Cyberabwehr? Cisco Umbrella und Investigate

(Di Alessandro Rugolo)
25/01/18

Der Begriff „Cyber“ ist mittlerweile Teil des allgemeinen Wortschatzes und umschreibt in Verbindung mit anderen Begriffen wie „Angriff“, „Verteidigung“, „Operationen“ einen ganz spezifischen Bereich des Umfassenderen Cyberspace.

Heute möchte ich mich mit Cyber-Verteidigung befassen und habe mich diesbezüglich an Cisco gewandt, das mir seine Lösung namens „Umbrella“ vorgestellt hat. Die Cisco-Fährmänner auf dieser Reise in die Sicherheit waren insbesondere Giovanni Di Venuta, technischer Presales-Ansprechpartner für den Verteidigungsmarkt, und Paolo Carini als Lösungsexperte Cloud-Sicherheit und Alessandro Monforte als Leiter der Geschäftsbeziehungen für Lösungen von Cloud-Sicherheit.

Beginnen wir nach den Vorträgen von vorne, nämlich: Was ist Cisco Umbrella?

Cisco Umbrella ist eine Cloud-Lösung, die denjenigen, die Zugang zum Internet benötigen, einen First-Line-Verteidigungsdienst (genauer gesagt einen Schutzschirm) bietet.

Die Bedienung von Cisco Umbrella ist relativ einfach, auch wenn seine Wirksamkeit auf sehr komplexen technologischen Lösungen beruht.

Schauen wir uns kurz an, wie es funktioniert.

Um die Funktionsweise zu erklären, ist es nützlich zu erwähnen, dass Cisco Umbrella aus der Übernahme von OpenDNS durch Cisco hervorgegangen ist, das in der Vergangenheit einen zuverlässigen, sicheren DNS-Dienst (Donaim Name Server) mit geringer Latenz bietet. Cisco Umbrella kombiniert die typischen Funktionen des DNS mit Sicherheitsfunktionen, d. h. basierend auf der vom Benutzer angeforderten Domäne der Website werden die entsprechenden Sicherheitsrichtlinien angewendet.

Um es klarer zu sagen: Wenn ein Mitarbeiter über einen Browser von einem Firmencomputer aus im Internet surft und den Zugriff auf eine bestimmte Webseite anfordert, wird die Zugriffsanfrage durch Cisco Umbrella (DNS) „vermittelt“, der prüft, ob diese Adresswebseite als gefährlich eingestuft ist ; Andernfalls würde dem Benutzer eine Webseite angezeigt, die ihn darüber informiert, dass die angeforderte Seite aus Sicherheitsgründen nicht verfügbar ist.

Der Benutzer kann daher seine Aktivität ohne weitere Probleme fortsetzen und vor allem ohne die Risiken einzugehen, die mit dem Surfen auf einer gefährlichen Website verbunden sind.

Aber woher weiß Umbrella, dass die Website gefährlich ist? Und sind wir sicher, dass es das wirklich ist? Wie hoch ist der Prozentsatz an „Falsch-Positiven“ oder Fehlern von Umbrella, die eine Website, die nicht gefährlich ist, als „gefährlich“ und eine Website, die „gefährlich“ ist, als „vertrauenswürdig“ identifizieren?

Die Aufgabe von Cisco Umbrella besteht darin, Informationen im und außerhalb des Internets zu sammeln. im Internet, da sich die Infrastruktur von Umbrella in der Cloud befindet und derzeit etwa 125 Milliarden DNS-Anfragen pro Tag empfängt. Im Internet sammelt es Daten und Informationen über die Internet-Infrastruktur, über die Netzwerke, die Teil davon sind, über die Domänen, über die autonomen Systeme, über die IP-Adressen, darüber, wem sie gehören, über die Cyberangriffe, über deren Herkunft usw.

Dadurch ist Umbrella in der Lage, Informationen darüber zu erhalten, wie die Standorte aus infrastruktureller Sicht miteinander verbunden sind, und verfügt somit über Informationen über die „Angreifer“.

Daten und Informationen werden durch den Einsatz proprietärer Algorithmen korreliert, die es ermöglichen, zu verstehen, in welchem ​​Teil des Internets ein größeres Risiko besteht, und auf dieser Grundlage die Verbindung zu einem bestimmten Bereich zu verhindern, selbst angesichts eines bestimmten Anfrage von einer Anwendung oder einem Benutzer. Zu den Eigenschaften von Umbrella gehört auch, dass es Sicherheitsanalysen für eine neue Website vorausschauend durchführt und so neue Bedrohungen blockiert, bevor sie auftreten.

