Взаимодействие Решений Cisco В Госсопкой И Финцерт

Предыдущий пост О нашей платформе обнаружения угроз Cisco Threat Response привела ко мне несколько вопросов о том, как интегрировать CTR с госуслугами ГосСОПКА и ФинЦЕРТ? И вот я решил написать еще одну небольшую заметку и показать, как можно максимально эффективно использовать индикаторы компрометации, присылаемые вам ФСБ и ЦБ.

На самом деле ничего сверхъестественного и сложного в такой интеграции нет — наши регуляторы используют машиночитаемые и глобально стандартизированные форматы индикаторов компрометации (боюсь представить, что будет, если хэши вредоносных образцов присылать по ГОСТ Р 34.11).

-2012, а не MD5/SHA1/SHA256), но пока не предоставляют API для автоматизации работы с ними.

В любом случае их не так уж сложно использовать в Cisco Threat Response. Чтобы не скриншотить эту процедуру, а показать ее в динамике, я записал небольшое видео, демонстрирующее реальный пример атаки на уязвимый протокол RDP насколько легко организовать взаимодействие ГосСОПКА и решений безопасности Cisco. Точно такую же процедуру можно проделать с любым другим источником Threat Intelligence — BI.ZONE, «Лаборатория Касперского», Group-IB, Anomali, Cisco Talos и т. д. Вот короткое анимационное видео, как это делается с US-CERT.



Проведя расследование и выявив следы несанкционированной активности в нашей сети, перед нами стоит задача быстрой ее блокировки, для чего необходимо внедрить соответствующие правила в средства защиты, работающие на узлах, на границах и в облаках.

Cisco Threat Response тоже может это сделать.

Но какую пользу мы можем получить от использования Cisco Threat Response для расследования инцидентов? Не проще ли использовать те же решения, с которыми работает CTR — AMP for Endpoints, E-mail Security Appliance, Cisco Firepower и т. д., но без CTR? Зачем нам нужна еще одна дополнительная система? Я попробовал провести процедуру расследования по каждому из этих решений и получил интересные цифры, говорящие сами за себя.

Для AMP for Endpoints процесс расследования, аналогичный CTR, занимает не менее 30 секунд. За это время я могу создать нужную мне политику и добавить в нее нужные мне индикаторы компрометации, после чего начать их поиск в результатах Cisco AMP4E.



На самом деле времени это займет даже немного больше, так как оно зависит от количества индикаторов компрометации, которые мне нужно установить в интерфейсе консоли управления (или мне нужно заранее подготовить файл с индикаторами, который я просто загружаю в система).

В случае с Cisco Firepowe NGIPS аналогичная процедура занимает не менее 40 секунд (в зависимости от количества индикаторов компрометации, которые я ищу).

Наконец, благодаря новому интегрированному решению Cisco E-mail Security с CTR поиск IOC в сообщениях электронной почты через Cisco SMA (Security Management Appliance) занимает не менее 11 секунд, если я вручную устанавливаю вредоносные или подозрительные инвестиции в хеш-значения.

и не менее 18 секунд, если я укажу источник индикаторов компрометации, откуда данные будут скачиваться автоматически.

В общем, для каждого решения не так уж и много, но если я проведу комплексное исследование сразу в нескольких продуктах и используя разные типы индикаторов, то мне понадобится не менее 120 секунд. Если вы посмотрите видео еще раз, то увидите, что в случае использования Cisco Threat Respone время расследования займет всего 10 секунд. И это время почти не зависит от количества искомых индикаторов.

Двенадцатикратная экономия времени и отсутствие мороки с подготовкой индикаторов компрометации для загрузки в систему — мы просто копируем все необходимое в буфер обмена (или в плагин Casebook для браузера) и затем вставляем в CTR. Так что если перед вами стоит задача быстрого расследования инцидентов, то бесплатная Cisco Threat Respone позволяет решить эту задачу более чем эффективно.

Это лишь один пример интеграции решений Cisco с государственными системами Threat Intelligence. На самом деле их больше.

Например, мы можем автоматизировать не только процесс расследования инцидентов, но и автоматическую блокировку тех артефактов, которые получаем от ГосСОПКИ или ФинЦЕРТ — достаточно использовать те API, которые существуют, например, в Cisco AMP for Endpoints или Cisco Firepower. Правда, делать это (автоматическую блокировку) нужно с осторожностью.

Теги: #информационная безопасность #cisco #cisco #охота за угрозами #ГосСОПКА #финцерт

• 3D — Самый Универсальный Инструмент Для Macromedia Flash

  19 Oct, 24

• Номер Технической Поддержки Принтера Hp Может Предоставить Вам Удобную Печать

  19 Oct, 24

• Источник: Рбк Избавился От Проекта Readme И Готовится Продать Еще Несколько Активов

  19 Oct, 24

• Falcon 9 Запустил Спутники Eutelsat И Abs И Совершил Жесткую Посадку Первой Ступени

  19 Oct, 24

• Персональный Электронный Компьютер «Апогей Бк-01».

  19 Oct, 24

• Использование Привязки В Javafx

  19 Oct, 24

• Небольшой Тест На Ваши Знания Js.

  19 Oct, 24

• Как Избавиться От Проблем При Маркировке Данных Для Обучения Моделей Ml?

  19 Oct, 24

• Закон Об Электрических Проводах

  19 Oct, 24

• Bare-Metal Provisioning Своими Руками, Или Автоматическая Подготовка Серверов С Нуля

  19 Oct, 24