CEZURITY COTA

Обнаружение целенаправленных атак

Cezurity COTA (Cloud Observer for Targeted Attacks) — обнаружение целенаправленных атак на информационные системы.

Cezurity COTA позволяет обнаружить атаки, которые способны оставаться неизвестными для традиционных средств защиты в течение многих лет. Если злоумышленников интересует конкретная информационная система, то традиционные средства защиты бесполезны. Их всегда можно обойти или отключить. Например, антивирусная защита хотя и позволяет усложнить задачу для атакующих, но превратить ее в нерешаемую не способна.

Cezurity COTA — это решение, которое предназначено для обнаружения атак, пропущенных антивирусами и другими средствами защиты. В решении используется разработанная Cezurity технология динамического обнаружения атак. В основе технологии лежит анализ изменений компьютеров, составляющих информационную систему.

СКАЧАТЬ БУКЛЕТ

Постоянный мониторинг информационной системы.

Выявление активных целенаправленных атак или их следов, в том числе заражений сложными вредоносными программами.

Обнаружение технических средств, скрывающих активность, препятствующих корректной работе решений для защиты.

Результаты мониторинга доступны в информационной панели.

ПРЕИМУЩЕСТВА

Комплексная система обнаружения

Все типы атак могут быть обнаружены с помощью единого решения. Решение опирается на набор признаков, достаточный для обнаружения практически любых атак. В том числе и тех, где используются неизвестные методы, уязвимости и уникальные вредоносные программы (0day).

Низкая совокупная стоимость владения

Cezurity COTA — полностью автономное решение, не требующее внедрения комплексных платформ безопасности, которым для обнаружения сложных угроз необходимы данные из разных источников.

Достаточная для защиты информация сразу при обнаружении атаки

Решение позволяет не только обнаружить атаку, но и определить пути защиты без дополнительных инструментов. Это возможно благодаря тому, что в основе решения лежит анализ всех критически важных изменений систем, которые протоколируются и доступны для анализа.

Просто внедрить и начать использовать

Решение не зависит от инфраструктуры и топологии защищаемой информационной системы, так как опирается на мониторинг конечных точек. Это позволяет быстро развернуть и начать использовать решение даже в том случае, если IT-инфраструктура сложна. Эксплуатация не требует специальной экспертизы от обслуживающего IT-систему персонала.

Низкая нагрузка на системные ресурсы

Наиболее ресурсоемкие процессы анализа происходят в облаке. Поэтому влияние работы на производительность компьютеров незначительно.

Совместимость

Решение можно использовать вместе с любыми другими средствами обеспечения информационной безопасности.

Стабильность работы

Клиентское программное обеспечение не нуждается в обновлениях, а его работа ограничивается сбором информации. Таким образом снижается риск «падения» систем.

Дополнение DLP-решений

Позволит обнаружить использование технических средств, примененных для похищения корпоративной информации.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

Что такое целенаправленная атака?

Целенаправленные атаки (Advanced Persistent Threats, APT) — это скоординированная кампания злоумышленников, цель которой — похитить или скомпрометировать данные, которые находятся в конкретной информационной системе.

Целенаправленные атаки отличаются от «массовых». Цель «массовых» атак — широкий круг пользователей, а жертвы — лишь наименее защищенные из них. Если злоумышленники планируют обойти защиту, то их интересуют только самые распространенные решения — этого достаточно, чтобы атака оказалась успешной.

В случае с целенаправленными атаками злоумышленников интересует конкретная информационная система компании или государственной организации. Для успеха такой атаки злоумышленникам нужно уметь обходить или отключать конкретные средства защиты.

Иногда злоумышленники хотят закрепиться в атакуемых системах и как можно дольше оставаться незамеченными — это дает возможность постоянно похищать конфиденциальную информацию на протяжении нескольких месяцев или даже лет.

Почему от целенаправленной атаки трудно защититься?

Злоумышленники могут адаптировать методы и средства атаки к используемым средствам безопасности. Неудачная атака не в состоянии остановить злоумышленников — они используют новые методы и повторяют попытки до тех пор, пока не достигнут успеха.

Например, в целенаправленных атаках часто применяется фишинг. Но в компании, которую злоумышленники выбрали своей целью, используется супер-эффективное антифишинговое средство. Скорее всего, вместо того, чтобы его обойти, атакующие просто найдут другую лазейку и супер-эффективное средство окажется бесполезным.

Ни антифишинг, ни какой-либо другой продукт, прикрывающий ту или иную точку возможного проникновения, остановить атакующих не сможет.

Для чего предназначено решение Cezurity COTA?

Cezurity COTA обнаруживает целенаправленные атаки на корпоративную IT-инфраструктуру. Также решение позволяет провести аудит инфраструктуры — убедиться в том, что на конечных точках (т. е. на компьютерах и серверах) отсутствуют следы активных атак и заражений.

Cezurity COTA позволит обнаружить даже уникальную атаку, например, где злоумышленники используют 0day-уязвимости и специально созданные вредоносные программы, которые не детектируются ни одним из антивирусов.

Могут ли злоумышленники обмануть решение Cezurity COTA и избежать обнаружения?

Теоретически, такая возможность существует. Но вероятность, что это произойдет, очень низка. Одна из причин здесь — экономическая эффективность атаки.

Важно понимать, всегда есть некоторая вероятность того, что злоумышленникам удастся придумать новый способ избежать обнаружения. Для этого им нужно проделать исследовательскую работу, которая требует квалификации и времени.

Сегодня для обмана традиционных средств обнаружения, как правило, не требуется ни слишком высокой квалификации, ни большого количества времени. Поэтому стоимость услуг по организации атаки на компанию может оказаться довольно низкой — измеряться тысячами долларов.

Решение Cezurity COTA спроектировано так, чтобы его трудно было обмануть. Необходимая для этого исследовательская работа могла бы потребовать очень высокой квалификации и огромного количества времени. Стоимость подобной атаки экстремально высока и, скорее всего, такая атака просто нецелесообразна.

Входят ли в решение Cezurity COTA средства для того, чтобы остановить или заблокировать атаку?

Нет.

Cezurity COTA оповещает об атаках и активных заражениях, но не включает инструментов для реагирования на инциденты. В первую очередь это связано с тем, что универсальных способов реагирования не существует — инциденты должны обрабатываться в соответствии с политикой безопасности, принятой в компании, которая подверглась атаке.

Отчет об обнаруженных инцидентах, который формируется Cezurity COTA, включает необходимую для реагирования техническую информацию и комментарии вирусных аналитиков Cezurity.

Как работает Cezurity COTA?

На каждый из компьютеров устанавливается Агент. Агент периодически собирает и передает в экспертную систему Cezurity Sensa характеристики объектов, которые находятся в критических областях системы. В Cezurity Sensa полученная информация анализируется.

В основе решения Cezurity COTA лежит предположение о том, что действия злоумышленников неизбежно приведут к изменению атакуемых систем. Так как заведомо не известен ни метод атаки, ни эксплуатируемая уязвимость, а инструментом атакующих могла стать уникальная вредоносная программа (0day), которой нет в сигнатурных базах антивирусов, анализ атакованной системы отдельно от других событий к обнаружению атаки не приведет. Поэтому при анализе учитывается три вида контекста каждого из изменений: контекст системы, контекст времени и контекст окружения.

Можно ли отказаться от передачи данных в облако — например, развернув экспертно-аналитическую систему в корпоративном дата-центре?

Нет.

Угрозы могут обнаруживаться локально только “по подобию”. Если локальный механизм столкнется с новым типом атаки, детектирование которого не предусмотрено алгоритмом его работы, опасность останется незамеченной.

Можно ли ограничить передачу данных в облако?

Да.

Контроль передачи данных в облако осуществляется на уровне Сервера. Офицер безопасности или системный администратор могут настроить политики передачи объектов из корпоративной сети.

Существуют ли средства, которые позволяют блокировать целенаправленные атаки в автоматическом режиме, т. е. “на подступах”?

Нет. Скорее всего, это невозможно.

Если средство защиты блокирует угрозы автоматически, это позволит злоумышленникам проверить на нем используемые для атаки инструменты и отказаться от тех, которые были неэффективны.

ДОКУМЕНТЫ

Закажите обратный звонок