Cisco schätzt, dass der Prozentsatz falsch positiver Ergebnisse sehr gering ist und etwa 1/10.000 beträgt, was bedeutet, dass statistisch gesehen nicht jede 10.000 als bösartig eingestufte Domain eine solche ist.

In jedem Fall erfolgt die Aktualisierung der Informationen kontinuierlich, sodass das, was in diesem Moment möglicherweise falsch positiv ist, wahrscheinlich einige Minuten später korrigiert wird; Das liegt daran, dass Datenerfassung und prädiktive Analysen unermüdlich sind. Nachfolgend finden Sie eine Darstellung (erstellt mit OpenGraffiti, einem kostenlosen 3D-Darstellungstool zur Analyse von Daten) des Infrastrukturnetzwerks, das ein bekanntes Botnetz (MIRAI) unterstützt, von dem aus es möglich ist, die Interaktionen zwischen Domänen, autonomen Systemen, IP/ E-Mail-Adressen, die von den Angreifern verwendet werden.

Die Cisco Umbrella-Lösung ist seit mehreren Jahren im Einsatz und basiert auf einer riesigen Datenerfassungs- und Analyseinfrastruktur, 26 über die ganze Welt verteilten Rechenzentren (siehe Karte).

Cisco Umbrella entstand dank der Idee von David Ulevitch, der 2006 (im Alter von 25 Jahren!) ein Unternehmen namens OpenDNS mit Sitz in San Francisco gründete. Das Unternehmen sollte Domain Name System (DNS) und Sicherheitsdienste bereitstellen und ist dies auch heute noch.

OpenDNS existiert weiterhin und bietet nicht-professionellen Kunden kostenlose Dienste an, während Umbrella Unternehmen und Organisationen kostenpflichtige Dienste anbietet. Mit der Übernahme durch Cisco nutzt die OpenDNS-Lösung auch Cisco Security Intelligence oder TALOS, das von einem Forscherteam entwickelt wurde, das sich der Analyse von Bedrohungsinformationen widmet.

Die Leistungsfähigkeit des Systems basiert auf der Statistik großer Zahlen und auf der prädiktiven Analyse, die kontinuierlich in der Diagrammdatenbank durchgeführt wird, die alle zuvor erwähnten Infrastrukturinformationen enthält. Aus diesem Grund sind auch Einzelnutzer willkommen, die, auch wenn sie keine direkten Einnahmen bringen, die Erhebung von für die Analyse nützlichen Daten ermöglichen.

Aber wie implementiert man Cisco Umbrella? Die Implementierung ist sehr einfach, da es ausreicht, Cisco Umbrella als DNS der Organisation festzulegen, um öffentliche Anfragen (Internet) aufzulösen und zusätzlich zur Auflösung der vom Benutzer angeforderten Domäne die vom Sicherheitsadministrator im Cisco-Dashboard festgelegten Sicherheitsrichtlinien zu berücksichtigen Es werden Regenschirme angebracht.

Es ist leicht zu verstehen, dass die enorme Datenmenge, die Cisco zur Verfügung stellt, einen großen Mehrwert für alle darstellt, die an der Analyse der Infrastrukturen interessiert sind, von denen aus sie angegriffen werden, oder die einfach häufig mit ihren eigenen interagieren. Cisco ermöglicht den Zugriff auf Daten über die Lösung namens „Investigate“, die über eine Konsole (Dashboard) oder über Programmierschnittstellen (API) genutzt werden kann; Dieses Angebot richtet sich grundsätzlich an die für Schwachstellenanalysen und IT-Untersuchungen zuständige Komponente der Unternehmensorganisation (z. B. CERT und/oder SOC).

https://www.opendns.com/data-center-locations/

Damit meine ich, dass Sie mithilfe von „Investigate“ nachvollziehen können, ob Ihre Organisation einem Cyberangriff ausgesetzt ist oder ob dies in der Vergangenheit der Fall war, ob Sie Gegenstand eines globalen, sektoralen oder gezielten Angriffs waren. Darüber hinaus können Informationen zu Domänen oder deren Sicherheitsniveau eingeholt und Informationen zu den Netzwerken der Angreifer abgerufen werden (wo, von wem usw. eine schädliche Domäne registriert wurde).

Man könnte denken, dass es sich hierbei um nutzlose Informationen handelt, da sie veraltet sind, aber das ist nicht immer der Fall.

