Нове рішення Cisco з безпеки наступного покоління (NGFW + NGIPS + AMP)

Отже, сталося. Компанія Cisco анонсувала своє нове рішення — FirePOWER for ASA презентація російською мовою); результат інтеграції технологій компанії Sourcefire з «рідними» рішеннями Cisco, а точніше з багатофункціональною захисної платформою Cisco ASA 5500-X.

Треба зауважити, що це не перший спільний продукт. Ще навесні, через півроку з моменту придбання компанії Sourcefire, ми інтегрували систему виявлення і відображення шкідливого коду Advanced Malware Protection (AMP) в наші засоби контролю та захисту доступу до Інтернет Cisco Web Security (фізична, віртуальне і хмарне рішення) і засіб захисту електронної пошти Cisco Email Security (фізична, віртуальне і хмарне рішення), тим самим розширивши платформу для виявлення шкідливого коду не тільки на рівні мережі або кінцевих пристроїв, але і на прикладному рівні.



Через кілька місяців, 16 вересня, ми анонсували наступний результат інтеграції — наша захисна платформа Cisco ASA поповнилася новими функціями, що дозволяють:


І все це в доповнення до вже існуючих на Cisco ASA 5500-X:
  • традиційному міжмережевого екрану (функція stateful firewall)
  • інтеграції з Active Directory для прив'язки політик безпеки до імен користувачів, а не IP-адресами (функція Identity Firewall)
  • підсистемі межофисной VPN (функція Site-to-Site або IPSec VPN)
  • підсистемі захищеного віддаленого доступу (функція Remote Access або SSL VPN)
  • підсистемі кластеризації та високої доступності.




Відмітні особливості



Ми вже писали і про NGFWі NGIPSі AMP, є основою нового рішення Cisco (опису даних рішень доступні російською мовою і на нашому сайті). Але мені хотілося б нагадати її ключові особливості.

По-перше, Cisco ASA with FirePOWER володіє вбудованою можливістю кореляції подій безпеки. Хто знайомий з рідними засобами Cisco щодо запобігання вторгнень (Cisco IPS), той пам'ятає, що у них є такий механізм як Meta Event Generator або механізм локальної кореляції, який дозволяє виявляти мультивекторные загрози, использущие для вторгнення одразу кілька способів проникнення. Кожний такий спосіб може характеризуватися подіями, які окремо не представляють інтересу і мають нижчий пріоритет. Однак у сукупності ці події можуть означати серйозну цілеспрямовану загрозу. Раніше для виявлення таких мультивекторных загроз потрібні зовнішні системи кореляції та управління подіями (SIEM), обходящиеся компаніям дуже дорого (і з точки зору ціни, так і з точки зору зусиль по впровадженню). В Cisco IPS, а потім і в Cisco ASA with FirePOWER ця можливість є вбудованою, що дозволяє виявляти і запобігати атакам до досягнення ними мети, а не після аналізу SIEM. Відмінність нового рішення в тому, що технології Sourcefire використовують більше інформації і джерел даних для кореляції.



Другий цікавою особливістю Cisco ASA with FirePOWER є пріоритезація загроз, спираючись на критичності атакованих сайтів. Іншими словами ми можемо використовувати контекст здійснення атаки для відділення важливих подій від несуттєвих, для пріоритезації зусиль фахівців з безпеки щодо відбиття загроз. У Cisco IPS був схожий механізм під назвою Risk Rating, що дозволяє оцінювати кожну загрозу з точки зору бізнесу. В Cisco ASA with FirePOWER можливість пріоритезації ще більше розширена і максимально автоматизована.



До речі, автоматизація — це ще один коник технологій Sourcefire і Cisco ASA with FirePOWER. Крім автоматизації налаштувань сигнатур і правил політики безпеки (це робиться на базі аналізу і прикладного мережевого трафіку і розпізнавання використовуються в мережі вузлів, пристроїв, протоколів, програм, операційних систем і ін), самі політики можуть динамічно адаптуватися в залежності від зміни ситуації в мережі — появи нових сервісів, вузлів, користувачів і, звичайно, ж загроз.



Продовжуючи тему кореляції, не можна не згадати про таку можливість Cisco ASA with FirePOWER як використання ознак (індикаторів) компрометації, що дозволяють оперувати не тільки подіями від одного засоби захисту (наприклад, від сенсора системи виявлення вторгнень), але подіями від різнопланових засобів захисту, розкиданих по мережі. Наприклад, сканування мережі, виявлене IPS, може бути «об'єднане» з фактом взаємодії з командним сервером ботнету, визначеним міжмережевим екраном NGFW, і виконанням шкідливого коду, ідентифікованого агентом системи відображення шкідливого коду AMP. Ці три розрізнених події можуть служити ознакою (indicator of compromise, IOC) того, що проти компанії готується атака або мережа компанії вже скомпрометована цілеспрямованої загрозою.



Нарешті, останньою за списком, але не останнім за важливістю, є функція ретроспективної безпеки, що дозволяє відстежувати факт компрометації вузлів мережі, яка могла відбутися за рахунок обходу засобів периметровой захисту, несанкціонованої установки 3G/4G-модема або точки доступу, підключення зараженої флешки та інших причин. З допомогою аналізу пост-фактум ми можемо виявляти вже доконані факти потрапляння шкідливих програм всередину організації, ми можемо оперативно відстежувати і локалізувати заражені сайти, простежувати ланцюжок поширення шкідливого коду і аналізувати причини компрометації (наприклад, дефект у Acrobat Reader або Firefox).



Всі ці можливості відображають ту концепцію, яка лягла в основу рішень Cisco в галузі безпеки після інтеграції з компанією Sourcefire. Ця концепція передбачає боротьбу з погрозами на всіх етапах їх життєвого циклу:
  • До появи їх на периметрі мережі — це завдання вирішує функціональність міжмережевого екрану і фільтрації URL.
  • У процесі атаки — цю задачу вирішують підсистеми запобігання вторгнень і боротьби з шкідливим кодом.
  • Після потрапляння всередину мережі — це завдання вирішує функціональність ретроспективного аналізу, кореляції та роботи з ознаками компрометації.




Зазначена триланкова концепція «ДО -, ПІД ЧАС — ПІСЛЯ» реалізована у всіх наших рішеннях — Cisco Cyber Defense Threat, Cisco ISE, Cisco ESA/WSA, Sourcefire NGIPS/NGFW/AMP тощо Cisco ASA with FirePOWER продовжує цю традицію.

Продуктивність



Так як нова функціональність Cisco ASA with FirePOWER працює на всьому модельному ряду Cisco ASA 5500-X — від моделі Cisco ASA 5512-X до Cisco ASA 5585-X (включаючи і всі проміжні — 5515, 5525, 5545 і 5555), то закономірне запитання, а яка продуктивність даного рішення? Треба зазначити, що вона залежить від двох параметрів — самої моделі і використовуваної функціональності (NGFW, NGIPS, AMP — у різних комбінаціях). Мінімальна продуктивність — 100 Мбіт/сек (для Cisco ASA 5512-X), максимальна — 15 Гбіт/с (для Cisco ASA 5585-X). Якщо необхідна більша продуктивність, то краще орієнтуватися на виділені фізичні пристрої Sourcefire 8300, що працюють на швидкості до 60 Гбіт/с в режимі NGIPS і до 120 Гбіт/с в режимі NGFW.

Управління ASA with FirePOWER



Закономірне питання — а як управляється Cisco ASA with FirePOWER? Зараз для цього необхідно всього два рішення — ADSM (для управління одним пристроєм) або CSM (для централізованого управління декількома пристроями) і FireSIGHT Manager. ADSM/CSM дозволяють управляти функціональністю традиційного МСЕ Cisco ASA, підсистемами VPN, а також дозволяють налаштувати мережевий функціонал захисної платформи — кластеризацію, численні контексти, маршрутизацію і т.п.

FireSIGHT, вже описаний нами раніше, керує всією знову придбаної функціональністю — NGFW, NGIPS, фільтрація URL AMP. В недалекому майбутньому запланована інтеграція обох консолей в одному рішенні з управління Cisco ASA with FirePOWER.

В якості резюме



Саме рішення вже доступно для замовлення і використання. При цьому, для вже існуючих користувачів Cisco ASA, достатньо всього лише активувати ліцензію на необхідний новий функціонал (NGFW, NGIPS, AMP — в будь-якій комбінації). Немає ні очікування поставки фізичних пристроїв (крім модуль для старшої моделі Cisco ASA 5585-X — на ній модуль FirePOWER апаратний), ні необхідності в одержанні додаткових дозволів на ввезення. Так і з тестуванням даного рішення ніяких особливих проблем — достатньо мати в своїй мережі Cisco ASA 5500-Х і запросити в Cisco тестовий ключ (на 45 днів), щоб протестувати весь описаний функціонал. Іншими словами, ми дозволяємо зберегти вже зроблені інвестиції в Cisco ASA 5500-X і використовувати цю платформу для розширення захисної функціональності.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.