Nu ești abonat la newsletter? Abonează-te acum!

NOUTĂȚI ÎN INDUSTRIE

MARTIE 2018

91% dintre organizatii sustin ca identificarea si remedierea manuala a incidentelor de securitate afecteaza major viteza de reacție. In conditiile in care numarul si complexitatea atacurilor cresc continuu, automatizarea masurilor de securitate asigurata de Datanet Systems cu ajutorul tehnologiilor Cisco va poate ajuta sa fiti mult mai eficienti si proactivi.

Articole

5 solutii pentru automatizarea infrastructurii de securitate
… si 5 motive întemeiate pentru care trebuie sa o faceti

91% dintre organizatii sustin ca identificarea si remedierea manuala a incidentelor de securitate afecteaza major viteza de reacție. In conditiile in care numarul si complexitatea atacurilor cresc continuu, automatizarea masurilor de securitate asigurata de Datanet Systems cu ajutorul tehnologiilor Cisco va poate ajuta sa fiti mult mai eficienti si proactivi. 

In ultimii ani, pentru a se proteja impotriva riscurilor de securitate in crestere, companiile se bazeaza din ce in ce mai mult pe automatizare. Potrivit Cisco 2018 Annual Cybersecurity Report, 39% dintre organizatii au implementat deja solutii care integreaza elemente de automatizare. Increderea tot mai mare acordata automatizarii este justificata de mai multi factori de risc, care nu pot fi ignorati fara asumarea repercusiunilor:

  • Imbunatatirea continua a abilitatii atacatorilor.Hackerii sunt din ce in ce mai experimentati in „pacalirea” solutiile clasice de protectie. Fenomenul este corelat cu cresterea volumului de amenintari si a complexitatii acestora, dar si cu evolutia ascendenta a traficului criptat utilizat pentru infectarile cu malware (care a crescut de peste trei ori in ultimele 12 luni);
  • Timpul mare de detectie si remediere a breselor de securitate.In 2017, timpul mediu de depistare a unei brese de securitate a fost de 191 de zile, alte 66 fiind necesare pentru solutionarea acesteia (Ponemon Institute – 2017 Cost of Data Breach Study);
  • Mediile de securitate eterogene.Anul trecut, 25% din companii utilizau solutii de securitate provenind de la 11 până la 20 de furnizori (Cisco 2018 Security Capabilities Benchmark Study). Urmarea: probleme critice de integrare, configurare si management si imposibilitatea de a identifica si solutiona eficient alertele de securitate cu adevarat periculoase;
  • Cresterea constanta a suprafetei de atac. Adoptia extinsa a serviciilor Cloud si a mobilitatii in mediul enterprise obliga organizatiile sa gaseasca noi solutii de monitorizare, identificare si solutionare a amenintarilor. Inca din 2016, 41% dintre companii reclamau faptul ca intampina dificultati crescute in asigurarea securitatii la nivel de retea din cauza utilizarii intensive a serviciilor Cloud (Enterprise Strategy Group – Network Security Monitoring Trends);
  • Preponderenta proceselor manuale in remedierea problemelor de securitate.SANS Institute a analizat modalitatile de raspuns ale organizatiilor atunci cand se confrunta cu incidente de securitate si a descoperit faptul ca foarte multe procese se realizeaza inca manual. Pe primele locuri in ierarhie sunt: • izolarea masinilor infectate din retea (66,6%); • inchiderea sistemelor compromise si/sau trecerea lor off-line (66,6%); • restaurarea masinilor infectate (63,3%); • operatiunile de restartare de pe medii de stocare externe (61,1%); • actualizarea politicilor si regulilor de securitate pe baza indicatorilor IOC (55,4%); • eliminarea fisierelor si a registrilor compromisi fara reinstalarea intregului sistem (53,3%); • punerea in carantina a statiilor de lucru afectate (51,8%) • identificarea sistemelor similare compromise (50,3%).

La viteza cu care apar noile tipuri de ameninţări de securitate, atacuri, brese de tip etc., oamenii nu mai pot fi destul de rapizi pentru a lua măsurile necesare de detectare, blocare şi remediere a unui incident. Anul trecut o companie s-a confruntat cu un atac ransomware in urma caruia 10.000 de masini au fost criptate în doar 10 minute. Este imposibil pentru orice echipa sa blocheze in timp util un atac informatic de asemenea amploare si vitezadeclara la Cisco Connect Bucuresti 2017, Jamey Heary, Distinguished Systems Engineer Cisco.

