Побудова системи інформаційної безпеки підприємства з урахуванням рішень від Cisco Systems. Продукти Візуалізація інцидентів та відображення атак

18.11.2023

Методики інформаційного захисту еволюціонували від захисту периметра на стику з Internet до «глибинної» моделі, за якої множинні заходи протидії розподілені на багатьох рівнях по всій інфраструктурі. Багаторівнева модель стає необхідністю внаслідок збільшення кількості атак, збільшення їх складності та швидкості реалізації. Об'єкти мережі можуть тисячі разів на день піддаватися скануванню у пошуках уразливостей. Сучасні «змішані» або гібридні атаки використовують безліч хитромудрих методик для отримання неавторизованого доступу та контролю як зовні, так і зсередини організацій. Поширення «хробаків», вірусів, «троянів», шпигунських програм та спеціального програмного забезпечення становить загрозу навіть для серйозно захищених мереж, залишаючи менше часу на реагування та збільшуючи вартість відновлення.

Крім того, на додаток до великої кількості серверів та мережевих пристроїв, кожен компонент системи захисту веде свій журнал подій, має свій набір інструментів для виявлення аномалій, реагування на загрози. На жаль, така ситуація призводить до необхідності обробляти величезну кількість розрізнених журналів подій, хибних сигналів небезпеки, наслідком чого стає відсутність можливості ефективного реагування оператора.

Продукти, призначені для управління інформаційною безпекою та подіями, дозволяють певним чином оцінювати загрози та відповідно їх обробляти. Дані рішення дозволяють службам ІТ-безпеки централізовано збирати та обробляти дані про події, використовувати кореляції, черги обробки, та генерувати звіти….

Огляд рішення компанії Cisco Systems

Cisco Security MARS – це апаратне, повнофункціональне рішення, що забезпечує розуміння та контроль існуючої системи безпеки. Будучи частиною комплексу управління безпеки, MARS дозволяє ідентифікувати, контролювати і припиняти загрози безпеці. Рішення працює з існуючою мережею та системою безпеки з метою знаходження, ізолювання та усунення проблемних елементів. Також MARS допомагає підтримувати цілісність внутрішньої безпекової політики і може бути інтегрована як частина загального рішення регулювання мережі.

Адміністратори безпеки стикаються з безліччю проблем, таких як:

Надмірний потік інформації, що надходить про мережу та системи безпеки
Проблеми при розпізнаванні атак та помилки при ідентифікації, пріоритезації та реагуванні
Ускладнення атак, збільшення вартості відновлення
Необхідність підтримки відповідності системи безпеки
Проблеми з персоналом

Cisco Security MARS дозволяє вирішити ці проблеми таким чином:

Інтегрує мережеві дані для побудови кореляцій мережевих аномалій та інцидентів безпеки

Відстежує інциденти, що виникають, і автоматизує дослідження

Послаблює атаки, використовуючи всі можливості існуючої мережі та інфраструктури безпеки

Відстежує стан об'єктів, мережі, процедур безпеки на відповідність шаблону

Виступає як масштабоване рішення, просте у впровадженні та експлуатації, за низької вартості володіння

Cisco Security MARS перетворює первинні дані у форму зручну для обробки, забезпечує можливість цілеспрямовано виявляти, припиняти та генерувати звіти для пріоритетних загроз, з використанням пристроїв, які вже впроваджені в мережеву інфраструктуру.

Розвиток засобів управління інформаційної безпеки та запобігання загрозам

У рамках вирішення цього завдання Cisco пропонує лінійку апаратних комплексів, що масштабуються. Cisco Security MARS одна з високопродуктивних, масштабованих систем, що захищають мережеві пристрої та оптимізують інформаційну безпеку шляхом комбінування даних про мережу, функції кореляції контенту «Context Correlation», «SureVector™ analysis», можливості автоматичного припинення загроз. Платформа MARS тісно інтегрована з комплексом управління безпекою - Cisco Security Manager. Така інтеграція дозволяє прив'язувати повідомлення про подію до політики, налаштованої в Cisco Security Manager. Огляд політик дозволяє проводити оперативний аналіз роботи безпекової політики на firewall і виявляти мережеві проблеми та помилки конфігурування.

Можливості та переваги

Інтелектуальна обробка подій та управління продуктивністю

Cisco Security MARS, використовує мережеві дані застосовуючи знання про топологію мережі, конфігурацію пристроїв та профілі мережного трафіку. Інтегрована в систему функція дослідження мережі будує топологічну схему, що включає конфігурації пристроїв і політики безпеки, що дозволяє Cisco Security MARS моделювати потоки даних в мережі. Оскільки Cisco Security MARS не обробляє безпосередньо мережевий трафік і мінімально використовує програмні елементи мережі, вплив на загальну продуктивність мережі залишається мінімальним.

Cisco Security MARS централізовано збирає дані про події з широкого кола мережевих пристроїв, таких як маршрутизатори та комутатори; пристроїв та програм безпеки таких як, мережеві екрани, пристрої розпізнавання вторгнень, сканери вразливостей, та антивірусні програми. Також обробляються дані з кінцевих систем (Windows, Solaris, Linux), додатків (бази даних, Web-серверів та сервера автентифікації), статистика мережного трафіку (Cisco NetFlow).

Контекстна кореляція

При отриманні даних вибудовується єдина схема відповідності мережевої топологією, конфігурацією пристроїв, параметрами трансляцій адрес (NAT). Відповідні події групуються як реального часу. Потім системні та користувальницькі правила кореляції застосовуються виявлення мережевих інцидентів. Cisco Security MARS поставляється з повнофункціональним набором шаблонів кореляцій, які регулярно оновлюються Cisco, які дозволяють виявляти більшу частину різних комплексних атак. Графічні інструменти спрощують створення правил для різних програм. Контекстна кореляція істотно зменшує обсяг оброблюваних «сирих» даних, що дозволяє реалізувати пріоритезацію реагування та підвищує результативність застосовуваних контрзаходів.

Високопродуктивне агрегування

Cisco Security MARS обробляє мільйони первинних повідомлень, проводить ефективну класифікацію подій, що дозволяє суттєво зменшити обсяги даних та стискає інформацію для архівування. Управління такими обсягами даних потребує стабільної та безпечної централізованої платформи. Пристрої Cisco Security MARS оптимізовані для обробки великої кількості подій, до 15000 за секунду, або 300000 Cisco NetFlow подій за секунду. Крім того MARS підтримує резервування та відновлення конфігурацій та даних через NFS, та sFTP.