Zu verstehen, dass Sie einem Cyber-Angriff ausgesetzt waren, der nicht als solcher erkannt wird, kann Auswirkungen auf die Organisation haben, indem es beispielsweise dazu führt, dass die Organisation mehr in Personal für Cyber-Sicherheit investiert, um das Risiko zu verringern, und das ist eindeutig ein Problem Entscheidung auf hoher Ebene.

Überlassen wir nun das Wort den Zahlen von Cisco Umbrella in Bezug auf genutzte Infrastruktur und verwaltete Daten, die in diesem Fall wirklich repräsentativ sind:

- 26 weltweit verteilte Rechenzentren (siehe Karte);

- 160 Staaten, von denen Informationen gesammelt werden;

- 15 Unternehmen nutzen die Dienste von Umbrella;

- etwa 100 Millionen aktive Benutzer pro Tag;

- 125 Milliarden tägliche DNS-Anfragen analysiert.

Diese Daten werden laufend aktualisiert und sind unter einsehbar Folgender Link.

Aus diesen Zahlen lässt sich ableiten, dass Cisco (über Umbrella, ehemals OpenDNS) über ein Wissen über das Internet verfügt, über das wahrscheinlich kein anderer Sicherheitsbetreiber verfügt.

Doch welche Bedeutung kann Cisco Umbrella für eine militärische Organisation haben?

Heutzutage benötigen Militärorganisationen riesige Datenmengen, von den trivialsten, die als zeitliche Ausrichtung betrachtet werden können (stündlich), bis hin zu den komplexesten Datenströmen im Zusammenhang mit Wettervorhersagen, bis hin zu Datenströmen bezüglich des Beschaffungsbedarfs von Ersatzteilen oder damit zusammenhängenden Daten für das ordnungsgemäße Funktionieren von Computersystemen.

Diese Daten sind nicht immer auf das Intranet (geheim oder nicht) der militärischen Organisation beschränkt, sondern werden im Gegenteil oft über das Internet empfangen oder übertragen.

Tatsache ist, dass wirklich „isolierte“ Systeme praktisch nicht existieren.

Die Digitalisierung zwingt die Streitkräfte dazu, sich mit immer komplexeren Werkzeugen auszustatten, die häufig den Einsatz branchenspezifischer Spezialisten erfordern. Dies führt dazu, dass der Sicherheitsbereich immer umfangreicher wird und die Komplexität und der Kontrollbedarf zunimmt.

Cisco Umbrella ist nicht nur ein Schutztool, sondern kann auch eine nützliche Hilfe für Cybersicherheitsanalysten sein, da es Daten und Informationen über die Struktur des Internets und über die Risiken im Zusammenhang mit dem Netzwerk selbst und den Intelligence-Analysetools (Investigate ist eines davon) verfügbar macht von diesen).

Natürlich erfordert der Einsatz hochentwickelter Tools in der Branche geschultes Personal, dessen Vorbereitung nicht dem guten Willen des einzelnen Betreibers überlassen werden kann, sondern Teil einer gut strukturierten Schulung für den Cybersicherheitsbetreiber sein muss.

Die Möglichkeit, Angriffe durch das Blockieren gefährlicher DNS-Anfragen zu verhindern, und die Fähigkeiten zur prädiktiven Analyse machen es auch zu einem nützlichen Werkzeug zur Überwachung eines möglichen Angreifers und möglicherweise sogar zur Durchführung präventiver Maßnahmen, wenn dies als notwendig erachtet und durch die einschlägigen Rechtsvorschriften genehmigt wird.

Eine geeignete Cyber-Abwehrstrategie erfordert die Bewertung der vielfältigen Risikofaktoren, die mit dem Betrieb technologischer Plattformen verbunden sind. Schließlich ist dieselbe Betriebsstruktur, die den Umbrella-Dienst bereitstellt, ständigen und vielfältigen Angriffsversuchen ausgesetzt. Aus diesem Grund und um den Dienst stets betriebsbereit und verfügbar zu halten (seit seiner Einführung im Jahr 2006 hat Umbrella 100 % der DNS-Anfragen beantwortet), haben OpenDNS und Cisco kontinuierlich in Technologien und Verfahren investiert, um eine angemessene Verteidigungsstrategie umzusetzen, zu entwickeln und aufrechtzuerhalten.

 

Um mehr zu erfahren:

- https://umbrella.cisco.com/products/our-intel

- https://learn-umbrella.cisco.com/datasheets/investigate-from-opendns

- https://www.talosintelligence.com/

(Foto: Web / US Air Force)

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte