Функционал CISCO Threat пополняется буквально на постоянной основе. И очередной пакет обновлений действительно представляет интерес для конечного пользователя и администраторов.
Новая модель данных
Теперь CISCO Threat поддерживает модель данных, разработанную компанией MITRE. Она основана на словаре для анализа поведения потенциальных злоумышленников. Использование контекста такого рода позволяет определить не только конкретные атаки, но и анализировать тактики и методы преступников.
Используя маркеры модели данных, возможно не только оперативно идентифицировать потенциально опасные данные, но и аналитически привязать их к известным группам или кампаниям. Система оперирует сэмплы. Данные по ним, так называемым поведенческим индикаторам, доступны для анализа в виде отчетов и оперативной информации, в том числе данных облака CISCO Threat.
Защита персональных данных
Несомненным достоинством CISCO Threat является объединение информации и сэмплов, загруженных разными пользователями. Однако как защитить каждого из них? Ведь разумный баланс между пользой от каждого загруженного сэмпла и уровня конфиденциальности - необходим.
CISCO Threat использует полный анонимайзинг информации. Нет данных и об имени файла, ни о его хозяине, нет возможности просмотреть содержимое в явном виде. Однако система предоставляет информацию о контрольной сумме сэмпла, метаданные и связанные с ними поведенческие индикаторы.
Система отчетности
Обеспечение конфиденциальности отдельных пользователей никак не влияет на возможности компании отслеживать использование CISCO Threat. Администраторы имеют развернутую отчетность. Она включает данные за 30 дней, касающиеся всех загруженных сэмплов, их владельцах, определенный на основании анализов уровень угрозы и множество другой информации.
Система позволяет получать как месячный срез статистики, так и просматривать данные других периодов. Доступен и инструмент формирования динамики, позволяющий отслеживать тенденции, развивающиеся на протяжении того или иного периода.
Система реагирования на ложные срабатывания
Ситуация, когда файл ложно помечается как потенциально опасный - нормальна для любой системы защиты. Теперь в CISCO Threat появился инструмент обратного реагирования. Пользователи могут сообщать команде RET о ложных срабатываниях. Это дает возможность администраторам проводить любые виды анализа для оценки вредоносности контента с последующим изменениям алгоритмов анализа и поведенческих индикаторов.
Улучшенная графика
Графический интерфейс CISCO Threat стал понятнее и нагляднее. Теперь пользователь или администратор может при выборках основываться и ориентироваться на ключевой функциональности и главных направлениях работы с системой. Можно просматривать тенденции загруженных семплов.
Появилась возможность анализировать как свои загруженные поведенческие индикаторы, так и общий объем данных, принадлежащих компании. Система предлагает ряд новых панелей, которые отображают общие тенденции аналитической платформы. Например, результаты оценки уровней угрозы, типы полученных файлов и многое другое.
Удобный инструмент анализа данных для обновления поведенческих индикаторов
Теперь CISCO Threat имеет инструмент для анализа данных об угрозах, поступающих от сторонних сервисов. Это CISCO Threat Response. Он предназначен для решения важной задачи. Ситуация проста и одновременно сложна.
- С одной стороны, компания имеет множество собственных данных, собранных на основе аналитики применяемых средств защиты.
- С другой стороны, она может получать данные потенциальных угроз от сторонних сервисов Threat Intelligence.
Образуется огромный объем данных статистики. Его нужно анализировать, при этом неизвестно, имеют ли ценность поведенческие индикаторы сторонних сервисов для конкретной компании.
CISCO Threat Response решает задачу объединения статистики и проведения Thread Hunting, то есть отбора данных, применимых для конкретной сетевой инфраструктуры. Интегрируясь с CISCO Threat, данный инструмент позволяет получить максимально достоверные индикаторы и поддерживать систему защиты на постоянном высоком уровне.