określonej funkcjonalności. Zainteresowanych zakupem lub zakupem i wdrożeniem Cisco Umbrella This email address is being protected from spambots. You need JavaScript enabled to view it..

Około 70% włamań ma swój początek na urządzeniach końcowych.1 Powodem tego jest coraz większa ilość pracowników, którzy coraz więcej pracują na urządzeniach poza dobrze chronioną siecią organizacji. Zwykły antywirus na urządzeniu końcowym to dziś za mało. Aż 65% organizacji twierdzi, że stało się ofiarą cyberataku pomimo posiadania narzędzi zapobiegawczych.2 Ponadto, aż 55% organizacji nie jest w stanie ustalić przyczyny włamania3, a średni czas wykrycia takiego zdarzenia sięga nawet 100 dni4. Pomimo ostrzeżeń i ciągłych szkoleń, użytkownicy ciągle są najbardziej podatnym elementem systemu IT.  Aż 48% atakujących omija zabezpieczenia wykorzystując ich błędy.5

Integracja z zewnętrznymi systemami
 
Cisco Umbrella to najłatwiejsze i najszybsze do wdrożenia rozwiązanie bezpieczeństwa, które łatwo integruje się z działającymi już rozwiązaniami bezpieczeństwa na brzegu sieci i serwerami DNS. Ma też otwarte API, dzięki czemu umożliwia automatyzację i możliwość dodatkowego oprogramowania.
 
Wzbogacenie pierwszej linii ochrony o dodatkowe źródła można osiągnąć poprzez integrację z m.in. AlienVault, Check Point, Cisco AMP Threat Grid, Palo Alto Networks, FireEye, ThreatConnect, ThreatQ i ZeroFOX. Poniżej można zobaczyć zablokowane przez Cisco Umbrella połączenie na skutek informacji otrzymanej od Cisco AMP Threat Grid.
 
 

Dzięki możliwości integracji Cisco Umbrella z usługą Microsoft Active Directory, istnieje możliwość konfiguracji polityk w oparciu o przynależność do grup. Dodatkowo we wszelkich raportach zamiast niewiele mówiących nam adresów IP, pojawią się pełne nazwy użytkowników, co widać na załączonych obrazkach. Poniżej zostało pokazane zablokowane połączenie kontrolne do stacji zarządzającej siecią botnet.

 

Ochrona jaką zapewnia Cisco Umbrella to nie wszystko. Bardzo dużą zaletą rozwiązania jest interfejs, który umożliwia wygodną lokalizację incydentów i możliwości generowania bardzo różnych i rozbudowanych statystyk oraz raportów.

Dzięki wbudowanej obsłudze inteligentnego proxy, Cisco Umbrella może kooperować z AMP (Advanced Malware Protection), przekierowując do dogłębnej analizy tylko niepewne połączenia. Dzięki takiemu podejściu większość ruchu bez zbędnych opóźnień dociera lub jest blokowana.


Wykrywanie działających aplikacji

Na podstawie aktywności ruchu DNS dostajemy wgląd w wykorzystywane przez użytkowników aplikacje. Widać do jakiego rodzaju portali łączą się poszczególni użytkownicy, jaki jest dla nich stopniem ryzyka oraz ile z tych zapytań jest blokowane. Dane takie pozwalają lepiej dopracować politykę dla poszczególnych grup pracowników, która brać może pod uwagę nawet lokalizację pracownika.
 
Dla przykładu, wybranej grupie użytkowników na terenie organizacji możemy zablokować stron hazardowe i z grami, a próby wejścia na takie strony mogą zostać przekierowane na stronę z odpowiednio przygotowaną treścią.
 

Po wybraniu odpowiedniej kategorii, można zobaczyć ilość użytkowników którzy korzystają z poszczególnych portali. Liczbę tą widać poniżej w kolumnie Identities, gdzie został wydrukowany raport dla kategorii Games. Po kliknięciu w tą liczbę można zobaczyć nazwy wszystkich pracowników.
 

Obszerne i dokładne raporty

Istnieje także możliwość przeszukiwania zebranych informacji, generowania bardzo rozbudowanych raportów w oparciu o interesujące nas informacje oraz eksportu tych danych na zewnątrz. Niżej znajduje się przykładowy raport, który został zawężony o zablokowane połączenia.
 


Dogłębna analiza i obsługa wykluczeń
 

Na koniec nie można zapomnieć o możliwości zweryfikować przyczyny zablokowania danej domeny lub adresu IP. Służy do tego Cisco Umbrella Investigate, który w skali całej sieci Internet jest w stanie powiązać informacje o złośliwym zachowaniu z domenami i adresami IP, a także wyłapać nazwy domenowe, które co kilka sekund lub minut zmieniają obsługiwany adres IP.

Interfejs Cisco Umbrella daje możliwość tworzenie wyjątków oraz ręczne blokowanie wybranych domen i adresów IP. Konfiguracja jest bardzo granularna, niemniej przy domyślnych ustawieniach zachowuje się bardzo rozsądnie i zwykle nie trzeba w tym obszarze nic zmieniać.

Cisco Umbrella uzupełnia lukę w ochronie punktów końcowych i użytkowników na terenie organizacji i poza nią, a także odciąża inne mechanizmy bezpieczeństwa działające na brzegu sieci, będąc pierwszą linią ochrony.

1. Effective Incident Detection and Investigation Saves Money, IDC, 2016 r.
2. A Year of Mega Breaches, Ponemon Institute, 2015 r.
3. A Year of Mega Breaches, Ponemon Institute, 2015 r.
4. Roczny raport Cisco o cyberbezpieczeństwie, Cisco, 2016 r.
5. Luki w punktach końcowych: badanie dotyczące zagrożeń SANS 2016 r.

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.