Кейсы для применения средств анализа сетевых аномалий: атаки через плагины браузеров

Атаки на браузеры являются достаточно популярным вектором для злоумышленников, которые через различные уязвимости в программах для серфинга в Интернете или через слабо защищенные плагины к ним пытаются проникать внутрь корпоративных и ведомственных сетей. Начинается это обычно на вполне легальных и...

Все блоги / Про интернет

Кейсы для применения средств анализа сетевых аномалий: обнаружение кампании DNSpionage

Продолжаем рассмотрение кейсов для систем анализа сетевого трафика (NTA) применительно к целям кибербезопасности. Сегодня мы посмотрим, как такие решения можно применить для обнаружения очень непростых, целенаправленных и очень эффективных кампаний под названием DNSpionage и Sea Turtle. Но перед...

Все блоги / Про интернет

Кейсы для применения средств анализа сетевых аномалий: обнаружение распространения вредоносного кода

Продолжу рассмотрение кейсов, связанных с применением решений по мониторингу ИБ с помощью решения класса NTA (Network Traffic Analysis). В прошлый раз я показал, как можно обнаруживать утечки информации, а в этот раз поговорим о выявлении вредоносного кода внутри корпоративной или ведомственной...

Все блоги / Про интернет

Кейсы для применения средств анализа сетевых аномалий: обнаружение утечек

На одном из мероприятий завязалась у меня интересная дискуссия на тему полезности решений класса NTA (Network Traffic Analysis), которые по полученной с сетевой инфраструктуры телеметрии Netflow (или иных flow-протоколов) позволяет выявлять широкий спектр атак. Мои оппоненты утверждали, что при...

Все блоги / Про интернет

Интеграция Cisco Threat Response и Cisco Stealthwatch Enterprise

Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с...

Все блоги / Про интернет

Кроссворд «Почувствуй себя аналитиком SOC»

В последнее время мы стараемся на наших мероприятиях не просто рассказывать о наших решениях в области кибербезопасности, а добавляем в них интересную интеллектуальную фишку, которая позволяет слушателям не только узнать что-то новое о Cisco, но и проверить свои знания в игровой форме. На Cisco...

Все блоги / Про интернет

Как Cisco мониторит ИБ поглощаемых компаний и обеспечивает их доступ к своим ресурсам?

У Cisco достаточно агрессивная стратегия поглощения компаний на рынке, которая не только приносит нам доходы по ключевым направлениям нашей деятельности, но и создает то, что иностранцы любят называть словом challenge, которое на русский часто переводят как “вызов”. Возможно когда-то это и было...

Все блоги / Про интернет

Мониторинг безопасности облаков. Часть 2

Итак, я продолжу статью, посвященную мониторингу безопасности облачных провайдеров. В первой части я рассказывал об опыте Cisco в работе с внешними облачными сервисами, а также о наблюдениях Cisco, с которым мы столкнулись при построении или аудите SOCов наших заказчиков. Взяв в первой части в...

Все блоги / Про интернет

Чеклист для борьбы с фишингом

Начну с некоторых цифр: 80% успешных атак начинается с фишинга (а кто-то считает, что и вовсе 95%) 10% сигналов тревоги в большинстве SOC связано с фишинговыми атаками Рейтинг успешных кликов на фишинговые ссылки — 21% Рейтинг загрузки/запуска вредоносных вложений – 11% Все это говорит о том, что...

Все блоги / Про интернет

Flow-протоколы как инструмент мониторинга безопасности внутренней сети

Когда речь заходит о мониторинге безопасности внутренней корпоративной или ведомственной сети, то у многих возникает ассоциация с контролем утечек информации и внедрением DLP-решений. А если попробовать уточнить вопрос и спросить, как вы обнаруживаете атаки во внутренней сети, то ответом будет, как...

Все блоги / Про интернет

Взаимодействие решений Cisco в ГосСОПКОЙ и ФинЦЕРТом

Прошлая заметка про нашу платформу поиска угроз Cisco Threat Response привела к тому, что я получил несколько вопросов о том, как интегрировать CTR с государственными сервисами ГосСОПКА и ФинЦЕРТ? И поэтому я решил написал еще одну небольшую заметку и показать, как можно выжать максимум пользы из...

Все блоги / Про интернет

Почему Cisco не покупает Splunk или рассказ о том, как работает платформа Cisco для threat hunting

Примерно раз в полгода какой-нибудь американский журналист публикует конспирологическую заметку о том, что Cisco вот-вот купит Splunk и зайдет в сегмент SIEM, так как это именно то, чего нам не хватает для окончательного завоевания мирового рынка ИБ (хотя мы и так уже были названы в марте вендором...

Все блоги / Про интернет

GOSINT — open source решение для управления индикаторами компрометации (IoC)

Одной из горячих тем в кибербезопасности в последнее время стали SOCи (Security Operations Center), которые не очень удачно переводят на русский язык как «центры мониторинга безопасности», умаляя тем самым одну из важных функций SOC, связанную с реагированием на инциденты ИБ. Но сегодня мне не...

Все блоги / Про интернет

Как мы мониторили Black Hat Europe 2018

Полгода назад я уже писал на Хабре заметку, где делился нашим опытом мониторинга различных конференций по ИТ и ИБ, в которых Cisco приглашают для обеспечения работы SOC и NOC (Black Hat, Mobile World Congress, RSAC и т.п.). Сегодня я бы хотел поделиться опытом участия в работе центра мониторинга...

Все блоги / Про интернет

Тенденции сетевой безопасности в 2019-м году

Так принято, что в конце каждого года компании напоминают о себе, делясь своими достижениями и публикуя прогнозы, которые, по счастливой случайности, связаны с продуктами компании. Я не стану нарушать эту традицию с двумя небольшими дополнениями. Я не буду рассказывать о наших достижениях за...

Все блоги / Про интернет

Информационная безопасность Cisco в 2014-м году: краткие итоги

Недавно закончившийся 2014-й год был для компании Cisco с точки зрения информационной безопасности очень удачным. Нам удалось укрепить свои позиции на рынке и подтвердить правильность выбранной ранее стратегии развития направления сетевой безопасности, основными драйверами которого, на наш взгляд,...

Все блоги / Про интернет

Новое решение Cisco по безопасности следующего поколения (NGFW + NGIPS + AMP)

Итак, свершилось. Компания Cisco анонсировала свое новое решение — FirePOWER for ASA (презентация на русском языке); результат интеграции технологий компании Sourcefire с “родными” решениями Cisco, а точнее с многофункциональной защитной платформой Cisco ASA 5500-X. Читать дальше →...

Все блоги / Про интернет

[recovery mode] Ввоз средств шифрования в Россию: разоблачая мифы

Помните недавнюю историю с иском к россиянину, заказавшему в зарубежном Интернет-магазине новый смартфон Motorola? Тогда было немало заметок на эту тему и почти все они могли бы быть сформулированы коротко: “Российские власти закручивают гайки и обычному россиянину уже даже через Интернет...

Все блоги / Про интернет