Protocoale pentru Cisco Mars. Produse

Tehnicile de securitate a informațiilor au evoluat de la apărarea perimetrului la interfața cu Internetul la un model „profund” în care contramăsurile multiple sunt distribuite la mai multe niveluri în întreaga infrastructură. Un model cu mai multe straturi devine o necesitate din cauza creșterii numărului de atacuri, a complexității acestora și a vitezei de implementare. Obiectele din rețea pot fi scanate de mii de ori pe zi căutând vulnerabilități. Atacurile moderne „mixte” sau hibride folosesc o varietate de tehnici sofisticate pentru a obține acces și control neautorizat atât din exterior, cât și din interiorul organizațiilor. Răspândirea viermilor, a virușilor, a cailor troieni, a programelor spion și a software-ului personalizat reprezintă o amenințare chiar și pentru rețelele puternic protejate, lăsând mai puțin timp de răspuns și crescând costul de recuperare.

În plus, pe lângă numărul mare de servere și dispozitive de rețea, fiecare componentă a sistemului de securitate își menține propriul jurnal de evenimente și are propriul set de instrumente pentru detectarea anomaliilor și răspunsul la amenințări. Din păcate, această situație duce la necesitatea procesării unui număr mare de jurnale de evenimente disparate și semnale false de pericol, ceea ce duce la incapacitatea operatorului de a răspunde eficient.

Produsele de securitate a informațiilor și de gestionare a evenimentelor vă permit să evaluați amenințările într-un mod specific și să le gestionați în consecință. Aceste soluții permit serviciilor de securitate IT să colecteze și să proceseze la nivel central date despre evenimente, să utilizeze corelații, să proceseze cozi și să genereze rapoarte...

Prezentare generală a soluției Cisco Systems

Cisco Security MARS este o soluție cu funcții complete, bazată pe hardware, care oferă informații și control asupra poziției dvs. de securitate existente. Ca parte a suitei de management al securității, MARS vă permite să identificați, să monitorizați și să opriți amenințările de securitate. Soluția funcționează cu rețeaua și sistemul de securitate existent pentru a găsi, izola și elimina elementele problematice. MARS ajută, de asemenea, la menținerea integrității politica internă securitate și poate fi integrat ca parte a unei soluții generale de reglementare a rețelei.

Administratorii de securitate se confruntă cu multe provocări, cum ar fi:

• Flux excesiv de informații de rețea și securitate de intrare
• Probleme în recunoașterea atacurilor și erorile de identificare, prioritizare și răspuns
• Complicarea atacurilor, creșterea costurilor de recuperare
• Necesitatea de a menține conformitatea cu securitatea
• Probleme cu personalul

Cisco Security MARS vă permite să rezolvați aceste probleme în următorul mod:

Integrează datele din rețea pentru a construi corelații între anomaliile rețelei și incidentele de securitate

Urmărește incidentele și automatizează investigațiile

Atenuează atacurile prin valorificarea întregii capabilități ale rețelei și infrastructurii de securitate existente

Monitorizează starea obiectelor, rețelelor, procedurilor de securitate pentru conformitatea cu șablonul necesar

Acționează ca o soluție scalabilă, ușor de implementat și operat, cu un cost redus de proprietate

Cisco Security MARS transformă datele brute într-o formă convenabilă pentru procesare, oferind capacitatea de a detecta, suprima și genera rapoarte în mod specific pentru amenințările prioritare folosind dispozitive deja încorporate în infrastructura rețelei.

Dezvoltarea controalelor de securitate a informațiilor și prevenirea amenințărilor

Pentru a rezolva această problemă, Cisco oferă o linie de sisteme hardware scalabile. Cisco Security MARS este unul dintre sistemele scalabile și de înaltă performanță care protejează dispozitivele de rețea și optimizează securitatea informațiilor prin combinarea datelor din rețea, a funcțiilor de corelare a conținutului „Corelarea contextului”, „analiza SureVector™” și capacitatea de a suprima automat amenințările. Platforma MARS este strâns integrată cu complexul de management al securității - Cisco Security Manager. Această integrare vă permite să legați mesajele de eveniment la o politică configurată în Cisco Security Manager. Revizuirea politicii vă permite să analizați rapid funcționarea politicilor de securitate pe firewall și să detectați problemele de rețea și erorile de configurare.

Caracteristici și beneficii

Procesarea inteligentă a evenimentelor și managementul performanței

Cisco Security MARS utilizează datele de rețea folosind cunoștințele despre topologia rețelei, configurațiile dispozitivelor și profilurile de trafic de rețea. Capacitatea integrată de explorare a rețelei a sistemului creează o diagramă de topologie care include configurațiile dispozitivului și politicile de securitate aplicate, permițând Cisco Security MARS să modeleze fluxurile de date într-o rețea. Deoarece Cisco Security MARS nu procesează direct traficul de rețea și face o utilizare minimă a elementelor software de rețea, impactul asupra performanței generale a rețelei rămâne minim.

Cisco Security MARS colectează în mod centralizat date despre evenimente de la o gamă largă de dispozitive de rețea, cum ar fi routere și comutatoare; dispozitive și aplicații de securitate, cum ar fi firewall-uri, dispozitive de detectare a intruziunilor, scanere de vulnerabilitate și aplicații antivirus. De asemenea, sunt procesate date de la sisteme finale (Windows, Solaris, Linux), aplicații (baze de date, servere Web și servere de autentificare) și statistici privind traficul de rețea (Cisco NetFlow).

Corelația contextuală

La primirea datelor, se construiește o schemă de corespondență unificată cu parametrii topologiei rețelei, configurației dispozitivului și traducerii adresei (NAT). Evenimentele relevante sunt grupate în timp real. Regulile de corelare a sistemului și utilizatorilor sunt apoi aplicate pentru a identifica incidentele din rețea. Cisco Security MARS vine cu un set cuprinzător de modele de corelare, actualizate în mod regulat de Cisco, care pot detecta majoritatea atacurilor complexe. Instrumentele grafice facilitează crearea de reguli pentru diverse aplicații. Corelația contextuală reduce semnificativ cantitatea de date brute procesate, ceea ce permite prioritizarea răspunsurilor și crește eficacitatea contramăsurilor aplicate.

Agregare de înaltă performanță

Cisco Security MARS procesează milioane de mesaje primare, clasifică eficient evenimentele pentru a reduce semnificativ volumele de date și comprimă informațiile pentru arhivare. Gestionarea unor astfel de volume de date necesită o platformă centralizată stabilă și sigură. Dispozitivele Cisco Security MARS sunt optimizate pentru a procesa un număr mare de evenimente, până la 15.000 de evenimente pe secundă sau 300.000 de evenimente Cisco NetFlow pe secundă. În plus, MARS acceptă backup și recuperare a configurațiilor și a datelor prin NFS și sFTP.

Vizualizarea și suprimarea incidentelor

MARS vă permite să accelerați și să simplificați procesul de detectare, investigare, evaluare și remediere a amenințărilor. O provocare comună pentru personalul de securitate IT este timpul necesar pentru a analiza și rezolva evenimentele de securitate care apar. În acest caz, Cisco Security MARS este un instrument puternic, interactiv pentru gestionarea securității și crearea de reguli.

Mediul de lucru grafic afișează o hartă topologică care arată evenimente, vectori de atac, detalii despre incident, care vă permite să identificați instantaneu amenințările existente. „Analiza SureVector” Cisco procesează grupuri apropiate de evenimente pentru a evalua realitatea amenințării și originea acesteia, până la adresa MAC a dispozitivului final. Procesul este automatizat prin analiza jurnalelor de evenimente de la dispozitive precum firewall-urile și dispozitivele de prevenire a intruziunilor (IPS), sistemele terțe de evaluare a datelor și rezultatele scanării punctelor finale pentru a preveni fals pozitive. Folosind Cisco Security MARS, echipele de securitate au instrumentele necesare pentru a înțelege rapid componentele unui atac complex și pentru a identifica sistemul afectat. Caracteristicile Cisco de „atenuare automată” găsesc dispozitivele de control disponibile de-a lungul căii de atac și oferă automat comenzi adecvate pe care operatorii le pot aplica rapid pentru a elimina amenințarea.

Analiza operațională și verificarea conformității

Cisco Security MARS oferă un cadru ușor de utilizat, care simplifică operațiunile de securitate în desfășurare, automatizează investigațiile, escaladele, alertele, documentația privind activitatea în curs și auditurile ad-hoc. Cisco Security MARS afișează grafic atacurile și extrage date istorice pentru a analiza evenimentele anterioare. Sistemul acceptă pe deplin interogări arbitrare pentru a obține rapid informații.

Cisco Security MARS oferă multe șabloane de solicitare încorporate și este compatibil cu protocoalele PCI-DSS, GLBA, HIPAA, FISMA, Basel II. Generatorul de rapoarte vă permite să modificați peste 100 de rapoarte standard sau să creați altele noi cu capacități nelimitate pentru planificarea procedurilor de răspuns și recuperare, urmărirea incidentelor și a activității în rețea, monitorizarea conformității cu politicile de securitate și efectuarea de audituri. Trimiterea rapoartelor este, de asemenea, acceptată.

Rapiditate și ușurință în implementare

La implementarea Cisco Security MARS, este necesar să se asigure capacitatea de a trimite și primi mesaje „syslog”, mesaje SNMP (capcane SNMP) și este, de asemenea, necesar să se comunice cu dispozitivele de rețea instalate folosind protocoale general acceptate sau proprietare. Nu este nevoie de hardware suplimentar sau de modificare a software-ului utilizat. În acest fel, este configurată redirecționarea mesajelor către Cisco Security MARS, iar obiectele de monitorizare sunt adăugate prin „GUI bazat pe web”. MARS poate trimite statistici către servere externe pentru integrare cu infrastructura actuală.

Unul dintre cei mai importanți producători de produse securitatea informatiei este o companie Cisco. Acest articol își propune să arate exemple de utilizare a Cisco Security Agent, Cisco NAC Appliance și a produselor Cisco MARS pentru a asigura securitatea internă a informațiilor unei companii. Aceste produse se integrează între ele și vă permit să construiți un sistem ușor de gestionat și fiabil.

Departamentul de securitate informatică al unei companii moderne se confruntă cu absolut diverse sarcini– aceasta include suport pentru canalele de comunicații securizate ale companiei, suport pentru subsistemul de control al accesului utilizatorilor, furnizarea de protecție antivirus, combaterea spam-ului, controlul scurgerilor de informații, precum și monitorizarea evenimentelor de securitate a informațiilor care au loc în rețea și alte sarcini la fel de importante.

În prezent, există un număr imens de evoluții pe piața produselor de securitate a informațiilor care într-un fel sau altul fac posibilă rezolvarea problemelor atribuite. În opinia noastră, cel mai corect mod este de a construi sisteme de securitate înalt integrate, care se pot adapta cel mai flexibil proceselor specifice care au loc în companie.

Introducere

Orice sistem de securitate a informațiilor este construit pe baza modelului de amenințare așteptat. Când începeți să planificați un sistem de securitate, este necesar să luați în considerare două categorii de amenințări: externe și interne.

Amenințările externe sunt ușor de previzibil, deoarece compania are informații complete despre ce servicii sunt disponibile din exterior, ce softwareși resursele hardware asigură conexiunea între acest serviciu și Internet.

Combaterea amenințărilor interne este mult mai dificilă, deoarece utilizatorii care lucrează într-o companie au niveluri diferite de acces și construcție relații diferiteîn cadrul companiei.

Pentru a asigura protecția, este necesar să se adopte o abordare cuprinzătoare și să nu se limiteze doar la mijloace tehnice. Munca competentă a serviciului de securitate a informațiilor, precum și o politică administrativă clar gândită a companiei vor ajuta la obținerea rezultatelor maxime.

Politica administrativă este construită pe baza politicii de securitate a informațiilor. Organizația trebuie să elaboreze reglementări privind protecția informațiilor confidențiale și instrucțiunile corespunzătoare. Aceste documente ar trebui să definească regulile și criteriile de clasificare a resurselor de informații în funcție de gradul de confidențialitate, regulile de etichetare și regulile de manipulare a informațiilor confidențiale. Trebuie definite regulile de asigurare a accesului la resursele informaționale și trebuie implementate proceduri și mecanisme de control adecvate, inclusiv autorizarea și auditul accesului.

Aceste măsuri administrative fac posibilă combaterea cu succes a celei mai numeroase clase de amenințări - amenințări de dezvăluire neintenționată a informațiilor confidențiale, dar pentru a combate intrușii nu este suficient - este necesară utilizarea de software și hardware special.

End Host Security – Cisco Security Agent

Soluția Cisco Security Agent (CSA) este un sistem de securitate end-host care, împreună cu alte sisteme, vă permite să rezolvați probleme mai complexe și mai ample.

CSA oferă protecție pentru sistemele server și computerele desktop. Cisco Security Agent depășește soluțiile obișnuite de securitate pentru terminale, combinând protecția avansată împotriva atacurilor direcționate, a programelor spion, a software-ului de control de la distanță, a protecției împotriva virușilor, a scurgerilor de date și a multor alte tipuri de încălcări de securitate într-un singur computer.

Cisco Security Agent este un sistem care utilizează aplicații agent pentru a aplica politicile de securitate a informațiilor configurate pe un server central.

CSA combină protecția împotriva atacurilor zero-day, antivirus ClamAV, firewall, modul de protecție a fișierelor și aplicațiilor, modulul de aplicație neîncrezător și alte funcții.

Cisco Security Agent oferă o serie intreaga oportunități valoroase, inclusiv următoarele:

• monitorizarea conformității stării obiectelor de rețea cu cerințele politicii de securitate;
• protecție preventivă împotriva atacurilor țintite;
• control USB, CD-ROM, PCMCIA etc.;
• crearea unui mediu software închis;
• capacitatea de a detecta și izola programe malware pentru control de la distanță sub acoperire;
• funcții avansate pentru prevenirea intruziunii în nodurile rețelei, un firewall personal și protecție împotriva atacurilor complet noi;
• controlul scurgerii de informații;
• controlul și prevenirea descărcărilor de pe medii neautorizate;
• optimizarea utilizării lățimii de bandă Wi-Fi;
• asigurarea disponibilității aplicațiilor critice client-server și a capacității de a efectua tranzacții;
• etichetarea traficului de rețea;
• integrare cu sisteme de prevenire a intruziunilor (Cisco IPS);
• integrare cu sistemul de control al accesului la rețea (Cisco NAC);
• integrare cu sistemul de management al securității (Cisco MARS).

Arhitectura sistemului Cisco Security Agent este prezentată în Figura 1. Agenții interacționează cu serverul de management și primesc actualizări de politici și software de la acesta.

Figura 1: Arhitectura sistemului CSA

Gazdele finale sunt grupate în grupuri pentru care se aplică politicile de securitate a informațiilor. Politicile sunt seturi de module de reguli (vezi Figura 2).

Figura 2: Politici, module, reguli în arhitectura CSA

Cisco Security Agent vă permite să monitorizați activitățile utilizatorilor în timp ce aceștia sunt conectați la rețeaua de date și serverul de management este disponibil. Dar acceptă și un set special de stări, cum ar fi indisponibilitatea centrului de management, în care politicile de acces specializate sunt aplicate mașinilor.

Al doilea sistem de securitate a informațiilor este sistemul de control al accesului la rețeaua de date.

Controlul accesului la rețea – Cisco Network Admission Control (NAC)

Cisco NAC Appliance (anterior Cisco Clean Access) este o soluție concepută pentru a detecta, izola și dezinfecta automat gazdele infectate, vulnerabile sau neconforme care accesează resursele corporative cu fir sau fără fir.

Ca una dintre componentele tehnologiei Network Admission Control, Clean Access este implementat fie ca modul de rețea pentru routerele Cisco ISR (pentru rețele cu mai puțin de 100 de dispozitive controlate), fie ca dispozitiv separat.

Principalele caracteristici ale soluției Cisco NAC sunt:

• independență față de producătorul echipamentului de rețea (mod în bandă);
• integrare cu Kerberos, LDAP, RADIUS, Active Directory, S/Ident și alte metode de autentificare;
• suport pentru Windows (inclusiv Vista), MacOS, Linux, Xbox, PlayStation 2, PDA-uri, imprimante, telefoane IP etc.;
• suport pentru antivirusuri CA, F-Secure, Eset, Kaspersky Lab, McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro și alte instrumente de protecție a computerelor (250 de producători în total);
• Punerea în carantină a unei gazde neadecvate prin aplicarea ACL-uri sau VLAN-uri;
• crearea unei liste „albe” de noduri pentru a-și accelera accesul la resursele rețelei;
• instalarea automată a actualizărilor lipsă, a versiunilor noi de instrumente de protecție sau a actualizării bazelor de date antivirus învechite;
• management web centralizat;
• suport în limba rusă;
• efectuarea unui audit transparent.

Arhitectura și funcționarea dispozitivelor Cisco NAC

Cisco NAC este o soluție hardware și software de securitate internă a informațiilor care valorifică infrastructura rețelei prin aplicarea politicilor de securitate a informațiilor și restricționarea accesului la rețea la dispozitivele care nu îndeplinesc cerințele politicilor de securitate a informațiilor.

Principalele componente funcționale ale soluției sunt Clean Access Server (CAS) și Clean Access Manager (CAM). CAM este responsabil pentru configurarea politicilor de securitate, iar CAS este responsabil pentru executarea acestora.

Echipamentul poate fi instalat într-o configurație tolerantă la erori în care se realizează failover activ/standby.

Figura 3 arată starea sistemului în care utilizatorul se află într-o VLAN de autentificare special creată de la care utilizatorului i se permite accesul la serviciul DHCP și altele, în conformitate cu politicile configurate pe CAM.

Figura 3: Fără acces la rețea

După ce utilizatorul a fost verificat pentru conformitatea cu politicile de securitate a informațiilor, i se permite să intre în rețea prin alocarea unui port de comutare unui anumit VLAN (Figura 4).

Utilizatorii pot trece prin procedura de autentificare fie folosind un agent specializat - Cisco Clean Access, care colectează și informații pentru verificări, fie folosind autentificarea web.

Figura 4: Cisco NAC - Acces la rețea permis

Logica sistemului este alcătuită din componente - verificări, reguli și cerințe aplicate fiecărui rol specific de utilizator.

De exemplu, puteți crea mai multe roluri care corespund departamentelor companiei și pentru fiecare rol puteți configura anumite cerințe, a căror îndeplinire devine condiție prealabilă pentru accesul la mediul corporativ.

Figura 5: Cisco NAC - Logica de funcționare a sistemului

Sunt disponibile diferite opțiuni de verificare. Puteți verifica prezența unei aplicații care rulează pe computer, instalarea patch-urilor necesare pentru sistemul de operare, versiunea bazelor de date antivirus și alte verificări.

Un sistem de securitate a informațiilor necesită prezența obligatorie a unui sistem de monitorizare a evenimentelor care au loc în rețea. În aceste scopuri, se intenționează să se utilizeze produsul Cisco Security Monitoring, Analysis and Response System (Cisco MARS).

Sistemul de monitorizare, analiză și răspuns de securitate Cisco (MARS)

Întreprinderile moderne se confruntă în mod constant cu probleme legate de securitatea informațiilor.

Complexitatea infrastructurii de rețea presupune o creștere a numărului de mijloace de protecție - aceste dispozitive pot fi firewall-uri separate, routere cu anumite funcționalități software, comutatoare, diverse sisteme Sisteme IPS, IDS, HIPS, precum și diverse sisteme antivirus, servere proxy de e-mail, proxy web și alte sisteme similare.

Un număr mare de mijloace de securitate dă naștere unor probleme de management, pe măsură ce numărul punctelor de control crește, numărul evenimentelor înregistrate crește și, ca urmare, crește timpul necesar luării deciziilor (vezi Figura 6).

Figura 6: Proces de luare a deciziilor pentru prevenirea unui atac

În acest sens, întreprinderea are nevoie de un sistem de mai multe nivel înalt, capabilă să evalueze nivelul existent de securitate a informațiilor prin înregistrarea și corelarea evenimentelor primite în sistem.

Sistemul de monitorizare și răspuns Cisco MARS oferă aceste funcții.

Caracteristici cheie Cisco MARS

Cisco MARS este o soluție software și hardware într-o versiune de server. Software-ul de sistem se bazează pe sistemul de operare Linux (kernel 2.6). Componenta principală a sistemului este baza de date Oracle, care este folosită pentru a stoca informații.

Cisco MARS are capacitatea de a colecta informații de pe diferite dispozitive folosind protocoalele Syslog, SNMP, NetFlow și, de asemenea, are capacitatea de a primi fișiere jurnal de sistem.

MARS acceptă echipamente de la diverși furnizori, cum ar fi Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape și alții.

Logica de operare a sistemului Cisco MARS se bazează pe interogări către baza de date. Puteți selecta informații și le puteți rafina după adresa IP sursă, adresa IP destinație, porturi, tipuri de evenimente, dispozitive, cuvinte cheie și așa mai departe.

Pe baza cererilor se bazează anumite reguli, care sunt grupate în sistem. Baza de date Cisco MARS conține peste 2000 de reguli. Vă puteți crea propriile reguli, adaptând astfel sistemul în mod flexibil la tipuri specifice de amenințări percepute.

După salvarea regulii și detectarea informațiilor care îndeplinesc această regulă, se generează un incident.

Având în vedere funcționarea Cisco MARS, putem oferi un exemplu specific de atac asupra unei gazde (vezi Figura 7).

Figura 7: Efectuarea unui atac asupra unei gazde

A fost asamblat un stand care conține Cisco MARS, mai multe switch-uri și un laptop cu produsul Cisco Security Agent instalat. Pentru a emula atacul, serviciile gazdă au fost scanate folosind utilitarul NMAP.

Evenimentele arată astfel:

• Cisco Security Agent a detectat o scanare de port;
• Informațiile despre aceasta au ajuns la centrul de management al sistemului Cisco Security Agent, care la rândul său a trimis un mesaj către MARS;
• MARS produs analizareași normalizarea mesajului primit la o singură formă furnizată de baza de date MARS;
• MARS a produs corelații de sesiune;
• Acest eveniment a fost verificat folosind reguli configurate pe MARS pentru a înregistra incidentele de securitate a informațiilor;
• Verificat pentru false pozitive;
• A fost generat un incident și informațiile au fost trimise administratorului.

Pe pagina de start Cisco MARS a raportat că a avut loc un incident de securitate din rețea (vezi Figura 8) și a arătat calea atacului (vezi Figura 9).

Figura 8: Afișarea informațiilor despre atac în tabloul de bord Cisco MARTE

Figura 9: Calea de atac în panoul Cisco MARTE

Făcând clic pe butonul „Toggle Topology”, puteți vedea topologia reală a rețelei și puteți vedea calea de propagare a atacului (vezi Figura 10).

Figura 10: Topologia rețelei a căii de propagare a atacului în tabloul de bord Cisco MARTE

Pentru a răspunde la un incident, Cisco MARS oferă mai multe opțiuni pentru a preveni un atac bazat pe dispozitiv de rețea (vezi Figura 11):

Figura 11: Răspuns pentru prevenirea unui atac

Cisco MARS are, de asemenea, un sistem de raportare flexibil, care vă permite să obțineți date detaliate despre toate evenimentele înregistrate. Acest lucru permite implementarea principiului îmbunătățirii protecției (vezi Figura 12).

Figura 12: Principiul de îmbunătățire a securității

Exemplu de soluție cuprinzătoare

Să luăm în considerare o soluție cuprinzătoare bazată pe produsele de mai sus pentru sediul central al companiei K.

Compania K are 100 de angajați în trei departamente la sediul său. Sistemul Microsoft Active Directory este utilizat pentru a controla accesul utilizatorilor.

Următoarele sarcini trebuie rezolvate:

• să asigure respectarea politicilor de securitate a informațiilor create pentru angajații fiecărui departament;
• să aibă informații actualizate despre software-ul care rulează pe anumite gazde;
• să poată controla accesul la sistemele externe pentru gazdele situate în afara mediului corporativ;
• oferiți acces la rețea pe baza politicilor de securitate a informațiilor specificate;
• asigurați-vă că verificările specificate sunt efectuate pentru gazdă pe baza contului de utilizator al domeniului;
• asigura monitorizarea evenimentelor care au loc în rețea, precum și colectarea de informații folosind protocolul NetFlow.

Configurarea politicilor Cisco Security Agent

În primul rând, definim drepturile de acces ale fiecărui grup de utilizatori. În conformitate cu aceste reguli de acces, drepturile de acces la domeniu și regulile de filtrare sunt configurate pe echipamentele de rețea active.

Puteți crea reguli de acces la rețea folosind Cisco Security Agent, dar aceste reguli sunt mai degrabă private. De exemplu, puteți refuza unui anumit utilizator accesul la o anumită resursă (IP, TCP/IP). În acest exemplu, nu sunt create reguli de rețea pentru CSA.

Primul pas este crearea unei politici pentru toate grupurile de utilizatori din CSA care face imposibilă dezactivarea aplicației agent. Această politică se aplică tuturor utilizatorilor, inclusiv administratorilor locali.

Apoi este lansat un proces pentru a colecta informații despre software-ul instalat pe computere - un proces numit Application Deployment Investigation. Ca rezultat, obținem un raport (vezi Figura 13).

Figura 13: Raport privind aplicațiile instalate utilizând Cisco Securitate Agent

În viitor, putem clasifica aceste aplicații, de exemplu, distingând de numărul total de aplicații de birou, clienți ICQ, aplicații P2P, aplicații de e-mail și așa mai departe. De asemenea, folosind CSA, este posibil să se analizeze comportamentul unei aplicații specifice pentru crearea ulterioară a politicilor de securitate a informațiilor.

Pentru toți utilizatorii sediului central, sunt create reguli generale pentru toate aplicațiile identificate. Implementarea se realizează în etape - în primul rând, politica de securitate a informațiilor este implementată în modul de audit, ceea ce vă permite să monitorizați toate evenimentele, dar să nu influențați acțiunile curente ale utilizatorilor. Ulterior, politica revizuită este pusă în regim operațional.

Pe lângă clasificarea statică a aplicațiilor, CSA prevede clasificarea dinamică - metoda clasei dinamice. De exemplu, aplicația Microsoft Word poate fi clasificată în două clase de aplicații - locale și de rețea și, în funcție de aceasta, i se pot aplica politici de securitate diferite (vezi Figura 14).

Figura 14: Clase dinamice pentru clasificarea aplicațiilor

Pentru protecție antivirus, CSA are încorporat un modul antivirus ClamAV. Dacă aveți un antivirus, acest modul poate fi dezactivat.

Controlul scurgerilor de informații

Pentru a preveni scurgerile de informații confidențiale, CSA oferă un modul special numit Data Loss Prevention.

Când acest modul software este activat, agentul CSA scanează fișierele pentru informații confidențiale. Clasificarea informațiilor este setată manual pe baza șabloanelor – scanarea etichetelor (vezi Figura 15). Este posibil să se efectueze scanarea umbră, precum și scanarea la deschiderea/închiderea fișierelor.

Figura 15: Clasificarea informațiilor confidențiale

După finalizarea clasificării, este necesar să se creeze și să se aplice politici de securitate a informațiilor pentru aplicațiile care funcționează cu aceste fișiere. Este necesar să controlați accesul la aceste fișiere, imprimarea, transferul pe medii externe, copierea în clipboard și alte evenimente. Toate acestea se pot face folosind șabloane și reguli standard care sunt preinstalate în Cisco Security Agent.

Configurarea Cisco NAC (Acces curat)

Când începeți să configurați Cisco NAC, trebuie să înțelegeți clar logica de operare a acestui sistem pentru fiecare grup specific de utilizatori.

În cazul implementării în compania K, este planificat ca toți utilizatorii să cadă mai întâi într-un singur VLAN (Vlan 110 în Figura 16). În timp ce se află în acest VLAN, ele sunt supuse autentificării și verificării conformității cu cerințele politicilor de securitate a informațiilor. Accesul de la acest VLAN la resursele rețelei corporative este limitat. La al doilea nivel al modelului OSI, doar Clean Access Server este disponibil pentru utilizatori. În același timp, folosind DHCP, utilizatorii primesc adrese IP de la VLAN-uri funcționale, ceea ce elimină necesitatea de a obține din nou o adresă IP.

Figura 16: VLAN de autentificare

Dacă verificarea are succes, utilizatorul este transferat la VLAN-ul „funcțional” (Vlan 10 în Figura 17). Numărul acestui VLAN este atribuit în conformitate cu unitatea organizațională (OU) căreia îi aparține utilizatorul în Active Directory. Această funcționalitate este posibilă prin utilizarea rolurilor de utilizator în sistemul NAC.

Figura 17: Transferarea unui utilizator la VLAN-ul „de lucru”.

Toți utilizatorii companiei K trebuie să respecte cele mai recente actualizări critice pentru sistemul de operare Windows și să ruleze Cisco Security Agent.

Să vedem cum puteți verifica starea Cisco Security Agent pe computerele personale ale utilizatorilor:

• este creat un nou control (vezi Figura 18);
• apoi se creează o regulă (vezi Figura 19);
• este creată o cerință (vezi Figura 20);
• În cele din urmă, această cerință se aplică rolului de utilizator.

