โปรโตคอลสำหรับ Cisco Mars สินค้า

เทคนิคการรักษาความปลอดภัยของข้อมูลได้พัฒนาจากการป้องกันขอบเขตที่เชื่อมต่อกับอินเทอร์เน็ตไปเป็นโมเดล "เชิงลึก" ซึ่งมีการกระจายมาตรการรับมือหลายอย่างในหลายระดับทั่วทั้งโครงสร้างพื้นฐาน โมเดลหลายเลเยอร์กลายเป็นสิ่งจำเป็นเนื่องจากจำนวนการโจมตีที่เพิ่มขึ้น ความซับซ้อนและความเร็วในการนำไปใช้งาน ออบเจ็กต์เครือข่ายสามารถสแกนได้หลายพันครั้งต่อวันเพื่อค้นหาช่องโหว่ การโจมตีแบบ “ผสมผสาน” หรือแบบไฮบริดสมัยใหม่ใช้เทคนิคที่ซับซ้อนหลากหลายเพื่อเข้าถึงและควบคุมโดยไม่ได้รับอนุญาตจากทั้งองค์กรภายนอกและภายใน การแพร่กระจายของเวิร์ม ไวรัส ม้าโทรจัน สปายแวร์ และซอฟต์แวร์แบบกำหนดเอง ก่อให้เกิดภัยคุกคามต่อเครือข่ายที่มีการป้องกันอย่างแน่นหนา ทำให้มีเวลาตอบสนองน้อยลง และเพิ่มค่าใช้จ่ายในการกู้คืน

นอกจากนี้ นอกเหนือจากเซิร์ฟเวอร์และอุปกรณ์เครือข่ายจำนวนมากแล้ว แต่ละองค์ประกอบของระบบความปลอดภัยยังรักษาบันทึกเหตุการณ์ของตัวเองและมีชุดเครื่องมือของตัวเองสำหรับการตรวจจับความผิดปกติและตอบสนองต่อภัยคุกคาม น่าเสียดายที่สถานการณ์นี้นำไปสู่ความจำเป็นในการประมวลผลบันทึกเหตุการณ์ที่แตกต่างกันจำนวนมากและสัญญาณอันตรายที่ผิดพลาด ส่งผลให้ผู้ปฏิบัติงานไม่สามารถตอบสนองได้อย่างมีประสิทธิภาพ

ผลิตภัณฑ์ความปลอดภัยของข้อมูลและการจัดการเหตุการณ์ช่วยให้คุณสามารถประเมินภัยคุกคามด้วยวิธีเฉพาะและจัดการตามนั้น โซลูชันเหล่านี้ช่วยให้บริการรักษาความปลอดภัยด้านไอทีรวบรวมและประมวลผลข้อมูลเหตุการณ์จากส่วนกลาง ใช้ความสัมพันธ์ ประมวลผลคิว และสร้างรายงาน.....

ภาพรวมโซลูชันระบบของ Cisco

Cisco Security MARS เป็นโซลูชันที่ใช้ฮาร์ดแวร์และมีคุณลักษณะครบถ้วน ซึ่งให้ข้อมูลเชิงลึกและการควบคุมมาตรการรักษาความปลอดภัยที่มีอยู่ของคุณ ในฐานะส่วนหนึ่งของชุดการจัดการความปลอดภัย MARS ช่วยให้คุณสามารถระบุ ตรวจสอบ และหยุดภัยคุกคามด้านความปลอดภัยได้ โซลูชันนี้ทำงานร่วมกับเครือข่ายและระบบรักษาความปลอดภัยที่คุณมีอยู่เพื่อค้นหา แยก และกำจัดองค์ประกอบที่เป็นปัญหา MARS ยังช่วยรักษาความซื่อสัตย์ นโยบายภายในประเทศความปลอดภัยและสามารถบูรณาการเป็นส่วนหนึ่งของโซลูชันการควบคุมเครือข่ายโดยรวมได้

ผู้ดูแลระบบความปลอดภัยเผชิญกับความท้าทายมากมาย เช่น:

  • ข้อมูลเครือข่ายขาเข้าและความปลอดภัยไหลเข้ามามากเกินไป
  • ปัญหาในการรับรู้การโจมตีและข้อผิดพลาดในการระบุ การจัดลำดับความสำคัญ และการตอบสนอง
  • การโจมตีที่ซับซ้อน เพิ่มค่าใช้จ่ายในการกู้คืน
  • ความจำเป็นในการรักษาการปฏิบัติตามข้อกำหนดด้านความปลอดภัย
  • ปัญหาเกี่ยวกับบุคลากร

Cisco Security MARS ช่วยให้คุณสามารถแก้ไขปัญหาเหล่านี้ได้ด้วยวิธีต่อไปนี้:

    ผสานรวมข้อมูลเครือข่ายเพื่อสร้างความสัมพันธ์ของความผิดปกติของเครือข่ายและเหตุการณ์ด้านความปลอดภัย

    ติดตามเหตุการณ์และดำเนินการสืบสวนโดยอัตโนมัติ

    ลดการโจมตีโดยใช้ประโยชน์จากความสามารถเต็มรูปแบบของเครือข่ายและโครงสร้างพื้นฐานด้านความปลอดภัยที่มีอยู่ของคุณ

    ตรวจสอบสถานะของออบเจ็กต์ เครือข่าย ขั้นตอนการรักษาความปลอดภัยเพื่อให้สอดคล้องกับเทมเพลตที่ต้องการ

    ทำหน้าที่เป็นโซลูชันที่ปรับขนาดได้ ใช้งานและดำเนินการได้ง่าย โดยมีต้นทุนการเป็นเจ้าของต่ำ

Cisco Security MARS แปลงข้อมูลดิบเป็นรูปแบบที่สะดวกสำหรับการประมวลผล โดยให้ความสามารถในการตรวจจับ ปราบปราม และสร้างรายงานสำหรับภัยคุกคามที่มีลำดับความสำคัญโดยเฉพาะโดยใช้อุปกรณ์ที่ฝังอยู่ในโครงสร้างพื้นฐานเครือข่ายอยู่แล้ว

การพัฒนาการควบคุมความปลอดภัยของข้อมูลและการป้องกันภัยคุกคาม

เพื่อแก้ไขปัญหานี้ Cisco นำเสนอกลุ่มผลิตภัณฑ์ระบบฮาร์ดแวร์ที่ปรับขนาดได้ Cisco Security MARS เป็นหนึ่งในระบบประสิทธิภาพสูงและปรับขนาดได้ ซึ่งปกป้องอุปกรณ์เครือข่ายและเพิ่มประสิทธิภาพความปลอดภัยของข้อมูลโดยการรวมข้อมูลเครือข่าย ฟังก์ชันความสัมพันธ์ของเนื้อหา "Context Correlation", "การวิเคราะห์ SureVector™" และความสามารถในการระงับภัยคุกคามโดยอัตโนมัติ แพลตฟอร์ม MARS ได้รับการบูรณาการอย่างใกล้ชิดกับคอมเพล็กซ์การจัดการความปลอดภัย - Cisco Security Manager การผสานรวมนี้ทำให้คุณสามารถผูกข้อความเหตุการณ์เข้ากับนโยบายที่กำหนดค่าไว้ใน Cisco Security Manager การตรวจสอบนโยบายช่วยให้คุณสามารถวิเคราะห์การทำงานของนโยบายความปลอดภัยบนไฟร์วอลล์ได้อย่างรวดเร็ว และตรวจจับปัญหาเครือข่ายและข้อผิดพลาดในการกำหนดค่า

คุณสมบัติและคุณประโยชน์

การประมวลผลเหตุการณ์อัจฉริยะและการจัดการประสิทธิภาพ

Cisco Security MARS ใช้ข้อมูลเครือข่ายโดยใช้ความรู้เกี่ยวกับโทโพโลยีเครือข่าย การกำหนดค่าอุปกรณ์ และโปรไฟล์การรับส่งข้อมูลเครือข่าย ความสามารถในการสำรวจเครือข่ายแบบผสานรวมของระบบจะสร้างไดอะแกรมโทโพโลยีที่มีการกำหนดค่าอุปกรณ์และนโยบายความปลอดภัยที่นำไปใช้ ช่วยให้ Cisco Security MARS สามารถสร้างแบบจำลองการไหลของข้อมูลบนเครือข่ายได้ เนื่องจาก Cisco Security MARS ไม่ประมวลผลการรับส่งข้อมูลเครือข่ายโดยตรงและใช้องค์ประกอบซอฟต์แวร์เครือข่ายน้อยที่สุด ผลกระทบต่อประสิทธิภาพเครือข่ายโดยรวมจึงยังน้อยมาก

Cisco Security MARS รวบรวมข้อมูลเหตุการณ์จากส่วนกลางจากอุปกรณ์เครือข่ายที่หลากหลาย เช่น เราเตอร์และสวิตช์ อุปกรณ์และแอปพลิเคชันความปลอดภัย เช่น ไฟร์วอลล์ อุปกรณ์ตรวจจับการบุกรุก เครื่องสแกนช่องโหว่ และแอปพลิเคชันป้องกันไวรัส ข้อมูลจากระบบปลายทาง (Windows, Solaris, Linux) แอปพลิเคชัน (ฐานข้อมูล เว็บเซิร์ฟเวอร์ และเซิร์ฟเวอร์การตรวจสอบความถูกต้อง) และสถิติการรับส่งข้อมูลเครือข่าย (Cisco NetFlow) ก็ได้รับการประมวลผลเช่นกัน

ความสัมพันธ์ทางบริบท

เมื่อรับข้อมูล รูปแบบการติดต่อแบบรวมจะถูกสร้างขึ้นด้วยโทโพโลยีเครือข่าย การกำหนดค่าอุปกรณ์ และพารามิเตอร์การแปลที่อยู่ (NAT) เหตุการณ์ที่เกี่ยวข้องจะถูกจัดกลุ่มแบบเรียลไทม์ จากนั้นกฎความสัมพันธ์ของระบบและผู้ใช้จะถูกนำมาใช้เพื่อระบุเหตุการณ์เครือข่าย Cisco Security MARS มาพร้อมกับชุดรูปแบบความสัมพันธ์ที่ครอบคลุม ซึ่งอัปเดตเป็นประจำโดย Cisco ซึ่งสามารถตรวจจับการโจมตีที่ซับซ้อนส่วนใหญ่ได้ เครื่องมือกราฟิกช่วยให้สร้างกฎสำหรับแอปพลิเคชันต่างๆ ได้อย่างง่ายดาย ความสัมพันธ์ทางบริบทช่วยลดปริมาณข้อมูลดิบที่ประมวลผลลงอย่างมาก ซึ่งช่วยให้จัดลำดับความสำคัญของการตอบสนอง และเพิ่มประสิทธิภาพของมาตรการรับมือที่ใช้

การรวมตัวที่มีประสิทธิภาพสูง

Cisco Security MARS ประมวลผลข้อความหลักหลายล้านข้อความ จำแนกเหตุการณ์อย่างมีประสิทธิภาพเพื่อลดปริมาณข้อมูลลงอย่างมาก และบีบอัดข้อมูลเพื่อการเก็บถาวร การจัดการข้อมูลปริมาณมากจำเป็นต้องมีแพลตฟอร์มแบบรวมศูนย์ที่มั่นคงและปลอดภัย อุปกรณ์ Cisco Security MARS ได้รับการปรับให้เหมาะสมเพื่อประมวลผลเหตุการณ์จำนวนมาก สูงสุด 15,000 เหตุการณ์ต่อวินาที หรือ 300,000 เหตุการณ์ Cisco NetFlow ต่อวินาที นอกจากนี้ MARS ยังรองรับการสำรองและกู้คืนการกำหนดค่าและข้อมูลผ่าน NFS และ sFTP

การแสดงภาพและการปราบปรามเหตุการณ์

MARS ช่วยให้คุณเร่งความเร็วและลดความซับซ้อนของกระบวนการตรวจจับ สืบสวน ประเมิน และแก้ไขภัยคุกคาม ความท้าทายทั่วไปสำหรับเจ้าหน้าที่รักษาความปลอดภัยด้านไอทีคือเวลาที่ใช้ในการวิเคราะห์และแก้ไขเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้น ในกรณีนี้ Cisco Security MARS เป็นเครื่องมือโต้ตอบที่ทรงพลังสำหรับการจัดการความปลอดภัยและการสร้างกฎ

สภาพแวดล้อมการทำงานแบบกราฟิกจะแสดงแผนผังโทโพโลยีที่แสดงเหตุการณ์ เวกเตอร์การโจมตี รายละเอียดเหตุการณ์ ซึ่งช่วยให้คุณสามารถระบุภัยคุกคามที่มีอยู่ได้ทันที "การวิเคราะห์ SureVector" ของ Cisco ประมวลผลกลุ่มเหตุการณ์ที่ใกล้ชิดเพื่อประเมินความเป็นจริงของภัยคุกคามและที่มาของภัยคุกคาม ไปจนถึงที่อยู่ MAC ของอุปกรณ์ปลายทาง กระบวนการนี้เป็นแบบอัตโนมัติโดยการวิเคราะห์บันทึกเหตุการณ์จากอุปกรณ์ต่างๆ เช่น ไฟร์วอลล์และอุปกรณ์ป้องกันการบุกรุก (IPS) ระบบการประเมินข้อมูลของบุคคลที่สาม และผลลัพธ์การสแกนปลายทางเพื่อป้องกันผลบวกลวง เมื่อใช้ Cisco Security MARS ทีมรักษาความปลอดภัยจะมีเครื่องมือในการทำความเข้าใจองค์ประกอบของการโจมตีที่ซับซ้อนได้อย่างรวดเร็ว และระบุระบบที่ได้รับผลกระทบ คุณสมบัติ "การบรรเทาผลกระทบอัตโนมัติ" ของ Cisco ค้นหาอุปกรณ์ควบคุมที่พร้อมใช้งานตามเส้นทางการโจมตี และให้คำสั่งที่เหมาะสมโดยอัตโนมัติ ซึ่งผู้ปฏิบัติงานสามารถนำไปใช้อย่างรวดเร็วเพื่อกำจัดภัยคุกคาม

การวิเคราะห์การปฏิบัติงานและการตรวจสอบการปฏิบัติตามข้อกำหนด

Cisco Security MARS มอบเฟรมเวิร์กที่ใช้งานง่ายซึ่งช่วยให้การดำเนินการรักษาความปลอดภัยที่กำลังดำเนินอยู่ การตรวจสอบอัตโนมัติ การยกระดับ การแจ้งเตือน เอกสารประกอบกิจกรรมที่กำลังดำเนินอยู่ และการตรวจสอบเฉพาะกิจเป็นแบบอัตโนมัติ Cisco Security MARS แสดงการโจมตีแบบกราฟิกและดึงข้อมูลประวัติเพื่อวิเคราะห์เหตุการณ์ก่อนหน้า ระบบรองรับการสืบค้นโดยพลการอย่างเต็มที่เพื่อรับข้อมูลอย่างรวดเร็ว

Cisco Security MARS มีเทมเพลตคำขอในตัวมากมายและเข้ากันได้กับโปรโตคอล PCI-DSS, GLBA, HIPAA, FISMA, Basel II เครื่องมือสร้างรายงานช่วยให้คุณสามารถแก้ไขรายงานมาตรฐานมากกว่า 100 ฉบับหรือสร้างรายงานใหม่ที่มีความสามารถไม่จำกัดสำหรับการวางแผนการตอบสนองและขั้นตอนการกู้คืน ติดตามเหตุการณ์และกิจกรรมเครือข่าย ติดตามการปฏิบัติตามนโยบายความปลอดภัย และดำเนินการตรวจสอบ รองรับการส่งรายงานด้วย

ความเร็วและความสะดวกในการใช้งาน

เมื่อใช้งาน Cisco Security MARS จำเป็นต้องตรวจสอบให้แน่ใจว่าสามารถส่งและรับข้อความ “syslog”, ข้อความ SNMP (กับดัก SNMP) ได้ และยังจำเป็นต้องสื่อสารกับอุปกรณ์เครือข่ายที่ติดตั้งโดยใช้โปรโตคอลที่ยอมรับโดยทั่วไปหรือเป็นกรรมสิทธิ์ ไม่จำเป็นต้องมีฮาร์ดแวร์เพิ่มเติมหรือการดัดแปลงซอฟต์แวร์ที่ใช้ ด้วยวิธีนี้ การส่งต่อข้อความไปยัง Cisco Security MARS จะได้รับการกำหนดค่า และออบเจ็กต์การตรวจสอบจะถูกเพิ่มผ่าน “GUI บนเว็บ” MARS สามารถส่งสถิติไปยังเซิร์ฟเวอร์ภายนอกเพื่อรวมเข้ากับโครงสร้างพื้นฐานปัจจุบัน

หนึ่งในผู้ผลิตผลิตภัณฑ์ชั้นนำ ความปลอดภัยของข้อมูลเป็นบริษัทของซิสโก้ บทความนี้มีวัตถุประสงค์เพื่อแสดงตัวอย่างการใช้ผลิตภัณฑ์ Cisco Security Agent, Cisco NAC Appliance และผลิตภัณฑ์ Cisco MARS เพื่อรับรองความปลอดภัยของข้อมูลภายในของบริษัท ผลิตภัณฑ์เหล่านี้ผสานรวมเข้าด้วยกันและช่วยให้คุณสร้างระบบที่จัดการได้ง่ายและเชื่อถือได้

แผนกรักษาความปลอดภัยข้อมูลของบริษัทยุคใหม่กำลังเผชิญหน้าอยู่อย่างแน่นอน งานต่างๆ– รวมถึงการสนับสนุนช่องทางการสื่อสารที่ปลอดภัยของบริษัท การสนับสนุนระบบย่อยการควบคุมการเข้าถึงของผู้ใช้ ให้การป้องกันไวรัส ต่อสู้กับสแปม การควบคุมการรั่วไหลของข้อมูล ตลอดจนการตรวจสอบเหตุการณ์ความปลอดภัยของข้อมูลที่เกิดขึ้นบนเครือข่าย และงานอื่น ๆ ที่สำคัญเท่าเทียมกัน

ปัจจุบันมีการพัฒนาจำนวนมากในตลาดผลิตภัณฑ์รักษาความปลอดภัยข้อมูลซึ่งไม่ทางใดก็ทางหนึ่งทำให้สามารถแก้ไขปัญหาที่ได้รับมอบหมายได้ ในความเห็นของเรา วิธีที่ถูกต้องที่สุดคือการสร้างระบบรักษาความปลอดภัยแบบครบวงจรที่สามารถปรับให้เข้ากับกระบวนการเฉพาะที่เกิดขึ้นในบริษัทได้อย่างยืดหยุ่นมากที่สุด

การแนะนำ

ระบบรักษาความปลอดภัยข้อมูลใดๆ ก็ตามถูกสร้างขึ้นตามรูปแบบภัยคุกคามที่คาดหวัง เมื่อเริ่มวางแผนระบบรักษาความปลอดภัยจำเป็นต้องพิจารณาภัยคุกคาม 2 ประเภท ได้แก่ ภายนอกและภายใน

ภัยคุกคามภายนอกสามารถคาดเดาได้ง่าย เนื่องจากบริษัทมีข้อมูลที่ครบถ้วนว่ามีบริการใดบ้างจากภายนอก อะไรบ้าง ซอฟต์แวร์และทรัพยากรฮาร์ดแวร์ให้การเชื่อมต่อระหว่างบริการนี้กับอินเทอร์เน็ต

การต่อสู้กับภัยคุกคามภายในนั้นยากกว่ามาก เนื่องจากผู้ใช้ที่ทำงานในบริษัทมีระดับการเข้าถึงและการสร้างที่แตกต่างกัน ความสัมพันธ์ที่แตกต่างกันภายในบริษัท

เพื่อให้มั่นใจถึงการป้องกัน จำเป็นต้องใช้แนวทางที่ครอบคลุม และไม่จำกัดเฉพาะวิธีการทางเทคนิคเท่านั้น การทำงานที่มีความสามารถของบริการรักษาความปลอดภัยข้อมูลตลอดจนนโยบายการบริหารที่คิดไว้อย่างชัดเจนของ บริษัท จะช่วยให้บรรลุผลสูงสุด

นโยบายการบริหารถูกสร้างขึ้นบนพื้นฐานของนโยบายความปลอดภัยของข้อมูล องค์กรจะต้องพัฒนากฎระเบียบเกี่ยวกับการปกป้องข้อมูลที่เป็นความลับและคำแนะนำที่เกี่ยวข้อง เอกสารเหล่านี้ควรกำหนดกฎและเกณฑ์ในการจัดหมวดหมู่ทรัพยากรข้อมูลตามระดับการรักษาความลับ กฎการติดฉลาก และกฎสำหรับการจัดการข้อมูลที่เป็นความลับ ต้องกำหนดกฎเกณฑ์ในการให้การเข้าถึงทรัพยากรสารสนเทศ และต้องปฏิบัติตามขั้นตอนและกลไกการควบคุมที่เหมาะสม รวมถึงการอนุญาตและการตรวจสอบการเข้าถึง

มาตรการบริหารจัดการเหล่านี้ทำให้สามารถต่อสู้กับภัยคุกคามประเภทต่างๆ ได้สำเร็จ - ภัยคุกคามจากการเปิดเผยข้อมูลที่เป็นความลับโดยไม่ได้ตั้งใจ แต่การต่อสู้กับผู้บุกรุกนั้นไม่เพียงพออย่างชัดเจน - จำเป็นต้องใช้ซอฟต์แวร์และฮาร์ดแวร์พิเศษ

สิ้นสุดการรักษาความปลอดภัยโฮสต์ – Cisco Security Agent

โซลูชัน Cisco Security Agent (CSA) เป็นระบบรักษาความปลอดภัยโฮสต์ปลายทางที่เมื่อใช้ร่วมกับระบบอื่นๆ ช่วยให้คุณสามารถแก้ไขปัญหาที่ซับซ้อนและกว้างขึ้นได้

CSA ให้การป้องกันสำหรับระบบเซิร์ฟเวอร์และคอมพิวเตอร์เดสก์ท็อป Cisco Security Agent เป็นมากกว่าโซลูชันการรักษาความปลอดภัยปลายทางทั่วไปโดยการรวมการป้องกันขั้นสูงต่อการโจมตีแบบกำหนดเป้าหมาย สปายแวร์ ซอฟต์แวร์ควบคุมระยะไกล การป้องกันไวรัส ข้อมูลรั่วไหล และการละเมิดความปลอดภัยประเภทอื่น ๆ ไว้ในเครื่องมือซอฟต์แวร์เครื่องเดียว

Cisco Security Agent เป็นระบบที่ใช้แอปพลิเคชันตัวแทนเพื่อบังคับใช้นโยบายความปลอดภัยของข้อมูลที่กำหนดค่าบนเซิร์ฟเวอร์กลาง

CSA ผสมผสานการป้องกันการโจมตีแบบซีโรเดย์, โปรแกรมป้องกันไวรัส ClamAV, ไฟร์วอลล์, โมดูลการป้องกันไฟล์และแอปพลิเคชัน, โมดูลแอปพลิเคชันที่ไม่น่าเชื่อถือ และฟังก์ชันอื่น ๆ

Cisco Security Agent จัดให้ ทั้งซีรีย์โอกาสอันมีค่า ได้แก่

  • การตรวจสอบการปฏิบัติตามสถานะของออบเจ็กต์เครือข่ายตามข้อกำหนดนโยบายความปลอดภัย
  • การป้องกันเชิงป้องกันจากการโจมตีแบบกำหนดเป้าหมาย
  • ควบคุม USB, CD-ROM, PCMCIA ฯลฯ
  • การสร้างสภาพแวดล้อมซอฟต์แวร์แบบปิด
  • ความสามารถในการตรวจจับและแยกมัลแวร์สำหรับการควบคุมระยะไกลแอบแฝง
  • ฟังก์ชั่นขั้นสูงสำหรับการป้องกันการบุกรุกบนโหนดเครือข่าย ไฟร์วอลล์ส่วนบุคคล และการป้องกันการโจมตีใหม่ทั้งหมด
  • การควบคุมการรั่วไหลของข้อมูล
  • การควบคุมและการป้องกันการดาวน์โหลดจากสื่อที่ไม่ได้รับอนุญาต
  • การเพิ่มประสิทธิภาพการใช้แบนด์วิธ Wi-Fi
  • รับรองความพร้อมใช้งานของแอปพลิเคชันไคลเอนต์-เซิร์ฟเวอร์ที่สำคัญและความสามารถในการดำเนินธุรกรรม
  • การติดแท็กการรับส่งข้อมูลเครือข่าย
  • บูรณาการกับระบบป้องกันการบุกรุก (Cisco IPS)
  • บูรณาการกับระบบควบคุมการเข้าถึงเครือข่าย (Cisco NAC)
  • บูรณาการกับระบบการจัดการความปลอดภัย (Cisco MARS)

สถาปัตยกรรมของระบบ Cisco Security Agent แสดงในรูปที่ 1 เอเจนต์โต้ตอบกับเซิร์ฟเวอร์การจัดการและรับนโยบายและการอัปเดตซอฟต์แวร์จากเซิร์ฟเวอร์ดังกล่าว

รูปที่ 1: สถาปัตยกรรมระบบ CSA

โฮสต์ปลายทางจะถูกจัดกลุ่มเป็นกลุ่มที่ใช้นโยบายความปลอดภัยของข้อมูล นโยบายคือชุดของโมดูลกฎ (ดูรูปที่ 2)

รูปที่ 2: นโยบาย โมดูล กฎเกณฑ์ในสถาปัตยกรรม CSA

Cisco Security Agent ช่วยให้คุณสามารถตรวจสอบกิจกรรมของผู้ใช้ในขณะที่เชื่อมต่อกับเครือข่ายข้อมูลและเซิร์ฟเวอร์การจัดการพร้อมใช้งาน แต่ยังสนับสนุนชุดสถานะพิเศษด้วย เช่น ความพร้อมใช้งานของศูนย์การจัดการ ซึ่งใช้นโยบายการเข้าถึงแบบพิเศษกับเครื่อง

ระบบรักษาความปลอดภัยข้อมูลที่สองคือระบบควบคุมการเข้าถึงเครือข่ายข้อมูล

การควบคุมการเข้าถึงเครือข่าย – การควบคุมการรับเข้าเครือข่ายของ Cisco (NAC)

Cisco NAC Appliance (เดิมชื่อ Cisco Clean Access) เป็นโซลูชันที่ออกแบบมาเพื่อตรวจจับ แยก และฆ่าเชื้อโฮสต์ที่ติดไวรัส มีช่องโหว่ หรือไม่เป็นไปตามข้อกำหนดโดยอัตโนมัติ ซึ่งเข้าถึงทรัพยากรขององค์กรแบบมีสายหรือไร้สาย

เนื่องจากเป็นหนึ่งในองค์ประกอบของเทคโนโลยีการควบคุมการรับเข้าเครือข่าย Clean Access จึงถูกนำไปใช้เป็นโมดูลเครือข่ายสำหรับเราเตอร์ Cisco ISR (สำหรับเครือข่ายที่มีอุปกรณ์ควบคุมน้อยกว่า 100 เครื่อง) หรือเป็นอุปกรณ์แยกต่างหาก

คุณสมบัติหลักของโซลูชัน Cisco NAC คือ:

  • ความเป็นอิสระจากผู้ผลิตอุปกรณ์เครือข่าย (โหมดอินแบนด์)
  • บูรณาการกับ Kerberos, LDAP, RADIUS, Active Directory, S/Ident และวิธีการรับรองความถูกต้องอื่น ๆ
  • รองรับ Windows (รวมถึง Vista), MacOS, Linux, Xbox, PlayStation 2, PDA, เครื่องพิมพ์, โทรศัพท์ IP ฯลฯ
  • รองรับโปรแกรมป้องกันไวรัส CA, F-Secure, Eset, Kaspersky Lab, McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro และเครื่องมือป้องกันคอมพิวเตอร์อื่น ๆ (รวมผู้ผลิต 250 ราย)
  • การกักกันโฮสต์ที่ไม่เหมาะสมโดยการใช้ ACL หรือ VLAN
  • การสร้างรายการโหนด "สีขาว" เพื่อเร่งความเร็วในการเข้าถึงทรัพยากรเครือข่าย
  • การติดตั้งการอัปเดตที่ขาดหายไปโดยอัตโนมัติ เครื่องมือป้องกันเวอร์ชันใหม่ หรือการอัพเดตฐานข้อมูลต่อต้านไวรัสที่ล้าสมัย
  • การจัดการเว็บแบบรวมศูนย์
  • รองรับภาษารัสเซีย
  • ดำเนินการตรวจสอบอย่างโปร่งใส

สถาปัตยกรรมและการทำงานของอุปกรณ์ Cisco NAC

Cisco NAC เป็นโซลูชันซอฟต์แวร์และฮาร์ดแวร์รักษาความปลอดภัยข้อมูลภายในที่ใช้ประโยชน์จากโครงสร้างพื้นฐานเครือข่ายโดยการบังคับใช้นโยบายความปลอดภัยของข้อมูล และจำกัดการเข้าถึงเครือข่ายไปยังอุปกรณ์ที่ไม่ตรงตามข้อกำหนดของนโยบายความปลอดภัยของข้อมูล

ส่วนประกอบการทำงานหลักของโซลูชันคือ Clean Access Server (CAS) และ Clean Access Manager (CAM) CAM มีหน้าที่รับผิดชอบในการกำหนดค่านโยบายความปลอดภัย และ CAS มีหน้าที่รับผิดชอบในการดำเนินการนโยบายเหล่านั้น

สามารถติดตั้งอุปกรณ์ในการกำหนดค่าที่ทนทานต่อข้อผิดพลาดซึ่งมีการดำเนินการ Failover แบบแอ็กทีฟ/สแตนด์บาย

รูปที่ 3 แสดงสถานะของระบบที่ผู้ใช้อยู่ใน VLAN การตรวจสอบสิทธิ์ที่สร้างขึ้นเป็นพิเศษ ซึ่งผู้ใช้ได้รับอนุญาตให้เข้าถึงบริการ DHCP และอื่นๆ ตามนโยบายที่กำหนดค่าบน CAM

รูปที่ 3: ไม่มีการเข้าถึงเครือข่าย

หลังจากที่ผู้ใช้ได้รับการตรวจสอบการปฏิบัติตามนโยบายความปลอดภัยของข้อมูลแล้ว ผู้ใช้จะได้รับอนุญาตให้เข้าสู่เครือข่ายโดยการกำหนดพอร์ตสวิตช์ให้กับ VLAN เฉพาะ (รูปที่ 4)

ผู้ใช้สามารถผ่านขั้นตอนการตรวจสอบสิทธิ์โดยใช้ตัวแทนพิเศษ - Cisco Clean Access ซึ่งจะรวบรวมข้อมูลสำหรับการตรวจสอบ หรือใช้การตรวจสอบสิทธิ์ผ่านเว็บ

รูปที่ 4: ซิสโก้ NAC - อนุญาตให้เข้าถึงเครือข่าย

ตรรกะของระบบประกอบด้วยส่วนประกอบต่างๆ ได้แก่ การตรวจสอบ กฎ และข้อกำหนดที่ใช้กับบทบาทของผู้ใช้แต่ละบทบาท

ตัวอย่างเช่น คุณสามารถสร้างบทบาทต่างๆ ที่สอดคล้องกับแผนกต่างๆ ของบริษัท และสำหรับแต่ละบทบาท คุณสามารถกำหนดค่าข้อกำหนดบางอย่างได้ ซึ่งการบรรลุผลจะกลายเป็น ข้อกำหนดเบื้องต้นเพื่อเข้าถึงสภาพแวดล้อมขององค์กร

รูปที่ 5: ซิสโก้ NAC - ตรรกะการทำงานของระบบ

มีตัวเลือกการตรวจสอบที่หลากหลาย คุณสามารถตรวจสอบการมีอยู่ของแอปพลิเคชันที่ทำงานอยู่บนพีซีของคุณ การติดตั้งแพตช์ที่จำเป็นสำหรับระบบปฏิบัติการ เวอร์ชันของฐานข้อมูลต่อต้านไวรัส และการตรวจสอบอื่น ๆ

ระบบรักษาความปลอดภัยข้อมูลจำเป็นต้องมีระบบตรวจสอบเหตุการณ์ที่เกิดขึ้นบนเครือข่าย เพื่อวัตถุประสงค์เหล่านี้ มีวัตถุประสงค์เพื่อใช้ผลิตภัณฑ์ Cisco Security Monitoring, Analysis and Response System (Cisco MARS)

ระบบตรวจสอบ วิเคราะห์ และตอบสนองความปลอดภัยของ Cisco (MARS)

องค์กรสมัยใหม่ต้องเผชิญกับปัญหาที่เกี่ยวข้องกับความปลอดภัยของข้อมูลอยู่ตลอดเวลา

ความซับซ้อนของโครงสร้างพื้นฐานเครือข่ายส่งผลให้จำนวนวิธีป้องกันเพิ่มขึ้น - อุปกรณ์เหล่านี้สามารถแยกไฟร์วอลล์, เราเตอร์ที่มีฟังก์ชันซอฟต์แวร์บางอย่าง, สวิตช์, ระบบต่างๆระบบ IPS, IDS, HIPS รวมถึงระบบป้องกันไวรัสต่างๆ เมลพร็อกซีเซิร์ฟเวอร์ เว็บพรอกซี และระบบอื่นๆ ที่คล้ายคลึงกัน

การรักษาความปลอดภัยจำนวนมากก่อให้เกิดปัญหาในการจัดการ เมื่อจำนวนจุดควบคุมเพิ่มขึ้น จำนวนเหตุการณ์ที่บันทึกไว้เพิ่มขึ้น และเป็นผลให้เวลาที่ต้องใช้ในการตัดสินใจเพิ่มขึ้น (ดูรูปที่ 6)

รูปที่ 6: กระบวนการตัดสินใจเพื่อป้องกันการโจมตี

ในเรื่องนี้องค์กรต้องการระบบที่มากขึ้น ระดับสูงสามารถประเมินระดับความปลอดภัยของข้อมูลที่มีอยู่โดยการบันทึกและเชื่อมโยงเหตุการณ์ที่ได้รับในระบบ

Cisco MARS Monitoring and Response System มีฟังก์ชันเหล่านี้

คุณสมบัติหลักของ Cisco MARS

Cisco MARS เป็นโซลูชันซอฟต์แวร์และฮาร์ดแวร์ในเวอร์ชันเซิร์ฟเวอร์ ซอฟต์แวร์ระบบใช้ระบบปฏิบัติการ Linux (เคอร์เนล 2.6) ส่วนประกอบหลักของระบบคือฐานข้อมูล Oracle ซึ่งใช้ในการจัดเก็บข้อมูล

Cisco MARS มีความสามารถในการรวบรวมข้อมูลจากอุปกรณ์ต่างๆ โดยใช้โปรโตคอล Syslog, SNMP, NetFlow และยังมีความสามารถในการรับไฟล์บันทึกของระบบอีกด้วย

MARS รองรับอุปกรณ์จากผู้จำหน่ายหลายราย เช่น Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape และอื่นๆ

ตรรกะการทำงานของระบบ Cisco MARS ขึ้นอยู่กับการสืบค้นไปยังฐานข้อมูล คุณสามารถเลือกข้อมูลและปรับแต่งตามที่อยู่ IP ต้นทาง ที่อยู่ IP ปลายทาง พอร์ต ประเภทเหตุการณ์ อุปกรณ์ คำสำคัญ และอื่นๆ

ตามคำขอ กฎบางอย่างจะยึดตามซึ่งถูกจัดกลุ่มไว้ในระบบ ฐานข้อมูล Cisco MARS มีกฎมากกว่า 2,000 รายการ คุณสามารถสร้างกฎของคุณเองได้ จึงมีความยืดหยุ่นในการปรับระบบให้เข้ากับภัยคุกคามที่รับรู้บางประเภทได้

หลังจากบันทึกกฎและตรวจพบข้อมูลที่เป็นไปตามกฎนี้แล้ว เหตุการณ์จะถูกสร้างขึ้น

เมื่อพิจารณาถึงการทำงานของ Cisco MARS เราสามารถเสนอตัวอย่างเฉพาะของการโจมตีโฮสต์ได้ (ดูรูปที่ 7)

รูปที่ 7: ทำการโจมตีโฮสต์

ขาตั้งประกอบด้วย Cisco MARS สวิตช์หลายตัว และแล็ปท็อปที่ติดตั้งผลิตภัณฑ์ Cisco Security Agent เพื่อจำลองการโจมตี บริการโฮสต์จะถูกสแกนโดยใช้ยูทิลิตี้ NMAP

เหตุการณ์มีลักษณะดังนี้:

  • Cisco Security Agent ตรวจพบการสแกนพอร์ต
  • ข้อมูลเกี่ยวกับเรื่องนี้ไปถึงศูนย์การจัดการของระบบ Cisco Security Agent ซึ่งจะส่งข้อความถึง MARS
  • ดาวอังคารผลิต การแยกวิเคราะห์และปรับมาตรฐานข้อความที่ได้รับให้อยู่ในรูปแบบเดียวที่จัดทำโดยฐานข้อมูล MARS
  • MARS สร้างความสัมพันธ์ของเซสชัน
  • เหตุการณ์นี้ได้รับการตรวจสอบโดยใช้กฎที่กำหนดค่าบน MARS เพื่อบันทึกเหตุการณ์ด้านความปลอดภัยของข้อมูล
  • ตรวจสอบผลบวกลวง;
  • มีการสร้างเหตุการณ์และส่งข้อมูลไปยังผู้ดูแลระบบ

บน หน้าแรก Cisco MARS รายงานว่าเหตุการณ์ด้านความปลอดภัยเกิดขึ้นจากเครือข่าย (ดูรูปที่ 8) และแสดงเส้นทางของการโจมตี (ดูรูปที่ 9)

รูปที่ 8: การแสดงข้อมูลการโจมตีในแดชบอร์ดของ Cisco ดาวอังคาร

รูปที่ 9: เส้นทางการโจมตีใน Cisco Panel ดาวอังคาร

เมื่อคลิกที่ปุ่ม “สลับโทโพโลยี” คุณจะเห็นโทโพโลยีเครือข่ายจริง และดูเส้นทางการแพร่กระจายของการโจมตี (ดูรูปที่ 10)

รูปที่ 10: โทโพโลยีเครือข่ายของเส้นทางการแพร่กระจายการโจมตีในแดชบอร์ดของ Cisco ดาวอังคาร

เพื่อตอบสนองต่อเหตุการณ์ Cisco MARS เสนอตัวเลือกมากมายเพื่อป้องกันการโจมตีโดยใช้อุปกรณ์เครือข่าย (ดูรูปที่ 11):

