Threat grid что это

Обновлено: 17.05.2024

Нынешний ландшафт угроз заметно сложнее, чем прошлогодний. Разумно предположить, что в следующем году ситуация ухудшится еще больше. Киберпреступность приобрела черты настоящей отрасли промышленности, создав новый тип злоумышленника: теперь это специалист, отличающийся высоким уровнем профессионализма, предпринимательским подходом к делу и технической оснащенностью.

В прошлом году актуальной и всеми желанной новой технологией борьбы с киберугрозами стал динамический анализ вредоносного кода с использованием изолированных сред, т.н. «песочниц». В течение какого-то времени основным решением для борьбы с вредоносным ПО считались антивирусы, но не вызывает сомнений, что в конечном счете ту же роль будут играть технологии изолированных сред-«песочниц», способные защищать от усовершенствованного вредоносного кода.

Решения, использующее технологии изолированных сред, доступны уже несколько лет, но современный анализ вредоносного кода уже вышел за рамки классических «песочниц», которые просто извлекают подозрительные образцы, изучают их в локальной виртуальной машине и при необходимости помещают в карантин. Чтобы бороться с самыми современными угрозами, умеющими успешно противодействовать средствам защиты и уклоняться от обнаружения, необходимы более надежные инструменты для анализа вредоносного кода, которые встраиваются в инфраструктуру и обеспечивают непрерывный контроль за безопасностью.

Компания Tripwire недавно стала партнером Cisco и интегрировала в свое решение Tripwire Enterprise ряд технологий AMP Threat Grid для динамического анализа вредоносного кода. Почему выбор пал именно на Cisco? Тщательный анализ, проведенный компанией Tripwire, выявил ряд ключевых преимуществ AMP Threat Grid над аналогичными решениями.

Во-вторых, количество высококлассных специалистов по информационной безопасности невелико, а если говорить совсем откровенно, их очень мало. AMP Threat Grid предоставляет технологию Threat Score, при помощи которой даже младшие сотрудники служб безопасности могут уверенно определять, насколько вредоносен тот или иной образец. Индикаторы поведения вредоносного кода написаны простым, доступным языком, наглядно показывая, что именно делает файл и почему его поведение нужно считать допустимым, подозрительным или вредоносным.

В-третьих, тщательно выбранный инструментарий. В частности, при разработке AMP Threat Grid не использовались внутренние инструменты виртуальных машин. Большинство специалистов едины во мнении, что около 40% современного вредоносного ПО тщательно изучает окружающую среду (к примеру, данные о возрасте операционной системы), чтобы убедиться в отсутствии изолированной среды — «песочницы», перед тем, как начать свою деятельность.

Существует три основных подхода к внедрению средств для анализа вредоносного кода:

Отдельное решение, самостоятельно отбирающее и анализирующее образцы без взаимодействия с другими системами. Такой подход наиболее гибок в развертывании, но отличается строгими требованиями к производительности оборудования и, кроме того, довольно сложен в управлении и эксплуатации, особенно, в условиях распределенных сред. Системы с распределенными сенсорами сбора данных, например, межсетевые экраны, системы предотвращения вторжений (IPS) или универсальные шлюзы безопасности (UTM), оборудованные технологиями изолированных сред-«песочниц». Такие решения, как правило, имеют адекватную стоимость и легко внедряются, однако они менее эффективны в обнаружении многих подозрительных объектов, включая файлы, передающиеся через Интернет. Кроме того, работа решений такого типа может сопровождаться ограничением полосы пропускания, и тогда единственным выходом становится использование облачных решений, из-за чего может пострадать как сетевая производительность, так и обеспечение конфиденциальности. Шлюзы безопасности данных, например интернет-шлюзы или почтовые шлюзы. Этот подход тоже отличается адекватной стоимостью, но ориентирован, в первую очередь, на безопасность почтовых и интернет-каналов, а кроме того, тоже может сопровождаться ограничениями производительности и проблемами с обеспечением конфиденциальности.

Поскольку система Tripwire осуществляет наблюдение и сбор данных на критически важных системах, перечисленные подходы кажутся неэффективными. Существует четвертый способ, который не только объединяет наилучшие черты предыдущих трех, но и дополнительно улучшает возможности противодействия постоянно совершенствующимся кибератакам: Cisco AMP Threat Grid. Благодаря технологиям AMP Threat Grid компания Cisco предоставляет возможности для анализа усовершенствованного вредоносного кода, а также аналитическую информацию об угрозах. В то же время интеграция с решением Tripwire Enterprise обеспечивает не только улучшенный контроль за тем, что происходит в вычислительной среде заказчика, но и более эффективную окупаемость инвестиций.

Благодаря интеграции технологий AMP Threat Grid в решение Tripwire Enterprise организации получили как возможности статического и динамического анализа, способствующего лучшему пониманию фронта актуальных угроз, так и средства автоматизации использования аналитической информации об угрозах в своих системах безопасности. Как же осуществляется эта интеграция?

Контекстно-ориентированная система аналитической защиты AMP Threat Grid в статическом и динамическом режиме анализирует все исследуемые файлы, запускает объекты в безопасной изолированной среде, изучает поведение образцов и сопоставляет результаты с сотнями миллионов аналогичных случаев, проанализированных ранее. Менее чем за 10 минут AMP Threat Grid присылает обратно детальный отчет, и решение Tripwire Enterprise определяет исследуемый файл в соответствии с результатами. Таким образом, решение Tripwire Enterprise дает заказчикам возможность приоритизировать действия для изменений на системах с выявленными при помощи AMP Threat Grid угрозами, а также незамедлительно начинать работу над быстрым восстановлением.

AMP Threat Grid не только анализирует широкий спектр потенциально опасных объектов, но еще и предоставляет своим подписчикам подробную аналитическую информацию с учетом контекста. При помощи более чем 350 индикаторов поведения угроз и базы знаний вредоносного кода, базирующейся на данных со всего мира, AMP Threat Grid обеспечивает более точную, чем когда бы то ни было ранее, контекстно-ориентированную аналитику вредоносного ПО. Пользователи Tripwire могут зарегистрироваться и получить бесплатную демо-версию здесь.

Метки: Cisco, Tripwire, Tripwire Enterprise, кибератаки, киберугрозы, «песочницы», информационная безопасность, защита от угроз, технология AMP Threat Grid, технологии изолированных сред-«песочниц».

О компании Cisco

Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.

Настройка проекта

Для данного проекта требуются начальные знания HTML , CSS и умение работать с VSCode (или другим редактором по вашему вкусу). Делаем следующее:

Создаем директорию для проекта, например, Project1 и открываем ее в редакторе ( cd Project1 , code . )
Создаем файлы index.html и style.css
Устанавливаем в VSCode сервер для разработки ( Live Server , расширение) и запускаем его

Или вы можете просто открыть Codepen (или любую другую песочницу) и начать писать код.

Все готово, можно приступать к делу.

Создаем 3 контейнера внутри body :

Шаг 1

Шаг 2

Немного стилизуем body :

Шаг 3

Стилизуем все контейнеры:

Не волнуйтесь, мы рассмотрим каждое из указанных свойств Грида.

Шаг 4

Добавим небольшой отступ между контейнерами:

Краткий обзор характеристик

Функции и возможности

Локально размещаемое устройство

Усовершенствованный анализ вредоносного ПО, комплексная аналитика угроз и контроль соблюдения нормативных требований в одном локально размещаемом устройстве. Информация, переданная на устройство AMP Threat Grid или сгенерированная в процессе локального анализа, надежным и безопасным образом сохраняется внутри организации. Это обеспечивает необходимую защиту от вредоносного ПО при соблюдении внутриорганизационных требований.

Вы также получаете доступ к наиболее актуальной базе знаний о вредоносном ПО и поведенческим индикаторам. В устройстве предусмотрена функция ручного обновления, которая обеспечивает загрузку самых последних данных о вредоносном ПО при соблюдении корпоративных и нормативных ограничений.

Передовые функции аналитики

Устройство AMP Threat Grid предоставляет аналитику с учетом контекста, позволяя точно идентифицировать атаки практически в реальном времени. Файлы анализируются и сопоставляются с сотнями миллионов других проанализированных артефактов вредоносного кода, в результате чего формируется всеобъемлющее представление о сетевых атаках и их распространении. Подробные отчеты выявляют ключевые поведенческие индикаторы и предоставляют оценки угроз для своевременной расстановки приоритетов и быстрого восстановления после атак повышенной сложности.

Поведенческие индикаторы и оценка угроз

Предоставьте своей группе средства приоритизации и быстрого, уверенного реагирования. Более 450 индикаторов, созданных в результате статического и динамического анализа и охватывающих различные семейства вредоносного ПО, злонамеренное поведение и прочие угрозы, гарантируют точность и конкретность анализа.

Оценка угроз, отражающая уровень опасности, содержит подробные описания и практически значимую информацию, дающую глубокое и полное представление о поведении вредоносного ПО и различных способах атак. Для более точной расстановки приоритетов запатентованные методы анализа и алгоритмы определяют степень достоверности и серьезности угрозы в виде количественной оценки.

Усовершенствованные функции поиска, сопоставления и формирования отчетов

Устройство AMP Threat Grid обеспечивает точное обнаружение атак со стороны усовершенствованного вредоносного ПО. Надежные функции поиска, сопоставления и формирования отчетов предоставляют подробную информацию об актуальных и ретроспективных артефактах вредоносного ПО, его индикаторах и образцах. Подробные аналитические отчеты содержат информацию обо всех типичных действиях вредоносного ПО, включая сетевой трафик и артефакты.

Мощный API-интерфейс и платформа

Автоматизируйте свои действия для ускорения обнаружения угроз и реагирования на них. Используйте REST API в сочетании с данным устройством для интеграции каналов мониторинга угроз в имеющиеся инфраструктуры безопасности — систему управления информационной безопасностью и событиями безопасности (SIEM), систему обнаружения вторжений (IDS), шлюзы и прокси — в целях быстрого обнаружения и блокирования вредоносного ПО.

Как интегрироваться с решениями Cisco по безопасности? Обзор двух десятков API, доступных всем

Сегодня в России очень модной стала тема SOC и SIEM. Все их строят и пишут. Вы знали, что в России уже около десятка собственных систем мониторинга событий безопасности (SIEM)? Эту цифру перевалило и число коммерческих SOCов, предлагающих свои услуги заказчикам, которые попадут под требования 187-ФЗ о безопасности критической информационной инфраструктуры и вынуждены будут оперативно отдавать данные об инцидентах в ГосСОПКУ. Но какую бы цель не преследовали создатели SIEM и SOC, и на каком бы уровне зрелости они не находились, они все равно сталкиваются с базовой задачей — сбора событий безопасности и журналов регистрации от разрозненных средств защиты информации.

Согласно данным компании Canalys (а она единственная кто продолжает оценивать российский рынок решений по ИБ), лидером отечественного рынка продолжает оставаться компания Cisco. Поэтому вполне разумно предположить, что одной из первых задач, которая должна стоять перед разработчиками SIEM/SOC, — это интеграция с решениями нашей компании. Но вокруг такой интеграции бытует множество мифов и заблуждений, которые можно описать диалогом, который у меня недавно случился с одним из отечественных производителей SIEM:

— А почему вы не интегрируетесь с решениями Cisco?
— Так у вас уже все проприетарное?
— Нет, это не так!
— Да? А мне говорили, что у вас закрытые API и доступ к ним стоит денег.
— Нет, и это не так!

Поэтому я решил сегодня вкратце описать те API, которые существуют у компании Cisco, и с помощью которых можно подключиться к ее решениям по кибербезопасности. Их можно разделить на несколько типов:

API, позволяющие получать доступ к событиям безопасности, логам, контексту, которые собираются решениями Cisco в защищаемой сети предприятия.
API, позволяющие получать доступ к облачным сервисам по безопасности Cisco для проверки подозрительных файлов, доменов, IP-адресов и т.п.
API, позволяющие управлять решениями Cisco из внешних систем.
API, позволяющие обогащать решения Cisco данными об угрозах, полученных из внешних источников.

eStreamer API. API, позволяющий отправлять события безопасности с многофункциональной платформы безопасности Firepower в свой SIEM.
Host Input API. API, позволяющий собирать информацию об уязвимостях и другую информацию об узлах в сети. Именно его использует тот же MaxPatrol от Positive Technologies для передачи Firepower информации об уязвимостях, операционных системах и приложений на сканируемых узлах, которая затем коррелируется с данными об угрозах, которые собираются подсистемой обнаружения вторжений NGIPS или системой борьбы с вредоносным кодом AMP на платформе Firepower.
JDBC Database Access API. API, который позволяет делать запросы к базе данных Firepower из различных приложений.
pxGrid. Это целый framework, позволящий обменивать контекстом безопасности (кто, куда, как, откуда, с помощью чего получал доступ) между системой контроля сетевого доступа Cisco ISE и внешними решениями (SIEM, MDM, МСЭ, NAC, IRP, UEBA, CASB, IAM, VM и др.). С помощью этого API можно получать информацию о событиях доступа пользователя и устройств сразу из сетевой инфраструктуры Cisco (коммутаторов, маршрутизаторов, точек доступа и т.п.).
MDM API. Позволяет MDM-решениям третьих фирм (например, Airwatch, MaaS360, Meraki, SAP, XenMobile, Symantec, MobileIron, Good, Intune и т.п.) получать информацию о статусе мобильного устройства от ISE.
AnyConnect Network Visibility Module Collection. С помощью данного API защитный клиент AnyConnect предоставляет данные IPFIX для их корреляции со средствами сетевого анализа трафика (например, Cisco Stealthwatch).
AMP for Endpoints API. API, который позволяет отдавать события безопасности, связанные с вредоносным кодом, обнаруживаемым средством защиты Cisco AMP (Advance Malware Protection), решениям третьих фирм или иным решениям Cisco (например, Cisco Cognitive Threat Analytics). В качестве таких событий, могут выступать уязвимые компьютеры, траектория устройства (сетевая активность), коммуникации с внутренними или внешними узлами, заражения и т.п.
ESA REST API. Позволяет собирать статистику событий безопасности и E-mail Security Appliance.
Stealthwatch Data Exporter SDK. Позволяет забирать события о сетевых потоках из системы мониторинга сетевого трафика Cisco Stealthwatch и использовать их в своих собственных целях.

Ответ же будет следующим:

Ко второму типу API относятся:

Threat Grid API. Позволяет направлять подозрительные файлы для анализа в песочницу Threat Grid и получать вердикты об их статусе (“чистый” или вредоносный). В условиях, когда антивирусы перестают эффективно распознавать современные угрозы, интеграция с песочницей (а их в мире не так уж и много) становится обязательным элементов современной системы защиты. Кстати, одним из вариантов ответа на полученный на анализ файл является получение автоматически сгенерированной сигнатуры для Snort. Учитывая, что практически все отечественные системы обнаружения атак в основе своей построены на Snort, эта возможность будет очень полезной для многих применений.
OpenDNS Investigate API. Позволяет делать запросы к облачному сервису OpenDNS при проведении расследований, в т.ч. для анализа вредоносности доменов.
OpenDNS Umbrella API. Позволяет реализовывать пользовательские политики контроля доступа в Интернет, блокируя специфические домены, отсутствующие в базе OpenDNS.

Мы видим, что Threat Grid API возвращает нам значение уровня угрозы (threat) по стобалльной шкале для различных типов поведения файла (Threat Grid может оценивать до 800 различных параметров в зависимости от загруженного файла). Итоговое значение (threat_score) равно 95, что означает, что анализируемый файл является вредоносным.

Можно привести пример работы с еще одним API, позволяющим оценивать безопасность доменов, информацию о которых мы можем получать от МСЭ, почтовых шлюзов, прокси, средств контроля доступа в Интернет и т.п. С помощью OpenDNS Investigate API мы можем сформулировать запрос на проверку интересующего нас домена:

А в ответе мы получим значения различных параметров, по которым OpenDNS оценивает безопасность доменов, IP-адресов, автономных систем и т.п.:

К третьему типу API относятся:

Remediation API. Позволяет решениям третьих фирм управлять многофункциональной защитной платформой Cisco Firepower.
FirePOWER 9300 (SSP) REST API. Позволяет выстраивать конфигурационные сервисные цепочки.
Read/Write REST API for Firepower. Позволяет выполнять различные операции над объектами, с которыми работает Firepower.
Management API for ASA. Обеспечение управления Cisco ASA из решений третьих фирм, аудита политик ИБ и т.п.
CloudLock Enterprise API. Позволяет управлять платформой облачного контроля доступа Cisco CloudLock и формирования отчетов на основании полученной из CloudLock информации.
CloudLock Development API. Позволяет управлять облачными микро-сервисами.
pxGrid. API, который позволяет не только отдавать контекстную информацию, но и управлять сетевым доступом, блокируя через Cisco ISE пользователей и устройства на уровне коммутаторов, маршрутизаторов, точек доступа и т.п.
AMP for Endpoints API. Позволяет управлять черными списками приложений на AMP for Endpoints, переносить компьютеры из одной группы в другую и т.п.

