Cisco Umbrella y la inteligencia de amenazas

Gracias a todas las peticiones que analiza diariamente Cisco Umbrella, la plataforma aprende de la actividad de Internet para identificar automáticamente cualquier infraestructura maliciosa actual y emergente. El conocimiento se basa en las relaciones entre malware, dominios, IP y redes a través de Internet.

Umbrella inspecciona todo el tráfico y es capaz de analizar todas las peticiones de cualquier puerto. Esto supone un avance importantísimo frente un proxy web tradicional que suele inspeccionar solo el tráfico web a través del puerto 80 o 443 para SSL/HTTPS. Umbrella aprende de toda esta información recogida por millones de dispositivos. Pero, ¿De dónde recoge información Cisco Umbrella?

Modelos estadísticos

Umbrella analiza los datos para identificar patrones, detectar anomalías y crear modelos para predecir si un dominio o IP es probablemente malicioso. Un patrón identificado permite correlacionar automáticamente los datos y bloquear ataques.

Cisco Umbrella Investigate

La inteligencia de amenazas se nutre de todas las solicitudes de DNS globales para obtener una vista completa de las relaciones entre dominios, IP y malware. Esta inmensa base de datos puede ser consultada mediante API. Enriquezca su respuesta a incidentes y los datos de SIEM.

Ecosistema de Cisco

Cisco Umbrella usa análisis basados en reputación de archivos y URL de Cisco Talos y Cisco AMP para bloquear el contenido malicioso. El conocimiento es poder y con Umbrella puede beneficiarse del análisis diario de millones de muestras de malware y terabytes de datos.

Análisis de patrones estadísticos para la detección de amenazas

Para descubrir patrones y detectar anomalías se usan múltiples fuentes de datos. Esta información crean diferentes modelos que analizan las relaciones entre nodos, por ejemplo, las relaciones entre redes a través de Internet.

Algunos modelos analizan las relaciones basadas en el tiempo, por ejemplo, la notificación en un muy breve espacio de tiempo de múltiples solicitudes DNS consecutivas y por miles de usuarios en diferentes ubicaciones.

Otros modelo es a partir de valores utópicos, es decir, desviaciones estadísticas de la actividad normal, como la distribución geográfica de dominios solicitados por una determinada dirección IP.

Otro método de análisis es el procesamiento de lenguaje natural, el modelo de NLP identifica los dominios de suplantación de identidad (phishing) que falsifican nombres de marca mediante el análisis del léxico del dominio y la ubicación del servidor.

Cómo conseguir la inteligencia predictiva de Cisco Umbrella

Estos modelos son ajustados por los investigadores de seguridad de Cisco Umbrella, científicos de datos, ingenieros, matemáticos e investigadores de seguridad. Los esfuerzos para encontrar nuevas fórmulas de análisis de datos, ayudan a encontrar nuevos patrones e información para adelantarse a los ciberdelincuentes. El desarrollo de nuevos modelos de datos permite a Cisco Umbrella adelantarse al ataque, protegiendo a millones de usuarios de amenazas que aún no han salido a la luz o son desconocidas por la mayoría de soluciones de seguridad tradicionales.

Cisco Talos: La red de inteligencia de seguridad de Cisco

Cisco Talos es la red de inteligencia contra amenazas de Cisco. Una de las fuentes donde se nutre Cisco Umbrella para protegernos. Talos, deriva su nombre del gigante griego cuyo único propósito era proteger a Europa de invasores y piratas. Al igual que el símil, Talos es un equipo de expertos en seguridad dedicados a brindar una protección superior a los clientes con productos y servicios Cisco.

Junto con Cisco Incident Response (IR), Cisco Penetration Testing y Cisco Advanced Services, Talos se convierte en un hub de datos e inteligencia contra amenazas. Esta telemetría proporciona visibilidad y contexto a los datos y una visión única y privilegiada de los ataques dirigidos y de amenazas persistentes (APT).

IEAISA servicios de tecnologia

Recommended Posts