Petr Šnajdr

Petr Šnajdr

Senior Presales Consultant - Security

+420 727 892 989

Blokujte nebezpečný obsah pomocí Cisco Umbrella

Existuje způsob, jak mít přehled o tom, co uživatelé na svých zařízeních dělají, když se připojují mimo perimetr sítě? Lze efektivně detekovat a blokovat hrozby před tím, než je zařízení uživatele infikováno, ať už se jedná o Ransomware, BitCoin miner nebo škodlivý prvek na webové stránce? Odpovědí je Cisco Umbrella!

Stále více správců bezpečnostních řešení řeší otázky spojené s ochranou zařízení, která se pohybují mimo chráněný perimetr sítě. Uživatelé pracují z nejrůznějších míst, mezi které patří kavárny, letiště, restaurace atp., využívají nezabezpečené WIFI sítě, a navíc nejsou nuceni využívat bezpečné připojení do firmy pomocí VPN. Uvnitř firemní sítě mají administrátoři díky firewallu dostatek informací o tom, jaké stránky uživatelé navštěvují, a dokáží je velmi efektivně blokovat. Jak ale podobné informace získat ve chvíli, kdy uživatel se zařízením pracuje mimo firmu? 

Cisco Umbrella je řešení, které dokáže chránit zařízení uvnitř i mimo vnitřní síť tak, že DNS dotazy směřuje na DNS servery Cisco Umbrella. Ty mají dostatek informací z milionů senzorů a globální databáze Cisco Talos.

Cisco Talos má k dispozici díky senzorům miliardy vzorků, artefaktů a informací o reputaci. Umbrella pak vyhodnotí, zda dotaz směřuje na stránku, která obsahovala škodlivý kód, zda server slouží jako C&C server pro Ransomware, nebo zda se jedná o doménu, která vznikla před malou chvílí a není pro ni ještě dostatek informací. Administrátor má pak dostatek informací, aby mohl vyhodnotit, jaké riziko daný incident představuje. Pro vyhodnocení a blokování lze využít předdefinované politiky, nebo blokovat konkrétní aplikace, které uživatelé mají ve svých zařízeních, na základě vlastního uvážení. Všechny získané informace pak správce může využít pro generování přehledných reportů.

 

 

Dobrým příkladem fungování Cisco Umbrella si můžeme ukázat na kampani k Ransomware Locky. Při kampaních tohoto typu je nejdůležitější rychlost reakce na nové hrozby. Ať už jde o detekci samotného škodlivého kódu, nebo o blokaci IP, domén a serverů, ze kterých se malware šíří, případně na které komunikuje v rámci C2 callbacku. Jak je vidět na dalším obrázku, Cisco Umbrella měla informace o 26 dní dříve, než se první vzorky začaly objevovat na VirusTotal. Vzhledem k rizikovosti ransomware i zde platí, čím dříve, tím lépe. Zařízení zákazníků s Cisco Umbrela tedy neměla přístup ani k samotnému malware ani k serverům, na které Locky následně komunikoval. 

Velmi důležitou součástí může být i modul AppDiscovery. Cisco Umbrella přehledně kategorizuje a zobrazuje aplikace, které mají uživatelé ve svých zařízeních. Na základě informací z Cisco Talos dokáže vyhodnotit rizikovost aplikací, kterou pak spolu s detailním popisem zobrazí i s četností výskytu v síti. Pro podrobnější informace o konkrétních hrozbách lze využít Umbrella Investigate, který má k dispozici data z Threat Grid. Zobrazuje informace, na základě kterých je soubor nebo URL blokována.

Cisco Umbrella tak jednoznačně přidává velmi důležitou visibilitu a možnosti pro správu a blokování nebezpečného obsahu. Spolu s jednoduchou integrací do prostředí, bez nutnosti změn kritické infrastruktury.

Cisco Umbrella představuje efektivní cestu, jak ochránit uživatele i mimo perimetr sítě. Výhodou je nasazení v testovacím režimu, kdy po vygenerování testovací licence správci zjistí, jaké nebezpečné aktivity uživatelé dělají.