Umbrella

V čem se Umbrella liší od ostatních web proxy řešení? Tajemství je v datech. Jak uvádí společnost Cisco, Umbrella analyzuje každý den 140 miliard požadavků, které shromažďuje od více než 90 milionů uživatelů pomocí své Anycast DNS služby. Jde o čistě cloudovou službu, kde k plné ochraně není třeba nic jiného než nainstalovaný klient na koncové stanici. Největší část blokovaného obsahu je přitom na základě DNS reputací, což znamená, že obsah je blokován ještě dříve, než uživatel začne stahovat obsah webu. Na „Intelligent Proxy“, jak ji Cisco nazývá, se směruje síťový provoz pouze v případě, kdy se jedná o destinaci s rizikovou nebo neznámou reputací. K bezpečnému obsahu klient přistupuje napřímo bez použití proxy, čímž nevzniká latence způsobená analýzou obsahu.

Duo

Služba vznikla akvizicí stejnojmenné společnosti Duo. Cisco Duo poskytuje možnosti vícefaktorové autentizace, kterou známe především z internetového bankovnictví. Jde o metodu autentizace uživatele pomocí sekundárního zařízení, ať už jde o mobilní telefon, hardwarové tokeny či jiné. Pomocí Duo se dá provádět dvoufaktorová autentizace jak do interních nebo cloudových aplikací, tak i třeba pro přístup do firemních počítačů, ke vzdálenému přístupu k serverům, sociálním sítím, redakčním systémům. Duo řeší i vícefaktorovou autentizaci pro aplikace, které jí nativně neumí. Využívá k tomu reverzní proxy, kterou poskytuje jako appliance a která se postaví před danou aplikaci nebo na perimetr. Všechny prvky jsou přitom připojeny ke cloudové službě zajišťující jak žádost o autorizaci ze strany aplikačních prvků směrem k uživateli, tak i potvrzení ze strany uživatele o autorizaci přístupu k aplikaci.

Advanced Malware Protection (AMP)

Produkt a služba byla převzata akvizicí společnosti Sourcefire. AMP je určený pro instalaci na koncové stanici, kterou má chránit, nebo nasazením v perimetru sítě například na webové proxy, e-mail gateway, NextGen Firewallu a další. Nejedná se však o žádný další antivirus, i když je jeho roli schopný nahradit. AMP poskytuje vícevrstvou ochranu a společně s ThreatGridem tvoří jeden ekosystém. Zatímco běžný antivirus nebo IPS/IDS systém pracuje se signaturami, AMP pracuje s hashovým řetězcem, který popisuje daný soubor. AMP for Endpoints, který je instalovaný na koncových stanicích, je oproti AMPu nasazeným v perimetru také schopen sledovat a vyhodnocovat chování daného souboru. Výhodou AMPu je i to, že dokáže koexistovat s antivirovým systémem a navzájem si nevadí. Jak toho Cisco dosáhlo? AMP v sobě obsahuje antivirus, který je aktivovaný, pokud je AMP nasazen samostatně. V případě jeho nasazení spolu s dalším antivirovým SW je AV komponenta AMPu zakázána a tato role je zcela v režii samostatného antivirového softwaru.

ThreatGrid

Služba i produkt vznikly akvizicí stejnojmenné společnosti ThreatGrid. Threat Grid kombinuje pokročilé sandbox funkce se znalostí hrozeb do jednoho unifikovaného řešení na ochranu organizací před škodlivým softwarem. Sandbox pomocí dynamické analýzy identifikuje, co malware dělá nebo se pokouší dělat, jakou hrozbu představuje a jak se proti němu bránit. Součástí této analýzy jsou také pozorování možné komunikace směrem do internetu. ThreatGrid je velice úzce propojen s AMP a doplňuje ho – jak? Představme si, že se uživatel snaží stáhnout soubor. Po jeho stažení AMP vygeneruje hash, provede základní scan souboru a pokusí se ho porovnat s cloudovou databází AMP. Pokud však soubor není označen jako podezřelý a daný hash souboru nebyl doposud registrován v databázi AMPu, nelze takový soubor považovat za čistý ani infikovaný. V tento moment je vhodné použít sandbox, který soubor spustí v chráněném prostředí a provede jeho analýzu. Po vyhodnocení aktualizuje databázi AMP, kde danému souboru přidělí Score. Pokud by se jednalo o infikovaný soubor, pomocí centrální správy AMP je možné soubor vysledovat a smazat ze všech stanic, kde byl spatřen.

Tomáš Lakota Autor článku působí jako Infrastructure Security Consultant ve společnosti ANECT, a. s.