Cisco Security Operations изнутри

Всю работу делают автоматические инструменты, но только люди способны все изменить.

В своей продолжающейся битве против новых угроз IT безопасности, Cisco собрала армию из 500 инженеров, техников и исследователей, которые расположены в 11 центрах по всему миру, задача которых состоит в том, чтобы анализировать угрозы и делать все возможное для того, чтобы избежать их так быстро, как это только возможно.

Ядро распределенной системы Cisco – это центры обработки угроз (Threat Operations Centers, TOC), один из которых расположен в непримечательном офисе неподалеку от Остина, штат Техас, который недавно посетил NetworkWorld

Количество данных, относящихся к безопасности, которые поступают в TOC просто потрясают. «Я никогда не просыпался утром и думал, что у меня недостаточно данных. Я часто просыпаюсь по утрам и думаю, что мы будем делать со всеми этими данными?» — говорит Раш Карскадден, менеджер продуктов в Cisco Security Technology Business Unit.

Задача, которая делит перед Рашем и его коллегами – обработка данных в соответствии с контекстом. Помещение данных в контекст сейчас является критичной задачей для обнаружения и остановки угроз, которые становятся все более сложными и многонаправленными. Смешанные угрозы не новы, но они распространенность и серьезность их постоянно растут.

«Сейчас мы наблюдаем смешанные угрозы, которые действуют так же разумно, как и очень хороший человек-тестировщик» — говорит Карскадден. Имеется в виду, что они терпеливые, внимательные и настойчивые. «Настоящий сюрприз состоит в том, до какой степени и с какой сложностью они автоматизированы»

Прекрасный пример – Night Dragon. Впервые опубликованная в феврале 2011, эта серия скоординированных атак нацелена на хищение интеллектуальной собственности от энерго компаний. Инструменты и технологии включают в себя: социальную инженерию, целевой фишинг, Windows уязвимости и компрометацию каталогов Active Directory – не являются невероятно сложными, но методики, используемые атакующими делают сложной задачу по связи всех вредоносных действий вместе и позволяют вторжению продолжаться до четырех лет.

«Это очень сложная угроза, поскольку она ищет сервер Active Directory, компрометирует его, использует захват данных для получения данных об учетных записях, использует эти записи для дальнейшей компрометации сети и получения доступа к ценной информации», объясняет Карскадден. Кроме традиционной атаки SQL Injection, атака состоит из ряда действий, которые не кажутся очень подозрительными. Атакующий действует таким образом, чтобы не привлекать внимания, скрытно разыскивая ценную информацию для хищения. Не смотря на отсутствие данных, ущерб от действия Night Dragon может превышать сотни миллионов долларов, говорит Карскадден.

«Если вы тщательно проанализируете, как работает эта угроза, вы найдете несколько прекрасных примеров того, насколько важно объединить информацию из нескольких векторов вместе», говорит Карскадден.

Соединить все вместе

Объединение информации об угрозах – это основная миссия Cisco Security Intelligence Operations (SIO), которая предоставляет информацию об угрозах, анализ уязвимостей и решения, как избежать вторжения для заказчиков. SIO – это центр управления для устройств и сервисов безопасности Cisco.

Организационно Cisco SIO покоится на трех основах. Первая – это репозитарий данных SensorBase

SensorBase собирает телеметрические данные c более чем 700 тыс сенсоров, которые встроены в различные устройства безопасности Cisco, расположенных по всему миру, включая системы предотвращения вторжений, межсетевые экраны, устройства безопасности web и электронной почты. В среднем SensorBase ежедневно обрабатывает информацию о более чем 2 миллиардов web запросов и 13 млрд сообщений, в результате собирается несколько терабайт информации об угрозах ежедневно.

Недавно Cisco модифицировала свое клиентское решение Cisco AnyConnect Secure Mobility Client, что позволило миллионам клиентских устройств тоже вносить свой вклад в информацию о различных интерет-угрозах и данных и отправлять информацию в SensorBase. Карскадден сказал: «Мы только начали классифицировать информацию, которую мы получаем от этих клиентов. Просто удивительно, сколько там информации. Она не вся представляется ценной, но если вы сравниваете ее со всем остальным, вы видите всю картину. Это грандиозно».

Кроме того, SensorBase собирает данные из 600 других потоков данных, таких как информация DNS регистраторов, публичные черные и белые списки, такие как глобальные сети  и спам-ловушки. Cisco является партнером нескольких ISP и хостинг-компаний для того, чтобы получить возможность просматривать доменный трафик.

Вторая основа SIO – это Cisco Threat Operations Center, глобальная задача которого – это трансформация всей информации, которая поступает в SensorBase в что-то понятное и полезное. Информация затем поступает на продукты в виде наборов автоматизированных правил и сигнатур и публикуется для пользователей в виде предупреждений, рекомендаций и бюллетеней.

У Cisco есть автоматизированные алгоритмы, которые обрабатывают данные SensorBase, и инструменты, которые генерируют 95% всех правил, которые используют устройства безопасности Cisco. Люди делают все остальное – исследуют угрозы, публикуют предупреждения, разрабатывают решения по сдерживанию угроз, вручную подстраивают новые правила и запаковывают из для обновления устройств. Эти люди – это сердце TOC.

Третий основной компонент SIO, называемый «динамические обновления (Dynamic Updates) – это узел связи, который несет ответственность за распространение информации и обновлений для устройств Cisco и для заказчиков. Некоторые из процессов автоматического обновления проходят в реальном времени – информация о репутации, используемая устройствами безопасности Cisco для блокирования трафика от известных вредоносных источников  постоянно обновляется. Другие системы, такие как система предотвращения вторжений, проверяют наличие новых правил примерно каждые 5 минут.

Группа динамических обновлений также отвечает за распространение предупреждений, объявлений об уязвимостях и публикаций best-practices, которые производят аналитики и инженеры TOC.

Если взять все вместе, то группа динамических обновлений управляет 3-5 минутными обновлениями устройств, 3300 сигнатурами IPS, более 20 публикациями, более чем 200 параметрами отслеживания трафика и 8 миллионами правил в день. «Автоматизация всего этого  — это выдача информации на скорости, которая недостижима просто с помощью человеческой квалификации»

Внутри Cisco Threat Operations Center

Cisco инвестировала более $100 млн на исследования и развитие в TOC. Специализация множества исследовательских команд отличается. Некоторые из инженеров являются экспертами в обратной инженерии вредоносного ПО, другие занимаются проникновением в ботнеты, тестированием вторжений и помощью заказчикам в защите своих сетей от активных угроз.

Команды Cisco Applied Security Research, например, занимается поиском уязвимостей в основных технологических областях и предоставляют основную информацию об угрозах и их анализ. Информация об уязвимостях, которая относится к продуктам и сервисам Cisco обрабатывается Cisco Product Security Incident Report Team (PSIRT), которые исследуют уязвимости и публикуют публичные отчеты.

Команда Cisco IPS Signature Team исследует эксплоиты и пишет сигнатуры для из обнаружения, которые используются линейкой продуктов IPS. Это сложная задача, которая требует опыта в программировании, знания систем безопасности и то, что называется «опыт полевой работы» — знание методов работы хакеров, которые разрабатывают и используют эксплоиты.

Если вы ищете хорошего разработчика сигнатур: «Я ищу любопытство, желания решать проблемы», рассказывает Морган Стоунбрейкер, который руководит командой разработчиков сигнатур в Cisco TOC в Техасе, состоящей из кластера невысоких зданий к северу от центра Остина. «Это как головоломка. Ты приходишь каждый день и каждый день появляется что-то новое, что-то чрезвычайно умное. Тебе надо найти, как это заблокировать? Как можно этому противодействовать?».

Иногда производители ПО не хотят или не могут быть полностью откровенными о деталях той или иной уязвимости, что требует от разрабочика сигнатур необходимости выяснять детали. Команду могут уведомить о каком-то определенном баге, однако направление поиска может быть весьма расплывчатым, как: «проблема со встроенными размерами JPEG». Разработчик сигнатур вынужден сравнивать обновленную и уязвимую версию продукта, найти отличия и попытаться сосредоточиться на уязвимости, практически превратившись в атакующего.

Группа разработчиков сигнатур имеет несколько внутренних SLA, которые определяют, насколько быстро надо создавать новые или обновлять старые сигнатуры. Для всех событий, которые относятся к PSIRT или же к Microsoft Path Tuesday, команда стремиться выдавать заказчикам сигнатуры в течение 90 минут после официальной публикации угрозы, говорит Стоунбрейкер.

Для критических угроз 0-го дня для организаций используется 24-хчасовой цикл. «Это включает в себя дополнительные работы – иногда глубокое исследование, обратный инжиниринг, инжиниринг патчей,» — рассказывает Стоунбрейкер. «Это может быть довольно сложно, поэтому мы выделяем на это больше времени».

На фронте managed services, Cisco Remote Management Services (RMS) обеспечивает круглосуточные услуги по мониторингу и управлению для устройств безопасности Cisco, которые установлены на площадках заказчиков. В Техасе, системы RMS не очень отличаются от стандартного офиса, за исключением того, что комнаты RMS очень тихие и затемненные, под потолком расположены ряды мониторов, чтобы команды могла в любой момент выявить возникшую проблему. Окна закрыты пленкой, чтобы никто снаружи не мог прочитать ценную информацию, относящуюся к заказчику на экране.

Для тех IT профессоналов, которые занимаются защитой от угроз на продуктах Cisco, существует команда Applied Intelligence. Эта группа обеспечивает техническое обучение, консультационные услуги и издает бюллетени applied mitigation, технические рекомендации и инструкции для помощи IT пользователям в применении различных инструкций для защиты от IT  угроз.

«Их сфера деятельности включает использование технологий Cisco, которые уже есть у людей и оптимального их использования, вплоть до конкретных инструкций, каким образом можно защититься от угрозы или же защитить уязвимость» — говорит Джеф Шипли, rоторый руководит бизнесом Cisco IntelliShield  и отвечает за координацию деятельности в SIO. «Это очень техническая информация, очень детальная и требует высокого уровня экспертизы».

«Мы можем помочь заказчикам понять, что на самом деле у них под рукой есть все необходимое», говорит Рэнди Ивенер, главных инженер безопасности в команде Applied Intelligence. Сетевые администраторы могут не знать всех возможностей безопасности, которые встроены в устройства Cisco. «В наши продукты встроено большое количество функций и технологий безопасности, и мы даем возможность их использовать», рассказывает Ивенер.

Специализированные команды также сфокусированы на распространении информации о безопасности для заказчиков IT. На высоком уровне аналитики Cisco IntelliShield следять за всеми известными и новыми уязвимостями – не только относящимися к Cisco,  но также и по всей IT отрасли. Сервис IntelliShield Alert Manager фильтрует эту информацию и рассылает ее заказчикам, обеспечивая проверку угроз, анализ уязвимостей и обновления глобальных тенденций безопасности. Фильтрация может осуществляться на основе требований и среды заказчика, что облегчает задачу для команд сетевого управления и безопасности по приоретизации различных задач защиты.

Также группа IntelliShield издает отчеты Cyber Risk, которые описывают наиболее острые проблемы в семи категориях риск-менеджмента: уязвимости, физическая безопасность, законодательство, доверие, идентификация, человеческий фактор и геополитика. Шипли является председателем на еженедельных встречах главных аналитиков Cisco безопасности, и участники обсуждают разные идеи – через систему телеконференций или TelePresense – о существующих проблемах безопасности и о том, как они могут повлиять на заказчиков.

NetworkWorld принимал участие во встрече CyberRisk  23 июня, на которой участники обсуждали текущие угрозы, оценивали, какие из них являются наиболее существенными, и рассматривали их с точки зрения, которая является наиболее релевантной для их слушателей – сетевых профи, профессионалов IT безопасности, которые должны защищать свои сети и от опасных технологий, безбашенных хакеров и, иногда, запутавшися пользователей.

«Столько, скольк мы можем сделать с технологиями, сводится людям, которые здесь сидят» — говорит  Шипли, опыт которого включает двадцать лет в армии США в безопасности и разведке, спецоперациях и Агенстве национальной безопасности. «Команды, работающие в TOC стараются давать информацию не только устройствам, но и людям, чтобы увеличить степень их осведомленности»

Обмен информацией

Вклад в исследование и развитие, которое требует SIO – это инвестиция немаленькая. «Для того, чтобы держаться впереди, необходимы существенные расходы» — признает Карскадден.

Но отдача становится понятной, когда разнородные технологии и ресурсы из SIO вместе соединяются. Например, если шасси Cisco IPS получает возможность использования репутационных данных из Cisco Web Security Appliance и фильтры из Cisco SIO, эффективность IPS существенно возрастает. «Мы грубо увеличили эфекктивность IPS вдвое» — говорит Карскадден.

Добавление большего контекста к анализу угроз также играет свою роль на ниве своевременности. В ээтом случае SIO обнаруживает новую угрозу на основе данных о событиях безопасности, которые поступают в SensorBase, а исследователи собирают информацию о том, как угроза работает и распространяется, на основе характеристик, которые они обнаружили.

«Глубина информации позволяет нам, в определенных случаях, предоставить обновление, которое будет указывать путь, IP блок за IP блоком, которые возможно были инфицированы. Мы можем увеличивать риск, и уменьшать репутацию, связанную с этими блоками постепенно, по мере инфицирования» — объясняет Карскадден. «Это буквально позволяет нам держаться впереди опасности».

(By Ann Bednarz, Network World)

Оригинал статьи: http://www.networkworld.com/news/2011/091211-cisco-security-250567.html

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s