Угрозы изменились. Никакой автоматической защиты больше нет
Предотвратить заражение невозможно, если злоумышленник:
- Хочет атаковать конкретную компанию.
- Разработает уникальные инструменты атаки, которые раньше не встречались и их нельзя обнаружить "по подобию".
- Будет эксплуатировать те уязвимости, которые еще не закрыты. Если не удастся, то использует еще не известные уязвимости (0day).
- Придумает новый вектор атаки, применит изощренную социальную инженерию.
- Коммуникация зараженного компьютера с командным центром атакующих будет происходить через общеиспользуемый сервис - например, через социальную сеть.
- Перед тем, как использовать инструменты атаки, протестирует их на конкретных
средствах защиты.
- Будет маскироваться, удалит все следы атаки, по которым его можно выявить.
- Разобьёт атаку на этапы и будет стремиться к тому, чтобы каждый из шагов не вызывал
подозрений.
- Постарается использовать такие инструменты, которые сами по себе не являются
сигналом опасности - например, это могут быть легитимные средства.
Решение Cezurity COTA
- Предназначено для выявления атак
Действия злоумышленников на каком-то этапе атаки неизбежно приведут к изменению атакуемых компьютеров (конечных точек, endpoints). Но что
это будут за изменения, заведомо неизвестно - так как не известен ни метод атаки, ни эксплуатируемая уязвимость, ни цель злоумышленников.
Cezurity COTA собирает данные о состоянии компьютеров в разные моменты времени и сравнивает их между собой. Выявленные изменения
анализируются. Если система атакована, в изменениях появятся аномалии.
Любая из попыток атакующих модифицировать работу компьютеров (например, для закрепления в IT-системе) будет выявлена.Решение Cezurity COTA
- Достаточная для реагирования информация сразу в момент выявления
Как только попытка атакующих вмешаться в работу одного или нескольких компьютеров выявлена, можно действовать сразу. Для того, чтобы
определить пути защиты, не требуются никакие дополнительные инструменты.
Cezurity COTA только оповещает о выявлении атаки. Решение не включает средств для автоматического реагирования на инциденты. Вся
информация о выявленных попытках злоумышленников модифицировать работу компьютеров сохраняется и может быть использована для
расследования инцидента.
- Сообщение об атаке не потеряется в потоке оповещений
Оповещения ранжированы по уровню значимости. Например, заражению браузера известным вредоносным расширением присваивается низкий
уровень опасности. Но если на каком-то компьютере появилась программа, которая обладает средствами для обмана антивирусов или других
средств защиты, то уровень опасности будет высоким.
Архитектура решения Cezurity COTA
Особый подход компании Cezurity — в глубоком контроле состояния рабочих станций, накоплении информации об активности пользователей и приложений в облачном сервисе и последующий анализ, основанный на работе с большими данными (big data).
Агент Cezurity COTA устанавливается на конечные точки и собирает информацию об изменениях, происходящих в операционной системе. Решение постоянно сканирует различные характеристики объектов системы, классифицирует и анализирует эту информацию.
Выявление целевых атак осуществляется путем сверки «срезов» состояний системы и выявления изменений и аномалий между состояниями в разное время. Информация, собираемая агентами, передается на общий сервер, который осуществляет централизованную работу с информацией и реализует необходимую логику продукта.
Также сервер управляет централизованным развертыванием агентов и их настройкой.
Еще одним элементом решения является облачная экспертная система Cezurity Sensa, в которой накапливается анонимная информация от всех пользователей продукта. Уникальные алгоритмы работы с массивами больших данных (big data) позволяют повысить эффективность обнаружения целевых атак.
Благодаря использованию облачных технологий, достигаются:
- Низкие требования к инфраструктуре. Решение не зависит от инфраструктуры и топологии защищаемой информационной системы, так как опирается на мониторинг изменений конечных точек. Это позволит быстро внедрить и начать использовать решение Cezurity даже в том случае, если IT-инфраструктура организации сложна и включает много различных систем.
- Низкая нагрузка на системные ресурсы. Наиболее ресурсоемкие процессы анализа происходят в облаке или в приватном облаке (private cloud).Это снижает нагрузку на конечные точки системы.
- Совместимость с другими решениями. Cezurity COTA может использоваться вместе с любыми другими средствами обеспечения информационной безопасности.
- Высокая стабильность работы. За счет того, что клиентское программное обеспечение не нуждается в обновлениях, а его работа ограничивается сбором информации, снижается риск «падения» систем.
- Дополнение DLP-решений. Cezurity COTA обнаруживает технические средства, применяемые для похищения корпоративной информации. Использование решения закрывает важную уязвимость DLP-систем. Хотя DLP-системы и предназначены для защиты от утечек информации, они, как правило, не включают средств обнаружения специализированных вредоносных программ, которые могут использоваться для похищения данных и обхода DLP-защиты.
|