К четвертому типу относятся

Threat Intelligence Director. Решение, которое позволяет многофункциональной платформе безопасности Cisco Firepower получать и коррелировать данные об угрозах (Threat Intelligence) не только от подразделения Cisco Talos, но и от внешних TI-платформ, поддерживающих протоколы и стандарты STIX и TAXII.
AMP Cloud-based API. API, который позволяет не только отдавать события безопасности, связанные с вредоносным кодом, но и получать доступ к внешним сервисам Threat Intelligence. Например, Cisco AMP for Endpoint может не только отправлять подозрительные файлы в облачную или локальную песочницу Cisco AMP Threat Grid, но и, например, в Virus Total.

DevNet. Это платформа, состоящая из двух частей. “Песочница” (DevNet Sandbox) обеспечивает доступ к программному и аппаратному обеспечению, физическому и виртуальному, для быстрой разработки и тестирования соответствующих решений. Работа с DevNet бесплатна и обеспечивается с любого устройства, подключенного к Интернет. Вторым компонентом DevNet является обучающая лаборатория (DevNet Learning Labs), которая предоставляет доступ к обучающему контенту, примерам кода, имеющим отношение к интеграции с решениями Cisco. Обучающая лаборатория также бесплатна и доступна для всех желающих. Большинство из упомянутых выше API представлены в DevNet, но есть и отдельные, более детальные разделы на сайте Cisco, погружающие вас с особенности программирования для решений Cisco по безопасности (для доступа к некоторым из них требуется иметь доступ к соответствующим продуктам или сервисам).
Cisco Solution Partner Program (SPP). Если DevNet — это платформа, построенная по принципу самообслуживания, с помощью которой вы разрабатываете и тестируете свои интеграционные решения, то SPP — это уже следующий шаг, который подразумевает более формальные отношения с Cisco. Речь идет о независимом тестировании разработанного интеграционного решения, получении статуса технологического партнера и включении его решений в соответствующий каталог на сайте Cisco, к которому имеют доступ миллионы компаний по всему миру.

Для того, чтобы интегрировать свои SIEMы и SOCи с решениями Cisco достаточно просто зарегистрироваться на DevNet и, получив примеры кода, доработать свои решения, оснастив их соответствующими компонентами и программными вызовами через API. В принципе, уже этого достаточно для того, чтобы взаимодействовать с решениями Cisco по безопасности. Это полностью бесплатно (исключая оплату труда ваших программистов). Если же ваша задача выйти на международный рынок, продемонстрировать свои продукты широкой аудитории, доказать серьезные намерения по интеграции с Cisco, являющейся мировым лидером на рынке кибербезопасности, то необходимы определенные инвестиции и вступление в программу SPP. Именно по этому пути пошли такие компании как Check Point, ThreatQuotient, Anomali, Symantec и т.п.

Надеюсь, после такого краткого экскурса уже ни о кого не останется сомнений в том, что решения Cisco открыты как никто для интеграции с внешними продуктами и сервисами по безопасности. В этом направлении компания движется уже несколько лет, подтверждая ранее выдвинутый лозунг, которому следует подразделение Cisco по кибербезопасности, — «Open. Simple. Automation» (Открытость. Простота. Автоматизация).

Что такое CSS Grid ?

Грид — это макет для сайта (его схема, проект).

Грид-модель позволяет размещать контент сайта (располагать его определенным образом, позиционировать). Она позволяет создавать структуры, необходимые для обеспечения отзывчивости сайтов на различных устройствах. Это означает, что сайт будет одинаково хорошо смотреться на компьютере, телефоне и планшете.

Вот простой пример макета сайта, созданного с помощью Грида.

Компьютер

Телефон