Угрозы изменились. Никакой автоматической защиты больше нет

Предотвратить заражение невозможно, если злоумышленник:

• Хочет атаковать конкретную компанию.
• Разработает уникальные инструменты атаки, которые раньше не встречались и их нельзя обнаружить "по подобию".
• Будет эксплуатировать те уязвимости, которые еще не закрыты. Если не удастся, то использует еще не известные уязвимости (0day).
• Придумает новый вектор атаки, применит изощренную социальную инженерию.
• Коммуникация зараженного компьютера с командным центром атакующих будет происходить через общеиспользуемый сервис - например, через социальную сеть.
• Перед тем, как использовать инструменты атаки, протестирует их на конкретных средствах защиты.
• Будет маскироваться, удалит все следы атаки, по которым его можно выявить.
• Разобьёт атаку на этапы и будет стремиться к тому, чтобы каждый из шагов не вызывал подозрений.
• Постарается использовать такие инструменты, которые сами по себе не являются сигналом опасности - например, это могут быть легитимные средства.

1. Предназначено для выявления атак
   Действия злоумышленников на каком-то этапе атаки неизбежно приведут к изменению атакуемых компьютеров (конечных точек, endpoints). Но что это будут за изменения, заведомо неизвестно - так как не известен ни метод атаки, ни эксплуатируемая уязвимость, ни цель злоумышленников. Cezurity COTA собирает данные о состоянии компьютеров в разные моменты времени и сравнивает их между собой. Выявленные изменения анализируются. Если система атакована, в изменениях появятся аномалии.
   Любая из попыток атакующих модифицировать работу компьютеров (например, для закрепления в IT-системе) будет выявлена.Решение Cezurity COTA
2. Достаточная для реагирования информация сразу в момент выявления
   Как только попытка атакующих вмешаться в работу одного или нескольких компьютеров выявлена, можно действовать сразу. Для того, чтобы определить пути защиты, не требуются никакие дополнительные инструменты.
   Cezurity COTA только оповещает о выявлении атаки. Решение не включает средств для автоматического реагирования на инциденты. Вся информация о выявленных попытках злоумышленников модифицировать работу компьютеров сохраняется и может быть использована для расследования инцидента.
3. Сообщение об атаке не потеряется в потоке оповещений
   Оповещения ранжированы по уровню значимости. Например, заражению браузера известным вредоносным расширением присваивается низкий уровень опасности. Но если на каком-то компьютере появилась программа, которая обладает средствами для обмана антивирусов или других средств защиты, то уровень опасности будет высоким.

Архитектура решения Cezurity COTA

Особый подход компании Cezurity — в глубоком контроле состояния рабочих станций, накоплении информации об активности пользователей и приложений в облачном сервисе и последующий анализ, основанный на работе с большими данными (big data).
Агент Cezurity COTA устанавливается на конечные точки и собирает информацию об изменениях, происходящих в операционной системе. Решение постоянно сканирует различные характеристики объектов системы, классифицирует и анализирует эту информацию.
Выявление целевых атак осуществляется путем сверки «срезов» состояний системы и выявления изменений и аномалий между состояниями в разное время. Информация, собираемая агентами, передается на общий сервер, который осуществляет централизованную работу с информацией и реализует необходимую логику продукта. Также сервер управляет централизованным развертыванием агентов и их настройкой.
Еще одним элементом решения является облачная экспертная система Cezurity Sensa, в которой накапливается анонимная информация от всех пользователей продукта. Уникальные алгоритмы работы с массивами больших данных (big data) позволяют повысить эффективность обнаружения целевых атак.

Благодаря использованию облачных технологий, достигаются:

• Низкие требования к инфраструктуре. Решение не зависит от инфраструктуры и топологии защищаемой информационной системы, так как опирается на мониторинг изменений конечных точек. Это позволит быстро внедрить и начать использовать решение Cezurity даже в том случае, если IT-инфраструктура организации сложна и включает много различных систем.
• Низкая нагрузка на системные ресурсы. Наиболее ресурсоемкие процессы анализа происходят в облаке или в приватном облаке (private cloud).Это снижает нагрузку на конечные точки системы.
• Совместимость с другими решениями. Cezurity COTA может использоваться вместе с любыми другими средствами обеспечения информационной безопасности.
• Высокая стабильность работы. За счет того, что клиентское программное обеспечение не нуждается в обновлениях, а его работа ограничивается сбором информации, снижается риск «падения» систем.
• Дополнение DLP-решений. Cezurity COTA обнаруживает технические средства, применяемые для похищения корпоративной информации. Использование решения закрывает важную уязвимость DLP-систем. Хотя DLP-системы и предназначены для защиты от утечек информации, они, как правило, не включают средств обнаружения специализированных вредоносных программ, которые могут использоваться для похищения данных и обхода DLP-защиты.