המונח "סייבר" הפך כעת לחלק מהמונחים המשותפים וקשור למונחים אחרים כגון "התקפה", "הגנה", "פעולות", מקיף תחום מאוד ספציפי הסייברספייס.
היום אני רוצה להתמודד עם ההגנה הקיברנטית ובמובן זה פניתי אל סיסקו שהביאה אותי לפתרון שלו שנקרא "אמברלה". בפרט, המעבדים סיסקו בטיול בטיחות זה היו ג 'ובאני Di Venuta, נציג טרום מכירות טכנית עבור שוק הביטחון, פאולו קאריני כמומחה פתרון אבטחת ענן ו Alessandro Monforte כראש קשרי מסחר עבור פתרונות של אבטחת ענן.
עשה את ההיכרויות, נתחיל מההתחלה, כלומר: מה זה סיסקו אמברלה?
סיסקו אמברלה הוא פתרון ענן המספק שירות הגנה בחזית (רק מטריה אבטחה) למי צריך להסתכל על האינטרנט.
הניתוח של מטריית סיסקו הוא פשוט יחסית גם אם האפקטיביות שלה מבוססת על פתרונות טכנולוגיים מורכבים מאוד.
בואו נראה, בקיצור, איך זה עובד.
כדי להסביר איך זה עובד כדאי להזכיר כי סיסקו אמברלה מגיע מרכישת סיסקו של OpenDNS אשר מבחינה היסטורית מציעה שירות אמין, מאובטח נמוך השהיה DNS (שרת שם דונאמי). אמברלה של סיסקו משלבת את המאפיינים הטיפוסיים של DNS עם אבטחה, כלומר, על פי התחום של האתר המבוקש על ידי המשתמש חלה מדיניות אבטחה מתאימה.
כדי להיות ברור יותר, אם עובד ממחשב חברה, באמצעות דפדפן, גולש באינטרנט ומבקש לגשת לדף אינטרנט מסוים, בקשת הגישה "מתווכת" על ידי Cisco Umbrella (DNS), אשר בודקת אם כתובת זו האינטרנט מופיע בתור מסוכן; אם כן, המשתמש יראה דף אינטרנט המודיע כי הדף המבוקש אינו זמין מטעמי אבטחה.
המשתמש יכול להמשיך את פעילותו ללא בעיות נוספות, ומעל לכל, מבלי להפעיל את הסיכונים הקשורים ניווט באתר מסוכן.
אבל איך אמברלה יודע שהאתר מסוכן? ואנחנו בטוחים שזה באמת? מהו אחוז "תוצאות חיוביות שגויות", או טעויות שנעשו על ידי אמברלה המזהים "מסוכן" האתר כי הוא לא כמו "אמין" אתר זה במקום "מסוכן"?
העבודה השגרתית של סיסקו אמברלה היא לאסוף מידע באינטרנט ובאינטרנט; באינטרנט, משום שתשתית אמברלה נמצאת בענן, ומקבלת סביב 125 מיליארד בקשות DNS ליום עד כה. באינטרנט, כאשר הוא אוספת נתונים ומידע על תשתית האינטרנט, על הרשתות כי הם חלק ממנו, על תחומים, על מערכות אוטונומיות, על כתובות IP, על מי הבעלים, על התקפות סייבר, על מוצאם וכן הלאה.
בדרך זו מטריה יכולה לקבל מידע על איך האתרים מחוברים זה לזה מנקודת מבט התשתיתית ולכן יש מידע על "התוקפים".
הנתונים והמידע מתואמים באמצעות שימוש באלגוריתמים קנייניים המאפשרים לנו להבין באיזה חלק מהאינטרנט אנו מנהלים סיכונים גדולים יותר ועל בסיס זה, כדי למנוע את החיבור לאזור מסוים, גם לנוכח בקשה ספציפית של יישום או משתמש. אחת התכונות של אמברלה היא גם כדי להיות מנבא על ניתוח אבטחה עבור אתר אינטרנט חדש ולאחר מכן לחסום איומים חדשים לפני שהם מופיעים.
סיסקו מעריכה כי אחוז התובנות השגויות נמוך מאוד, על 1 / 10.000, משמעות הדבר היא כי מבחינה סטטיסטית כל דומיינים 10.000 מסווגות זדוניות לא.
העדכון של המידע הוא עדיין מתמשך כך מה כרגע יכול להיות חיובי כוזב, כמה דקות מאוחר יותר יהיה כנראה לתקן; הסיבה לכך היא איסוף נתונים וניתוח חזוי הוא בלתי פוסק. להלן ייצוג (שנעשה באמצעות OpenGraffiti, כלי חינמי של ייצוג 3D להשתמש כדי לנתח את הנתונים) של רשת התשתית תומך בוטנט ידועה (MIRAI) שממנו אפשר לנתח את יחסי הגומלין גרפי בין התחומים, מערכות autonomus, כתובות IP / דואר אלקטרוני המשמשות מן התוקפים.
הפתרון של אמברלה סיסקו פועל מזה מספר שנים והוא מבוסס על תשתית נתונים ענקית של איסוף נתונים, מרכזי נתונים של 26 המופצים ברחבי העולם (v.mappa).
מטריית סיסקו נולדה הודות לרעיון של דוד אולביץ 'שב- 2006 (בעידן 25 שנים!) ייסדה חברה בשם OpenDNS, שבסיסה בסן פרנסיסקו. החברה נועדה לספק DNS (מערכת שמות מתחם) ושירותי אבטחה ועדיין.
OpenDNS ממשיכה להתקיים ומספקת שירותים ללא תשלום ללקוחות שאינם מקצועיים, בעוד שממברלה מספקת שירותים בתשלום לחברות וארגונים. עם הרכישה של סיסקו, הפתרון של OpenDNS גם עושה שימוש סיסקו או TALOS אבטחה המודיעין שנוצרו על ידי צוות של חוקרים, כי באופן ייעודי עוסק ניתוח המודיעין האיום.
כוחה של המערכת מבוסס על הנתונים הסטטיסטיים של המספרים הגדולים ועל הניתוח הניבוי שבוצע ברציפות על מסד הנתונים הגרפי המכיל את כל המידע התשתיתי שדיברנו עליו בעבר. מסיבה זו, גם משתמשים בודדים יתקבלו בברכה, גם אם הם לא מביאים רווחים ישירים, הם מאפשרים איסוף נתונים שימושי לניתוח.
אבל איך מיושמת סיסקו? יישום פשוט מאוד כמו שאתה רק להגדיר סיסקו בתור ארגון הגג כדי לפתור בקשות DNS ציבורי (באינטרנט) ובנוסף לפתרון תחום המשתמשים מתבקשים ליישום מדיניות האבטחה שנקבעו על ידי לוח המחוונים הביטחון מנהל סיסקו אמברלה.
קל להבין כי כמות הנתונים העצומה שסיסקו מספקת מייצגת ערך מוסף גדול לכל מי שמעוניין לנתח את התשתיות שמהן הוא מותקף או פשוט יש אינטראקציות תכופות עם עצמו. סיסקו מספקת גישה לנתונים באמצעות הפתרון שנקרא "חקור" שמיש באמצעות קונסולת (לוח המחוונים) או באמצעות ממשקי תכנות (API); הצעה זו מופנית בדרך כלל למרכיב של ארגון החברה האחראי על ניתוח פגיעויות וחקירות IT (לדוגמה CERT ו / או SOC).
מה שאני רוצה לומר הוא כי באמצעות "לחקור", ניתן להבין אם הארגון שלך נמצא תחת מתקפת סייבר או אם זה היה בעבר, אם היית אובייקט של מגזר עולמי, או ממוקד. ניתן גם לקבל מידע על דומיינים או על רמת האבטחה שלהם, ואתה יכול לאחזר מידע על רשתות התוקף (שם תחום זדוני נרשם, על ידי מי וכן הלאה).
אפשר לחשוב שזה מידע חסר תועלת כפי שהוא מיושן, אבל זה לא תמיד כך.