Figura 18: Crearea unei noi verificări a stării Cisco Security Agent

Figura 19: Crearea unei reguli pentru o nouă verificare a stării Cisco Security Agent

Figura 20: Crearea cerințelor pentru o nouă verificare a stării Cisco Security Agent

Ca rezultat al configurării finalizate, pentru toți utilizatorii grupului HR, trebuie îndeplinite condițiile de operare Cisco Security Agent pentru a accesa resursele rețelei.

Folosind Cisco NAC, este posibil să verificați relevanța bazelor de date antivirus, starea serviciilor pe gazdele finale și alte lucruri importante.

Fiecare opțiune de configurare este individuală, dar, în același timp, sistemul are inițial un set bogat de cerințe care facilitează implementarea sa rapidă.

Configurarea Cisco MARS

Cisco Security Agent și Cisco NAC au un sistem bogat de furnizare a informațiilor de raportare, dar pentru a putea corela evenimentele, precum și pentru a putea colecta informații despre evenimente de pe diverse dispozitive, se propune utilizarea sistemului Cisco MARS.

Setările de bază pentru sistemul Cisco MARS includ adăugarea de dispozitive la sistem (paravane de protecție, IPS, IDS, sisteme antivirus, sisteme de e-mail etc.), configurarea exportului NetFlow pe serverul MARS și configurarea utilizatorilor.

MARS are deja un număr mare de reguli predefinite (vezi Figura 21), care vă permite să puneți rapid sistemul în funcțiune și să primiți informații actualizate despre starea securității informațiilor.

Figura 21: Reguli predefinite cu Cisco MARTE

Pentru o personalizare mai profundă, trebuie să vă creați propriile reguli în conformitate cu modelele de amenințări prezise care vor analiza informațiile primite.

Dacă sunt prezente toate condițiile necesare specificate în regulă, se creează un incident, care poate fi văzut pe panoul principal al sistemului. De asemenea, este posibil să trimiteți o notificare pe e-mailul personalului care deservește Cisco MARS.

În acest fel, Cisco MARS transformă datele brute despre activitățile rău intenționate furnizate de rețea și sistemul de securitate în informații ușor de înțeles care pot fi folosite pentru a rezolva breșele de securitate folosind echipamente care există deja în rețea.

Concluzie

Sistemul complex considerat rezolvă o gamă largă de probleme, permițând administratorilor să identifice și să elimine încălcările politicilor de securitate ale companiei cât mai repede posibil.

Produsele folosite pentru acest articol sunt sisteme integraleși sunt capabili să lucreze separat unul de celălalt, dar în combinarea acestor sisteme stă strategia unei rețele de auto-apărare care poate rezista celor mai recente amenințări de securitate (zero-day).

Zabiyakin Igor
Inginer principal al NTS LLC (NTS Ltd.)

Dacă sunteți interesat de implementarea produselor de securitate a informațiilor de la Cisco Systems, atunci puteți contacta reprezentanții NTS.

Sistemul Cisco de monitorizare, analiză și răspuns de securitate MARS (Cisco Security Monitoring, Analysis and Response System) este un dispozitiv hardware care oferă capabilități detaliate de monitorizare și control ale unui sistem de securitate existent, detectând, gestionând și respingând amenințările de securitate.

Administratorii de rețea și securitate pot întâmpina următoarele probleme:

• O cantitate foarte mare de informații despre starea rețelei și securitatea sistemului;
• Eficacitatea insuficientă a instrumentelor de detectare, determinarea semnificației atacurilor și eșecurilor și dezvoltarea acțiunilor de răspuns;
• Viteza mare și complexitatea atacurilor și costul ridicat de recuperare după atacuri;
• Necesitatea de a crea rapoarte pentru a trece auditurile și verificările de conformitate.

Caracteristici Cisco MARS

Colectarea si prelucrarea informatiilor

Cisco Security MARS acumulează și integrează toate informațiile despre topologia rețelei, configurația dispozitivelor de rețea și regulile de securitate, primind-o de la dispozitivele de rețea și sistemele de securitate, precum și prin analiza traficului de rețea. În același timp, utilizarea agenților este minimă, ceea ce nu reduce performanța rețelei și a sistemului în ansamblu.

Cisco Security MARS colectează în mod centralizat fișierele jurnal de la routere, comutatoare, firewall-uri, sisteme de detectare a intruziunilor, scanere de vulnerabilități, aplicații antivirus, servere care rulează Windows, Solaris, sisteme de operare Linux, programe de aplicații (de exemplu, servere web, servere de autentificare), DBMS, precum precum și programe de procesare a traficului (de exemplu, Cisco NetFlow).

Detectarea corelației evenimentelor

Informațiile colectate sunt organizate în funcție de topologia rețelei, configurația dispozitivului, adresele sursă și destinație. Pe baza informațiilor primite, evenimentele conexe sunt grupate în sesiuni în timp real. În conformitate cu regulile de sistem și cele stabilite de administrator, Cisco MARS analizează sesiunile pentru a identifica incidentele, eșecurile și atacurile.

Cisco MARS vine cu un set mare de reguli de sistem, care sunt actualizate regulat și includ detectarea majorității atacurilor combinate, atacurilor zero-day, viermilor de rețea etc. Administratorul poate crea reguli pentru orice aplicație folosind interfața grafică.

Identificarea corelației evenimentelor structurează informații despre securitatea rețelei și a sistemului, ceea ce reduce cantitatea de informații necesare pentru luarea deciziilor și ajută la determinarea acțiunilor prioritare de răspuns la atacuri și, ca urmare, crește eficacitatea măsurilor luate.

Colectarea și acumularea unor cantități mari de date

Cisco MARS primește informații despre multe evenimente din rețea, apoi structurează datele și comprimă datele pentru arhivare. Procesarea unor cantități uriașe de date este posibilă datorită utilizării unor algoritmi eficienți și a unei baze de date încorporate de înaltă performanță, a cărei configurație este complet transparentă pentru administrator.

Pentru transferul de date către dispozitive de arhivare secundare, precum și pentru capacitatea de a restabili configurațiile după erori, Cisco MARS acceptă sistemul de fișiere de rețea NFS și protocolul FTP securizat.

Vizualizarea incidentelor și respingerea atacurilor

Cisco Security MARS poate ajuta administratorii să identifice mai rapid și mai ușor atacurile și eșecurile, să confirme incidentele și să implementeze măsuri de atenuare a atacurilor.

Cisco MARS oferă putere instrumente grafice, cu care puteți construi o hartă a rețelei (inclusiv noduri atacate, căi de atac), afișați informații complete despre atacuri și incidente. Acest lucru vă permite să luați rapid măsuri pentru a respinge atacurile.

MARS analizează sesiunile de evenimente pentru a detecta și confirma atacurile și pentru a colecta informații despre acestea (până la adresele MAC ale nodurilor finale). Acest proces automatizat este completat de analiza fișierelor jurnal de securitate (paravane de protecție, sisteme de detectare a intruziunilor etc.) și verificările MARS ale Cisco pentru false pozitive.

Pe lângă faptul că Cisco MARS vă permite să obțineți informații complete despre atac, sistemul identifică automat gazdele vulnerabile la atac și generează comenzi pe care utilizatorul le poate executa pentru a respinge atacul.

Colectarea de informații în timp real și raportarea conformității

Ceea ce diferențiază Cisco Security MARS sunt instrumentele sale ușor de utilizat pentru structurarea informațiilor și sistemelor de securitate a rețelei care oferă detecție automată starea sistemului, incidente și răspunsuri, atât în ​​operațiunile de zi cu zi, cât și pentru inspecții și audituri.

Cisco MARS oferă capacitatea de a afișa grafic atacurile atât în ​​timp real, cât și de a reconstrui tiparele de atacuri și incidente atunci când se analizează evenimentele istorice.

Cisco Security MARS oferă capabilități de raportare pentru o varietate de scopuri: pentru a dezvolta planuri de recuperare în caz de dezastru, pentru a analiza incidente și activitatea în rețea, pentru a audita starea curentă de securitate, iar rapoartele pot fi create sub formă de text, tabele, grafice și diagrame. Există, de asemenea, oportunități de a crea rapoarte privind conformitatea cu multe standarde străine (PCI DSS, Sarbanes - Oxley, HIPAA etc.).

Implementare rapidă și management flexibil

Cisco Security MARS necesită o conexiune la rețea cu posibilitatea de a trimite și primi fișiere jurnal, mesaje SNMP și de a stabili sesiuni cu dispozitive de rețea și dispozitive de securitate utilizând protocoale securizate standard sau specifice furnizorului.

Instalarea Cisco MARS nu necesită hardware suplimentar, actualizări ale sistemului de operare sau licențe suplimentare sau efectuarea unor lucrări auxiliare. Pentru a funcționa, trebuie doar să utilizați interfața web pentru a configura dispozitivele de rețea și instrumentele de securitate pentru a vă conecta la Cisco MARS, precum și pentru a configura rețelele și nodurile de rețea care trebuie monitorizate.

Cisco MARS vă permite să transferați fișiere jurnal pe un server extern pentru integrare cu infrastructura dvs. de rețea existentă. De asemenea, Cisco Security MARS vă permite să instalați un dispozitiv de control suplimentar (Global Controller), care asigură: gestionarea ierarhică a mai multor sisteme Cisco MARS, unificarea rapoartelor sisteme individuale, stabilirea de reguli și șabloane de rapoarte și actualizare pentru sisteme locale Cisco MARS.

Descrierea detaliată a caracteristicilor Cisco MARS

Corelarea dinamică a sesiunii:

• Detectarea anomaliilor, inclusiv informații NetFlow
• Corelarea evenimentelor bazată pe comportament și reguli
• Reguli generale încorporate și definite de utilizator
• Normalizarea automată a adreselor de rețea traduse

Construirea unei diagrame topologice:

• Routere, comutatoare și firewall-uri de nivel 2 și 3
• Module și dispozitive ale unui sistem de detectare a intruziunilor în rețea
• Construcție manuală sau programată
• SSH, SNMP, Telnet și comunicații specifice dispozitivului

Analiza Vulnerabilității:

• Detectarea breșelor pe bază de rețea sau de nod final
• Analiza configurației switch-urilor, routerelor, firewall-urilor și NAT
• Procesarea automată a datelor de scanare a vulnerabilităților
• Analiză fals pozitivă automată și definită de utilizator

Analiza încălcării și răspuns:

• Tabloul de bord pentru managementul evenimentelor de securitate individuală
• Combinarea datelor despre evenimente de sesiune cu contextul tuturor regulilor
• Reprezentarea grafică a căii de atac cu analiză detaliată
• Profiluri de dispozitiv de-a lungul căii de atac cu determinarea adreselor MAC ale nodurilor finale
• Reprezentare secvențială grafică și detaliată a tipului de atac
• Detalii despre încălcare, inclusiv reguli, evenimente nerezolvate, vulnerabilități comune și impact asupra rețelei și opțiuni de răspuns
• Analiza instantanee a încălcărilor și identificarea fals pozitive
• Definirea regulilor folosind suportul GUI propriile reguliși analiza cuvintelor cheie
• Evaluarea încălcărilor cu emiterea unei foi de lucru pentru utilizatori care descrie acțiuni pas cu pas
• Notificare, inclusiv e-mail, pager, syslog și SNMP

Generarea de interogări și rapoarte:

• Interfață grafică cu utilizatorul care acceptă o gamă largă de interogări standard și personalizate
• Peste 80 de rapoarte comune, inclusiv rapoarte de management, operațiuni și conformitate
• Generator de rapoarte cu o interfață vizuală care vă permite să creați un număr nelimitat de rapoarte personalizate
• Format text, grafic și raport general care acceptă exportul în fișiere HTML și CSV
• Crearea de rapoarte gata de imprimat, de grup, standard etc

Administrare:

• Interfață web HTTPS; administrare bazată pe roluri cu permisiuni specificate
• Gestionarea ierarhică a mai multor sisteme Cisco MARS folosind un controler global
• Actualizări automate, inclusiv suport pentru dispozitive, reguli și funcții noi
• Migrați permanent arhivele de date brute de încălcare în stocarea offline NFS

Suport pentru dispozitiv:

• Echipamente active în rețea: software Cisco IOS, versiunile 11.x și 12.x; Cisco Catalyst OS versiunea 6.x; Cisco NetFlow versiunile 5.0 și 7.0; Extreme Extremeware versiunea 6.x.
• Firewall-uri/VPN: Cisco Adaptive Security Appliance versiunea 7.0, Cisco PIX dispozitivul de securitate versiunile software 6.x și 7.0; Firewall Cisco IOS versiunea 12.2(T) sau mai recentă; Cisco Firewall Function Module (FWSM) versiunile 1.x, 2.1 și 2.2; software pentru Cisco VPN 3000 versiunea 4.0; firewall Checkpoint Firewall-1 NG FP-x și VPN-1 versiunile FP3, FP4 și AI; Firewall NetScreen versiunile 4.x și 5.x; Versiunile de firewall Nokia FP3, FP4 și AI.
• Sisteme IDS: Cisco IDS versiunea 3.x, 4.x și 5.0; Modulul Cisco IDS versiunea 3.x și 4.x; Cisco IOS IPS versiunea 12.2; Enterasys Dragon NIDS versiunea 6.x; Senzor de rețea ISS RealSecure versiunile 6.5 și 7.0; Snort NIDS versiunea 2.x; McAfee Intrushield NIDS versiunea 1.5 și 1.8; Sistemul NetScreen IDP versiunea 2.x; Versiunile OS 4.x și 5.x; Sistemul Symantec MANHUNT.
• Sisteme de evaluare a vulnerabilităților: eEye REM versiunea 1.x și FoundStone FoundScan versiunea 3.x.
• Sisteme de securitate endpoint: Cisco Security Agent versiunea 4.x; McAfee Entercept versiunea 2.5 și 4.x; senzor pentru nodurile terminale ISS RealSecure Host Sensor versiunile 6.5 și 7.0.
• Software antivirus: Symantec Antivirus versiunea 9.x.
• Servere de autentificare: Versiunile de server Cisco ACS 3.x și 4.x.
• Sisteme de operare noduri finale: Windows NT, 2000 și 2003 (cu și fără agenți); Versiunile de SO Solaris 8.x, 9.x și 10.x; Linux OS versiunea 7.x.
• Aplicații: Servere web (ISS, iPlanet și Apache); Oracle 9i și 10g; NetCache.
• Suport universal pentru dispozitive pentru agregarea și monitorizarea jurnalelor de sistem ale oricărei aplicații.

Caracteristici hardware suplimentare:

• Dispozitive cu destinație specială, montare rack 19"; Certificare UL.
• Sistem de operare cu protecție îmbunătățită; firewall cu un set redus de funcții.
• Două interfețe Ethernet 10/100/1000.
• DVD-ROM cu discuri de recuperare.

Sistemul de monitorizare, analiză și răspuns Cisco MARS

Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) este o platformă hardware cuprinzătoare oferind capabilități de neegalat pentru monitorizarea și controlul atent al sistemului de securitate existent. Ca element cheie al ciclului de viață de management al securității, Cisco MARS oferă personalului IT și al operațiunilor de rețea capacitatea de a detecta, gestiona și înfrânge amenințările de securitate.

	Descriere	Pretul GPL
	Aparatul CS-MARS 25
	Aparat CSMARS 25R 1RU;75 EPS; 250 GB
	Dispozitiv CSMARS 55 1RU;1500EPS;500GB,RAID 1,redundant
	Dispozitiv CSMARS 110R 2RU;4500EPS;1500GB,RAID 10,redundant
	Dispozitiv CMARS 110 2RU;7500EPS;1500GB,RAID 10,redundant
	Dispozitiv CSMARS 210 2RU;15000EPS;2000GB,RAID10,Redundant
	Dispozitiv MARS GC2 2RU;2000GB;RAID10;PS redundant
CSMARS-GC2-LIC-K9=	Actualizați licența pentru CS-MARS-GC2R la CS-MARS-GC2

Pe baza investițiilor existente în rețea și securitate, sistemul detectează și izolează elementele perturbatoare ale rețelei și oferă administratorilor recomandări pentru a le elimina complet. În plus, sistemul oferă suport pentru conformitatea cu politicile de securitate și poate fi inclus ca parte a unui sistem general de conformitate cu reglementările.

Administratorii de rețea și securitate se confruntă cu multe provocări complexe, inclusiv:

• Complexitatea informatică a sistemului de securitate și a rețelei.
• Lipsa de eficacitate în detectarea, prioritizarea și răspunsul la atacuri și eșecuri.
• Dificultate crescută, viteza de răspândire și costul eliminării consecințelor atacurilor.
• Necesitatea de a respecta reglementările de conformitate și cerințele de raportare.
• Lipsa specialiștilor în securitate și a fondurilor.

Cisco MARS rezolvă aceste probleme făcând următoarele:

• Integrarea funcțiilor inteligente în rețea pentru a îmbunătăți eficiența mecanismului de corelare a anomaliilor rețelei și a evenimentelor de securitate.
• Vizualizarea încălcărilor de securitate confirmate și automatizarea investigației acestora.
• Respinge atacurile profitând din plin de rețeaua și infrastructura de securitate existentă.
• Monitorizați punctele finale, rețeaua și operațiunile de securitate pentru a asigura conformitatea cu reglementările.
• Furnizarea unui dispozitiv scalabil, ușor de implementat și de utilizat, cu costuri totale de proprietate (TCO) minime.

Cisco MARS transformă datele brute de rețea și de securitate despre activitățile rău intenționate în informații ușor de înțeles care pot fi utilizate pentru a rezolva încălcările de securitate confirmate și pentru a asigura conformitatea cu reglementările. O suită de hardware ușor de utilizat pentru atenuarea amenințărilor le permite administratorilor să detecteze, să prioritizeze și să învingă amenințările la nivel central, folosind dispozitive de rețea și de securitate deja încorporate în infrastructură.