Серверные и сетевые решения для предприятий

В корзине 0 товаров на сумму 0 р

  |  

Новый уровень информационной безопасности с решением - Cisco ASA with FirePOWER

Компания Cisco предлагает новое решение для обеспечения информационной безопасности. FirePOWER for ASA – это продукт интеграции разработок Sourcefire и решений Cisco, а именно с многофункциональной платформой Cisco ASA 5500-X.

рисунок 1

Эта разработка – не первый совместный продукт, компании уже имели опыт удачных совместных продуктов. Весной компания Cisco интегрировала в средства контроля и защиты доступа Cisco Web Security решение для обнаружения и защиты от вредоносного кода Advanced Malware Protection. Этот же комплекс средств был внедрен и в инструмент для защиты электронной почты Cisco Email Security. Благодаря этому платформа обнаружения вредоносного кода теперь работает не только на уровне сети, но и на прикладном уровне.

Рисунок 2

Следом вышла обновленная платформа Cisco ASA, которая теперь может контролировать приложения с функцией Next Generation Firewall, обеспечивать контроль доступа к интернету с функцией URL- фильтрации, обнаруживать и отражать атаки с инструментом Next Generation IPS, а также находить и обезвреживать вредоносный код Advanced Malware Protection. При этом следует отметить, что новые функции дополнили и без того широкий функционал устройств: функции межсетевого экранирования, интеграции с Active Directory, подсистемы межофисной VPN, подсистемы кластеризации и высокой доступности, а также функциям защищенного удаленного доступа.

Основные особенности нового решения

Новый продукт FirePOWER for ASA обеспечивает интегрированные инструменты для определения зависимостей между событиями безопасности. У средств Cisco по предотвращению угроз есть механизм MetaEvent Generator, который позволяет находить мультивекторные угрозы (такие, которые используют для проникновения сразу несколько способов). Каждая такая угроза может характеризоваться событиями, которые представляют опасность только в комплексе, а по отдельности ни чем не выделяются.

Обнаружить такие угрозы не просто и ранее для этого требовались внешние системы корреляции и управления событиями. Такие системы стоят дорого и трудно внедряются в имеющиеся инфраструктуры. В решении FirePOWER for ASA такие функции уже интегрированы, поэтому теперь обнаруживать атаки и нейтрализовывать их можно еще до достижения ими цели, а не после анализа с помощью внешней системы. Новое решение использует больше сведений и источников данных для корреляции.

Рисунок 3

Еще одной особенностью нового решения является возможность приоритизации угроз на основе важности атакуемых узлов. То есть система использует контекст атаки для распознавания угрозы и усиления защиты. Ранее Cisco IPS предлагало похожий инструмент Risk Rating, который оценивал угрозы с точки зрения воздействия на бизнеса. В решении Cisco FirePOWER эти функции максимально расширены и автоматизированы.

Рисунок 4

К слову сказать, автоматизация является еще одной отличительной чертой нового решения. К уже привычно автоматизированным настройкам сигнатур, правил политик безопасности, сами политики теперь могут гибко приспосабливаться к меняющейся ситуации в сети, реагируя на появление новых узлов, сервисов, пользователей и угроз.

Рисунок 5

Нельзя обойти вниманием и возможность использования компрометирующих признаков, которые позволяют принимать во внимание события не только от одного средства защиты, но от многих, находящихся в разных частях сети. Например, Cisco IPS обнаруживает сканирование сети, межсетевой экран NGFS нашет взаимодействие с командным сервером ботнета, а агент AMP обнаружил выполнение вредоносного кода. Эти три разнородных события могут быть объединены в системе и служить признаком готовящейся атаки.

Рисунок 6

Так же стоит отметить средство ретроспективной безопасности, которая помогает отслеживать угрозы, которые могли компрометировать узлы сети при обходе средств защиты периметра, несанкционированной установки точки доступа или 3G-модема, подключения инфицированного внешнего носителя и тому подобных действий. Анализируя уже произошедшие случаи попадания вредоносных программ в сеть организации мы получаем отличную возможность оперативно отслеживать и локализовывать зараженные узлы, а также обнаруживать цепочку распространения вредоносного кода. Это помогает анализировать причины компрометации и принимать соответствующие меры.

Рисунок 7

Компания Cisco развивает стратегию безопасности, суть которой в борьбе с угрозами на всех этапах жизненного цикла, начиная с момента появления угрозы на периметре сети, в процессе атка или уже после попадания внутрь сети.

Рисунок 8

Указанная концепция нашла свое воплощение во многих решениях Cisco, новое решение Cisco ASA with FirePOWER не стало в этом плане исключением.

Производительность и средства управления

Новый функционал поддерживается всем модельным рядом Cisco ASA 5500-X. Производительность оборудования с новым программным решением зависит от двух параметров: возможностей самого оборудования и используемых функций. Самая низкая производительность – на уровне 100 Мб/с, максимальная – 15 Гб/с. Если есть потребность в большей производительности, стоит рассмотреть отдельные устройства Sourcefire 8300, которые способны обеспечить скорость до 60 Гб/с при использовании режима NGIPS и до 120 Гб/с в режиме NGFW.

Для управления новым решением необходимы два инструмента: ASDM для управления единственным устройством или CSM для управления несколькими устройствами из одной точки, а также FireSIGHT Manager. ASDM или CSM обеспечивают управление межсетевым экраном, подсистемами VPN и сетевым функционалом защитных устройств. Второй же инструмент - FireSIGHT Manager обеспечивает возможность управления всеми функциями описанными выше: NGFW, NGIPS, AMP и фильтрацией URL. В перспективе планируется объединить эти средства управления в единой консоли управления Cisco ASA with FirePOWER.

15.09.2015

К другим статьям