Cisco Secure Network Analytics – widoczność sieci, która skraca drogę od „coś jest nie tak” do „wiemy co, wiemy gdzie i wiemy co dalej”

W większości organizacji technologie bezpieczeństwa rozwijają się szybciej niż sama widoczność zagrożeń. W efekcie incydenty bywają niewykrywalne, mało ważne alerty zalewają SOC, a kluczowe pytanie wciąż pozostaje bez odpowiedzi: czy ktoś już jest w naszej sieci – i skąd mamy to wiedzieć? Badania rynkowe (oraz nasze doświadczenie) wskazują, że z uwagi na złożoność środowisk i ewolucję ataków wykrywanie naruszeń bezpieczeństwa potrafi trwać tygodniami, a nawet miesiącami.

Cisco Secure Network Analytics (SNA, do niedawna Stealthwatch) odpowiada na ten problem w sposób praktyczny. Na podstawie analizy ruchu sieciowego (w postaci netflow lub jako pełny dump)  przeprowadza analitykę behawioralną, uczenie maszynowe oraz korelację z globalnym threat intelligence. Dzięki temu zagrożenia sieciowe są wykrywane natychmiastowo z minimalną ilością tzw. false-positive’wów.

Do czego służy Cisco Secure Network Analytics i jakie problemy rozwiązuje

SNA jest platformą Network Detection and Response (NDR) opartą o analizę zachowań w sieci. Jej głównymi zadaniami są:

• wykrywanie zagrożeń, które ominęły istniejące zabezpieczenia albo pochodzą z wnętrza organizacji,
• egzekwowanie zasad zgodności i wykrywanie naruszeń polityk (również w powiązaniu z modelem biznesowym danej firmy).

Jak to działa Secure Network Analytics (SNA)

SNA stale analizuje aktywność sieciową, budując bazę zachowań normalnych (baseline) dla środowiska, a następnie wykrywa odchylenia z wykorzystaniem modelowania behawioralnego oraz uczenia maszynowego. Dzięki temu potrafi z dużą pewnością skorelować anomalie z klasami zagrożeń – m.in. C&C, ransomware, DDoS, „unknown malware” czy działania insiderskie.

Z jakich elementów składa się Cisco Secure Network Analytics

Architektura SNA jest modułowa – można ją dobrać do skali i modelu wdrożenia (sprzęt, VM, a także wariant SaaS: Secure Cloud Analytics). Głównymi składowymi systemu jest Flow Collector (maszyna zbierająca ruch sieciowy) oraz Manger (aplikacja webowa prezentująca te dane oraz alarmująca o wykrytych zagrożeniach). Dodatkowo całe rozwiązanie możemy doposażyć m.in. o Data Store (dla potrzeb redundancji oraz dłuższej retencji).

Jakie bezpieczeństwo zapewnia Cisco Secure Network Analytics

Z perspektywy SOC i IR, SNA dostarcza trzy kluczowe wartości:

1. Detekcja zaawansowanych zagrożeń w czasie zbliżonym do rzeczywistego – w tym wczesnych sygnałów poprzedzających incydent (np. rozpoznanie, skanowanie czy ruch lateralny).
2. Widoczność i detekcja ruchu szyfrowanego – należy tutaj podkreślić możliwość wykrywania złośliwego oprogramowania w zaszyfrowanym ruchu bez deszyfrowania przy wykorzystaniu technik „encrypted traffic analytics”.
3. Compliance – dzięki przechowywaniu telemetrii oraz długiej retencji danych, organizacja zyskuje możliwość odtworzenia przebiegu zdarzeń i spełniania wymagań audytowych.

Z czym się integruje SNA – ekosystem, a nie kolejna wyspa

SNA jest projektowane jako element większej architektury Cisco Secure i posiada wiele możliwości integracji, a oto najważniejsze z nich:

• Cisco SecureX,
• Cisco Identity Services Engine (ISE),
• AnyConnect Network Visibility Module,
• Cisco Telemetry Broker,
• Narzędzia SOC/IT – SIEM.

Podsumowując, Secure Network Analytics jest produktem obszaru security, który daje pełną widoczność w całej sieci – bo bazuje na prawdziwych danych (telemetria sieci), a jednocześnie pozwala dojrzale odpowiedzieć na pytania: kto z kim rozmawia, co jest nietypowe, czy to wygląda jak atak i jak to udowodnić.