Візуалізація та придушення інцидентів

MARS дозволяє прискорити та спростити процес виявлення, дослідження, оцінки та усунення загроз. Звичайною проблемою для персоналу служб ІТ-безпеки є великі витрати часу на аналіз і вирішення подій безпеки, що виникають. У цьому випадку Cisco Security MARS – це функціональний, інтерактивний інструмент для управління безпекою та створення правил.

Графічна робоче середовище відображає топологічну карту, що показує події, напрямки атак, деталізацію інцидентів, що дозволяє миттєво ідентифікувати наявні загрози. Cisco «SureVector analysis» обробляє близькі групи подій для оцінки реальності загрози та її походження, аж до MAC-адреси кінцевого пристрою. Автоматизація процесу відбувається шляхом аналізу журналів подій таких пристроїв як мережеві екрани та пристрої запобігання вторгненням (IPS), сторонніх систем оцінки даних та результатів сканування кінцевих пристроїв для запобігання помилковим спрацьовуванням. Використовуючи Cisco Security MARS, служби безпеки отримують засоби для швидкого розуміння компонентів складної атаки та ідентифікації ураженої системи. Функції автоматичного придушення Cisco знаходить доступні контрольні пристрої на шляху атаки, і автоматично надають відповідні команди, які оператор може швидко застосувати для усунення загрози.

Оперативний аналіз та перевірка відповідності

Cisco Security MARS надає легку у використанні структуру, яка спрощує поточну роботу з безпеки, автоматизує дослідження, ескалацію, оповіщення, документування поточних операцій та спеціалізований аудит. Cisco Security MARS графічно відображає атаки та витягує накопичені дані для аналізу попередніх подій. Система повністю підтримує довільні запити для оперативного отримання інформації.

Cisco Security MARS пропонує безліч вбудованих шаблонів запитів, що підтримує сумісність з протоколами PCI-DSS, GLBA, HIPAA, FISMA, Basel II. Генератор звітів дозволяє модифікувати більш ніж 100 стандартних або створювати нові з необмеженими можливостями для планування процедур реагування та відновлення, відстеження інцидентів та мережевої активності, відстеження відповідності політик безпеки та проведення аудиту. Також підтримується розсилання звітів.

Швидкість та простота впровадження

При впровадженні Cisco Security MARS необхідно забезпечити можливість надсилання та отримання "syslog" повідомлень, повідомлень SNMP (SNMP traps), також необхідна наявність зв'язку зі встановленими мережевими пристроями за загальноприйнятими або закритими протоколами. Не потрібно ні додаткового обладнання, ні модифікування програмного забезпечення, що використовується. Таким чином конфігурується пересилання повідомлень на Cisco Security MARS, і об'єкти спостереження додаються через Web-based GUI. MARS може пересилати статистику на зовнішні сервери для інтеграції з поточною інфраструктурою.

Одним із провідних виробників продуктів інформаційної безпеки є компанія Cisco. Ця стаття має на меті показати приклади використання продуктів Cisco Security Agent, Cisco NAC Appliance та Cisco MARS для забезпечення внутрішньої інформаційної безпеки компанії. Дані продукти інтегруються між собою та дозволяють побудувати легко керовану та надійну систему.

Перед відділом інформаційної безпеки сучасної компанії стоять абсолютно різні завдання - це і підтримка захищених каналів зв'язку компанії, підтримка підсистеми розмежування доступу користувачів, забезпечення антивірусного захисту, боротьба зі спамом, контроль витоків інформації, а також забезпечення моніторингу подій інформаційної безпеки, що відбуваються в мережі. інші не менш важливі завдання.

В даний час на ринку продуктів інформаційної безпеки існує величезна кількість розробок, що так чи інакше дозволяють вирішити поставлені завдання. На наш погляд, найбільш вірним шляхом є побудова високоінтегрованих систем захисту, здатних найбільш гнучко адаптуватися до конкретних процесів, що відбуваються в компанії.

Вступ

Будь-яка система забезпечення інформаційної безпеки будується виходячи з гаданої моделі загроз. Приступаючи до планування системи захисту, необхідно розглядати дві категорії загроз: зовнішні та внутрішні.

Зовнішні загрози є легко прогнозованими, оскільки компанія має у своєму розпорядженні повну інформацію про те, які сервіси є доступними ззовні, яке програмне забезпечення та апаратні ресурси забезпечують зв'язок даного сервісу та мережі Інтернет.

Боротися з внутрішніми загрозами набагато складніше, оскільки користувачі, які працюють у компанії, мають різні рівні доступу та будують різні відносини всередині компанії.

Для забезпечення захисту необхідно підходити комплексно і не обмежуватися тільки технічними засобами. Грамотна робота служби інформаційної безпеки та чітко продумана адміністративна політика компанії допоможуть досягти максимальних результатів.

Адміністративна політика будуватиметься на фундаменті політики інформаційної безпеки. В організації має бути розроблено положення щодо захисту конфіденційної інформації та відповідні інструкції. Ці документи повинні визначати правила та критерії для категорування інформаційних ресурсів за рівнем конфіденційності, правил маркування та правила поводження з конфіденційною інформацією. Має бути визначено правила надання доступу до інформаційних ресурсів, впроваджено відповідні процедури та механізми контролю, включаючи авторизацію та аудит доступу.

Дані адміністративні заходи дозволяють успішно боротися з найбільш численним класом загроз – загрозами ненавмисного розголошення конфіденційної інформації, але для боротьби зі зловмисниками його явно недостатньо – потрібне використання спеціальних програмно-апаратних засобів.

Безпека кінцевого хоста – Cisco Security Agent

Рішення Cisco Security Agent (CSA) є системою забезпечення безпеки кінцевого хоста і у зв'язці з іншими системами дозволяє вирішувати більш складні та широкі завдання.

CSA забезпечує захист серверних систем та настільних комп'ютерів. Можливості Cisco Security Agent перевищують можливості типових рішень для захисту кінцевих вузлів, поєднуючи в рамках одного програмного засобу передові функції захисту від цілеспрямованих атак, шпигунських програм, програм для прихованого дистанційного керування, антивірусний захист, а також захист від витоків інформації та багатьох інших типів порушення безпеки комп'ютера.

Cisco Security Agent є системою, що використовує агентські програми для застосування налаштованих на центральному сервері політик інформаційної безпеки.

CSA об'єднує захист від «zero-day» атак, антивірус ClamAV, міжмережевий екран, модуль захисту файлів і додатків, модуль «недовірених» додатків та інші функції.

Cisco Security Agent надає низку цінних можливостей, серед яких можна виділити такі:

контроль відповідності стану об'єктів мережі вимогам політики безпеки;
превентивний захист від цілеспрямованих атак;
контроль USB, CD-ROM, PCMCIA тощо;
створення замкнутого програмного середовища;
здатність виявлення та ізоляції шкідливих програм для прихованого віддаленого управління;
розвинені функції запобігання вторгненню на вузли мережі, персонального міжмережевого екрану та захисту від абсолютно нових атак;
контроль витоку інформації;
контроль та запобігання завантаженню з несанкціонованих носіїв;
оптимізація використання смуги пропускання Wi-Fi;
забезпечення доступності критично важливих додатків «клієнт-сервер» та можливості здійснення транзакцій;
маркування мережевого трафіку;
інтеграцію із системами запобігання вторгненням (Cisco IPS);
інтеграція із системою контролю доступу до мережі (Cisco NAC);
інтеграція із системою управління безпекою (Cisco MARS).

Архітектура системи Cisco Security Agent представлена на малюнку 1. Агенти взаємодіють із сервером управління та отримують від нього оновлення політик та програмного забезпечення.

Рисунок 1: Архітектура системи CSA

Кінцеві хости об'єднуються в групи, для яких використовуються політики інформаційної безпеки. Політики є наборами модулів правил (див. малюнок 2).

Рисунок 2: Політики, модулі, правила в архітектурі CSA

Cisco Security Agent дозволяє контролювати дії користувачів у той час, коли вони підключені до мережі передачі даних, і сервер керування доступний. Але також підтримується спеціальний набір станів, наприклад, недоступність менеджмент-центру, в якому для машин застосовуються спеціалізовані політики доступу.

Другою системою забезпечення інформаційної безпеки є система контролю доступу до мережі передачі.

Контроль доступу до мережі – Cisco Network Admission Control (NAC)

Cisco NAC Appliance (колишній Cisco Clean Access) – це рішення, призначене для автоматичного виявлення, ізолювання та лікування інфікованих, вразливих або не відповідних безпековій вузлі, що здійснюють провідний або бездротовий доступ до корпоративних ресурсів.

Будучи одним із компонентів технології Network Admission Control, Clean Access виконаний або у вигляді мережевого модуля для маршрутизаторів Cisco ISR (для мереж із кількістю контрольованих пристроїв менше 100), або у вигляді окремого пристрою.

Основними можливостями рішення Cisco NAC є:

незалежність від виробника мережного обладнання (у режимі in-band);
інтеграція з Kerberos, LDAP, RADIUS, Active Directory, S/Ident та іншими методами автентифікації;
підтримка ОС Windows (включаючи Vista), MacOS, Linux, Xbox, PlayStation 2, КПК, принтерів, IP-телефонів тощо;
підтримка антивірусів CA, F-Secure, Eset, Лабораторії Касперського, McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro та інших засобів захисту комп'ютера (всього 250 виробників);
розміщення невідповідного вузла до карантину шляхом застосування списків контролю доступу ACL або VLAN;
створення "білого" списку вузлів для прискорення їхнього доступу до ресурсів мережі;
автоматичне встановлення відсутніх оновлень, нових версій засобів захисту або актуалізація застарілих антивірусних баз;
централізоване web-управління;
підтримка російської;
проведення прозорого аудиту.

Архітектура та принцип роботи системи Cisco NAC Appliance

Cisco NAC – це програмно-апаратний комплекс для забезпечення внутрішньої інформаційної безпеки, який використовує мережну інфраструктуру, застосовуючи політики інформаційної безпеки та обмежуючи мережевий доступ тим пристроям, які не задовольняють вимог політик інформаційної безпеки.

Основними функціональними компонентами рішення є сервер Clean Access Server (CAS) і Clean Access Manager (CAM). CAM відповідає за налаштування політик безпеки, а CAS - за їх виконання.

Устаткування може встановлюватися у стійкій до відмови конфігурації, при якій виконується Active/Standby Failover.

На малюнку 3 представлено стан системи, при якому користувач знаходиться в спеціально створеному автентифікаційному VLAN з якого користувачеві дозволено доступ до DHCP-сервісу та інших відповідно до політик, налаштованих на CAM.

Рисунок 3: Доступу до мережі немає

Після того, як користувач пройшов перевірку на відповідність політикам інформаційної безпеки, він допускається в мережу шляхом призначення порту комутатора в певний VLAN (Малюнок 4).

Користувачі можуть проходити процедуру аутентифікації як за допомогою спеціалізованого агента – Cisco Clean Access, який також здійснює збирання інформації для перевірок, так і за допомогою web-аутентифікації.

Рисунок 4: Cisco NAC – Доступ до мережі дозволено

Логіка роботи системи складається із складових частин – перевірок, правил і вимог, що застосовуються до кожної конкретної ролі користувачів.

Наприклад, можна створити кілька ролей, що співвідносяться з відділами компанії та для кожної ролі налаштувати певні вимоги, виконання яких стає обов'язковою умовою для доступу до корпоративного середовища.

Рисунок 5: Cisco NAC – Логіка роботи системи

Доступні різні варіанти перевірок. Можна перевірити наявність запущеної програми на ПК, встановлення необхідних «латок» для операційної системи, версію антивірусних баз та інші перевірки.

Система інформаційної безпеки передбачає обов'язкову наявність системи моніторингу подій, що відбуваються у мережі. З цією метою передбачається використовувати продукт Cisco Security Monitoring, Analysis and Response System (Cisco MARS).

Cisco Security Monitoring, Analysis and Response System (MARS)

Сучасні підприємства постійно стикаються із проблемами, пов'язаними із забезпеченням інформаційної безпеки.

Складність мережної інфраструктури тягне за собою збільшення кількості засобів захисту – цими пристроями можуть бути окремі міжмережові екрани, маршрутизатори з певним функціоналом програмного забезпечення, комутатори, різні системи IPS, IDS, HIPS-системи, а також різні антивірусні системи, поштові проксі-сервери, web -проксі та інші подібні системи.

Велика кількість засобів захисту породжує проблеми управління, оскільки зростає кількість контрольних точок, зростає кількість подій, що реєструються, і як наслідок збільшується час необхідний для прийняття рішень (див. малюнок 6).

Рисунок 6: Процес прийняття рішення для запобігання атакі

У зв'язку з цим для підприємства виникає необхідність у системі вищого рівня, здатної оцінити існуючий рівень інформаційної безпеки, здійснивши реєстрацію та кореляцію подій, що надійшли в систему.

Система моніторингу та реагування Cisco MARS забезпечує виконання цих функцій.

Основні можливості Cisco MARS

Cisco MARS є програмно-апаратним рішенням у серверному виконанні. Програмне забезпечення системи ґрунтується на операційній системі Linux (ядро 2.6). Основним компонентом системи є база даних Oracle, що використовується для зберігання інформації.

Cisco MARS має можливість збору інформації з різних пристроїв протоколів Syslog, SNMP, NetFlow, а також має можливість приймати системні лог-файли.

MARS підтримує обладнання різних вендорів, таких як Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape та інших.

Логіка роботи системи Cisco MARS базується на запитах до бази даних. Можна вибирати інформацію та уточнювати її за IP-адресою джерела, IP-адресою приймача, портами, типами подій, пристроями, за ключовими словами тощо.

На основі запитів базуються певні правила, які групуються в системі. У базі Cisco MARS містить понад 2000 правил. Можна створювати свої правила, тим самим гнучко адаптувати систему до конкретних видів передбачуваних загроз.

Після збереження правила та виявлення інформації, що задовольняє це правило, формується інцидент.

Розглядаючи роботу Cisco MARS, можна запропонувати конкретний приклад виконання атаки на хост (див. малюнок 7).

Малюнок 7: Виконання атаки на хост

Зібрано стенд, що містить Cisco MARS, кілька комутаторів та ноутбук із встановленим продуктом Cisco Security Agent. Для емулювання атаки виконано сканування сервісів хоста за допомогою утиліти NMAP.

При цьому події виглядають так:

Cisco Security Agent зафіксував сканування портів;
Інформація про це потрапила на менеджмент центр системи Cisco Security Agent, який відправив повідомлення на MARS;
MARS зробив синтаксичний розбір та нормалізацію отриманого повідомлення до єдиного виду, передбаченого базою даних MARS;
MARS зробив кореляцію сесій;
Ця подія була перевірена за допомогою правил, налаштованих на MARS з метою реєстрації інцидентів інформаційної безпеки;
Здійснено перевірку на хибне спрацьовування;
Сформовано інцидент та виведено інформацію адміністратору.

На головній сторінці Cisco MARS з'явилася інформація про те, що з мережі стався інцидент інформаційної безпеки (див. рис. 8), і показаний шлях поширення атаки (див. рис. 9).

Рисунок 8: Відображення інформації про атаку на панелі Cisco MARS

Рисунок 9: Шлях розповсюдження атаки на панелі Cisco MARS

При натисканні на кнопку «Toggle Topology» можна побачити реальну мережеву топологію та переглянути шлях поширення атаки (див. малюнок 10).

Рисунок 10: Мережева топологія шляху розповсюдження атаки на панелі Cisco MARS

Як відповідь на інцидент Cisco MARS пропонує кілька варіантів запобігання атакі з прив'язкою до мережевих пристроїв (див. малюнок 11):

Рисунок 11: Заходи у відповідь для запобігання атакі

Також Cisco MARS має гнучку систему звітів, що дозволяє отримувати деталізовані дані щодо всіх зареєстрованих подій. Це дозволяє реалізовувати принцип удосконалення захисту (див. рис. 12).

Рисунок 12: Принцип удосконалення захисту

Приклад комплексного рішення

Розглянемо комплексне рішення на базі перерахованих вище продуктів для центрального офісу компанії До.

У головному офісі компанії К працює 100 співробітників, які перебувають у трьох відділах. Для контролю доступу користувачів використовується система Microsoft Active Directory.

Необхідно вирішити такі завдання:

забезпечити виконання політик інформаційної безпеки, створених для працівників кожного відділу;
мати актуальну інформацію про програмне забезпечення, що працює на конкретних хостах;
мати можливість контролю доступу до зовнішніх систем для хостів, що знаходяться поза корпоративним середовищем;
забезпечити доступ до мережі на основі заданих політик інформаційної безпеки;
забезпечити виконання заданих перевірок для хоста на підставі доменного облікового запису користувача;
забезпечити моніторинг подій, що відбуваються в мережі, а також збір інформації по протоколу NetFlow.

Налаштування політик Cisco Security Agent

Спочатку визначаємо права доступу кожної групи користувачів. Відповідно до цих правил доступу налаштовуються доменні права доступу та правила фільтрації на активному мережевому обладнанні.

Можна створити правила мережного доступу за допомогою Cisco Security Agent, але ці правила мають швидше приватний характер. Наприклад, можна заборонити користувачу доступ до певного ресурсу (IP, TCP/IP). У цьому прикладі мережеві правила для CSA не створюються.

У першу чергу для всіх груп користувачів у CSA створюється політика, яка унеможливлює відключення агентського додатку. Ця політика поширюється усім користувачів, зокрема і локальних адміністраторів.

Потім запускається процес, що дозволяє зібрати інформацію про встановлене на комп'ютерах програмне забезпечення – процес під назвою Application Deployment Investigation. В результаті отримуємо звіт (див. рис. 13).

Рисунок 13: Звіт про встановлені програми за допомогою Cisco Security Agent

Надалі ми можемо класифікувати дані програми, наприклад, виділяючи із загального числа офісні програми, ICQ-клієнти, P2P-додатки, поштові програми тощо. Також за допомогою CSA можна проаналізувати поведінку конкретної програми для подальшого створення політик інформаційної безпеки.

Для всіх користувачів головного офісу створюються загальні правила для всіх виявлених програм. Впровадження виконується поетапно – спочатку політика ІБ впроваджується як аудиту, що дозволяє контролювати всі події, але з впливати поточні дії користувачів. Надалі доопрацьована політика перетворюється на робочий режим.

Окрім статичної класифікації додатків у CSA передбачається динамічна класифікація – метод динамічних класів. Наприклад, програма Microsoft Word може бути віднесена до двох класів додатків – локальних та мережевих, і в залежності від цього до нього можуть застосовуватись різні політики безпеки (див. рис. 14).

Рисунок 14: Динамічні класи для класифікації програм

Для антивірусного захисту CSA передбачений вбудований модуль антивірусу ClamAV. У разі наявності антивірусу цей модуль можна відключити.

Контроль витоків інформації

Для запобігання витоку конфіденційної інформації в CSA передбачено спеціальний модуль під назвою Data Loss Prevention.

При активації даного програмного модуля агент CSA сканує файли щодо входження конфіденційної інформації. Класифікація інформації визначається вручну на основі шаблонів – scanning tags (див. малюнок 15). Можливе виконання тіньового сканування, а також сканування під час відкриття/закриття файлів.

Малюнок 15: Класифікація конфіденційної інформації

Після виконаної класифікації необхідно створити та застосувати політики інформаційної безпеки для програм, що працюють із даними файлами. Необхідно здійснювати контроль доступу до даних файлів, виведення на друк, передачу зовнішні носії, копіювання в буфер обміну та інші події. Все це можна зробити, використовуючи стандартні шаблони та правила, які встановлені в Cisco Security Agent.

Налаштування Cisco NAC (Clean Access)

Починаючи конфігурування Cisco NAC, необхідно чітко уявляти собі логіку роботи даної системи для кожної конкретної групи користувачів.

У разі впровадження в компанії К заплановано, що всі користувачі спочатку потраплятимуть до єдиного VLAN (Vlan 110 на малюнку 16). Перебуваючи в цьому VLAN, вони проходять процедуру автентифікації та перевірки на відповідність вимогам політик інформаційної безпеки. Доступ із цього VLAN до ресурсів корпоративної мережі обмежений. На другому рівні моделі OSI для користувачів доступний лише Clean Access Server. При цьому DHCP користувачі отримують IP-адреси з робочих VLAN, що позбавляє необхідності повторного отримання IP-адреси.

Малюнок 16: Аутентифікаційний VLAN

У разі успішної перевірки користувач перекладається в «робочий» VLAN (Vlan 10 на малюнку 17). Номер VLAN присвоюється відповідно до Organizational Unit (OU), до якого належить цей користувач у Active Directory. Цей функціонал стає можливим завдяки використанню ролей користувачів у системі NAC.

Малюнок 17: Переведення користувача до «робочого» VLAN

Для всіх користувачів компанії К передбачається налаштування вимог відповідності останнім критично важливим оновленням для операційної системи Windows, а також наявність запущеної Cisco Security Agent.

Розглянемо, як можна перевірити стан Cisco Security Agent на персональних комп'ютерах користувачів:

створюється нова перевірка (див. рисунок 18);
потім створюється правило (див. рисунок 19);
створюється вимога (див. рисунок 20);
зрештою ця вимога застосовується до участі користувачів.

Рисунок 18: Створення нової перевірки стану Cisco Security Agent

Рисунок 19: Створення правил для нової перевірки станів Cisco Security Agent

Рисунок 20: Створення вимог щодо нової перевірки стану Cisco Security Agent

В результаті виконаного налаштування для всіх користувачів групи HR, для здійснення доступу до ресурсів мережі має виконуватися умова роботи Cisco Security Agent.

За допомогою Cisco NAC можна здійснювати перевірки актуальності антивірусних баз, стан сервісів на кінцевих хостах та інші важливі речі.

Кожен варіант налаштування індивідуальний, але водночас система спочатку має багатий набір вимог, що сприяє її швидкому розгортанню.

Налаштування Cisco MARS

Cisco Security Agent і Cisco NAC мають багату систему надання звітної інформації, але для можливості кореляції подій, а також можливості збору інформації про події з різних пристроїв пропонується використовувати систему Cisco MARS.

Як базові налаштування системи Cisco MARS можна вказати додавання пристроїв до системи (міжмережові екрани, IPS, IDS, антивірусні системи, поштові системи та ін.), налаштування експорту NetFlow на сервер MARS, а також налаштування користувачів.

MARS вже має велику кількість встановлених правил (див. рис. 21), що дозволяє максимально швидко ввести систему в експлуатацію та отримувати актуальні відомості про стан інформаційної безпеки.

Рисунок 21: Попередні правила з Cisco MARS

Для більш глибокого налаштування потрібно відповідно до прогнозованих моделей загроз складати свої правила, які будуть аналізувати інформацію, що надходить.

За наявності всіх умов, прописаних у правилі, створюється інцидент, який можна побачити на головній панелі системи. Також можливе надсилання повідомлення на електронну пошту персоналу, який обслуговує Cisco MARS.

Таким чином, Cisco MARS забезпечує перетворення необроблених даних, що надаються мережею і системою безпеки, про зловмисну активність у зрозумілу інформацію, яка використовується для усунення порушень безпеки за допомогою вже існуючого в мережі обладнання.

Висновок

Розглянута комплексна система вирішує широке коло завдань, дозволяючи адміністраторам у максимально короткі терміни виявляти та усувати порушення політик безпеки компанії.

Використані для статті продукти, є цілісними системами і здатні працювати окремо один від одного, але в об'єднанні даних систем лежить стратегія мережі, що самозахищається, здатної протистояти новітнім загрозам (zero-day) безпеки.

Забіякін Ігор
Провідний інженер ТОВ "НТС" (NTS Ltd.)

Якщо ви зацікавлені у впровадженні продуктів з інформаційної безпеки від Cisco Systems, ви можете звернутися до представників компанії NTS.

Програмно-апаратний комплекс CISCO MARS призначений для управління загрозами безпеці. Як джерела інформації про них можуть виступати: мережеве обладнання (маршрутизатори та комутатори), засоби захисту (міжмережові екрани, антивіруси, системи виявлення атак та сканери безпеки), журнали реєстрації ОС (Solaris, Windows NT, 2000, 2003, Linux) та додатків (СУБД, web тощо), а також мережевий трафік (наприклад, Cisco Netflow). Cisco MARS підтримує рішення різних виробників - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft і т.д.

