Продукты

Решение для обнаружения целенаправленных атак на информационные системы компаний и организаций. Cezurity COTA позволяет обнаружить атаки, которые способны оставаться неизвестными для традиционных средств защиты в течение многих лет.

Обзор

Если злоумышленников интересует конкретная информационная система, то традиционные средства защиты бесполезны. Их всегда можно обойти или отключить. Например, антивирусная защита хотя и позволяет усложнить задачу для атакующих, но превратить ее в нерешаемую не способна.

Cezurity COTA (Cloud Observer for Targeted Attacks) – это решение, которое предназначено для обнаружения атак, пропущенных антивирусами и другими средствами защиты.

В решении используется разработанная Cezurity технология динамического обнаружения атак. В основе технологии лежит анализ изменений компьютеров, составляющих информационную систему.

Возможности

  1. Постоянный мониторинг информационной системы.
  2. Выявление активных целенаправленных атак или их следов, в том числе заражений сложными вредоносными программами.
  3. Обнаружение технических средств, скрывающих активность, препятствующих корректной работе решений для защиты.
  4. Результаты мониторинга доступны в информационной панели.

Преимущества

  1. Комплексная система обнаружения
    Все типы атак могут быть обнаружены с помощью единого решения. Решение опирается на набор признаков, достаточный для обнаружения практически любых атак. В том числе и тех, где используются неизвестные методы, уязвимости и уникальные вредоносные программы (0day).
  2. Низкая совокупная стоимость владения
    Cezurity COTA – полностью автономное решение, не требующее внедрения комплексных платформ безопасности, которым для обнаружения сложных угроз необходимы данные из разных источников.
  3. Достаточная для защиты информация сразу при обнаружении атаки
    Решение позволяет не только обнаружить атаку, но и определить пути защиты без дополнительных инструментов. Это возможно благодаря тому, что в основе решения лежит анализ всех критически важных изменений систем, которые протоколируются и доступны для анализа.
  4. Просто внедрить и начать использовать
    Решение не зависит от инфраструктуры и топологии защищаемой информационной системы, так как опирается на мониторинг конечных точек. Это позволяет быстро развернуть и начать использовать решение даже в том случае, если IT-инфраструктура сложна. Эксплуатация не требует специальной экспертизы от обслуживающего IT-систему персонала.
  5. Низкая нагрузка на системные ресурсы
    Наиболее ресурсоемкие процессы анализа происходят в облаке. Поэтому влияние работы на производительность компьютеров незначительно.
  6. Совместимость
    Решение можно использовать вместе с любыми другими средствами обеспечения информационной безопасности.
  7. Стабильность работы
    Клиентское программное обеспечение не нуждается в обновлениях, а его работа ограничивается сбором информации. Таким образом снижается риск «падения» систем.
  8. Дополнение DLP-решений: позволит обнаружить использование технических средств, примененных для похищения корпоративной информации
    Закрывает уязвимость DLP-систем, которые, хотя и предназначены для защиты от утечек информации, но, как правило, не способны обнаруживать технические средства похищения данных.

Как работает Cezurity COTA

Атака на информационную систему приводит к изменениям критических областей компьютеров, составляющих IT-инфраструктуру. К изменениям обычно приводит каждый из этапов атаки – от внедрения до уничтожения следов присутствия. Без изменения критических областей злоумышленникам не удастся закрепиться в информационной системе. Например, чтобы незаметно похищать информацию или просто перейти к следующему этапу атаки, им придется модифицировать те или иные объекты, которые находятся в критических местах атакуемых компьютеров.

Так как злоумышленники используют самые разные, подчас еще не известные (0day), методы сбора данных и внедрения, анализ отдельных состояний объектов не позволяет точно узнать, была ли система атакована. Но атаку можно обнаружить, сравнив между собой разные состояния, то есть, проанализировав изменения.

Обнаружение атак в решении Cezurity COTA основано на анализе изменений критических областей компьютеров, составляющих IT-инфраструктуру.

На компьютерах периодически запускается сканирование, которое представляет собой сбор данных о состоянии критических областей систем. В результате каждого сканирования формируется срез системы (slice). Срезы передаются в облако (Cezurity Cloud), где сравниваются между собой. Такое сравнение позволяет выявить изменения, произошедшие с каждой из систем за время между сканированиями. Изменения анализируются, и если они носят аномальный характер, то это может быть признаком атаки.

Для выявления изменений и классификации аномалий используется самообучающаяся система, основанная на методах интеллектуального анализа больших массивов данных (Big Data).

Архитектура и компоненты решения

Решение включает три основных компонента: Агент, Cezurity Cloud и Личный кабинет.

Агент – программный модуль, который устанавливается на каждый из компьютеров. Агент периодически сканирует систему – извлекает необходимую для обнаружения атак информацию, формирует срез системы (slice) и передает его в облако (Cezurity Cloud).

Cezurity Cloud – это облачная система хранения и анализа информации. Поступивший от Агента срез системы (slice) в облаке подвергается трем видам анализа:

  1. Статический анализ. Все объекты, входящие в срез системы (slice), подвергаются классификации. Используется ряд методов, в том числе индуктивно-обученные классификаторы (организованные по принципу «decision tree»), «белые списки» (whitelisting), анти-руткит технологии, механизм выявления похожих объектов («задача k-ближайших соседей»). Учитывается ряд статических характеристик объектов и их взаимосвязей. Например, это ареал распространения, частота упоминаний объекта, гистограммы «внешних» характеристик. На данном этапе выявляются объекты, обладающие нетипичными для легитимного ПО характеристиками.
  2. Динамический анализ. Срезы сравниваются между собой, выявляются произошедшие с ними изменения, которые анализируются с точки зрения наличия в них аномалий. Для того чтобы выявить и классифицировать изменения, специальный алгоритм позволяет «отматывать» состояния системы в прошлое. При выявлении изменений и классификации аномалий используются ассоциативные правила и кластерный анализ.

  3. Анализ аномалий. Определяются причины появления аномалий в изменениях. На данном этапе используется разработанная Cezurity экспертная система и ряд метаклассификаторов, оперирующих результатами работы других видов анализа (статического и динамического). В некоторых случаях к анализу привлекается аналитик. Если причиной появления аномалии была атака, она будет обнаружена.

Личный Кабинет. Оповещения об инцидентах, а также параметры и статистика работы Агентов доступна в Личном кабинете.

Пожалуйста , заполните форму. Наш специалист свяжется с Вами в ближайшее время.