违反!卫冕的销售网络,点系统

鉴于销售点(POS)在新闻攻击最近我敢肯定,你们中许多人都在思考,或作用于,架构更好的防范。最近,我与一个团队合作在思科进行如何正确地从进攻防守点的销售网络,同样的分析。我们所使用的攻击方案,近期违规,blackpos和其他POS恶意软件攻击后进行建模。简而言之,我们分析销售环境的点中发现的威胁和架构的思科安全解决方案将提供最低的中断给POS环境的影响最大。我们把一些原则,以确保我们结束了最佳的解决方案:

  • 快速和易于部署是一个高优先级
  • 专注于利用定制的恶意软件或零日方法防范有针对性的攻击
  • 确保覆盖整个生命周期的攻击;的前,中,后阶段的攻击

这些设计目标,使我们可以使用单机或一起根据您的环境,预算和风险状况的系统的三个思科安全解决方案。这三个安全解决方案,最大限度地满足上述设计目标是:

  1. 思科网络威胁防御(CTD)
  2. 思科Sourcefire的先进的恶意软件防护(AMP)
  3. 思科Sourcefire的下一代IPS(NGIPS)

这三种解决方案覆盖了全攻连续:之前,期间和之后(BDA)。下面是每个相位的描述:

连续攻击

接下来的这个图显示了最常见的安全解决方案,以BDA连续的映射。CTD也可以在之前阶段也是有用的。阅读更多的对。

前阶段

进攻连续延伸
思科CTD允许您创建安全区规则,如果流量突破区域规则会提醒你。这允许您设置与将禁止数据从PCI区域转移到例如任何其他区域规则PCI区。CTD使用网络作为传感器,具体网络流,以获得实时的交通流的污点图。该解决方案满足所有三个我们tenents的。它是非侵入性的,而不是内联,因为它使用NetFlow数据已经可用的思科网络。它可以很容易地安装和区域快速创建。最后它是优秀的,在发现目标或零日攻击,因为它是手表坏/输出的网络流量的策略行为。

这里是CTD的与易于使用的关系映射中的某些区域设置的截图:

CTD区

在第一阶段

期间阶段利用所有三种解决方案:CTD,AMP和NGIPS。此外,这些解决方案可以共同或单独工作。在这个阶段CTD提供了一个强大的出所谓的“可疑数据丢失”盒子功能。此功能使用的区域,以确定是否异常量或数据的类型离开您的组织的不规则的方式。所以,当恶意软件进入exfiltrate数据被盗CTD见此上传,通过NetFlow和会提醒。AMP能够阶段期间来检测恶意软件。AMP查看文件的信誉和行为,因为它们穿过网络或拖放到运行的AMP客户端的客户端。如果文件尚未在此之前看到它上传到放大器客户端自动进行分析,沙盒和判决被传递回AMP。恶意文件可以在网络设备或在AMP客户端被丢弃。FireAMP目前运行在任何Sourcefire的NGIPS或NGFW设备。 The final solution for during is NGIPS, this applies snort rules to traffic to find malware or malware like activity. All of the known variants of PoS malware already have snort signatures. NGIPS also includes layer 7 application visibility and control for 100's of apps which will allow it to detect many of the data exfiltration and command&control methods even zero-day malware will use. All of these solutions incorporate multiple types of context into their alarms and data. Username, device type, location, traffic types, apps used, and much more. For CTD, Cisco ISE can even feed data over.

CTD可疑数据丢失,报警趋势

这里是CTD可疑数据丢失,报警趋势的屏幕截图。你可以清楚地看到图中的FTP上传:

思科Sourcefire的防御中心仪表盘

下面是思科Sourcefire的防御中心仪表盘的截图。防御中心同时管理NGIPS和AMP,以及NGFW我们不会谈论在这个博客。您可以快速查看您的POS网络上的威胁和风险的应用程序。

思科AMP(高级恶意软件保护)仪表板

下面是思科AMP(高级恶意软件保护)仪表板的部分截图。

这里有多种分析方法,思科Sourcefire公司AMP采用打败恶意软件

Sourcefire的高级恶意软件防护(AMP)

后阶段

后阶段为约作用域的损伤的程度,含有该攻击,和补救和清洁的混乱。了解到底发生了什么,感染有多大,并确保彻底清理是IT部门非常高的订单。这是双方的CTD和AMP的解决方案中脱颖而出。这两种解决方案本身提供可视性随着时间的推移,不只是在时间点。CTD创建作为基线种种历史分析suchs,异常,行为分析,流量,应用类型,以及最重要的是记住了网络数据从主机通过网络流向主机。CTD也有内置的规则来检测蠕虫传播史和其他恶意软件样行为。AMP手表的所有文件,因为它们是从throught客户端,服务器,WWW,存储等AMP理解在极致的细节,一直到内存使用,系统调用等。由于每个文件的信誉威胁,风险和行为通过网络传递AMP永远失去跟踪的地方文件,您可以执行文件轨迹追查恶意软件爆发的零号病人,发现所有被感染的主机和谁感染了他们,找到其他文件创建的文件如滴管和通常看到的一切恶意软件文件做了系统的研究。这两种解决方案,CTD和AMP,将确保你能阶段之后通过获取和有信心,你有这一切,当你做过清理残局。

这里是AMP文件轨迹的屏幕截图。注意文件开始作为未知和被显示为灰色圆圈。一旦完成的分析是迅速变成一个红色的圆圈。然后,您可以跟踪它的传播史在整个网络和主机如图所示用线条和箭头。这说明你究竟如何传播,因此下跌什么其他的文件和/或创建的,什么这些文件然后做,等等,等等本质AMP提供永远在线的,只是在时间,恶意软件取证分析。

AMP文件轨迹

下面来看看思科网络威胁防御蠕虫传播史事件与地图:

有如此多的这三个solutons背后更多详细信息:CTD,AMP和NGIPS。如果您想了解更多关于如何使用它们捍卫销售网络的时候,你能听我的在线讲座点播刚注册观看:http://cs.co/90005SII

思科网络威胁防御

这里提出的意见和信息,我个人的看法,而不是我的雇主。我在没有办法我的雇主的官方代言人。

詹姆的博客 有关安全性的文章。

加入对网络世界的社足球竞猜app软件区Facebook的LinkedIn对那些顶级心态的话题发表评论。
有关:

版权所有©2014足球竞彩网下载

IT薪资调查:结果是