「サイバー」という用語は一般的な語彙の一部になり、「攻撃」、「防御」、「作戦」などの他の用語に関連付けられており、最大の非常に特定のセクターを限定しています サイバースペース.
今日、私はサイバー防御に取り組みたいと思います。この点で、私はシスコに目を向け、「傘」と呼ばれるそのソリューションを提示しました。 特に、このセキュリティへの道のりに携わっているシスコのフェリーマンは、国防市場のGiovanni Di Venutaテクニカルプリセールス担当者であり、ソリューションの専門家としてのPaolo Cariniでした。 クラウドセキュリティ とアレッサンドロモンフォルテのソリューションの商業関係の責任者として クラウドセキュリティ.
紹介なしで、最初から始めましょう。つまり、Cisco Umbrellaとは何ですか。
Cisco Umbrellaは、インターネットを介して外を見る必要がある人々に最前線の防御サービス(実際には保護傘)を提供するクラウドソリューションです。
Cisco Umbrellaの運用は、その有効性が非常に複雑な技術ソリューションに基づいている場合でも、比較的単純です。
一言で言えば、それがどのように機能するかを見てみましょう。
それがどのように機能するかを説明するために、Cisco UmbrellaがシスコがOpenDNSを買収したことに由来することは注目に値します。 Cisco UmbrellaはDNSの一般的な機能とセキュリティを組み合わせています。つまり、ユーザーが要求したWebサイトのドメインに基づいて、適切なセキュリティポリシーを適用します。
より明確に言うと、従業員が会社のコンピューターからブラウザーを介してインターネットを閲覧していて、特定のWebページへのアクセスを要求した場合、アクセス要求はこのアドレスかどうかを検証するCisco Umbrella(DNS)によって「仲介」されます。ウェブは危険であると分類されています。 そうであれば、ユーザーには、セキュリティ上の理由から、要求されたページが利用できないことを通知するWebページが表示されます。
したがって、ユーザーは、さらに問題なく、とりわけ危険なサイトをナビゲートすることに関連するリスクを冒すことなく、自分の活動を続けることができます。
しかし、傘はサイトが危険であることをどのようにして知るのでしょうか? そして、本当にそうなのでしょうか? 「危険」ではないサイトを「危険」として特定し、「危険」であるサイトを「信頼できる」と特定する、「誤検知」、つまりアンブレラによって作成されたエラーのパーセンテージは何ですか?
Cisco Umbrellaの日常業務は、インターネットとインターネットで情報を収集することです。 Umbrellaのインフラストラクチャはクラウド上にあり、これまでに125日あたり約XNUMX億のDNSリクエストを受信しているため、インターネット上で使用されます。 インターネット上で、インターネットインフラストラクチャ、その一部であるネットワーク、ドメイン、自律システム、IPアドレス、それらの所有者、サイバー攻撃、発信元などに関するデータと情報を収集します。
このようにして、アンブレラは、インフラストラクチャの観点からサイトが相互にどのように相互接続されているかに関する情報を取得できるため、「攻撃者」に関する情報を得ることができます。
データと情報は、独自のアルゴリズムを使用して関連付けられます。これにより、インターネットのどの部分に大きなリスクがあるかを理解し、これに基づいて、特定のエリアへの接続を防ぐことができます。アプリケーションまたはユーザー。 Umbrellaの特徴のXNUMXつは、新しいWebサイトのセキュリティ分析を予測し、新しい脅威が現れる前にブロックすることでもあります。
シスコでは、誤検知の割合は非常に低く、約1 / 10.000であると推定しています。つまり、悪意のあるドメインとして分類された10.000ドメインごとに統計的にはそうではありません。
情報の更新はどのような場合でも継続的であるため、現時点では誤検出である可能性があり、数分後には修正される可能性があります。 これは、データ収集と予測分析が容赦ないためです。 以下は、既知のボットネット(MIRAI)をサポートするインフラストラクチャネットワークの表現(データの分析に使用する無料の3D表現ツールであるOpenGraffitiで作成)であり、ドメイン、自律システム、IP /電子メールアドレス間の相互作用をグラフィカルに分析することができます。攻撃者から。
Cisco Umbrellaソリューションは数年前から運用されており、世界中に分散した26のデータセンターという巨大なデータ収集および分析インフラストラクチャに基づいています(地図を参照)。
Cisco Umbrellaは、2006年に(25歳で!)サンフランシスコを拠点とするOpenDNSと呼ばれる会社を設立したDavid Ulevitchのアイデアのおかげで誕生しました。 同社はDNS(ドメインネームシステム)とセキュリティサービスを提供することを目的としていましたが、現在もそうです。
OpenDNSは引き続き存在し、非専門家のクライアントに無料サービスを提供し、Umbrellaは企業や組織に有料サービスを提供しています。 シスコによる買収により、OpenDNSソリューションは、シスコのセキュリティインテリジェンス、つまり脅威インテリジェンス分析を専門とする研究者チームによって形成されたTALOSも利用します。
