Cisco представила технологии, обеспечивающие повсеместную безопасность

На своей ежегодной конференции Cisco Live (в этот раз прошла в Сан-Диего) компания Cisco представила новые решения, призванные обеспечить безопасность и значительно улучшить возможности мониторинга и контроля на всем протяжении расширенной сети — от центров обработки данных, облачных инфраструктур и удаленных офисов до оконечных устройств.

Интеграция технологий повсеместной безопасности позволит заказчикам и поставщикам услуг использовать преимущества угрозоориентированной защиты, поскольку именно такой тип защиты наиболее актуален для противодействия современному динамическому ландшафту угроз. Только при обеспечении повсеместной защиты  можно без лишних рисков использовать возможности, предоставляемые цифровой экономикой и Всеобъемлющим Интернетом (Internet of Everything, IoE).

Как ожидается, в течение следующего десятилетия рынок Всеобъемлющего Интернета может принести прибыль в 19 трлн долларов США, а возможности, которые он создаст для поставщиков услуг, оцениваются в 1,7 трлн долларов США.  Кроме того, по прогнозу Cisco, опубликованному  в ежегодном отчете «Наглядный индекс развития сетевых технологий» (Cisco® Visual Networking Index, Cisco VNI) за 2015 год, в период с 2014 по 2019 гг. количество межмашинных соединений и персональных устройств, подключенных к Интернету, вырастет с нынешних 14 млрд до более чем 24 млрд. Вместе с тем, однако, растет активность киберпреступников, совершенствуются их методы и техническая оснащенность. Это обусловлено тем, что финансовые выгоды, получаемые злоумышленниками, тоже увеличивается, и сейчас, по разным оценкам, составляет от 450 млрд до 1 трлн долларов США.

Повсеместная безопасность для организаций и поставщиков услуг

Упростить процессы обеспечения информационной безопасности в условиях распределенных организаций, усовершенствовать технологии обнаружения угроз даже в самых отдаленных участках вычислительных инфраструктур — вот чего добивалась компания Cisco при разработке решений для защиты всего пространства расширенной сети. Для улучшения возможностей мониторинга были внедрены дополнительные датчики, для усиления защиты — контрольные точки, для сокращения времени обнаружения и времени реагирования — система всеобъемлющей, улучшенной защиты от угроз. Работая совместно, эти средства эффективно противодействуют кибератакам. Благодаря технологиям повсеместной безопасности, решения компании Cisco обеспечивают масштабируемую защиту, эффективно противодействующую широчайшему спектру киберугроз в течение всего жизненного цикла атаки.

Расширенные возможности информационной безопасности для организаций

Cisco представляет следующие обновления для всего набора сетевых решений.

  • В том, что касается оконечных устройств: с помощью объединенных возможностей решений Cisco AnyConnect® и Cisco AMP для оконечных устройств заказчики, применяющие Cisco AnyConnect 4.1 VPN Client, теперь могут с легкостью использовать и наращивать возможности непрерывной и ретроспективной защиты оконечных устройств c VPN от усовершенствованных угроз.
  • В офисах и филиалах: решения на базе функций FirePOWER для маршрутизаторов Cisco с интегрированными сервисами (Cisco® Integrated Services Routers — ISR) предоставляют централизованно управляемую систему предотвращения вторжений нового поколения (NGIPS) и систему улучшенной защиты от угроз (Cisco® AMP). Эти решения ориентированы на такие вычислительные инфраструктуры, где не всегда можно применять выделенные устройства для обеспечения безопасности.
  • Сеть как сенсор и защитное устройство: Cisco внедряет многочисленные технологии безопасности непосредственно в сетевую инфраструктуру, что позволяет получить улучшенные возможности мониторинга для быстрой идентификации пользователей и устройств, которые потенциально могут быть связаны с нарушениями нормальных рабочих процессов и даже угрозами для сети и приложений. Новые возможности включают в себя:
  • улучшенную интеграцию между решениями Identity Services Engine (ISE) и Lancope StealthWatch. Теперь сотрудники служб безопасности могут не только отмечать отдельные IP-адреса, но и идентифицировать векторы угроз, применяя контекстные данные системы ISE, в том числе информацию о том, каким образом пользователи и устройства получают доступ и взаимодействуют с сетевыми ресурсами организации. Эта возможность значительно улучшает контекстуальное обнаружение угроз, а их ускоренную идентификацию обеспечивает технология StealthWatch;
  • поддержку NetFlow на платформах Cisco UCS®. Преимущества концепции «сеть как сенсор» теперь распространились на физические и виртуальные серверы. Это предоставляет заказчикам возможности улучшенного контроля за сетевым трафиком, а также специальную аналитическую информацию об угрозах для центров обработки данных.  

Благодаря новым встроенным возможностям по обеспечению повсеместной защиты, вычислительные сети Cisco теперь могут самостоятельно автоматизировать и применять политики безопасности. Заказчики получили возможность выделить в расширенной сети предприятия отдельные группы приложений и пользователей, задать соответствующие политики и определить, какие пользователи имеют право работать с определенными приложениями и какой трафик допустим в сети. Кроме того, на основе этих решений могут быть автоматизированы определенные функции безопасности.