היכולת להבין שהיית אובייקט של מתקפת סייבר, שלא הוכרה ככזו, יכולה להיות בעלת השלכות ארגוניות, למשל, על ידי דחיפת הארגון להשקיע יותר באנשי האבטחה הקיברנטית על מנת להקטין את הסיכון וזה ברור החלטה ברמה גבוהה.
בואו נעזוב את הרצפה למספר המטריות של סיסקו במונחים של תשתית המשמשת ונתונים מנוהלים, שבמקרה זה הם באמת מייצגים:
- 26 מרכזי נתונים המופצים בכל רחבי העולם (v.mappa);
- 160 מדינות שמהן נאסף מידע;
- 15 אלף חברות משתמשות בשירותי המטריה;
- על 100 מיליוני משתמשים פעילים ביום;
- XNXX מיליארד שאילתות יומיות של DNS נותחו.
נתונים אלה מתעדכנים באופן שוטף וניתנים לעיון בכתובת הקישור הבאה.
ממספרים אלה ניתן להבין שלסיסקו (דרך אמברלה, לשעבר OpenDNS) יש ידע באינטרנט, שככל הנראה אין לו מפעיל אבטחה אחר.
אבל איזו חשיבות יכולה סיסקו אמברלה לארגון צבאי?
ארגונים צבאיים של היום צריך כמויות עצומות של נתונים, מן היישור הטריוויאלי ביותר בזמן (זמן) יכול להיחשב לזרימה המורכבת ביותר של נתוני תחזית מטאורולוגית, עובר דרך זרמי נתונים לגבי הצרכים האספקה של הצדדים. חלקי חילוף או אלה הקשורים לתפקוד תקין של מערכות מחשב.
נתונים אלה אינם תמיד מוגבלים לרשת האינטרא-נט (מסווגת או לא) של הארגון הצבאי, אך הם מתקבלים לעתים קרובות או מועברים באמצעות האינטרנט.
העובדה היא כי באמת "מבודדים" מערכות כמעט שאינם קיימים.
דיגיטציה דוחפת הצבא להציג יותר ויותר מכשירים מורכבים ולעתים קרובות דורש ההתערבות של מומחים השייכים התעשיות, מה שאומר כי היקף האבטחה הופך יותר ויותר נפוצים ומגדילה את המורכבות ואת הצורך בשליטה.
סיסקו אמברלה כמו גם כמכשיר הגנה יכול להיות כלי שימושי אנליסטי אבטחתסייבר כפי שהוא מספק נתונים ומידע על המבנה של האינטרנט ואת הסיכונים הקשורים לאותה רשת וכלי ניתוח המודיעין (חקור הוא אחד מהם).
באופן טבעי, השימוש בכלים מתוחכמים דורש כוח אדם מיומן בענף, הכנה כי לא ניתן להאציל לרצון טוב של המפעיל היחיד, אבל זה חייב להיות חלק מסלול הכשרה מובנית היטב עבור המפעיל cybersecurity.
האפשרות למנוע התקפות על ידי חסימת בקשות DNS המסוכנות ויכולות ניתוח מנבאות גם להפוך אותו לכלי שימושי כדי לפקח תוקף אפשרי ואפשרות גם להפעיל פעולה מנע, אם יראה צורך בכך ולאחר שהוסמך על התקנות הרלוונטיות.
אסטרטגיית הגנה נכונה של סייבר דורשת הערכה של גורמי הסיכון הרבים הקשורים בהפעלת פלטפורמות טכנולוגיות. יתר על כן, אותו מבנה תפעולי המספק את שירות המטריה כפוף לניסיונות קבועים ומגוונים להפרה. מסיבה זו וכדי לשמור את מערכת ההפעלה שלך ושירות מועיל (מ השקתה ב 2006, מטריה מיקם את 100% מהבקשות DNS) OpenDNS וסיסקו השקיעו בעקביות בטכנולוגיות ונוהלי ליישם, לפתח ולתחזק נאותה אסטרטגיית ההגנה.
מידע נוסף:
- https://umbrella.cisco.com/products/our-intel
- https://learn-umbrella.cisco.com/datasheets/investigate-from-opendns
- https://www.talosintelligence.com/
(צילום: אינטרנט / חיל האוויר האמריקני)
