Cisco Threat Centric Security
 
Cisco Threat Centric Security to kompletny model bezpieczeństwa ukierunkowany na zagrożenia. Podstawą modelu jest wymiana informacji pomiędzy jego wszystkimi komponentami oraz ciągłe monitorowanie i analiza w różnych obszarach infrastruktury informatycznej, nawet zezwolonego już ruchu i zdrowych plików. Dzięki temu szybko da się zablokować wszystko, co tylko okaże się w przyszłości szkodliwe. Da się także oszacować skalę incydentu i przywrócić wszystkie elementy infrastruktury do dawnej sprawności. Aby to było możliwe, potrzebna jest wymiana informacji i kontekstu pomiędzy różnymi produktami.
 
 
Kontekst jaki buduje każde z rozwiązań może być udostępniany dla innych za pomocą zestandaryzowanej przez IETF (Internet Engineering Task Force) szyny Cisco pxGrid (Platform Exchange Grid). Do tego uwzględniane są informacje na temat inteligencji zagrożeń z zewnętrznych źródeł, do których należy Cisco Talos oraz inne źródła od których można otrzymywać o nich informacje z użyciem STIX/TAXII. Wykorzystywane są też modele uczenia maszynowego od zespołu Cisco Cognitive Intelligence, który zajmuje się analizą poznawczą zagrożeń.
 
STIX (Structured Threat Information eXpression) opisuje w zestandaryzowany sposób informacje o incydencie bezpieczeństwa, a TAXII (Trusted Automated eXchange of Indicator Information) definiuje mechanizm transportu i dzielenia się takimi informacjami pomiędzy różnymi systemami. Stąd działa to tak, że dane STIX przesyłane są za pomocą TAXII i mówimy o użyciu STIX/TAXII.
 
Szyna pxGrid umożliwia efektywne i wygodne dzielenie się informacjami oraz kontekstem bezpieczeństwa. Zamiast integrować poprzez API każdy z produktów z każdym innym, jest jedna integracja z szyną pxGrid, gdzie definiujemy jakie informacje udostępniamy oraz jakie chcemy subskrybować. Podejście takie jest o wiele bardziej skalowalne i bardzo zwiększa funkcjonalność całego systemu.
 
Dla przykładu wykrycie przez Cisco AMP for Endpoints zainfekowanego pliku lub przez Cisco Stealthwatch wzorca złośliwego oprogramowania w zaszyfrowanym fragmencie ruchu, może spowodować automatyczne wyizolowanie odpowiednich urządzeń poprzez Cisco ISE (Identity Services Engine) bezpośrednio w warstwie dostępowej.
 
W modelu tym uwzględniamy m.in. ruchu szyfrowany i nieszyfrowany wymieniany pomiędzy urządzeniami, aplikacjami, użytkownikami, wewnątrz sieci przewodowej, bezprzewodowej, na jej brzegu i w chmurze, a także to co dzieje się na urządzeniach użytkowników oraz serwerach aplikacyjnych.

To sprawia, że wszystkie nasze rozwiązania mogą działać jak jeden zgrany organizm/zespół.
 

Fragment ilustrujący kilka wybranych komponentów modelu widać poniżej. Przybliża on jego złożoność i ideę.
 
 


Podejście całościowe i retrospekcyjne
 
Zamiast podchodzić do bezpieczeństwa w sposób fragmentaryczny i realizowany tylko w danym punkcie czasu, Cisco Systems wybrało drogę ochrony całościowej i ciągłej. Jest w nim również realizowana ochrona w danym punkcie czasu (ang. Point-in-Time Protection), jak m.in. weryfikacji zgodności z polityką i reputacji plików, sandboxing, czy analiza zachowawcza. Dzięki ciągłej ochronie uzyskujemy dostęp do retrospekcji, czyli możliwości odtworzenia poprzednich wydarzeń. Plik uznany wcześniej za bezpieczny ciągle jest monitorowany i podlega analizie, dzięki czemu kiedy po kilku godzinach lub dniach zostanie jednak uznany za szkodliwy, będziemy dokładnie wiedzieli jakie urządzenia naszej infrastruktury miały z nim styczność. W ten sposób nie tylko możemy szybciej oszacować skalę incydentu ale też usunąć jego skutki.

Niestety w przypadku ataków ukierunkowanych, często złowrogie zachowanie pliku ujawnia się po kilku godzinach lub nawet dniach, a reputacja domeny czy adresu IP jest w trakcie jego pobierania jeszcze dobra. Dlatego tak ważne jest podejście retrospekcyjne, które zapewnia ochronę przed, w trakcie i po incydencie.

Całościowe podejście do bezpieczeństwa, jest w stanie powiązać ruch generowany w sieci z tym co dzieje się na urządzeniu lub wewnątrz aplikacji. Dotyczy to zarówno ruchu nieszyfrowanego, jak i szyfrowanego, który nie tylko rośnie, ale i stanowi obecnie już większość całego ruchu wymienianego w sieci. Jego deszyfrowanie o ile jest możliwe na brzegu sieci, to bywa tam kwestionowane ze względu na prywatność. Natomiast deszyfrowanie ruchu wymienianego w sieci wewnętrznej jest obecnie nierealne. Należy pamiętać, że coraz częściej mamy do czynienia z pracownikami mobilnymi, których urządzenia mogą zastać zainfekowane poza firmą. Bez odpowiednich rozwiązań ich niewłaściwe zachowanie wewnątrz sieci organizacji może pozostać niezauważone bardzo długo
 
Dlatego tak ważne jest zadbanie o odpowiednie rozwiązania, które są w stanie wykrywać zagrożenia także w ruchu zaszyfrowanym, bez jego deszyfracji i naruszania prywatności. W te miejsca Cisco Systems adresuje m.in. Cisco Stealthwatch, specjalne układy ETA (Encrypted Traffic Analytics) dostępne na przełącznikach, routerach oraz rozwiązaniach sieci bezprzewodowej Cisco Systems, Cisco AMP for Endpoints oraz Cisco Tetration.

Zainteresowanych modelem Cisco Threat Centric Security This email address is being protected from spambots. You need JavaScript enabled to view it.. 

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.