Cisco Cognitive Threat Analytics (CTA)

Продукт
Разработчики: Cisco Systems
Дата премьеры системы: 2016
Технологии: ИБ - Межсетевые экраны

Злоумышленники изобретают все более изощренные методы, чтобы компрометировать системы безопасности организаций и получать доступ к нужным сегментам сети и критичным данным, включая секреты производства, финансовую и коммерческую информацию. Киберугрозы стали настолько сложны, что одной лишь защиты периметра недостаточно.

В отчете Cisco по информационной безопасности исследователи компании проанализировали угрозы и изучили самые опасные тенденции в эксплуатации уязвимостей, векторах атак и их методах. Например, вредоносные расширения для браузеров обычно не считаются серьезной угрозой. Однако, по данным отчета, от них пострадали более 85 % исследованных организаций. Следовательно, такие расширения могут быть серьезным источником утечки данных.

Чтобы обнаружить вредоносное, в том числе рекламное, ПО и устранить утечку данных, необходимы многоуровневые системы информационной безопасности (ИБ). Следует внедрять новые методологии обнаружения, которые позволят отслеживать и анализировать веб-трафик и помогут специалистам в сфере ИБ более оперативно выявлять новые источники угроз и методы атак.

Cisco Cognitive Threat Analytics (CTA) — это облачный сервис, который обнаруживает уязвимости в системе безопасности, вредоносное ПО и прочие угрозы внутри защищенных сетей, выполняя статистический анализ сетевого трафика. CTA совершенствует процесс определения и блокировки угроз, выявляя признаки заражения вредоносным кодом или утечки данных путем анализа поведения и вскрытия аномалий. CTA использует современные методы статистического моделирования и машинного обучения, которые позволяют автономно находить новые угрозы, постепенно обучаться и адаптироваться.

СТА анализирует более 10 млрд веб-запросов ежедневно и находит вредоносное ПО, пропущенное средствами контроля безопасности или попавшее в систему через неконтролируемые каналы (например, съемные носители). Сервис действует внутри рабочей среды организации, за наносекунды отвечая на следующие вопросы:

  • типичен ли такой трафик для данного веб-сайта?
  • надежны ли источник и получатель?
  • связываются ли другие пользователи в организации с этим получателем?
  • связывались ли данные устройства между собой ранее?
  • используют ли они приложения для анонимного соединения (например, Tor)?
  • передаются ли какие-нибудь файлы и каков их размер?

Благодаря ряду аналитических методик CTA обнаруживает различные типы аномального трафика:

  • хищение данных. CTA использует статистическое моделирование сети организации, чтобы идентифицировать аномальный веб-трафик и выявить хищение конфиденциальных данных. СТА распознает его в HTTPS-трафике даже без расшифровки.
  • Алгоритмы генерации доменных имен. Злоумышленники генерируют произвольное количество доменных имен, чтобы их не обнаружили и не занесли в черный список хостов с вредоносным ПО. CTA распознает вредоносные и обфусцированные доменные имена, сгенерированные по словарю, анализирует частоту соединений, содержимое заголовков и сотни других параметров по каждому HTTP/HTTPS-запросу.
  • Эксплойт-наборы. СТА анализирует веб-запросы и выявляет заражение при:
    • посещении вредоносной веб-страницы;
    • перенаправлении на домен с эксплойт-набором;
    • загрузке эксплойта без ведома пользователя;
    • успешной эксплуатации уязвимости;
    • загрузке тела эксплойта.

  • Туннелирование через HTTP/HTTPS-запросы. Злоумышленники часто пытаются замести следы и организовать утечку конфиденциальных данных (в том числе и учетных) с помощью HTTP/HTTPS-запросов на свои серверы. СТА использует комплексные индикаторы компрометации (Indicators of Compromise, IoC), которые помогают сопоставить подробную глобальную и локальную статистику. Это позволяет гарантированно определить, с какой целью используется туннелирование.

Ранее сервисом можно было воспользоваться лишь в рамках Cisco Cloud Web Security, но с февраля 2016 года он доступен по опциональной лицензии к устройству Cisco Web Security Appliance и как самостоятельный продукт. СТА не требует установки специального оборудования и ПО. После сбора базовой сетевой статистики CTA выявит зараженные устройства всего за несколько часов. В среднем, в компании из 5 000 сотрудников мы еженедельно обнаруживаем 45 зараженных устройств.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (40)
  Другие (1189)

  Смарт-Софт (Smart-Soft) (5)
  Национальный аттестационный центр (НАЦ) (4)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  МСС Международная служба сертификации (3)
  Национальный аттестационный центр (НАЦ) (3)
  Другие (56)

  Positive Technologies (Позитив Текнолоджиз) (5)
  ИВК (4)
  Уральский центр систем безопасности (УЦСБ) (4)
  Инфосистемы Джет (4)
  TS Solution (ТС Солюшен) (2)
  Другие (41)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 169)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (714, 494)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  Код Безопасности (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  CloudLinux (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  Eastwind (Восточный Ветер) (1, 1)
  Сбербанк-Технологии (СберТех) (1, 1)
  Другие (4, 4)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 81
  ESET NOD32 Business Edition - 51
  Dr.Web Enterprise Security Suite - 35
  Kaspersky Enterprise Space Security - 34
  MaxPatrol SIEM - 33
  Другие 666

  Смарт-софт: Traffic Inspector Next Generation - 5
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  MaxPatrol SIEM - 2
  Ngenix Облачная платформа - 2
  StormWall: Многоуровневая распределенная система фильтрации - 2
  Другие 16

  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Solar MSS - 3
  Kaspersky Endpoint Security - 3
  Solar JSOC - 3
  PT Network Attack Discovery (PT NAD) - 2
  Другие 20

  UserGate UTM - 4
  Kaspersky Endpoint Security - 3
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
  UserGate C-серия Межсетевые экраны - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 8

  ИВК Кольчуга - 4
  UserGate UTM - 3
  MaxPatrol SIEM - 2
  UserGate Next-Generation Firewall (NGFW) - 2
  UserGate E-серия Межсетевые экраны - 2
  Другие 14