Cisco Threat Grid
 
Cisco Threat Grid realizuje statyczną i dynamiczną analizę zagrożeń poprzez symulację uruchomienia plików oraz odnośników stron w wyizolowanym środowisku (ang. sandbox). Do tego celu wykorzystywana jest wiedza jednej z największych grup zajmujących się zagrożeniami Cisco Talos oraz rozbudowana analiza behawioralna.


Cisco Threat Grid dostępny jest w formie usługi chmurowej oraz dedykowanego serwera z oprogramowaniem, który można zainstalować we własnej infrastrukturze. Ta druga opcja jest dedykowana dla organizacji, których polityka bezpieczeństwa zabrania wysyłania próbek złowrogiego oprogramowania do zewnętrznych chmur. Zainteresowanych wykorzystaniem Cisco Threat Grid This email address is being protected from spambots. You need JavaScript enabled to view it..

Pomimo ciągłych ostrzeżeń na temat skutków otwierania nieznanych plików, użytkownicy ciągle pozostają najbardziej podatnym elementem systemu IT. Aż 48% atakujących omija zabezpieczenia wykorzystując ich zaufanie.1

Badanie zachowania plików i odnośników stron
 
Cisco Threat Grid tworzy wyizolowany Sandbox, w którym bada zachowanie podejrzanych plików i odnośników. Średnio zajmuje mu to około 10 minut. Oprócz dokładnych wyników analizy, dostępny jest podgląd efektu działania uruchomionego pliku lub odnośnika w wyizolowanym środowisku, gdzie symulowane jest działanie użytkownika. Ciekawą opcją jest Glovebox, dający możliwość wejścia do wyizolowanego środowiska i wykonanie samodzielnych działań na podejrzanym pliku lub odnośniku.
 

Interfejs umożliwia także dołączanie znalezionych artefaktów (dane mogące mieć wpływ na wynik dochodzenia) oraz wyłapanych nieprawidłowości i podejrzanych źródeł do opisu incydentu w formie teczki spraw (ang. Casebook), którą można udostępnić pozostałym członkom zespołu lub przywołać w Cisco Threat Response w celu przeprowadzenia dokładniejszej korelacji i analizy. Natomiast już same informacje dostępne z poziomu Cisco Threat Grid mówią bardzo dużo o zachowaniu pliku lub odnośnika. Skrótowy opis wyniku analizy można zobaczyć poniżej.

  


Dokładna wizualizacja przebiegu zdarzeń 
 
Statyczna analiza polega na badaniu zawartości znajdującego się na dysku pliku, a dynamiczna jego zachowania po uruchomieniu. Jednym z elementów wyniku dynamicznej analizy jest zestawienie na osi czasu całego zajścia. Widać co dokładnie w danym momencie się działo. Na poniższym obrazku widać do jakiego miejsca i w którym momencie uruchomiony plik próbował nawiązać połączenie do sieci Internet.

Wyświetlić można także drzewo wszystkich zaangażowanych procesów, dzięki czemu widać co uruchomiony przez nas plik próbował robić i jakie pliki oraz rejestry uległy modyfikacji na skutek jego działania.


Ważna składowa innych rozwiązań bezpieczeństwa 
 
O ile Cisco Threat Grid umożliwia ręczną obsługę i wysyłanie podejrzanych próbek do badania, to jest także natywnie zintegrowane z innymi rozwiązaniami rodziny Cisco Security, w skład których wchodzi Cisco AMP (Advanced Malware Protection). Cisco Threat Grid udostępnia także API poprzez które można dokonać integracji z istniejącymi już rozwiązaniami bezpieczeństwa oraz raportowania.

1. Luki w punktach końcowych: badanie dotyczące zagrożeń SANS 2016 r. 

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.