Cisco Cyber Threat Defense

2013-05-17

Jag är nyss hemkommen från en utbildning i Cisco Cyber Threat Defense. Buzzword-faktorn är hög i ett dylikt begrepp och innan jag åkte dit visste jag i stort sett ingenting om vad det hela handlade om. Men nu vet jag, och det är extremt kraftfullt!

Cyber Threat Defense handlar om att övervaka trafikflödena och enheters beteende i nätverket för att upptäcka säkerhetsluckor som malware-utbrott, otillåten användning av nätverksresurser och försök att kartlägga nätverken. Men det handlar också om ett effektivt sätt att optimera användandet av nätverket genom att upptäcka flaskhalsar och underutnyttjade WAN-länkar.

Konceptet består av 3 byggstenar:

  1. Netflow-kapabel nätverksutrustning från Cisco. Med Netflow-protokollet rapporterar routrar, switchar och brandväggar i nätverket vilka trafikströmmar som finns.
  2. StealthWatch från Lancope som analyserar Netflow-informationen.
  3. Cisco Identity Services Engine (ISE) som tillför extra information till StealthWatch. Genom att använda ISE för åtkomstkontroll till nätverket känner ISE till en hel del information om varje klient, såsom vilken användare som finns bakom klienten, vad det är för typ av klient och vilken fysisk plats i nätet användaren finns på.

Med ovanstående information kan Cyber Threat Defense ta fram ögonblicklig och historisk information om hur nätverket används. Genom att bilda sig en uppfattning om normalläget (baselining) för hur varje enhet i nätverket beter sig kan StealthWatch larma om ett beteende plötsligt ändras. 

Skickar datorn på ekonomiavdelningen plötsligt väldigt stora filer ut till en okänd server på internet kan detta vara ett tecken på att viktig information är på väg att lämna företaget.

Börjar plötsligt många klientdatorer att prata med varandra på kända eller okända portar, och kanske även ut mot många adresser på internet, kan detta vara ett malware-utbrott.

Om databasservern plötsligt tar emot trafik på tidigare stängda portar kan detta bero på allt ifrån en felaktig omkonfiguration till ett lyckat intrång.

För att förstå möjligheterna med Cyber Threat Defense är det viktigt att få se systemet i skarp drift med riktig data som analyseras. Gränssnittet man arbetar i är både lättarbetat och intuitivt. Kontakta mig eller din lokala Atea-kontakt för mer information så hjälper vi till med en demo!