Том Гиллис, глава бизнес-группы безопасности Cisco, делится своими главными советами по обнаружению, предотвращению и устранению угроз безопасности.
Кибербезопасность никогда не была легкой. Но сегодняшний ландшафт угроз превосходит все, что мы могли себе представить даже несколько лет назад.
Хорошей новостью является то, что организации могут дать решительный отпор, если они реализуют правильные меры защиты и стратегии.
Мы поговорили с Томом Гиллисом, старшим вице-президентом и генеральным менеджером бизнес-группы безопасности Cisco (SBG), и поделились с ним тремя главными советами по созданию устойчивой системы безопасности.
Как подчеркивает Гиллис, его предложения не являются радикально новыми концепциями. Радикально новым является то, как Cisco повышает свою эффективность с помощью решений на основе искусственного интеллекта, которые легче внедрять и обслуживать, предлагая при этом самые передовые средства обнаружения и автоматизированного реагирования.
Обновление доступа к сети с нулевым доверием
С тех пор, как киберпреступники поняли, что проще войти в систему, чем взломать, количество атак, связанных с использованием личных данных, возросло. Политика нулевого доверия и наименьших привилегий — распространенный способ дать отпор. Ограничивая пользователей только теми данными и приложениями, которые им необходимы для выполнения своей работы, мы уменьшаем ущерб от взлома. Как объясняет Гиллис: «Идея состоит в том, что продавцы могут получить доступ к торговым приложениям, ИТ-специалисты могут получить доступ к ИТ-приложениям, но вы, вероятно, не хотите, чтобы продавцы имели доступ к ИТ-приложениям».
Это может показаться простым, но с тысячами приложений, множеством брандмауэров, «коннекторами приложений» и сильно распределенными пользователями это не так. Но у Cisco есть комплексное решение на базе платформы.
«Cisco решает эту проблему уникальным образом, объединяя нашу проверенную широко распространенную традиционную VPN с современным нулевым доверием в одно интегрированное решение, которое мы называем Cisco Secure Access», — объяснил Гиллис. «Это позволяет вам предоставить конечным пользователям отличный опыт в первый же день».
«Независимо от того, собираюсь ли я использовать одно из тех устаревших приложений, которым требуется поддержка VPN, — продолжил он, — или более современное приложение, которое может вписаться в эту наименее привилегированную структуру, Cisco со всем этим справится. Все, что знает пользователь, — это то, что это работает».
«Вишенкой на торте», — считает Гиллис, — является Cisco ThousandEyes. Он может точно определить источник проблемы, будь то провайдер широкополосного доступа, облачное приложение или даже ваш собственный ноутбук.
«Мы предоставляем конечным пользователям отличный опыт и измеряем его», — сказал Гиллис. «Итак, мы интегрировали ThousandEyes, нашу возможность мониторинга сети, в это решение, чтобы, если пользовательский опыт не очень хорош, мы могли точно сказать вам, почему».
Защитите свои приложения с помощью ИИ
Как и в случае с идентификацией пользователя, злоумышленники будут использовать взломанное приложение или подключенный компьютер, а не взламывать сеть напрямую. Таким образом, принцип «нулевого доверия» должен распространяться не только на людей, но и на центры обработки данных.
Как объясняет Гиллис, сегментация — это основополагающая стратегия определения способов взаимодействия приложения. Это ограничивает доступ хакеров, когда они попадают в определенное приложение.
Опять же, это не так просто, как кажется. Приложения, управляемые событиями, могут непредсказуемо реагировать на обычные бизнес-изменения. Поэтому трудно определить, когда человек действительно действует гнусно.
У Cisco хорошие новости.
«Благодаря новой технологии Cisco Hypershield, — сказал Гиллис, — мы используем возможности искусственного интеллекта, чтобы глубоко понять, что делает приложение и как оно работает, чтобы мы могли предсказать, какие политики следует применить, чтобы не допустить, чтобы это приложение делало что-то, что этого никогда не должно быть».
Помимо сегментации, Cisco Hypershield добавляет управление уязвимостями на уровне приложений. Это высокоавтоматизированная возможность на основе искусственного интеллекта защищать ваши приложения, узнавать, какие из них нуждаются в исправлениях, и изолировать их в случае взлома.
«Чтобы противостоять современным атакам, которые мы наблюдаем, — добавил Гиллис, — вам необходимо понимать приложение и уязвимости, которые существуют в нем. Это уникальная возможность Cisco Hypershield. У нас есть возможность поставить точку принудительного исполнения практически везде. Мы можем разместить небольшую точку принудительного контроля рядом с приложением, и мы понимаем эти уязвимости и применяем так называемый компенсирующий контроль, который может защитить эти уязвимости, пока команда приложения работает над исправлением и обновлением приложения».
Высокоуровневая аналитика
Как мы видели, злоумышленники симулируют проникновение в сети, имитируя законных пользователей и приложения. Таким образом, аналитика, которая отличает друга от врага, является еще одной важной линией защиты.
Гиллис называет Cisco XDR (расширенное обнаружение и реагирование) отличной отправной точкой.
«Cisco XDR — это аналитический механизм, который собирает данные телеметрии из нашего пакета защиты пользователей и отслеживает всю активность пользователей», — сказал он. «А наш пакет облачной защиты, который защищает эти приложения как в частных, так и в публичных облаках, объединяет эти телеметрические данные почти в реальном времени и выявляет такие вещи, как программы-вымогатели, на самых ранних стадиях атаки. Затем он предоставляет путь для автоматизации восстановления после программ-вымогателей. Это уникальное и инновационное решение, использующее уже созданную Cisco инфраструктуру».
Приобретение Splunk компанией Cisco усилит эти и без того огромные возможности, создав революционную комбинацию сетевых технологий, безопасности, наблюдения и искусственного интеллекта.
«Платформа Splunk и возможности корпоративной безопасности, лежащие на ее основе, на сегодняшний день являются самыми сложными системами анализа безопасности на рынке», — сказал Гиллис. «У него есть возможность проводить анализ безопасности независимо от того, где находятся ваши данные. Итак, он будет работать локально. Он будет работать в облаке A, будет работать в облаке B и связывает все это вместе с уникальной возможностью федеративного поиска Splunk».
Учитывая эти три основные возможности, а также все, что к ним добавляют Cisco, а теперь и Splunk, любая компания может преуспеть в обеспечении безопасности.
«При переходе от инфраструктуры к высокоавтоматизированной аналитике с безопасностью XDR или к более мощным аналитическим платформам, таким как Splunk, — заключил Гиллис, — Cisco объединяет все это».
