Мониторинг сети и контроль уязвимостей с помощью Cybowall

Мониторинг сети и контроль уязвимостей с помощью Cybowall

Для того чтобы закрыть потребность компаний в обеспечении информационной безопасности, необходимо комплексное решение, которое поможет обнаружить не только активные угрозы, но и уязвимости в сети. Безагентное решение Cybowall позволяет решить эту задачу, гарантируя безопасность сетей любых масштабов.

 

 

 

 

 

  1. Введение
  2. Что такое Cybowall
  3. Защита периметра
  4. Управление уязвимостями
  5. Обнаружение и реагирование на инциденты (EDR)
  6. Выводы

 

Введение

Предприятия малого и среднего бизнеса являются привлекательной целью для злоумышленников. Как правило, в таких организациях вопрос безопасности не является приоритетным, поэтому бюджет на создание безопасной зоны ограничен. При этом экономия наблюдается во всем: начиная от покупки оборудования и программного обеспечения и заканчивая набором специалистов, которые смогут контролировать работу и реагировать на возникающие угрозы. По результатам недавнего исследования (сентябрь 2017) Ponemon Institute установлено, что только 13% опрошенных респондентов готовы к возможным атакам или уже отразили их, а вот 51% сообщили о том, что уже неоднократно становились жертвой нападения, из-за чего понесли серьезные убытки. При этом многие организации предпочитают умалчивать информацию об инцидентах из-за страха навредить репутации компании.

Стоимость имеющихся на рынке безопасности предложений, как правило, выходит за рамки бюджета предприятий малого и среднего бизнеса, вследствие чего последние вынуждены идти на компромиссы, зачастую в ущерб безопасности. Оптимальным вариантом было бы комплексное решение, которое позволяет выявить не только активные угрозы, но и уязвимости в сети.

 

Что такое Cybowall

Продукт израильской компании Cybonet — Cybowall — позволяет закрыть несколько задач: обнаружение атак на ранней стадии, контроль уязвимостей и постоянный мониторинг сети.

Cybowall сочетает в себе множество инструментов и возможностей для обеспечения кибербезопасности, гарантируя безопасность сетей любых масштабов и обеспечивая единую защиту от постоянно развивающегося ландшафта угроз. Это безагентное решение, которое не требует внедрения и обеспечивает полный и непрерывный мониторинг сети по всем протоколам. Контроль сети осуществляется в режиме реального времени. Выявление и реагирование на угрозы выполняется по мере их возникновения. Мониторинг особенно удобен из-за интерактивной карты распределения инцидентов (см. рисунок 1).

 

Рисунок 1. Интерактивная карта инцидентов в Cybowall

Интерактивная карта инцидентов в Cybowall

 

Решение состоит из нескольких модулей, выполняющих необходимые функции (рисунок 2).

 

Рисунок 2. Cybowall: архитектурное решение

Cybowall: архитектурное решение

 

Защита периметра

Решение позволят обеспечить полноценную защиту всего периметра сети компании. На сетевом уровне система функционирует как система обнаружения вторжений (IDS). С помощью сенсора, который находится вне системы и копирует весь сетевой и внутренний трафик через TAP / Port Mirroring, выполняется сбор и анализ трафика.

Для облегчения сбора данных при расследовании инцидентов используются возможности WMI — Windows Management Instrumentation (WMI). Это обеспечивает непрерывное сканирование конечных точек для полной видимости сети, на основании данных создается динамическая карта событий всех конечных точек, включая профили портов (рисунок 3).

Для реализации возможности управления событиями, их корреляции и создания отчетности используется SIEM-система. Она позволяет обеспечить целостное представление ИТ-безопасности организации.

«Агентное сканирование» применяется для обеспечения возможности сбора подробных судебных данных и корреляции событий с известными индикаторами компрометации (IOC).