รูปที่ 11: การตอบสนองเพื่อป้องกันการโจมตี

Cisco MARS ยังมีระบบการรายงานที่ยืดหยุ่น ซึ่งช่วยให้คุณรับข้อมูลโดยละเอียดเกี่ยวกับเหตุการณ์ที่ลงทะเบียนทั้งหมด ซึ่งช่วยให้สามารถนำหลักการปรับปรุงการป้องกันมาใช้ได้ (ดูรูปที่ 12)

รูปที่ 12: หลักการปรับปรุงความปลอดภัย

ตัวอย่างโซลูชันที่ครอบคลุม

ลองพิจารณาโซลูชันที่ครอบคลุมตามผลิตภัณฑ์ข้างต้นสำหรับสำนักงานกลางของบริษัท K

บริษัท K มีพนักงาน 100 คนใน 3 แผนกที่สำนักงานใหญ่ ระบบ Microsoft Active Directory ใช้เพื่อควบคุมการเข้าถึงของผู้ใช้

งานต่อไปนี้จะต้องได้รับการแก้ไข:

  • ตรวจสอบการปฏิบัติตามนโยบายการรักษาความปลอดภัยของข้อมูลที่สร้างขึ้นสำหรับพนักงานแต่ละแผนก
  • มีข้อมูลล่าสุดเกี่ยวกับซอฟต์แวร์ที่ทำงานบนโฮสต์เฉพาะ
  • สามารถควบคุมการเข้าถึงระบบภายนอกสำหรับโฮสต์ที่อยู่นอกสภาพแวดล้อมขององค์กร
  • ให้การเข้าถึงเครือข่ายตามนโยบายความปลอดภัยของข้อมูลที่ระบุ
  • ตรวจสอบให้แน่ใจว่าได้ทำการตรวจสอบที่ระบุสำหรับโฮสต์ตามบัญชีผู้ใช้โดเมน
  • ให้การตรวจสอบเหตุการณ์ที่เกิดขึ้นบนเครือข่ายตลอดจนการรวบรวมข้อมูลโดยใช้โปรโตคอล NetFlow

การกำหนดค่านโยบายตัวแทนการรักษาความปลอดภัยของ Cisco

ขั้นแรก เรากำหนดสิทธิ์การเข้าถึงของแต่ละกลุ่มผู้ใช้ ตามกฎการเข้าถึงเหล่านี้ สิทธิ์การเข้าถึงโดเมนและกฎการกรองได้รับการกำหนดค่าบนอุปกรณ์เครือข่ายที่ใช้งานอยู่

คุณสามารถสร้างกฎการเข้าถึงเครือข่ายได้โดยใช้ Cisco Security Agent แต่กฎเหล่านี้ค่อนข้างเป็นส่วนตัว ตัวอย่างเช่น คุณสามารถปฏิเสธการเข้าถึงทรัพยากรเฉพาะของผู้ใช้รายใดรายหนึ่งได้ (IP, TCP/IP) ในตัวอย่างนี้ ไม่มีการสร้างกฎเครือข่ายสำหรับ CSA

ขั้นตอนแรกคือการสร้างนโยบายสำหรับกลุ่มผู้ใช้ทั้งหมดใน CSA ซึ่งทำให้ไม่สามารถปิดใช้งานแอปพลิเคชันตัวแทนได้ นโยบายนี้ใช้กับผู้ใช้ทุกคน รวมถึงผู้ดูแลระบบท้องถิ่น

จากนั้นจะมีการเปิดตัวกระบวนการเพื่อรวบรวมข้อมูลเกี่ยวกับซอฟต์แวร์ที่ติดตั้งบนคอมพิวเตอร์ - กระบวนการที่เรียกว่า Application Deployment Investigation เป็นผลให้เราได้รับรายงาน (ดูรูปที่ 13)

รูปที่ 13: รายงานแอปพลิเคชันที่ติดตั้งโดยใช้ Cisco ความปลอดภัย ตัวแทน

ในอนาคต เราสามารถจัดประเภทแอปพลิเคชันเหล่านี้ได้ เช่น แยกความแตกต่างจากแอปพลิเคชันสำนักงานจำนวนทั้งหมด ไคลเอนต์ ICQ แอปพลิเคชัน P2P แอปพลิเคชันอีเมล และอื่นๆ นอกจากนี้ เมื่อใช้ CSA ยังสามารถวิเคราะห์พฤติกรรมของแอปพลิเคชันเฉพาะเพื่อสร้างนโยบายความปลอดภัยของข้อมูลเพิ่มเติมได้

สำหรับผู้ใช้ในสำนักงานใหญ่ทั้งหมด กฎทั่วไปจะถูกสร้างขึ้นสำหรับแอปพลิเคชันที่ระบุทั้งหมด การใช้งานนั้นดำเนินการเป็นขั้นตอน - ขั้นแรกนโยบายความปลอดภัยของข้อมูลจะถูกนำไปใช้ในโหมดการตรวจสอบซึ่งช่วยให้คุณสามารถตรวจสอบเหตุการณ์ทั้งหมด แต่ไม่ส่งผลต่อการกระทำปัจจุบันของผู้ใช้ ต่อมานโยบายที่แก้ไขจะเข้าสู่โหมดการดำเนินงาน

นอกเหนือจากการจำแนกประเภทแอปพลิเคชันแบบคงที่แล้ว CSA ยังจัดให้มีการจำแนกแบบไดนามิก - วิธีการคลาสแบบไดนามิก ตัวอย่างเช่น แอปพลิเคชัน Microsoft Word สามารถจำแนกได้เป็นสองประเภทของแอปพลิเคชัน - ภายในและเครือข่าย และขึ้นอยู่กับสิ่งนี้ นโยบายความปลอดภัยที่แตกต่างกันสามารถนำไปใช้กับแอปพลิเคชันได้ (ดูรูปที่ 14)

รูปที่ 14: คลาสไดนามิกสำหรับการจำแนกแอปพลิเคชัน

สำหรับการป้องกันไวรัส CSA มีโมดูลป้องกันไวรัส ClamAV ในตัว หากคุณมีโปรแกรมป้องกันไวรัส โมดูลนี้สามารถปิดการใช้งานได้

การควบคุมการรั่วไหลของข้อมูล

เพื่อป้องกันการรั่วไหลของข้อมูลที่เป็นความลับ CSA จึงจัดให้มีโมดูลพิเศษที่เรียกว่าการป้องกันข้อมูลสูญหาย

เมื่อเปิดใช้งานโมดูลซอฟต์แวร์นี้ ตัวแทน CSA จะสแกนไฟล์เพื่อหาข้อมูลที่เป็นความลับ การจำแนกข้อมูลจะถูกตั้งค่าด้วยตนเองตามเทมเพลต – แท็กการสแกน (ดูรูปที่ 15) สามารถสแกนเงาได้ เช่นเดียวกับการสแกนเมื่อเปิด/ปิดไฟล์

รูปที่ 15: การจำแนกประเภทของข้อมูลที่เป็นความลับ

หลังจากการจำแนกประเภทเสร็จสิ้น จำเป็นต้องสร้างและใช้นโยบายความปลอดภัยของข้อมูลสำหรับแอปพลิเคชันที่ทำงานกับไฟล์เหล่านี้ จำเป็นต้องควบคุมการเข้าถึงไฟล์เหล่านี้ การพิมพ์ การถ่ายโอนไปยังสื่อภายนอก การคัดลอกไปยังคลิปบอร์ด และกิจกรรมอื่น ๆ ทั้งหมดนี้สามารถทำได้โดยใช้เทมเพลตมาตรฐานและกฎที่ติดตั้งไว้ล่วงหน้าใน Cisco Security Agent

การตั้งค่า Cisco NAC (การเข้าถึงแบบปลอดภัย)

เมื่อเริ่มกำหนดค่า Cisco NAC คุณต้องเข้าใจตรรกะการทำงานของระบบนี้สำหรับกลุ่มผู้ใช้แต่ละกลุ่มอย่างชัดเจน

ในกรณีของการดำเนินการในบริษัท K มีการวางแผนว่าผู้ใช้ทั้งหมดจะตกอยู่ใน VLAN เดียวก่อน (Vlan 110 ในรูปที่ 16) ขณะที่อยู่ใน VLAN นี้ พวกเขาจะได้รับการตรวจสอบความถูกต้องและการตรวจสอบเพื่อให้สอดคล้องกับข้อกำหนดของนโยบายความปลอดภัยของข้อมูล การเข้าถึงจาก VLAN นี้ไปยังทรัพยากรเครือข่ายขององค์กรมีจำกัด ที่ระดับที่สองของโมเดล OSI จะมีเฉพาะ Clean Access Server เท่านั้นที่พร้อมใช้งานสำหรับผู้ใช้ ในขณะเดียวกัน เมื่อใช้ DHCP ผู้ใช้จะได้รับที่อยู่ IP จาก VLAN ที่ทำงาน ซึ่งไม่จำเป็นต้องรับที่อยู่ IP อีกครั้ง

รูปที่ 16: การตรวจสอบความถูกต้อง VLAN

หากการตรวจสอบสำเร็จ ผู้ใช้จะถูกโอนไปยัง VLAN ที่ "ใช้งานได้" (Vlan 10 ในรูปที่ 17) หมายเลขของ VLAN นี้ถูกกำหนดตามหน่วยองค์กร (OU) ที่ผู้ใช้เป็นสมาชิกใน Active Directory ฟังก์ชันนี้เกิดขึ้นได้โดยใช้บทบาทของผู้ใช้ในระบบ NAC

รูปที่ 17: การถ่ายโอนผู้ใช้ไปยัง "งาน" VLAN

ผู้ใช้ Company K ทุกคนจะต้องปฏิบัติตามการอัปเดตที่สำคัญล่าสุดสำหรับระบบปฏิบัติการ Windows และให้ Cisco Security Agent ทำงาน

มาดูกันว่าคุณสามารถตรวจสอบสถานะของ Cisco Security Agent บนคอมพิวเตอร์ส่วนบุคคลของผู้ใช้ได้อย่างไร:

  • มีการสร้างเช็คใหม่ (ดูรูปที่ 18)
  • จากนั้นกฎจะถูกสร้างขึ้น (ดูรูปที่ 19)
  • มีการสร้างข้อกำหนด (ดูรูปที่ 20)
  • ท้ายที่สุดแล้ว ข้อกำหนดนี้ใช้กับบทบาทของผู้ใช้

รูปที่ 18: การสร้างการตรวจสอบสถานะ Cisco Security Agent ใหม่

รูปที่ 19: การสร้างกฎสำหรับการตรวจสอบสถานะ Cisco Security Agent ใหม่

รูปที่ 20: การสร้างข้อกำหนดสำหรับการตรวจสอบสถานภาพของ Cisco Security Agent ใหม่

จากการตั้งค่าที่เสร็จสมบูรณ์ ผู้ใช้ทั้งหมดในกลุ่ม HR จะต้องตรงตามเงื่อนไขการทำงานของ Cisco Security Agent จึงจะเข้าถึงทรัพยากรเครือข่ายได้

การใช้ Cisco NAC ช่วยให้สามารถตรวจสอบความเกี่ยวข้องของฐานข้อมูลป้องกันไวรัส สถานะของบริการบนโฮสต์ปลายทาง และสิ่งที่สำคัญอื่นๆ ได้

ตัวเลือกการกำหนดค่าแต่ละรายการเป็นรายบุคคล แต่ในขณะเดียวกัน ระบบเริ่มแรกมีข้อกำหนดมากมายที่อำนวยความสะดวกในการใช้งานอย่างรวดเร็ว

การตั้งค่า Cisco MARS

Cisco Security Agent และ Cisco NAC มีระบบที่หลากหลายสำหรับการให้ข้อมูลการรายงาน แต่เพื่อให้สามารถเชื่อมโยงเหตุการณ์ได้ รวมถึงสามารถรวบรวมข้อมูลเกี่ยวกับเหตุการณ์จากอุปกรณ์ต่าง ๆ ได้ ขอเสนอให้ใช้ระบบ Cisco MARS

การตั้งค่าพื้นฐานสำหรับระบบ Cisco MARS รวมถึงการเพิ่มอุปกรณ์ในระบบ (ไฟร์วอลล์, IPS, IDS, ระบบป้องกันไวรัส, ระบบเมล ฯลฯ) การตั้งค่าการส่งออก NetFlow ไปยังเซิร์ฟเวอร์ MARS และการตั้งค่าผู้ใช้

MARS มีกฎที่กำหนดไว้ล่วงหน้าจำนวนมากอยู่แล้ว (ดูรูปที่ 21) ซึ่งช่วยให้คุณนำระบบไปใช้งานได้อย่างรวดเร็วและรับข้อมูลล่าสุดเกี่ยวกับสถานะความปลอดภัยของข้อมูล

รูปที่ 21: กฎที่กำหนดไว้ล่วงหน้ากับ Cisco ดาวอังคาร

เพื่อการปรับแต่งที่ลึกยิ่งขึ้น คุณต้องสร้างกฎของคุณเองตามโมเดลภัยคุกคามที่คาดการณ์ไว้ซึ่งจะวิเคราะห์ข้อมูลที่เข้ามา

หากมีเงื่อนไขที่จำเป็นทั้งหมดที่ระบุไว้ในกฎ เหตุการณ์จะถูกสร้างขึ้น ซึ่งสามารถเห็นได้บนแผงหลักของระบบ นอกจากนี้ยังสามารถส่งการแจ้งเตือนไปยังอีเมลของบุคลากรที่ให้บริการ Cisco MARS ได้อีกด้วย

ด้วยวิธีนี้ Cisco MARS แปลงข้อมูลดิบเกี่ยวกับกิจกรรมที่เป็นอันตรายที่ได้รับจากเครือข่ายและระบบความปลอดภัยให้เป็นข้อมูลที่เข้าใจได้ซึ่งสามารถใช้เพื่อแก้ไขการละเมิดความปลอดภัยโดยใช้อุปกรณ์ที่มีอยู่ในเครือข่ายอยู่แล้ว

บทสรุป

ระบบที่ซับซ้อนถือว่าช่วยแก้ปัญหาได้หลากหลาย ช่วยให้ผู้ดูแลระบบสามารถระบุและกำจัดการละเมิดนโยบายความปลอดภัยของบริษัทได้โดยเร็วที่สุด

สินค้าที่ใช้ในบทความนี้ได้แก่ ระบบอินทิกรัลและสามารถทำงานแยกจากกันได้ แต่ในการรวมระบบเหล่านี้เข้าด้วยกันนั้นเป็นกลยุทธ์ของเครือข่ายป้องกันตัวเองที่สามารถทนต่อภัยคุกคามความปลอดภัยล่าสุด (ซีโร่เดย์)

ซาบิยาคิน อิกอร์
วิศวกรชั้นนำของ NTS LLC (NTS Ltd.)

หากคุณสนใจที่จะใช้ผลิตภัณฑ์รักษาความปลอดภัยข้อมูลจาก Cisco Systems คุณสามารถติดต่อตัวแทน NTS ได้

Cisco Security Monitoring, Analysis and Response System MARS (Cisco Security Monitoring, Analysis and Response System) เป็นอุปกรณ์ฮาร์ดแวร์ที่ให้การตรวจสอบและควบคุมโดยละเอียดความสามารถของระบบรักษาความปลอดภัยที่มีอยู่ การตรวจจับ จัดการ และขับไล่ภัยคุกคามด้านความปลอดภัย

ผู้ดูแลระบบเครือข่ายและการรักษาความปลอดภัยอาจพบปัญหาต่อไปนี้:

  • ข้อมูลจำนวนมากเกี่ยวกับสถานะของเครือข่ายและความปลอดภัยของระบบ
  • เครื่องมือตรวจจับมีประสิทธิผลไม่เพียงพอ กำหนดความสำคัญของการโจมตีและความล้มเหลว และพัฒนาการดำเนินการตอบสนอง
  • การโจมตีที่มีความเร็วและความซับซ้อนสูงและมีค่าใช้จ่ายสูงในการกู้คืนหลังการโจมตี
  • ความจำเป็นในการสร้างรายงานเพื่อผ่านการตรวจสอบและการตรวจสอบการปฏิบัติตามข้อกำหนด

คุณสมบัติ Cisco MARS

การรวบรวมและการประมวลผลข้อมูล

Cisco Security MARS รวบรวมและรวมข้อมูลทั้งหมดเกี่ยวกับโทโพโลยีเครือข่าย การกำหนดค่าอุปกรณ์เครือข่าย และกฎความปลอดภัย การรับข้อมูลจากอุปกรณ์เครือข่ายและระบบรักษาความปลอดภัย ตลอดจนโดยการวิเคราะห์การรับส่งข้อมูลเครือข่าย ในขณะเดียวกัน การใช้ตัวแทนก็น้อยมาก ซึ่งไม่ได้ลดประสิทธิภาพของเครือข่ายและระบบโดยรวม

Cisco Security MARS รวบรวมไฟล์บันทึกจากเราเตอร์ สวิตช์ ไฟร์วอลล์ ระบบตรวจจับการบุกรุก เครื่องสแกนช่องโหว่ แอปพลิเคชันป้องกันไวรัส เซิร์ฟเวอร์ที่ใช้ Windows, Solaris, ระบบปฏิบัติการ Linux, โปรแกรมแอปพลิเคชัน (เช่น เว็บเซิร์ฟเวอร์ เซิร์ฟเวอร์การตรวจสอบความถูกต้อง) DBMS เช่น รวมถึงโปรแกรมประมวลผลการรับส่งข้อมูล (เช่น Cisco NetFlow)

การตรวจจับความสัมพันธ์ของเหตุการณ์

ข้อมูลที่รวบรวมจะถูกจัดระเบียบขึ้นอยู่กับโทโพโลยีเครือข่าย การกำหนดค่าอุปกรณ์ ที่อยู่ต้นทางและปลายทาง จากข้อมูลที่ได้รับ กิจกรรมที่เกี่ยวข้องจะถูกจัดกลุ่มเป็นเซสชันแบบเรียลไทม์ ตามกฎของระบบและกฎที่ผู้ดูแลระบบกำหนด Cisco MARS จะวิเคราะห์เซสชันเพื่อระบุเหตุการณ์ ความล้มเหลว และการโจมตี

Cisco MARS มาพร้อมกับกฎระบบชุดใหญ่ ซึ่งได้รับการอัปเดตเป็นประจำ และรวมถึงการตรวจหาการโจมตีแบบผสมผสาน การโจมตีแบบซีโร่เดย์ เวิร์มเครือข่าย ฯลฯ ผู้ดูแลระบบสามารถสร้างกฎสำหรับแอปพลิเคชันใดๆ ที่ใช้อินเทอร์เฟซแบบกราฟิกได้

การระบุข้อมูลโครงสร้างความสัมพันธ์ของเหตุการณ์เกี่ยวกับความปลอดภัยของเครือข่ายและระบบ ซึ่งจะช่วยลดปริมาณข้อมูลที่จำเป็นสำหรับการตัดสินใจ และช่วยกำหนดลำดับความสำคัญในการดำเนินการเพื่อตอบสนองต่อการโจมตี และเป็นผลให้เพิ่มประสิทธิภาพของมาตรการที่ใช้

การรวบรวมและการสะสมข้อมูลจำนวนมาก

Cisco MARS รับข้อมูลเกี่ยวกับเหตุการณ์ต่างๆ บนเครือข่าย จากนั้นจัดโครงสร้างข้อมูล และบีบอัดข้อมูลเพื่อการเก็บถาวร การประมวลผลข้อมูลจำนวนมหาศาลเป็นไปได้ด้วยการใช้อัลกอริธึมที่มีประสิทธิภาพและฐานข้อมูลประสิทธิภาพสูงในตัว การกำหนดค่าที่ผู้ดูแลระบบโปร่งใสโดยสิ้นเชิง

สำหรับการถ่ายโอนข้อมูลไปยังอุปกรณ์เก็บข้อมูลสำรอง รวมถึงความสามารถในการกู้คืนการกำหนดค่าหลังจากเกิดความล้มเหลว Cisco MARS รองรับระบบไฟล์เครือข่าย NFS และโปรโตคอล FTP ที่ปลอดภัย

การแสดงภาพเหตุการณ์และการต่อต้านการโจมตี

Cisco Security MARS สามารถช่วยให้ผู้ดูแลระบบระบุการโจมตีและความล้มเหลว ยืนยันเหตุการณ์ และใช้มาตรการลดการโจมตีได้รวดเร็วและง่ายดายยิ่งขึ้น

Cisco MARS มอบประสิทธิภาพอันทรงพลัง เครื่องมือกราฟิกซึ่งคุณสามารถสร้างแผนที่เครือข่าย (รวมถึงโหนดที่ถูกโจมตี เส้นทางการโจมตี) แสดงข้อมูลที่ครบถ้วนเกี่ยวกับการโจมตีและเหตุการณ์ต่างๆ สิ่งนี้ช่วยให้คุณสามารถดำเนินการเพื่อขับไล่การโจมตีได้อย่างรวดเร็ว

MARS วิเคราะห์เซสชันเหตุการณ์เพื่อตรวจจับและยืนยันการโจมตี และรวบรวมข้อมูลเกี่ยวกับการโจมตีเหล่านั้น (จนถึงที่อยู่ MAC ของโหนดปลายทาง) กระบวนการอัตโนมัตินี้เสริมด้วยการวิเคราะห์ไฟล์บันทึกความปลอดภัย (ไฟร์วอลล์ ระบบตรวจจับการบุกรุก ฯลฯ) และการตรวจสอบ MARS ของ Cisco เองเพื่อหาผลบวกลวง

นอกเหนือจากข้อเท็จจริงที่ว่า Cisco MARS ช่วยให้คุณได้รับข้อมูลที่ครบถ้วนเกี่ยวกับการโจมตีแล้ว ระบบจะระบุโฮสต์ที่เสี่ยงต่อการถูกโจมตีโดยอัตโนมัติ และสร้างคำสั่งที่ผู้ใช้สามารถดำเนินการเพื่อขับไล่การโจมตีได้

การรวบรวมข้อมูลแบบเรียลไทม์และการรายงานการปฏิบัติตามข้อกำหนด

สิ่งที่ทำให้ Cisco Security MARS แตกต่างออกไปคือเครื่องมือที่ใช้งานง่ายสำหรับจัดโครงสร้างข้อมูลและระบบรักษาความปลอดภัยเครือข่ายที่มีให้ การตรวจจับอัตโนมัติสถานะของระบบ เหตุการณ์ และการตอบสนอง ทั้งในการปฏิบัติการประจำวันและสำหรับการตรวจสอบและการตรวจสอบ

Cisco MARS มอบความสามารถในการแสดงการโจมตีแบบกราฟิกทั้งแบบเรียลไทม์ และสร้างรูปแบบการโจมตีและเหตุการณ์ขึ้นใหม่เมื่อวิเคราะห์เหตุการณ์ในอดีต

Cisco Security MARS มอบความสามารถในการรายงานเพื่อวัตถุประสงค์ที่หลากหลาย: เพื่อพัฒนาแผนการกู้คืนความเสียหาย เพื่อวิเคราะห์เหตุการณ์และกิจกรรมเครือข่าย เพื่อตรวจสอบสถานะความปลอดภัยในปัจจุบัน และสามารถสร้างรายงานในรูปแบบของข้อความ ตาราง กราฟ และแผนภูมิ นอกจากนี้ยังมีโอกาสในการสร้างรายงานเกี่ยวกับการปฏิบัติตามมาตรฐานต่างประเทศมากมาย (PCI DSS, Sarbanes - Oxley, HIPAA เป็นต้น)

การใช้งานที่รวดเร็วและการจัดการที่ยืดหยุ่น

Cisco Security MARS ต้องการการเชื่อมต่อเครือข่ายที่มีความสามารถในการส่งและรับไฟล์บันทึก ข้อความ SNMP และสร้างเซสชันกับอุปกรณ์เครือข่ายและอุปกรณ์รักษาความปลอดภัยโดยใช้โปรโตคอลความปลอดภัยมาตรฐานหรือเฉพาะของผู้จำหน่าย

การติดตั้ง Cisco MARS ไม่จำเป็นต้องใช้ฮาร์ดแวร์เพิ่มเติม การอัปเดตระบบปฏิบัติการ หรือ ใบอนุญาตเพิ่มเติมหรือทำงานเสริม ในการทำงาน คุณเพียงแค่ใช้เว็บอินเทอร์เฟซเพื่อกำหนดค่าอุปกรณ์เครือข่ายและเครื่องมือรักษาความปลอดภัยเพื่อเชื่อมต่อกับ Cisco MARS รวมถึงกำหนดค่าเครือข่ายและโหนดเครือข่ายที่ต้องได้รับการตรวจสอบ

Cisco MARS ช่วยให้คุณสามารถถ่ายโอนไฟล์บันทึกไปยังเซิร์ฟเวอร์ภายนอกเพื่อรวมเข้ากับโครงสร้างพื้นฐานเครือข่ายที่มีอยู่ของคุณ นอกจากนี้ Cisco Security MARS ยังช่วยให้คุณสามารถติดตั้งอุปกรณ์ควบคุมเพิ่มเติม (Global Controller) ซึ่งให้: การจัดการแบบลำดับชั้นของระบบ Cisco MARS หลายระบบ การรวมรายงาน ระบบส่วนบุคคลการตั้งกฎและเทมเพลตรายงานและการอัปเดตสำหรับ ระบบท้องถิ่นซิสโก้ มาร์ส

คำอธิบายโดยละเอียดเกี่ยวกับคุณสมบัติของ Cisco MARS

ความสัมพันธ์ของเซสชันแบบไดนามิก:

  • การตรวจจับความผิดปกติรวมถึงข้อมูล NetFlow
  • ความสัมพันธ์ของเหตุการณ์ตามพฤติกรรมและกฎเกณฑ์
  • กฎทั่วไปในตัวและที่ผู้ใช้กำหนด
  • การทำให้ที่อยู่เครือข่ายที่แปลเป็นมาตรฐานอัตโนมัติ

การสร้างแผนภาพทอพอโลยี:

  • เราเตอร์ สวิตช์ และไฟร์วอลล์เลเยอร์ 2 และ 3
  • โมดูลและอุปกรณ์ของระบบตรวจจับการบุกรุกเครือข่าย
  • การก่อสร้างด้วยตนเองหรือตามกำหนดเวลา
  • SSH, SNMP, Telnet และการสื่อสารเฉพาะอุปกรณ์

การวิเคราะห์ช่องโหว่:

  • การตรวจจับการละเมิดบนเครือข่ายหรือโหนดปลายทาง
  • การวิเคราะห์การกำหนดค่าสวิตช์ เราเตอร์ ไฟร์วอลล์ และ NAT
  • การประมวลผลข้อมูลการสแกนช่องโหว่โดยอัตโนมัติ
  • การวิเคราะห์ผลบวกลวงอัตโนมัติและที่ผู้ใช้กำหนด

การวิเคราะห์และการตอบสนองต่อการละเมิด:

  • แดชบอร์ดการจัดการเหตุการณ์ความปลอดภัยส่วนบุคคล
  • การรวมข้อมูลเหตุการณ์เซสชันเข้ากับบริบทของกฎทั้งหมด
  • การแสดงเส้นทางการโจมตีด้วยกราฟิก การวิเคราะห์โดยละเอียด
  • โปรไฟล์อุปกรณ์ตามเส้นทางการโจมตีพร้อมการระบุที่อยู่ MAC ของโหนดปลายทาง
  • การแสดงประเภทการโจมตีตามลำดับแบบกราฟิกและรายละเอียด
  • รายละเอียดการละเมิด รวมถึงกฎ เหตุการณ์ที่ไม่สามารถจัดการได้ ช่องโหว่ทั่วไปและผลกระทบต่อเครือข่าย และตัวเลือกการตอบสนอง
  • การวิเคราะห์การละเมิดและการระบุผลบวกลวงทันที
  • การกำหนดกฎโดยใช้การสนับสนุน GUI กฎของตัวเองและการวิเคราะห์คำหลัก
  • การประเมินการละเมิดด้วยการออกแผ่นงานสำหรับผู้ใช้ที่อธิบายการดำเนินการทีละขั้นตอน
  • การแจ้งเตือนรวมถึงอีเมล เพจเจอร์ syslog และ SNMP

การสร้างแบบสอบถามและรายงาน:

  • ส่วนต่อประสานกราฟิกกับผู้ใช้รองรับการสืบค้นแบบมาตรฐานและแบบกำหนดเองที่หลากหลาย
  • รายงานทั่วไปมากกว่า 80 รายงาน รวมถึงรายงานการจัดการ การดำเนินงาน และการปฏิบัติตามกฎระเบียบ
  • เครื่องมือสร้างรายงานพร้อมอินเทอร์เฟซแบบภาพที่ช่วยให้คุณสามารถสร้างรายงานที่กำหนดเองได้ไม่จำกัดจำนวน
  • รูปแบบข้อความ กราฟิก และรายงานทั่วไปที่รองรับการส่งออกเป็นไฟล์ HTML และ CSV
  • การสร้างรายงานพร้อมพิมพ์ กลุ่ม มาตรฐาน ฯลฯ

การบริหาร:

  • เว็บอินเตอร์เฟส HTTPS; การบริหารงานตามบทบาทพร้อมสิทธิ์ที่ระบุ
  • การจัดการแบบลำดับชั้นของระบบ Cisco MARS หลายระบบโดยใช้ตัวควบคุมส่วนกลาง
  • การอัปเดตอัตโนมัติรวมถึงการรองรับอุปกรณ์ กฎและคุณสมบัติใหม่
  • ย้ายที่เก็บข้อมูลการละเมิดข้อมูลดิบไปยังที่เก็บข้อมูล NFS ออฟไลน์อย่างถาวร

การสนับสนุนอุปกรณ์:

  • อุปกรณ์ที่ใช้งานเครือข่าย: ซอฟต์แวร์ Cisco IOS เวอร์ชัน 11.x และ 12.x; Cisco Catalyst OS เวอร์ชัน 6.x; Cisco NetFlow เวอร์ชัน 5.0 และ 7.0; Extreme Extremeware เวอร์ชัน 6.x
  • ไฟร์วอลล์/VPN: Cisco Adaptive Security Appliance เวอร์ชัน 7.0, ซอฟต์แวร์อุปกรณ์รักษาความปลอดภัย Cisco PIX เวอร์ชัน 6.x และ 7.0; ไฟร์วอลล์ Cisco IOS เวอร์ชัน 12.2(T) หรือสูงกว่า Cisco Firewall Function Module (FWSM) เวอร์ชัน 1.x, 2.1 และ 2.2; ซอฟต์แวร์สำหรับ Cisco VPN 3000 เวอร์ชัน 4.0; ไฟร์วอลล์ Checkpoint Firewall-1 NG FP-x และ VPN-1 เวอร์ชัน FP3, FP4 และ AI; ไฟร์วอลล์ NetScreen เวอร์ชัน 4.x และ 5.x; ไฟร์วอลล์ Nokia เวอร์ชัน FP3, FP4 และ AI
  • ระบบ IDS: Cisco IDS เวอร์ชัน 3.x, 4.x และ 5.0; โมดูล Cisco IDS เวอร์ชัน 3.x และ 4.x; Cisco IOS IPS เวอร์ชัน 12.2; Enterasys Dragon NIDS เวอร์ชัน 6.x; เซ็นเซอร์เครือข่าย ISS RealSecure เวอร์ชัน 6.5 และ 7.0; Snort NIDS เวอร์ชัน 2.x; McAfee Intrushield NIDS เวอร์ชัน 1.5 และ 1.8; ระบบ NetScreen IDP เวอร์ชัน 2.x; ระบบปฏิบัติการเวอร์ชัน 4.x และ 5.x; ระบบ MANHUNT ของไซแมนเทค
  • ระบบประเมินช่องโหว่: eEye REM เวอร์ชัน 1.x และ FoundStone FoundScan เวอร์ชัน 3.x
  • ระบบรักษาความปลอดภัยอุปกรณ์ปลายทาง: Cisco Security Agent เวอร์ชัน 4.x; McAfee Entercept เวอร์ชัน 2.5 และ 4.x; เซ็นเซอร์สำหรับโหนดปลาย ISS RealSecure Host Sensor เวอร์ชัน 6.5 และ 7.0
  • ซอฟต์แวร์ป้องกันไวรัส: Symantec Antivirus เวอร์ชัน 9.x
  • เซิร์ฟเวอร์การตรวจสอบสิทธิ์: เซิร์ฟเวอร์ Cisco ACS เวอร์ชัน 3.x และ 4.x
  • ระบบปฏิบัติการโหนดปลาย: Windows NT, 2000 และ 2003 (มีและไม่มีตัวแทน); Solaris OS เวอร์ชัน 8.x, 9.x และ 10.x; ระบบปฏิบัติการลินุกซ์เวอร์ชัน 7.x
  • แอพพลิเคชัน: เว็บเซิร์ฟเวอร์ (ISS, iPlanet และ Apache); ออราเคิล 9i และ 10g; เน็ตแคช
  • รองรับอุปกรณ์อเนกประสงค์สำหรับการรวบรวมและติดตามบันทึกระบบของแอปพลิเคชันใดๆ

คุณสมบัติฮาร์ดแวร์เพิ่มเติม:

  • อุปกรณ์วัตถุประสงค์พิเศษ การติดตั้งบนชั้นวาง 19 นิ้ว; การรับรองมาตรฐาน UL
  • ระบบปฏิบัติการพร้อมการป้องกันขั้นสูง ไฟร์วอลล์พร้อมชุดฟังก์ชันที่ลดลง
  • อินเทอร์เฟซอีเทอร์เน็ต 10/100/1000 จำนวน 2 อินเทอร์เฟซ
  • DVD-ROM พร้อมแผ่นดิสก์สำหรับการกู้คืน

ระบบตรวจสอบ วิเคราะห์ และตอบสนองของ Cisco MARS

Cisco MARS (ระบบตรวจสอบ วิเคราะห์ และตอบสนองความปลอดภัยของ Cisco) เป็นแพลตฟอร์มฮาร์ดแวร์ที่ครอบคลุม ให้ความสามารถที่เหนือชั้นในการตรวจสอบและควบคุมระบบรักษาความปลอดภัยที่มีอยู่อย่างระมัดระวัง ในฐานะองค์ประกอบสำคัญของวงจรการจัดการความปลอดภัย Cisco MARS ช่วยให้บุคลากรฝ่ายไอทีและเครือข่ายสามารถตรวจจับ จัดการ และเอาชนะภัยคุกคามด้านความปลอดภัยได้

คำอธิบาย

ราคาจีพีแอล

เครื่องใช้ไฟฟ้า CS-MARS 25

อุปกรณ์ CSMARS 25R 1RU; 75 กำไรต่อหุ้น; 250GB

อุปกรณ์ CSMARS 55 1RU;1500EPS;500GB,RAID 1,ซ้ำซ้อน

อุปกรณ์ CSMARS 110R 2RU;4500EPS;1500GB,RAID 10,ซ้ำซ้อน

อุปกรณ์ CSMARS 110 2RU;7500EPS;1500GB,RAID 10,ซ้ำซ้อน

อุปกรณ์ CSMARS 210 2RU;15000EPS;2000GB,RAID10,ซ้ำซ้อน

อุปกรณ์ MARS GC2 2RU;2000GB;RAID10;PS ซ้ำซ้อน

CSMARS-GC2-LIC-K9=

อัปเกรดใบอนุญาตสำหรับ CS-MARS-GC2R เป็น CS-MARS-GC2


จากการลงทุนด้านเครือข่ายและการรักษาความปลอดภัยที่มีอยู่ ระบบจะตรวจจับและแยกองค์ประกอบที่ก่อกวนของเครือข่าย และให้คำแนะนำแก่ผู้ดูแลระบบในการกำจัดองค์ประกอบเหล่านั้นโดยสิ้นเชิง นอกจากนี้ ระบบยังให้การสนับสนุนการปฏิบัติตามนโยบายความปลอดภัย และสามารถรวมเป็นส่วนหนึ่งของระบบการปฏิบัติตามกฎระเบียบโดยรวมได้

ผู้ดูแลระบบเครือข่ายและความปลอดภัยเผชิญกับความท้าทายที่ซับซ้อนมากมาย ได้แก่:

  • ความซับซ้อนของข้อมูลของระบบรักษาความปลอดภัยและเครือข่าย
  • ขาดประสิทธิภาพในการตรวจจับ จัดลำดับความสำคัญ และการตอบสนองต่อการโจมตีและความล้มเหลว
  • ความยากเพิ่มขึ้นความเร็วของการแพร่กระจาย และค่าใช้จ่ายในการกำจัดผลที่ตามมาจากการโจมตี
  • ความจำเป็นในการปฏิบัติตามกฎระเบียบการปฏิบัติตามและข้อกำหนดการรายงาน
  • ขาดผู้เชี่ยวชาญด้านความปลอดภัยและเงินทุน

Cisco MARS แก้ไขปัญหาเหล่านี้โดยดำเนินการดังต่อไปนี้:

  • การรวมฟังก์ชันอัจฉริยะเข้ากับเครือข่ายเพื่อปรับปรุงประสิทธิภาพของกลไกในการเชื่อมโยงความผิดปกติของเครือข่ายและเหตุการณ์ด้านความปลอดภัย
  • การแสดงภาพการละเมิดความปลอดภัยที่ได้รับการยืนยันและระบบอัตโนมัติของการสืบสวน
  • ขับไล่การโจมตีโดยใช้ประโยชน์จากเครือข่ายและโครงสร้างพื้นฐานความปลอดภัยที่มีอยู่ของคุณอย่างเต็มที่
  • ตรวจสอบการดำเนินงานปลายทาง เครือข่าย และการรักษาความปลอดภัยเพื่อให้มั่นใจว่าปฏิบัติตามกฎระเบียบ
  • มอบอุปกรณ์ที่ปรับขนาดได้ ใช้งานง่ายและใช้งานได้โดยมีต้นทุนรวมในการเป็นเจ้าของ (TCO) น้อยที่สุด

Cisco MARS แปลงเครือข่ายดิบและข้อมูลความปลอดภัยเกี่ยวกับกิจกรรมที่เป็นอันตรายให้เป็นข้อมูลที่เข้าใจได้ ซึ่งสามารถใช้เพื่อแก้ไขการละเมิดความปลอดภัยที่ได้รับการยืนยัน และรับประกันการปฏิบัติตามกฎระเบียบ ชุดฮาร์ดแวร์บรรเทาภัยคุกคามที่ใช้งานง่ายช่วยให้ผู้ดูแลระบบสามารถตรวจจับ จัดลำดับความสำคัญ และกำจัดภัยคุกคามจากส่วนกลางโดยใช้อุปกรณ์เครือข่ายและความปลอดภัยที่ฝังอยู่ในโครงสร้างพื้นฐานอยู่แล้ว

บทความที่เกี่ยวข้อง
พูดคุย:
รายชื่อผู้ติดต่อ เกี่ยวกับโครงการและบรรณาธิการ การโฆษณาบนเว็บไซต์ แผนที่เว็บไซต์

2024 liveps.ru การบ้านและปัญหาสำเร็จรูปในวิชาเคมีและชีววิทยา