Integrarea, esenta strategiei de automatizare

Raspunsul Datanet Systems la acest cumul de provocari este o arhitectura de securitate integrata, care sa permita valorificarea capabilitatilor de automatizare furnizate de solutiile Cisco:

  • Cisco Umbrella asigura primul nivel de protectie impotriva amenintarilor online, blocand amenintarile inainte ca acestea sa afecteze end-point-urile si/sau sa intre in retea. Solutia, livrata ca serviciu Cloud, asigura vizibilitate asupra activitatilor derulate pe Internet, indeferent unde s-ar afla utilizatorii si de tipul de device folosit. Umbrella analizeaza cererile DNS, determina daca solicitarile sunt sigure, iar daca sunt periculoase le blocheaza din start. Adresele cu potential de risc sunt analizate in serviciul Proxy asigurat de Cisco in Cloud si, daca prezinta riscuri de infectare, sunt blocate pentru toti utilizatorii Umbrella. Daca un domeniu compromis este accesat inaintea blocarii, Umbrella identifica utilizatorii care l-au accesat, ii trece automat in carantina, iar adresa – in „black list”.
  • Cisco Advanced Malware Protection for Endpoints asigura protectia avansata a statiilor de lucru (fixe sau mobile). Solutia AMP utilizeaza platforma Cloud Cisco Threat Grid, unde expediaza automat anumite categorii de fisiere executabile pentru a fi analizate intr-o solutie Sandbox. (Administratorii stabilesc ce tipuri de fisiere sunt trimise.) Daca fisierul este catalogat ca amenintare, sunt identificate toate statiile de lucru care l-au accesat si fisierul este trecut automat in carantina, limitandu-se raspandirea infectiei. Solutia functioneaza si proactiv – odata identificata o problema cu un fisier, cand un utilizator dintr-o alta organizatie incearca sa il descarce acesta este blocat automat.
  • Cisco Cloudlock securizeaza mediile Cloud, indiferent de cine, cum și de unde le accesează. Ca si Umbrella, si Cloudlock este livrat ca serviciu, nu necesita un efort mare de integrare-configurare si nu are limitari in ceea ce priveste numarul utilizatorilor finali. Cloudlock depistează comportamentele anormale, monitorizand toate activitățile din Cloud, traficul dintre infrastructurile on-premises și mediile Cloud și cel Cloud-to-Cloud. In plus, solutia Cisco identifica datele cu caracter critic si semnaleaza tentativele de accesare ale acestora de catre utilizatori neautorizati. Cloudlock ofera protectie si impotriva utilizarii aplicatiilor Cloud care pot crea brese de securitate, folosind analize reputationale și evaluări de risc furnizate de serviciile de Security Intelligence furnizate de Cisco.
  • Cisco Stealthwatch extinde vizibilitatea si controlul asupra retelei, prin functionalitati avansate de analiza si Security Intelligence. Pe baza meta-datelor de trafic colectate si stocate, Stealthwatch stabileste o serie tipare pe baza carora depisteaza comportamentele anormale din retea care pot semnala un atac (analizeaza inclusiv fluxurile de trafic criptat). Pentru a realiza acest lucru, solutia Cisco colecteaza informatii de la echipamentele de retea (pot fi insa definiti agenti si pentru host-urile din Cloud) pe care le proceseaza si analizeaza foarte rapid. Stealthwatch poate procesa informatii furnizate de pana la 50.000 de surse (controllere, switch-uri, routere, firewall-uri, device-uri pe care sunt instalati agenti AnyConnect etc.) si pana la 6 milioane de fluxuri de date pe secunda.
  • Cisco Identity Services Engine este elementul principal al arhitecturii de securitate furnizate de catre Datanet Systems, crescand eficienta elementelor de automatizare mentionate anterior. ISE livreaza informatii despre identitatea utilizatorilor, device-urile folosite de acestia, locatiile din care sunt utilizate, serviciile accesate etc., care, prin integrare, sunt corelate cu cele livrate de restul aplicatiilor si servesc ca baza pentru luarea automata a deciziilor prestabilite. Astfel, prin integrarea ISE-Umbrella, atunci cand se descopera ca un domeniu compromis fost accesat de care utilizatori, acestia pot fi identificati si trecuti automat in carantina. Similar, prin integrarea ISE-AMP, daca solutia de protectie malware depisteaza un device infectat, ISE il trece automat in carantina. Prin integrarea cu Cloudlock, sunt identificate si blocate accesarile neatuorizate ale datelor si aplicatiilor Cloud. La randul sau, integrarea StealthWatch-ISE coreleaza datele despre trafic cu cele despre utilizatori si echipamente – o data identificati utilizatorii care genereaza trafic suspect sau au un comportament anormal in retea, acestora li se pot aplica automat actiuni predefinite (emitere de alerte catre administratori, notificari catre utilizatorii finali, blocarea accesului, trecerea in carantina etc.) 

Rezultatele obtinute din integrarea tuturor acestor functionalitati si automatizarea masurilor de detectie si raspuns sunt: • imbunatatirea nivelului de protectie la nivelul intregii organizatii; • limitarea impactului evenimentelor de securitate; • scaderea timpului de reactie la incidentele de securitate si • cresterea eficientei operationale. (Ultimele doua efecte sunt asigurate, in principal, de scaderea numarului de operatiuni manuale necesare.)

Pentru a beneficia de toate aceste castiguri, este nevoie insa ca solutiile mentionate sa actioneze complementar, sa fie usor de gestionat si de scalat si mapat pe nevoile fiecarei companii. Ceea ce presupune un efort de integrare pe care putine organizatii il pot sustine cu resursele disponibile intern. De aceea, pentru marea majoritate este strict necesar apelul la serviciile unui integrator de sistem precum Datanet Systems, cu experienta atat in domeniul solutiilor de securitate, cat si al tehnologiilor Cisco.

Recomandarile Datanet Systems in piata pot fi probate usor:

Pentru informatii suplimentare, contactati-ne la office@datanets.ro

Cisco a anuntat recent disponibilitatea la nivel global a platformei Control Center for NB-IoT (Narrow Band-IoT). Noua platforma Cisco permite managementul mai multor tipuri de conexiuni, ofera posibilitatea personalizariii pachetelor de servicii si include functii de automatizare avansate care simplifica gestionarea volumelor mari de dispozitive conectate. Specialistii preconizeaza ca adoptia pe scara larga a tehnologiei Narrow Band-IoT , un standard 3GPP pentru retelele de tipul Low Power Wide Area Networking (LPWAN), va accelera cresterea numarului de device-uri conectate. Platforma Cisco este testata deja de catre furnizori de servicii din intreaga lume. Unul dintre acestia este China Unicom, care estimeaza ca, pana in 2020, va gestiona cu platforma Cisco peste 100 de milioane de echipamente.

Cisco SD-WAN vAnalytics este o aplicatie destinata extinderii vizibilitatii si controlului asupra retelelor de tipul Software Defined WAN, cu ajutorul careia administratorii IT pot realiza analize pe scenarii „What-If“ si prognoze ale evolutiei cerintelor de banda, beneficiind totodata de recomandari actionabile pentru modificarile de politici, topologii si configuratii care pot fi realizate. Solutia dezvoltata pe tehnologia Viptela este livrata sub forma de serviciu Cloud (SaaS) si permite organizatiilor sa estimeze ce impact ar putea avea potentialele schimbari asupra performantei aplicatiilor, sa identifice zonele neperformante, precum si schimbarile necesare pentru remedierea acestora. Cisco a mai prezentat cu aceasta ocazie si solutia Meraki Insight, care ajuta la imbunatatirea experientei utilizatorilor finali, utilizand indicatorii de performanta ai aplicatiilor WAN si SaaS, precum si la reducerea timpului de identificare si rezolvare a problemelor cu care se confrunta utilizatorii. Meraki Insight va fi disponibila ca instrument integrat in dashboard-ul solutiei Meraki din trimestrul trei a.c., insa va necesita achizitionarea unei licente separate.

Fortinet a anuntat disponibilitatea FortiGuard AI, un sistem de detectare a amenintarilor care utilizeaza tehnologii de machine learning ce ii permit sa evolueze autonom, colectand, analizand si clasificand potentialele tipuri de riscuri. FortiGuard AI este integrat in platforma Fortinet de Intelligence Services , care alimenteaza toate serviciile avansate de detectie a amenintarilor livrate prin intermediul Security Fabric. Fortinet a mai anuntat si integrarea noilor functionalitati User Entity and Behavioral Analysis (UEBA) in produsul SIEM proprietar, FortiSIEM fiind acum capabil sa „invete“ tiparele de comportament normale si, prin raportare, sa le depisteze automat pe cele anormale.

Nu ești abonat la newsletter?
Vrei mai mult?
Contactează-ne

Adresa: Splaiul Independenței, Nr. 179 Corp B, Sector 5, Bucharest

Telefon: +40 21 3178787

Email: office@datanets.ro

Want to talk? Contact us

Unsubscribe from this newsletter

Connect with us on     

Copyright Datanet 2015. Toate drepturile rezervate
SOITRON GROUP