システムの能力は、多数の統計と、前述のすべてのインフラストラクチャ情報を含むグラフデータベースで継続的に実行される予測分析に基づいています。 このため、直接の収益は得られないものの、分析に役立つデータの収集を許可する個人ユーザーも歓迎します。
しかし、Cisco Umbrellaはどのように実装されていますか? Cisco Umbrellaを組織のDNSとして設定してパブリックリクエスト(インターネット)を解決するだけで十分であり、ユーザーがリクエストしたドメインを解決するだけでなく、Ciscoダッシュボードのセキュリティ管理者が設定したセキュリティポリシーが適用されるため、実装は非常に簡単です。傘。
シスコが自由に利用できる膨大な量のデータは、攻撃元のインフラストラクチャの分析に興味がある、または単に自分のインフラストラクチャと頻繁にやり取りする人にとって、大きな付加価値を表すことは容易に理解できます。 シスコは、コンソール(ダッシュボード)またはプログラミングインターフェイス(API)を介して使用可能な「Investigate」と呼ばれるソリューションを介してデータへのアクセスを提供します。 このオファーは通常、脆弱性の分析とIT調査(CERTやSOCなど)を担当する企業組織のコンポーネントを対象としています。
つまり、 "Investigate"を使用することで、組織がサイバー攻撃を受けているのか、それとも過去の攻撃であるのか、グローバル攻撃、セクター攻撃、標的型攻撃の標的であったのかを理解することができます。 さらに、ドメインやそのセキュリティレベルに関する情報を取得したり、攻撃者ネットワークに関する情報(悪意のあるドメインが登録されている場所、だれによってなど)を取得したりできます。
これは古くなっているので役に立たない情報だと思うかもしれませんが、常にそうであるとは限りません。
あなたがサイバー攻撃の対象となったことを認識できず、そのように認識されていない場合、リスクを軽減するために組織にサイバーセキュリティ専任の担当者への投資を増やすなど、組織に影響を与える可能性がありますこれは明らかに高レベルの決定です。
ここで、使用するインフラストラクチャと管理するデータの観点から、Cisco Umbrellaの数にフロアを任せましょう。この場合、これは本当に代表的なものです。
-26のデータセンターが世界中に分散しています(地図を参照)。
-情報が収集される160の州。
-15社が傘サービスを利用しています。
-100日あたり約XNUMX億人のアクティブユーザー。
-125日あたりXNUMX億のDNSクエリを分析。
これらのデータは常に更新されており、 リンクをたどる.
これらの数値から、シスコ(傘を介して以前はOpenDNS)がインターネットに関する知識を持ち、おそらく他のセキュリティオペレーターがいないことを理解することができます。
しかし、Cisco Umbrellaは軍事組織にとってどの程度重要なのでしょうか。
軍事組織は今日、時間の調整(時間単位)と見なすことができる最も平凡なものから、天気予報に関連する最も複雑なデータフローまで、パーツの供給ニーズに関するデータストリームを通過する大量のデータを必要としています。スペアパーツまたはITシステムの適切な機能に関連するパーツ。
これらのデータは、軍事組織のイントラネット(分類されているかどうかにかかわらず)に限定されるわけではありませんが、逆に、インターネットを使用して送受信されることがよくあります。
実際には、本当に「分離された」システムは実際には存在しません。
デジタル化により、軍は業界に属する専門家の介入を必要とするますます複雑なツールを装備するように強いられています。これは、セキュリティ境界がますます広範囲になり、複雑さと制御の必要性が高まることを意味します。
Cisco Umbrellaは、保護ツールであるだけでなく、インターネットの構造やネットワーク自体やインテリジェンス分析ツールに関連するリスクに関するデータや情報を利用できるので、サイバーセキュリティアナリストにとっても役立つツールです(調査はこれらのXNUMXつです)。
もちろん、高度なツールを使用するには、セクターで訓練を受けた要員が必要です。これは、個々のオペレーターの善意に委任することはできませんが、サイバーセキュリティオペレーターの明確なトレーニングコースの一部でなければなりません。
危険なDNS要求をブロックすることで攻撃を防止する機能と予測分析機能は、関連する法律によって必要と認められ、承認されている場合、攻撃者の可能性を監視し、予防措置を実行するための有用なツールにもなります。
適切なサイバー防御戦略には、技術プラットフォームの運用に関連する複数のリスク要因の評価が必要です。 さらに、Umbrellaサービスを提供するのと同じ操作構造は、絶え間なくさまざまな違反の試みの対象となります。 このため、サービスを常に稼働させて利用できるようにしています(2006年のサービス開始以来、UmbrellaはDNSリクエストの100%に対応しています)OpenDNSとシスコは、適切な実装、開発、維持のためのテクノロジーと手順に常に投資してきました防衛戦略。
もっと知ることができます。
- https://umbrella.cisco.com/products/our-intel
- https://learn-umbrella.cisco.com/datasheets/investigate-from-opendns
- https://www.talosintelligence.com/
(写真:ウェブ/米空軍)
