5 solutii pentru automatizarea infrastructurii de securitate | datanets.ro

5 solutii pentru automatizarea infrastructurii de securitate

91% dintre organizatii sustin ca identificarea si remedierea manuala a incidentelor de securitate afecteaza major viteza de reacție. In conditiile in care numarul si complexitatea atacurilor cresc continuu, automatizarea masurilor de securitate asigurata de Datanet Systems cu ajutorul tehnologiilor Cisco va poate ajuta sa fiti mult mai eficienti si proactivi.

 

In ultimii ani, pentru a se proteja impotriva riscurilor de securitate in crestere, companiile se bazeaza din ce in ce mai mult pe automatizare. Potrivit Cisco 2018 Annual Cybersecurity Report, 39% dintre organizatii au implementat deja solutii care integreaza elemente de automatizare. Increderea tot mai mare acordata automatizarii este justificata de mai multi factori de risc, care nu pot fi ignorati fara asumarea repercusiunilor:

 

  • Imbunatatirea continua a abilitatii atacatorilor. Hackerii sunt din ce in ce mai experimentati in "pacalirea" solutiile clasice de protectie. Fenomenul este corelat cu cresterea volumului de amenintari si a complexitatii acestora, dar si cu evolutia ascendenta a traficului criptat utilizat pentru infectarile cu malware (care a crescut de peste trei ori in ultimele 12 luni);
  • Timpul mare de detectie si remediere a breselor de securitate. In 2017, timpul mediu de depistare a unei brese de securitate a fost de 191 de zile, alte 66 fiind necesare pentru solutionarea acesteia (Ponemon Institute - 2017 Cost of Data Breach Study);
  • Mediile de securitate eterogene. Anul trecut, 25% din companii utilizau solutii de securitate provenind de la 11 până la 20 de furnizori (Cisco 2018 Security Capabilities Benchmark Study). Urmarea: probleme critice de integrare, configurare si management si imposibilitatea de a identifica si solutiona eficient alertele de securitate cu adevarat periculoase;
  • Cresterea constanta a suprafetei de atac. Adoptia extinsa a serviciilor Cloud si a mobilitatii in mediul enterprise obliga organizatiile sa gaseasca noi solutii de monitorizare, identificare si solutionare a amenintarilor. Inca din 2016, 41% dintre companii reclamau faptul ca intampina dificultati crescute in asigurarea securitatii la nivel de retea din cauza utilizarii intensive a serviciilor Cloud (Enterprise Strategy Group - Network Security Monitoring Trends);
  • Preponderenta proceselor manuale in remedierea problemelor de securitate. SANS Institute a analizat modalitatile de raspuns ale organizatiilor atunci cand se confrunta cu incidente de securitate si a descoperit faptul ca foarte multe procese se realizeaza inca manual. Pe primele locuri in ierarhie sunt: • izolarea masinilor infectate din retea (66,6%); • inchiderea sistemelor compromise si/sau trecerea lor off-line (66,6%); • restaurarea masinilor infectate (63,3%); • operatiunile de restartare de pe medii de stocare externe (61,1%); • actualizarea politicilor si regulilor de securitate pe baza indicatorilor IOC (55,4%); • eliminarea fisierelor si a registrilor compromisi fara reinstalarea intregului sistem (53,3%); • punerea in carantina a statiilor de lucru afectate (51,8%) • identificarea sistemelor similare compromise (50,3%). 

"La viteza cu care apar noile tipuri de ameninţări de securitate, atacuri, breşe de tip <Zero day> etc., oamenii nu mai pot fi destul de rapizi pentru a lua măsurile necesare de detectare, blocare şi remediere a unui incident. Anul trecut o companie s-a confruntat cu un atac ransomware in urma caruia 10.000 de maşini au fost criptate în doar 10 minute. Este imposibil pentru orice echipă să blocheze în timp util un atac informatic de asemenea amploare şi viteza."

declara in 2017 la Bucuresti, Jamey Heary, Distinguished Systems Engineer Cisco.

 

Integrarea, esenta strategiei de automatizare

 

Raspunsul Datanet Systems la acest cumul de provocari este o arhitectura de securitate integrata, care sa permita valorificarea capabilitatilor de automatizare furnizate de solutiile Cisco:

Cisco Umbrella asigura primul nivel de protectie impotriva amenintarilor online, blocand amenintarile inainte ca acestea sa afecteze end-point-urile si/sau sa intre in retea. Solutia, livrata ca serviciu Cloud, asigura vizibilitate asupra activitatilor derulate pe Internet, indeferent unde s-ar afla utilizatorii si de tipul de device folosit. Umbrella analizeaza cererile DNS, determina daca solicitarile sunt sigure, iar daca sunt periculoase le blocheaza din start. Adresele cu potential de risc sunt analizate in serviciul Proxy asigurat de Cisco in Cloud si, daca prezinta riscuri de infectare, sunt blocate pentru toti utilizatorii Umbrella. Daca un domeniu compromis este accesat inaintea blocarii, Umbrella identifica utilizatorii care l-au accesat, ii trece automat in carantina, iar adresa – in "black list".

 

 

 

• Cisco Advanced Malware Protection for Endpoints asigura protectia avansata a statiilor de lucru (fixe sau mobile). Solutia AMP utilizeaza platforma Cloud Cisco Threat Grid, unde expediaza automat anumite categorii de fisiere executabile pentru a fi analizate intr-o solutie Sandbox. (Administratorii stabilesc ce tipuri de fisiere sunt trimise.) Daca fisierul este catalogat ca amenintare, sunt identificate toate statiile de lucru care l-au accesat si fisierul este trecut automat in carantina, limitandu-se raspandirea infectiei. Solutia functioneaza si proactiv – odata identificata o problema cu un fisier, cand un utilizator dintr-o alta organizatie incearca sa il descarce acesta este blocat automat.

 

Cisco Cloudlock securizeaza mediile Cloud, indiferent de cine, cum și de unde le accesează. Ca si Umbrella, si Cloudlock este livrat ca serviciu, nu necesita un efort mare de integrare-configurare si nu are limitari in ceea ce priveste numarul utilizatorilor finali. Cloudlock depistează comportamentele anormale, monitorizand toate activitățile din Cloud, traficul dintre infrastructurile on-premises și mediile Cloud și cel Cloud-to-Cloud. In plus, solutia Cisco identifica datele cu caracter critic si semnaleaza tentativele de accesare ale acestora de catre utilizatori neautorizati. Cloudlock ofera protectie si impotriva utilizarii aplicatiilor Cloud care pot crea brese de securitate, folosind analize reputationale și evaluări de risc furnizate de serviciile de Security Intelligence furnizate de Cisco.

 

Cisco Stealthwatch extinde vizibilitatea si controlul asupra retelei, prin functionalitati avansate de analiza si Security Intelligence. Pe baza meta-datelor de trafic colectate si stocate, Stealthwatch stabileste o serie tipare pe baza carora depisteaza comportamentele anormale din retea care pot semnala un atac (analizeaza inclusiv fluxurile de trafic criptat). Pentru a realiza acest lucru, solutia Cisco colecteaza informatii de la echipamentele de retea (pot fi insa definiti agenti si pentru host-urile din Cloud) pe care le proceseaza si analizeaza foarte rapid. Stealthwatch poate procesa informatii furnizate de pana la 50.000 de surse (controllere, switch-uri, routere, firewall-uri, device-uri pe care sunt instalati agenti AnyConnect etc.) si pana la 6 milioane de fluxuri de date pe secunda.

 

Cisco Identity Services Engine este elementul principal al arhitecturii de securitate furnizate de catre Datanet Systems, crescand eficienta elementelor de automatizare mentionate anterior. ISE livreaza informatii despre identitatea utilizatorilor, device-urile folosite de acestia, locatiile din care sunt utilizate, serviciile accesate etc., care, prin integrare, sunt corelate cu cele livrate de restul aplicatiilor si servesc ca baza pentru luarea automata a deciziilor prestabilite. Astfel, prin integrarea ISE-Umbrella, atunci cand se descopera ca un domeniu compromis fost accesat de care utilizatori, acestia pot fi identificati si trecuti automat in carantina. Similar, prin integrarea ISE-AMP, daca solutia de protectie malware depisteaza un device infectat, ISE il trece automat in carantina. Prin integrarea cu Cloudlock, sunt identificate si blocate accesarile neatuorizate ale datelor si aplicatiilor Cloud. La randul sau, integrarea StealthWatch-ISE coreleaza datele despre trafic cu cele despre utilizatori si echipamente – o data identificati utilizatorii care genereaza trafic suspect sau au un comportament anormal in retea, acestora li se pot aplica automat actiuni predefinite (emitere de alerte catre administratori, notificari catre utilizatorii finali, blocarea accesului, trecerea in carantina etc.)

 

 

Rezultatele obtinute din integrarea tuturor acestor functionalitati si automatizarea masurilor de detectie si raspuns sunt: • imbunatatirea nivelului de protectie la nivelul intregii organizatii; • limitarea impactului evenimentelor de securitate; • scaderea timpului de reactie la incidentele de securitate si • cresterea eficientei operationale. (Ultimele doua efecte sunt asigurate, in principal, de scaderea numarului de operatiuni manuale necesare.)

Pentru a beneficia de toate aceste castiguri, este nevoie insa ca solutiile mentionate sa actioneze complementar, sa fie usor de gestionat si de scalat si mapat pe nevoile fiecarei companii. Ceea ce presupune un efort de integrare pe care putine organizatii il pot sustine cu resursele disponibile intern. De aceea, pentru marea majoritate este strict necesar apelul la serviciile unui integrator de sistem precum Datanet Systems, cu experienta atat in domeniul solutiilor de securitate, cat si al tehnologiilor Cisco.

 

Recomandarile Datanet Systems in piata pot fi probate usor:

• Este principalul partener Cisco in Romania

• Are cea mai mare echipa locala de specialisti certificati in tehnologia Cisco

• Are numeroase proiecte de securitate implementate in infrastructuri critice

• Este un partener de incredere, cu abilitati si competente probate in 20 de ani de activitate.

 

Pentru informatii suplimentare, contactati-ne la office@datanets.ro