  • Интеграция технологий TrustSec + ISE и StealthWatch. Решение StealthWatch теперь может вносить изменения в сегментацию и тем самым блокировать подозрительные сетевые устройства для быстрого противодействия идентифицированным угрозам.  После этого решение ISE может при необходимости изменить соответствующим образом политики доступа для маршрутизаторов, коммутаторов и беспроводных LAN-контроллеров Cisco, оснащенных технологией TrustSec.

Кроме того, Cisco анонсировала еще несколько нововведений:

  • решение Hosted Identity Services (обеспечивает надежный, круглосуточно доступный облачный сервис для Cisco Identity Service Engine — платформы управления политиками безопасности, которая унифицирует, автоматизирует и защищает функции контроля сетевого доступа). Новый сервис упорядочивает работу с мобильными устройствами организации, обеспечивая ролевое, контекстно-ориентированное применение идентификации пользователей и устройств, имеющих доступ к работе в сети. Кроме того, благодаря этому решению ускоряются процессы внедрения, что очень важно при масштабировании бизнеса. 
  • Решение pxGrid Ecosystem. Экосистема pxGrid Ecosystem расширилась на одиннадцать новых партнеров и включила в себя несколько новых групп технологий, охватывающих, например, облачную безопасность и управление производительностью сетей и приложений. Решение pxGrid представляет собой разработанную компанией Cisco архитектуру обмена контекстной информацией, благодаря которой различные платформы, обеспечивающие информационную безопасность, могут обмениваться данными для  улучшения общей эффективности своей работы по обнаружению угроз и противодействию им.

Безопасность инфраструктуры Cisco Evolved Programmable Network для поставщиков услуг

Поставляемые компанией Cisco решения для безопасности поставщиков услуг разработаны с применением уникального подхода, ориентированного на профессиональные требования поставщиков услуг. Эти решения формируют специальную угрозоориентированную систему защиты, которая динамически обеспечивает безопасность рабочих процессов по мере их появления, а также гибко распределяется на физические, виртуальные и облачные инфраструктуры. 

Учитывая потребности поставщиков услуг, которым нужна открытая, гибкая и программируемая инфраструктура, компания Cisco расширила возможности усовершенствованной угрозоориентированной защиты, и теперь они доступны и для решения Evolved Programmable Network (EPN). Платформа Cisco EPN представляет собой надежная основа, базирующаяся на открытой сетевой архитектуре и спроектированная для того, чтобы использовать все преимущества технологий программно-определяемых сетей (Software Defined Networking, SDN) и виртуализации сетевых функций (Network Functions Virtualization, NFV). Cisco EPN позволяет сократить время окупаемости, уменьшить издержки и технические сложности, связанные с внедрением новых сервисов. 

Новые решения компании Cisco для безопасности поставщиков услуг включают следующие предложения:

  • Интегрированная платформа Cisco Firepower™ 9300 представляет собой высокопроизводительное, масштабируемое, модульное, многофункциональное решение операторского класса, спроектированное специально для поставщиков услуг. Эта платформа может обеспечивать безопасность больших потоков данных, необходимых для форсированной работы сервисов, и полностью соответствует требованиям, предъявляемым к оборудованию операторского класса.
  • Расширенные возможности улучшенной оркестрации и облачных технологий делают возможным легкую интеграцию новых решений Cisco для информационной безопасности с архитектурой Cisco, со сторонними SDN/NFV решениями, а также с Cisco’s Adaptive Security Appliance Virtual (ASAv), Cisco’s Network Service Orchestrator (NSO) и Application-Centric Infrastructure (ACI). Эти возможности оркестрации и облачных технологий также включают в себя интерфейсы API для интеграции с системами поддержки операций и системами поддержки бизнеса (Operation Support Systems/Business Support Systems), а также облачными решениями вида «безопасность как услуга».  
  • Усовершенствованные возможности — например, защищенные контейнеры — обеспечивают размещение сервисов безопасности и приложений, планируемых в перспективе. Дополнительно внедрена поддержка МСЭ серии Cisco ASA и стороннего решения от компании Radware для противодействия DDoS-атакам. Кроме того, на вторую половину 2015 года запланирована реализация ряда дополнительных возможностей.

«Для того, чтобы организация могла эффективно использовать все новые возможности и технологии для своего роста и развития, необходима надежная защита от современных киберугроз и повышенная мобильность бизнес-процессов, — утверждает Дэвид Геклер (David Goeckeler), старший вице-президент и генеральный директор компании Security Business Group. — Это возможно только в том случае, если эффективные средства информационной безопасности будут внедрены повсеместно на всем протяжении сетевой инфраструктуры. Благодаря интеграции технологий повсеместной  безопасности на всем пространстве расширенной сети и облачных сервисов, компания Cisco надежно защищает заказчиков от широкого спектра угроз. Не менее важна и стопроцентная уверенность организаций и поставщиков услуг в том, что они имеют в своем распоряжении все возможности непрерывного и ретроспективного мониторинга и контроля для того, чтобы обеспечить безопасность всех бизнес-процессов, связанных с Всеобъемлющим Интернетом и цифровой экономикой». 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru