Istilah "cyber" kini telah menjadi bagian dari kosakata umum dan dikaitkan dengan istilah lain seperti "serangan", "pertahanan", "operasi", membatasi sektor yang sangat spesifik yang paling banyak dunia maya.
Hari ini saya ingin berurusan dengan pertahanan cyber dan dalam hal ini saya beralih ke Cisco yang mengenalkan saya pada solusi yang disebut "Umbrella". Secara khusus, penyalur feri Cisco dalam perjalanan keselamatan ini adalah Giovanni Di Venuta, perwakilan teknis pra-penjualan untuk pasar Pertahanan, Paolo Carini sebagai ahli solusi. Cloud Security dan Alessandro Monforte sebagai kepala hubungan komersial untuk solusi Cloud Security.
Setelah perkenalan, mari kita mulai dari awal: apa itu Cisco Umbrella?
Cisco Umbrella adalah solusi cloud yang menyediakan layanan pertahanan garis depan (hanya perlindungan payung) bagi mereka yang membutuhkan untuk melihat keluar di Internet.
Operasi Cisco Umbrella relatif sederhana meski keefektifannya didasarkan pada solusi teknologi yang sangat kompleks.
Mari kita lihat, singkatnya, bagaimana cara kerjanya.
Untuk menjelaskan bagaimana cara kerjanya, perlu disebutkan bahwa Cisco Umbrella berasal dari akuisisi Cisco terhadap OpenDNS yang secara historis menawarkan layanan DNS (donaim name server) yang andal, aman dan rendah. Cisco Umbrella menggabungkan fitur khas DNS dengan keamanan, yaitu berdasarkan domain dari situs web yang diminta oleh pengguna menerapkan kebijakan keamanan yang sesuai.
Agar lebih jelas, jika seorang karyawan dari komputer perusahaan, melalui peramban, sedang menjelajah Internet dan meminta untuk mengakses halaman web tertentu, permintaan akses "dimediasi" oleh Cisco Umbrella (DNS) yang memeriksa apakah alamat ini web terdaftar sebagai berbahaya; Jika ya, pengguna akan ditunjukkan halaman web yang memberitahukan bahwa halaman yang diminta tidak tersedia untuk alasan keamanan.
Oleh karena itu, pengguna dapat melanjutkan aktivitasnya tanpa masalah lebih lanjut dan, terutama, tanpa menjalankan risiko yang terkait dengan navigasi di situs berbahaya.
Tapi bagaimana Umbrella tahu bahwa situs itu berbahaya? Dan apakah kita yakin itu sebenarnya? Berapakah persentase "false positive", atau kesalahan yang dibuat oleh Umbrella yang mengidentifikasi sebagai "berbahaya" situs yang tidak dan sebagai "dapat dipercaya" situs yang malah "berbahaya"?
Pekerjaan rutin Cisco Umbrella adalah mengumpulkan informasi di Internet dan di Internet; di Internet karena infrastruktur Umbrella ada di awan, menerima sekitar 300 permintaan DNS 125 per hari sampai saat ini. Di Internet karena mengumpulkan data dan informasi mengenai infrastruktur Internet, pada jaringan yang menjadi bagiannya, di domain, pada sistem otonom, pada alamat IP, siapa pemiliknya, serangan cyber, asal mereka dan sebagainya.
Dengan cara ini Umbrella bisa mendapatkan informasi tentang bagaimana situs saling berhubungan satu sama lain dari sudut pandang infrastruktur dan oleh karena itu ada informasi tentang "penyerang".
Data dan informasi dikorelasikan melalui penggunaan algoritma berpemilik yang memungkinkan kita memahami di bagian mana dari Internet bahwa kita menjalankan risiko yang lebih besar dan berdasarkan hal ini, untuk mencegah koneksi ke area tertentu, bahkan dalam menghadapi permintaan tertentu oleh aplikasi atau pengguna Salah satu fitur Payung juga menjadi prediktif tentang analisis keamanan untuk situs baru dan kemudian memblokir ancaman baru sebelum muncul.
Cisco memperkirakan bahwa persentase positif palsu sangat rendah, kira-kira 1 / 10.000, ini berarti bahwa secara statistik setiap domain 10.000 yang diklasifikasikan sebagai malicious tidak.
Pembaruan informasi tetap berlanjut sehingga apa yang pada saat ini bisa menjadi false positive, beberapa menit kemudian mungkin akan diperbaiki; Hal ini karena pengumpulan data dan analisis prediktif tidak henti-hentinya. Berikut ini adalah representasi (dilakukan melalui OpenGraffiti, alat representasi 3D gratis yang digunakan untuk menganalisis data) dari jaringan infrastruktur yang mendukung botnet terkenal (MIRAI) dari mana dimungkinkan untuk menganalisis secara grafis interaksi antara domain, sistem otonom, alamat IP / email yang digunakan dari penyerang
Solusi Cisco Umbrella telah beroperasi selama beberapa tahun dan didasarkan pada kumpulan data dan analisis infrastruktur yang sangat besar, 26 Data Center didistribusikan ke seluruh dunia (v.mappa).
Cisco Umbrella lahir berkat gagasan David Ulevitch yang berada di 2006 (pada usia 25 years!) Mendirikan sebuah perusahaan bernama OpenDNS, berbasis di San Francisco. Perusahaan ini dimaksudkan untuk menyediakan DNS (Domain Name System) dan layanan keamanan dan masih begitu.
OpenDNS terus ada dan memberikan layanan gratis kepada pelanggan non-profesional sementara Umbrella menyediakan layanan berbayar untuk perusahaan dan organisasi. Dengan akuisisi Cisco, solusi OpenDNS juga memanfaatkan kecerdasan keamanan Cisco atau TALOS yang dibentuk oleh tim peneliti yang secara khusus menangani analisis intelijen ancaman.
Kekuatan sistem didasarkan pada statistik jumlah besar dan pada analisis prediktif dilakukan terus menerus pada database grafik yang berisi semua informasi infrastruktur yang telah kita bicarakan sebelumnya. Untuk alasan ini, bahkan pengguna individual disambut baik, walaupun mereka tidak menghasilkan keuntungan langsung, mereka mengizinkan pengumpulan data berguna untuk analisis.
Tapi bagaimana cara Cisco Payung diimplementasikan? Implementasinya sangat sederhana karena hanya mengatur Cisco Umbrella sebagai organisasi DNS untuk menyelesaikan permintaan publik (internet) dan selain menyelesaikan domain yang diminta oleh pengguna akan diterapkan kebijakan keamanan yang ditetapkan oleh admin keamanan pada dasbor Cisco. payung.
Mudah dipahami bahwa sejumlah besar data yang dimiliki Cisco mewakili nilai tambah yang besar bagi siapa saja yang tertarik untuk menganalisis infrastruktur dari mana ia diserang atau yang sering memiliki interaksi dengan mereka sendiri. Cisco menyediakan akses ke data melalui solusi yang disebut "Selidiki" yang dapat digunakan melalui konsol (dasbor) atau melalui antarmuka pemrograman (API); Penawaran ini umumnya diarahkan ke komponen organisasi perusahaan yang bertanggung jawab atas analisis kerentanan dan investigasi TI (misalnya CERT dan / atau SOC).
Yang ingin saya katakan adalah bahwa dengan menggunakan "Investigasi", adalah mungkin untuk memahami jika organisasi Anda berada dalam serangan cyber atau jika telah terjadi di masa lalu, jika Anda menjadi sasaran serangan global, sektor atau target. Anda juga bisa mendapatkan informasi tentang domain atau tingkat keamanannya dan Anda dapat mengambil informasi tentang jaringan penyerang (di mana domain berbahaya telah terdaftar, oleh siapa dan seterusnya).
Orang mungkin berpikir bahwa ini adalah informasi yang tidak berguna karena sudah usang, tapi ini tidak selalu terjadi.
Mampu memahami bahwa Anda telah menjadi sasaran serangan cyber, yang tidak dikenali seperti itu, dapat memiliki implikasi organisasi, misalnya, dengan mendorong organisasi tersebut untuk menginvestasikan lebih banyak pada petugas keamanan cyber untuk mengurangi risiko dan ini jelas merupakan keputusan tingkat tinggi.
Mari kita meninggalkan lantai ke jumlah Cisco Umbrella dalam hal infrastruktur yang digunakan dan data dikelola, yang dalam hal ini benar-benar representatif:
- Pusat Data 26 didistribusikan ke seluruh dunia (v.mappa);
- Negara 160 dari mana informasi dikumpulkan;
- 15 ribu perusahaan menggunakan layanan Umbrella;
- tentang 100 jutaan pengguna aktif per hari;
- 125 miliar permintaan DNS harian dianalisis.
Data ini terus diperbarui dan terlihat pada link berikut.
Dari angka-angka ini adalah mungkin untuk memahami bahwa Cisco (melalui Payung, sebelumnya OpenDNS) memiliki pengetahuan tentang Internet yang mungkin tidak memiliki operator keamanan lainnya.
Tapi apa pentingnya Cisco Umbrella miliki untuk sebuah organisasi militer?
Organisasi militer saat ini membutuhkan data dalam jumlah besar, mulai dari yang paling sepele yaitu penyelarasan waktu (time) dapat dianggap sebagai arus data perkiraan meteorologi yang paling kompleks, melewati arus data mengenai kebutuhan pasokan para pihak. suku cadang atau yang terkait dengan berfungsinya sistem komputer dengan benar.
Data ini tidak selalu terbatas pada intranet (diklasifikasikan atau tidak) dari organisasi militer tetapi, memang, sering diterima atau dikirim menggunakan Internet.
Faktanya adalah sistem yang benar-benar "terisolasi" praktis tidak ada.
Digitisasi mendorong angkatan bersenjata untuk membekali diri dengan instrumen yang semakin kompleks, yang seringkali memerlukan intervensi spesialis yang termasuk dalam industri, yang berarti perimeter keamanan menjadi semakin luas dan meningkatkan kompleksitas dan kebutuhan untuk kontrol.
Selain sebagai alat keamanan, Cisco Umbrella dapat menjadi alat bantu yang berguna bagi analis keamanan dunia maya, karena menyediakan data dan informasi mengenai struktur Internet dan risiko yang terkait dengan jaringan dan alat Analisis Intelijen yang sama (Selidiki adalah salah satunya).
Tentu, penggunaan alat canggih membutuhkan personil terlatih di sektor ini, sebuah persiapan yang tidak dapat didelegasikan sesuai keinginan baik dari operator individual, namun harus menjadi bagian dari jalur pelatihan terstruktur dengan baik bagi operator keamanan maya.
Kemungkinan untuk mencegah serangan dengan menghalangi permintaan DNS yang berbahaya dan kemampuan analisis prediktif juga menjadikannya alat yang berguna untuk memantau kemungkinan penyerang dan berpotensi melakukan tindakan pencegahan bahkan jika dianggap perlu dan diberi wewenang oleh undang-undang yang relevan.
Strategi pertahanan cyber yang tepat memerlukan penilaian terhadap beberapa faktor risiko yang terkait dengan pengoperasian platform teknologi. Selain itu, struktur operasi yang sama yang menyediakan layanan Umbrella tunduk pada berbagai upaya pelanggaran dan konstan. Untuk alasan ini dan untuk menjaga layanan selalu operasional dan tersedia (sejak diluncurkan di 2006, Umbrella telah menempatkan 100% permintaan DNS) OpenDNS dan Cisco terus berinvestasi dalam teknologi dan prosedur untuk menerapkan, mengembangkan dan memelihara yang memadai. strategi pertahanan
Untuk mempelajari lebih lanjut:
- https://umbrella.cisco.com/products/our-intel
- https://learn-umbrella.cisco.com/datasheets/investigate-from-opendns
- https://www.talosintelligence.com/
(foto: web / Angkatan Udara AS)