 

Рисунок 3. Network Forensic Cybowall

Network Forensic Cybowall

 

Благодаря централизованному анализу активности в сети Cybowall исследует данные IOC, такие как CVE, хэш файла, DNS, URL, имена хостов, IP-адреса, домены, URL и пути к файлам.

Управление и мониторинг выполняется с помощью удобного интерфейса, в котором предусмотрена возможность простой настройки и применения политик безопасности. Также возможно настроить и отслеживать корреляцию событий, оповещения, реагирование на инциденты и создание отчетности (рисунок 4).

 

Рисунок 4. Мониторинг сети в Cybowall

Мониторинг сети в Cybowall

 

Технология Deception

Cybowall обеспечивает непрерывную видимость сети и эффективное обнаружение вторжений. Это достигается с помощью расставленных приманок и ловушек, что позволяет распознать действия хакера на ранней стадии его присутствия в сети. Ловушки представляют собой виртуальные хосты, которые выглядят как реальные ПК, серверы и т. п., которые могут стать хорошей приманкой для злоумышленника: если он попался в такую ловушку, то система известит наблюдателей.

Данная технология помогает отвлечь внимание киберпреступников от реальных информационных ресурсов, а также позволяет идентифицировать новые уязвимости и риски, включая вредоносные программы.

Распределенная сетка ловушек может замедлить или даже остановить автоматизированные атаки, выполняемые с помощью червей и других вирусных программ, выполняющих сканирование сети на наличие уязвимостей. Каждое событие фиксируется в журнале таким образом, что специалисту будет несложно отследить каждый шаг злоумышленника.

 

Управление уязвимостями

Возможность контроля и управления уязвимостями позволяет выполнять регулярное сканирование для их выявления и устранения. Анализ уязвимостей позволяет идентифицировать и классифицировать обнаруженные бреши в компьютере, сети или коммуникационной инфраструктуре. Это дает возможность исправить их до того, как они будут обнаружены и эксплуатированы злоумышленниками.

 

Рисунок 5. Анализ уязвимостей с помощью Cybowall

Анализ уязвимостей с помощью Cybowall

 

Также сканер идентифицирует слабые пароли, определяет местоположение вредоносных файлов (Malware Hunter).

 

Рисунок 6. Поиск уязвимостей с помощью Cybowall

Поиск уязвимостей с помощью Cybowall

 

Обнаружение и реагирование на инциденты (EDR)

EDR представляет собой сервис, который аккумулирует информацию о работе компьютера и передает полученные данные в ATP для дальнейшего анализа, поиска аномалий и таргетированных атак.

EDR обеспечивает мониторинг всех конечных точек, включая настольные компьютеры, ноутбуки, серверы, маршрутизаторы, смартфоны, планшеты, проводные и беспроводные локальные сети, принтеры, устройства IoT — камеры, POS и т. д.

Отсутствует необходимость установки агентов, при этом создается профиль и выполняется управление обновленным списком всех конечных точек с помощью Network Asset Mapping (рисунок 6).

 

Рисунок 7. Network Asset Mapping в Cybowall

Network Asset Mapping в Cybowall

 

Обеспечивается возможность удаленного управления конечными точками посредством WMI. Автоматическое исправление на основе политик; оповещения по электронной почте, стеновые VLAN, порт выключения, конечный процесс или приложение.

 

Выводы

Cybowall обеспечивает полный и непрерывный мониторинг сети по всем протоколам и распространяется на все конечные точки. Cybowall защищает сеть в режиме реального времени, выявляя и реагируя на угрозы по мере их возникновения. Уменьшение рисков для ИТ-инфраструктуры достигается за счет видимости всей сети:

  • Быстрое обнаружение активных нарушений.
  • Определение и минимизация потенциальных уязвимостей.
  • Управление и информирование о соответствии нормативному регулированию (GDPR, PCI-DSS, ISO и т. д.).
  • Запись и анализ всех событий и инцидентов в сети для дальнейшего расследования.
Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru