CloudLock+Umbrella, un tandem cu acoperire extinsa 

Aveti control asupra modului in care utilizeaza angajatii dvs. aplicatiile companiei in Cloud? Puteti detecta activitatile anormale, care indica un cont compromis sau o incalcare a politicilor de securitate? Aveti solutii de remediere a unor astfel de incidente? Puteti garanta protectia fiecarui terminal folosit de utilizatorii mobili? Daca nu aveti inca raspunsurile corecte, aflati mai jos cum va poate ajuta Datanet Systems sa acoperiti toate aceste cerinte critice.

Mobilitatea si utilizarea intensiva a serviciilor Cloud genereaza probleme din ce in ce mai mari companiilor din punct de vedere al securitatii. Studii recente, precum cel realizat de catre Ponemon Institute „The State of Endpoint Security Risk in 2017“, evidentiaza doua aspecte critice. Pe de o parte, faptul ca 70% dintre organizatii se confrunta cu o crestere a riscurilor de securitate la nivelul echipamentelor utilizatorilor finali. Pe de alta, ca increderea companiilor in solutiile antivirus pentru endpoint-uri este in scadere: 4 din 5 companii si-au inlocuit deja de anul trecut solutiile AV sau le-au completat capacitatile cu alte aplicatii de protectie si detectie.

Situatia se complica insa odata cu cresterea rapida a nivelului de utilizare a modelului SaaS in organizatii, precum si a numarului de aplicatii Cloud folosite – autorizat sau nu – de catre angajatii acestora. Aproape doua treimi dintre aceste aplicatii solicita mai multe permisiuni decat au nevoie, iar marea majoritate a utilizatorilor le acorda drepturi nelimitate, fara a constientiza riscurile.

La ce probleme va expune un… Pokemon? 

Mai tineti minte „Pokemon Go“? Jocul creat de compania Niantic a reusit sa adune intr-o singura luna 100 de milioane de utilizatori la nivel mondial (rezultat pentru care Facebook a avut nevoie de aproape patru ani si jumatate). Succesul de piata inregistrat de Niantic a afectat insa si mediul enterprise – un studiu facut in 2016 arata ca in 44% dintre companii au existat cazuri de angajati care jucau Pokemon Go, media „utilizatorilor“ fiind de 5% (1 din 20 de angajati).

Problema nu a fost insa una de scadere a productivitatii, ci faptul ca, in varianta initiala a aplicatiei, aceasta solicita utilizatorilor sa ii acorde drepturi excesive, care ii permiteau, de exemplu, sa vada, modifice si descarce fisierele stocate si partajate in suita colaborativa Google. Acest lucru se intampla deoarece aplicatia utiliza un protocol de logare Open Authorisation (OAuth), adica un buton de tip „Login with Google Account“ pe care majoritatea utilizatorilor dornici sa scurteze procedura de logare l-au apasat fara nicio rezerva.

Destul de multe companii nu au constientizat la ce riscuri se expun atunci cand angajatii lor instalau si utilizau Pokemon Go pe device-urile mobile personale, utilizate insa si in scop de serviciu. Si asta nu pentru ca problemele generate de protocolul OAuth nu ar fi fost cunoscute, ci pentru ca nu detineau controlul asupra a ce fac utilizatorii in Cloud, ce aplicatii utilizeaza, ce date partajeaza etc.

Modelul de protectie evolueaza rapid 

Necesitatea monitorizarii si controlului activitatii utilizatorilor finali in afara perimetrului fizic al companiilor a devenit critica la momentul actual pentru ca datele si aplicatiile se muta tot mai mult in Cloud. Gartner estima ca, anul acesta, 25% din traficul de date al companiilor va ocoli sistemele clasice de protectie perimetrala, iar volumul de date create direct in Cloud – care este posibil sa nu fi trecut niciodata prin infrastructura on-premises a companiilor – creste. La fel si traficul Cloud-to-Cloud generat de aplicatiile care „discuta“ direct intre ele.

Ori, in astfel de cazuri, protectia perimetrala nu mai este suficienta. Sa luam un exemplu concret: cat de eficienta credeti ca este o aplicatie de Data Loss Prevention instalata on-premises atunci cand vine vorba de datele stocate, operate si partajate intr-un CRM sau intr-o aplicatie de lucru colaborativ Cloud-based? Nu este o intrebare retorica, ci un foarte aplicata, careia va trebui sa ii gasiti raspunsul, pentru ca noul regulament de protectie a datelor cu caracter personal (GDPR) va obliga sa stiti permanent ce fel de date sunt stocate si unde, cine are acces la ele, ce operatiuni se pot realiza, cum sunt protejate, cum sunt anonimizate etc.

In conditiile in care unul din 4 utilizatori marturisesc deschis ca incalca constient regulile de securitate in Cloud, ce sanse reale de succes aveti in cazul unui audit? Cand 82% dintre angajatii companiilor recunosc ca, atunci cand lucreaza din afara companiei, nu utilizeaza VPN-ul, credeti ca puteti asigura o protectie eficienta a dispozitivelor de pe care lucreaza impotriva amenintarilor malware si a domeniilor compromise?

CloudLock va reda controlul in Nor 

Raspunsul Datanet Systems la aceste intrebari extrem de actuale pentru organizatii se bazeaza pe solutiile Cisco CloudLock si Umbrela, care actioneaza complementar.

CloudLock descopera ce conturi sunt compromise si ce activitati si aplicatii au un potential crescut de risc realizand o analiza a comportamentului utilizatorilor si a traficului pe care il genereaza echipamentele folosite de acestia. Solutia Cisco va ajuta sa depistati rapid scurgerile de date, cazurile cand sunt incalcate regulile de conformitate si politicile de securitate si cand sunt folosite aplicatii neautorizate sau cu un grad ridicat de risc.

Pentru a raspunde tuturor acestor cerinte, CloudLock utilizeaza mecanisme avansate de machine learning si de analiză a comportamentului utilizatorilor. De exemplu, aplicatia Cisco poate semnala posibila compromitere a unui cont de utilizator daca 1) sesiunile de logare ale acestuia sunt realizate intr-un timp prea scurt din locatii geografice aflata la distante mari, 2) volumul de descarcari de fisiere realizat de acesta depaseste valoarea medie uzuala, 3) acesta are o activitatea foarte intensa in afara orelor de program sau 4) daca depisteaza mai multe tentative succesive de logare care esueaza.

Astfel de situatii pot semnala un potential risc, insa departamentele de securitate sunt asaltate lunar de mii de alerte de securitate. Provocarea este deci cum decizi daca o activitate suspicioasa trebuie cu adevarat investigata sau este doar un comportament atipic care poate fi ignorat. Pentru aceasta, CloudLock colecteaza date de la toate aplicatiile Cloud si foloseste metodologia Cloud Threat Funnel, cu ajutorul careia monitorizeaza comportamentele utilizatorilor, filtreaza si depisteaza ce este anormal, analizeaza anomaliile si, daca depisteaza activitati cu adevarat suspicioase, identifica amenintarile reale.

Aplicatia este capabila se depisteze automat expunerile si scurgerile de date sensibile si incalcarile politicilor de securitate predefinite (out-of-the-box ). Specialistii Datanet va pot ajuta insa sa configurati si reguli specifice domeniului de activitate in care activeaza compania dvs. Puteti, de exemplu, sa stabiliti reguli legate de anumite proiecte, sa realizati analize drill down atunci cand sunt depistate informatii care sunt expuse, sa definiti actiuni de raspuns automat (carantina unui fisier, trimiterea catre end-user a unei notificari, crearea si emiterea unei alerte catre administratori, revocarea drepturilor unei aplicatii in functie de ratingul de risc furnizat de serviciile de „Threat Intelligence“ integrate) etc.

Protectie complementara cu Umbrella 

Cisco Umbrella, cea de a doua componenta a raspunsului oferit de Datanet, completeaza pe un alt palier protectia asigurata de catre CloudLock. Umbrella este o solutie Cisco livrata ca serviciu Cloud, care actioneaza pe doua planuri:

• ofera protectie atat la nivelul infrastructurii organizatiilor, cat si al utilizatorilor mobili, blocand amenintarile inainte ca acestea sa afecteze end-point-urile si/sau sa intre in retea;
• previne compromiterea sistemelor si scurgerile de date peste orice port sau protocol, indiferent daca infectiile au avut loc inauntrul sau in afara retelei companiei sau daca malware-ul incearca sa stabileasca legaturi cu serverele de comanda si control prin cereri DNS sau conexiuni IP.

Pentru aceasta, solutia Cisco analizeaza cererile DNS si le acorda sau nu accesul in functie de rezultatul analizelor realizate. Platforma Cisco analizeaza zilnic aproximativ 100 de miliarde de adrese domenii, URL-uri, IP-uri si fisiere cu potential de risc, analize care sunt corelate in timp real cu peste 11 miliarde de evenimente de securitate care au avut loc deja.

Asa cum aratam, solutia Cisco nu asigura doar proactiv protectia, ci si retroactiv – daca unul sau mai multi utilizatori au accesat un domeniu compromis inainte ca acesta sa fi fost blocat, acestia sunt identificati rapid si pot fi trecuti automat in carantina si/sau Umbrella le blocheaza orice alta cerere DNS.

De exemplu, atunci cand un endpoint este deja infectat cu o amenintare de tip Ransomware,aceasta incerca sa se conecteze la serverele de comanda si control folosind metode de tipul Domain Generation Algorithms. DGA este un algoritm in care numele de domeniu se schimba constant, cu o frecventa foarte ridicata, ceea ce face dificila blocarea cererilor de conectare. Prin integrarea cu Cisco AnnyConnect, Umbrella stopeaza toate aceste cereri, limitand astfel pagubele si raspandirea amenintarii in retea.

Securitate imbunatatita 

Un nivel superior de securitate poate fi atins prin integrarea Umbrella cu Cisco Advanced Malware Protection (AMP) for Endpoints, care blocheaza amenintarile malware cunoscute la inspectia initiala si utilizeaza tehnologii Sandbox (via Threat Grid) pentru a analiza comportamentul fisierelor necunoscute. AMP for Endpoints monitorizeaza, analizeaza si inregistreaza continuu activitatea fisierelor pe endpoint si traseul acestora in organizatie pentru a depista comportamentele anormale si a emite alerte retroactive, furnizand informatii complete asupra contextului in care un echipament a fost compromis. Solutia Cisco va integra in curand o noua functionalitate importanta – AMP Visibility, un instrument de tipul “Incident Response” care va simplifica si creste viteza procesului de investigare a incidentelor de securitate. Visibility poate colecta informatii de la mai multe produse de securitate implementate in companie, care pot fi accesate dintr-un unic punc de control. Practic, functionalitatea permite realizarea de interogari detaliate – dupa: device, MAC, nume utilizator, Secure Hashing Algorithm, domeniu, IP etc. – cautarea realizandu-se in toate aplicatiile utilizate. De exemplu, daca Umbrella semnaleaza un eveniment, nu mai este necesara accesarea separata a aplicatiei, apoi a modulul Investigate si, ulterior, cautarea de informatii despre un anumit domeniu. Accesul informatiilor poate fi realizat direct din AMP Visibility. Rezultatul – cresterea vitezei de reactie in cazul unui incident de securitate, prin reducerea timpului de investigare. 

Cisco CloudLock si Umbrella actioneaza complementar, oferind un nivel de protectie care poate fi imbunatatit prin integrarea atat cu alte aplicatii de securitate de la terti vendori, cat si cu alte solutii Cisco. Specialistii Datanet va pot ajuta sa implementati, configurati si personalizati aceste solutii, astfel incat sa raspunda optim cerintelor companiei dvs. si sa va ofere o protectie completa.

Datanet Systems este principalul partener Cisco in Romania  , are cea mai mare echipa locala de specialisti certificati si un protofoliul extins de proiecte de securitate implementate in infrastructuri critice. Pentru informatii suplimentare, contactati office@datanets.ro