Механізм ContextCorrelation TM дозволяє проаналізувати та зіставити події від різноманітних засобів захисту. Візуалізація їх на карті мережі в реальному часі досягається за допомогою SureVector TM . Дані механізми дозволяють відобразити шлях розповсюдження атаки у режимі реального часу. Автоматичне блокування виявлених атак досягається за допомогою механізму AutoMitigate, який дозволяє реконфігурувати різні засоби захисту та мережеве обладнання.

Основні можливості

Обробка до 10 000 подій за секунду та понад 300 000 подій Netflow за секунду
Можливість створення власних правил кореляції
Повідомлення про виявлені проблеми по e-mail, SNMP, через syslog та на пейджер
Візуалізація атаки на канальному та мережевому рівнях
Підтримка Syslog, SNMP, RDEP, SDEE, Netflow, системних та користувацьких журналів реєстрації як джерела інформації
Можливість підключення власних засобів захисту для аналізу
Ефективне відсікання помилкових спрацьовувань та шуму, а також виявлення атак, пропущених окремими засобами захисту
Виявлення аномалій за допомогою протоколу NetFlow
Створення та автоматичне оновлення картки мережі, включаючи імпорт із CiscoWorks та інших систем мережевого керування
Підтримка IOS 802.1x, NAC (фаза 2)
Моніторинг механізмів захисту комутаторів (Dynamic ARP Inspection, IP Source Guard тощо)
Інтеграція з Cisco Security Manager (CSM Police Lookup)
Інтеграція із системами управління інцидентами за допомогою
Аутентифікація на RADIUS-сервері
Моніторинг працездатності компонентів Cisco MARS
Syslog forwarding
Динамічне розпізнавання нових сигнатур атак на Cisco IPS та завантаження їх у Cisco MARS

Система моніторингу, аналізу та реакції у відповідь Cisco Security MARS (Cisco Security Monitoring, Analysis and Response System) - це апаратний пристрій, що надає можливості детального спостереження та контролю існуючої системи безпеки, виявлення, управління та відображення загроз безпеки.

Адміністратори мережі та систем безпеки можуть зіткнутися з такими проблемами:

Дуже великий обсяг інформації про стан мережі та безпеку системи;
Недостатня ефективність засобів виявлення, визначення значущості атак і збоїв та вироблення дій у відповідь;
Висока швидкість та складність атак та висока вартість відновлення після атак;
Необхідність створення звітів для проходження аудитів та перевірок на відповідність вимогам.

Можливості Cisco MARS

Збір та обробка інформації

Cisco Security MARS накопичує та об'єднує всю інформацію про топологію мережі, конфігурацію мережевих пристроїв та правила безпеки, отримуючи її від мережевих пристроїв та систем безпеки, а також шляхом аналізу мережевого трафіку. При цьому мінімальне використання агентів, що не знижує продуктивність мережі та системи загалом.

Cisco Security MARS централізовано збирає файли журналів з маршрутизаторів, комутаторів, міжмережевих екранів, систем виявлення вторгнень, сканерів уразливостей, антивірусних програм, з серверів під керуванням операційних систем Windows, Solaris, Linux, прикладних програм (наприклад, веб-серверів, серверів аутентифікації), СУБД та програм обробки трафіку (наприклад, Cisco NetFlow).

Виявлення кореляції подій

Зібрана інформація впорядковується залежно від топології мережі, конфігурації пристроїв, адрес джерела та призначення. На основі отриманої інформації пов'язані між собою події групуються у сесії в режимі реального часу. Відповідно до системних та заданих адміністраторів правил Cisco MARS аналізує сесії для виявлення інцидентів, збоїв, атак.

Cisco MARS поставляється з великим набором системних правил, який регулярно оновлюється і включає виявлення більшості комбінованих атак, невідомих атак (zero - day attacks), мережевих черв'яків і т.д.. Адміністратор може створювати правила для будь-якого додатка за допомогою графічного інтерфейсу.

Виявлення кореляції подій структурує інформацію про мережу та про безпеку системи, що зменшує необхідний для прийняття рішень обсяг інформації та допомагає визначити пріоритетні дії з реагування на атаки, і як наслідок, підвищує ефективність заходів, що вживаються.

Збір та накопичення великих обсягів даних

Cisco MARS отримує інформацію про безліч подій у мережі, далі структурує дані, здійснює стиснення даних для архівації. Обробка величезних обсягів даних можлива завдяки використанню ефективних алгоритмів та вбудованої високопродуктивної бази даних, налаштування якої є повністю прозорим для адміністратора.

Для передачі даних на допоміжні пристрої архівування, а також для відновлення конфігурації після збоїв Cisco MARS підтримує мережну файлову систему NFS і протокол secure FTP .

Візуалізація інцидентів та відображення атак

Cisco Security MARS може допомогти адміністраторам швидше та простіше виявляти атаки та збої, проводити підтвердження інцидентів та здійснювати заходи щодо відображення атак.

Cisco MARS надає потужні графічні засоби, за допомогою яких можна побудувати карту мережі (включаючи атаковані вузли, шляхи атак), відобразити повну інформацію про атаки та інциденти. Це дозволяє оперативно провести дії щодо відображення атак.

MARS аналізує сесії подій для виявлення та підтвердження атак та збору інформації про них (аж до MAC-адрес кінцевих вузлів). Цей автоматичний процес доповнюється аналізом файлів журналів засобів захисту (міжмережевих екранів, систем виявлення вторгнень тощо) та власними перевірками Cisco MARS на помилкові спрацьовування.

Крім того, що Cisco MARS дозволяє отримати повну інформацію про атаку, система автоматично визначає вразливі для атаки вузли та генерує команди, які користувач може виконати для відображення атаки.

Збір інформації та звіти про відповідність у режимі реального часу

Відмінною рисою Cisco Security MARS є прості у використанні засоби структурування інформації про безпеку мережі та системи, що забезпечують автоматичне визначення стану системи, інцидентів та заходів у відповідь як у повсякденній роботі, так і для проведення перевірок та аудитів.

Cisco MARS надає можливість графічно відображати атаки як у режимі реального часу, так і відтворювати схеми атак та інцидентів під час аналізу подій у минулому.

Cisco Security MARS надає можливості створення звітів для різних цілей: для розробки планів відновлення після збоїв, для аналізу інцидентів та мережевої активності, для аудиту поточного стану безпеки, звіти можуть створюватися у вигляді тексту, таблиць, графіків і діаграм. Також є можливості щодо створення звітів на відповідність безлічі зарубіжних стандартів (PCI DSS, Sarbanes - Oxley, HIPAA та ін.).

Швидке впровадження та гнучке управління

Для роботи Cisco Security MARS необхідно підключення до мережі з можливістю надсилати та отримувати файли журналів, повідомлення по протоколу SNMP, а також встановлювати сеанси з мережевими пристроями та засобами захисту за стандартними або залежними від виробника захищеними протоколами.

Для встановлення Cisco MARS не потрібно додаткового обладнання, оновлення операційних систем, отримання додаткових ліцензій або проведення допоміжних робіт. Для роботи необхідно лише, використовуючи веб-інтерфейс, налаштувати мережеві пристрої та засоби захисту на з'єднання з Cisco MARS, а також налаштувати мережі та мережеві вузли, які необхідно контролювати.

Cisco MARS дозволяє передавати файли журналів на зовнішній сервер для об'єднання з наявною мережевою інфраструктурою. Також Cisco Security MARS дозволяє встановити додатковий пристрій керування (Global Controller), що забезпечує: ієрархічне керування кількома системами Cisco MARS, об'єднання звітів окремих систем, завдання правил та шаблонів звітів та оновлення для локальних систем Cisco MARS.

Детальний опис можливостей Cisco MARS

Динамічна сеансова кореляція:

Виявлення аномалій, включаючи інформацію NetFlow
Кореляція подій на основі поведінки та правил
Загальні вбудовані та визначені користувачем правила
Автоматична нормалізація трансльованих мережевих адрес

Побудова топологічної схеми:

Маршрутизатори, комутатори та міжмережові екрани рівня 2 та 3
Модулі та пристрої мережної системи виявлення вторгнень
Ручне або за графіком побудова
SSH, SNMP, Telnet та залежні від конкретного пристрою взаємодії

Аналіз уразливостей:

Зняття слідів порушень на основі мережі або кінцевого вузла
Аналіз конфігурації комутаторів, маршрутизаторів, міжмережевих екранів та NAT
Автоматична обробка даних сканування вразливостей
Виконуваний автоматично та заданий користувачем аналіз помилкових спрацьовувань

Аналіз порушень та реакція у відповідь:

Інструментальна панель керування окремими подіями безпеки
Об'єднання даних сеансових подій із контекстом усіх правил
Графічне представлення шляху атаки з детальним аналізом
Профілі пристроїв на шляху атаки з визначенням MAC-адрес кінцевих вузлів
Графічне та докладне послідовне уявлення типу атаки
Детальні дані порушення, включаючи правила, необроблені події, загальні вразливості та способи впливу на мережу, а також варіанти відображення
Миттєвий аналіз порушень та визначення помилкових спрацьовувань
Визначення правил за допомогою графічного інтерфейсу користувача для підтримки власних правил та аналізу за ключовими словами
Оцінка порушень з видачею користувачам робочого листа з описом покрокових дій
Оповіщення, включаючи електронну пошту, пейджер, системний журнал та SNMP

Формування запитів та звітів:

Графічний інтерфейс користувача, що підтримує велику кількість стандартних і настроюваних запитів
Більше 80 поширених звітів, включаючи звіти з управління, експлуатації та контролю нормативної відповідності
Генератор звітів з наочним інтерфейсом, що дозволяє створювати необмежену кількість користувачів звітів
Текстовий, графічний та загальний формат звітів, що підтримує експорт у файли HTML та CSV
Створення готових до друку, групових, типових та ін. звітів

Адміністрація:

Web-інтерфейс HTTPS; рольове адміністрування із заданими повноваженнями
Ієрархічне керування кількома системами Cisco MARS за допомогою глобального контролера
Автоматичні оновлення, включаючи підтримку пристроїв, нових правил та функцій
Постійне перенесення архівів необроблених даних порушень до автономних сховищ NFS

Підтримка пристроїв:

Мережеве активне обладнання: Програмне забезпечення Cisco IOS, версії 11.x та 12.x; ОС Cisco Catalyst версії 6.x; Cisco NetFlow версії 5.0 та 7.0; Extreme Extremeware версії 6.x.
Міжмережні екрани/VPN: Cisco Adaptive Security Appliance версії 7.0, програмне забезпечення для захисту Cisco PIX версії 6.x і 7.0; міжмережевий екран Cisco IOS версії 12.2(T) або вище; модуль функцій міжмережевого екрана Cisco (FWSM) версії 1.x, 2.1 та 2.2; програмне забезпечення для Cisco VPN 3000 версії 4.0; міжмережевий екран Checkpoint Firewall-1 NG FP-x та VPN-1 версії FP3, FP4 та AI; міжмережевий екран NetScreen версії 4.x та 5.x; міжмережевий екран Nokia версії FP3, FP4 та AI.
Системи IDS: Система Cisco IDS версії 3.x, 4.x та 5.0; модуль Cisco IDS версії 3.x та 4.x; система Cisco IOS IPS версії 12.2; система Enterasys Dragon NIDS версії 6.x; мережевий сенсор ISS RealSecure версії 6.5 та 7.0; система Snort NIDS версії 2.x; система McAfee Intrushield NIDS версії 1.5 та 1.8; система NetScreen IDP версії 2.x; ОС версії 4.x та 5.x; система Symantec MANHUNT
Системи оцінки вразливості: система eEye REM версії 1.x та FoundStone FoundScan версії 3.x.
Системи безпеки кінцевих вузлів: програма-агент Cisco Security Agent версії 4.x; система McAfee Entercept версії 2.5 та 4.x; датчик для кінцевих вузлів ISS RealSecure Host Sensor версії 6.5 та 7.0.
Антивірусне програмне забезпечення: Symantec Antivirus версії 9.x.
Сервери аутентифікації: Сервер Cisco ACS версії 3.x та 4.x.
Операційні системи кінцевих вузлів: ОС Windows NT, 2000 та 2003 (з агентами і без); ОС Solaris версії 8.x, 9.x та 10.x; ОС Linux версії 7.x.
Додатки: Web-сервери (ISS, iPlanet та Apache); Oracle 9i та 10g; NetCache.
Універсальна підтримка пристроїв для об'єднання та моніторингу системних журналів будь-яких програм.

Додаткові апаратні характеристики:

Пристрої спеціального призначення, монтаж 19 дюймів; сертифікація UL.
ОС із посиленим захистом; міжмережевий екран із скороченим набором функцій.
Два інтерфейси Ethernet 10/100/1000.
DVD-ROM із дисками для відновлення.

CiscoWorks Security Information Management Solution (SIMS)

Представляємо опис системи мережевого моніторингу, збору, обробки даних та управління мережевими пристроями.

CiscoWorks Security Information Management Solution (SIMS)- це система управління, моніторингу та збору статистки, в архітектуру якого закладено багаторівневу модель (рис.1), що дозволяє нарощувати систему поетапно зі зростанням мережної інфраструктури підприємства.
SIMS є ядро - єдину точку збору всіх подій в мережі, їх класифікацію і безперервний моніторинг.

Основні завдання SIMS:

моніторинг;
збирання даних, отриманих від міжмережевих екранів, пристроїв, виявлення атак, антивірусних та операційних систем, а також додатків;
аналіз та обробка даних;
подання кінцевого результату у графічному вигляді - звіти та діаграми;

SIMS дозволяє отримувати дані про можливі порушення безпеки не тільки окремого пристрою, наприклад IDS, а мережі в цілому, а це дає змогу побачити сильні/слабкі сторони в мережі безпеки.
SIMS призначена для мереж великих підприємств та інтернет-провайдерів, що мають у мережі від 30 до декількох тисяч вузлів, може працювати разом з такими системами, як HP Openview та Micromuse. А також, при виявленні мережевих вторгнень, SIMS може створювати інциденти з описом проблеми та надсилати їх до служби технічної підтримки корпоративної мережі.

Центральним компонентом системи є ядро. Це система швидкого реагування, що є розподіленим додатком. SIMS дозволяє отримувати повідомлення про порушення політик безпеки в будь-якій точці корпоративної мережі, формує звіти та забезпечує доступ до них з будь-якої програми, що підтримує веб-інтерфейс.

Принцип роботи технології SIMS можна розділити на 4 частини:

1. Стандартизація.

Дані від різних мережевих пристроїв збираються агентами (рис. 2), які обробляють події, збирають їх у групи (розпізнають до 20 тис. різних подій), призводять до одного типу даних (IDMEF) і пересилають їх по протоколу TCP серверу із встановленим на ньому головним. додатком (ядро SIMS) для обробки даних.

2. Об'єднання.

Ядро SIMS розподіляє отримані дані до 9 груп (рис. 3) залежно від рівня важливості з точки зору безпеки. У великих мережах, за рахунок масштабованості системи, можна використовувати кілька серверів для забезпечення розподіленої обробки.

3.Аналіз отриманих даних.
Система аналізує та обробляє отримані дані. На даному етапі роботи системи можна встановити параметри шаблонів, політик безпеки та диференціювання рівнів захисту різних ділянок мережі.

4.Візуалізація.

На четвертому, останньому етапі, SIMS представляє результат своєї роботи у зручному графічному вигляді (рис. 4). Система дозволяє створювати різні графіки, таблиці та діаграми для наочного подання даних. Використовуючи параметри, що зберігаються в базі даних системи, можна провести порівняльний аналіз як за окремими критеріями, так і системи загалом.

Переваги продукту:

Масштабованість
Розподілена архітектура
Інтеграція з Openview та Micromuse

SIMS можна придбати як окреме програмне забезпечення та встановити на сервер, так і вже встановлене на платформі високопродуктивного сервера.

Таблиця 1.Інформація для замовлення рішення SIMS 3.1 із апаратною платформою.

Таблиця 2.Інформація для замовлення SIMS 3.1 (тільки програмне забезпечення)

Номери продуктів	Опис
CWSIM-3.1-SS-K9	SIMS 3.1 - базова конфігурація для OC Solaris; Включає ліцензію на моніторинг до 30 мережевих пристроїв, ліцензія на 1 головний сервер обробки даних, 1 додатковий сервер з розподіленої обробки даних і на 1 один сервер для бази даних.
CWSIM-3.1-SL-K9	SIMS 3.1 - базова конфігурація для OC Linux; Включає ліцензію на моніторинг до 30 мережевих пристроїв, ліцензія на 1 головний сервер обробки даних, 1 додатковий сервер з розподіленої обробки даних і на 1 один сервер для бази даних.
CWSIM-3.1-DS-K9	Додаткова ліцензія на сервер зберігання даних для існуючого рішення CiscoWorks SIMS 3.1, що працює під керуванням ОС Solaris.
CWSIM-3.1-DL-K9	Додаткова ліцензія на сервер зберігання даних для існуючого рішення CiscoWorks SIMS 3.1, що працює під управлінням ОС Linux.
CWSIM-3.1-ADD20-K9	Ліцензія на додавання 20 агентів у робоче рішення CiscoWorks SIMS 3.1, що функціонує під управлінням OC Solaris або Linux.
CWSIM-3.1-MON30-K9	Ліцензія SIM 3.1 для Cisco Secure Agent на моніторинг 30 серверів 300 робочих станцій
CWSIM-3.1-MON75-K9	Ліцензія SIM 3.1 для Cisco Secure Agent на моніторинг 75 серверів 750 робочих станцій
CWSIM-3.1-EN-K9	Ліцензія на додавання сервера із розподіленої обробки даних під керуванням ОС Solaris або Linux.
CWSIM-3.1-20LND-K9	Ліцензія на моніторинг до 20 low-end пристроїв та OC на серверах
CWSIM-3.1-100LNDK9	Ліцензія на моніторинг до 100 low-end пристроїв та OC на серверах
CWSIM-3.1-500LNDK9	Ліцензія на моніторинг до 500 low-end пристроїв та OC на серверах

Таблиця 3.Мінімальні вимоги для встановлення програмного забезпечення SIMS 3.1.

Апаратна частина	Вимоги
Процесор	Linux: Dual Intel Pentium 4 1.5 GHz (server class)
Процесор	Solaris: Dual UltraSPARC-IIi 444 MHz (server class)
Оперативна пам'ять	4 GB
Вільне місце на диску	18 GB
Пристрій зберігання	CD-ROM

Додаткову інформацію можна знайти на сайті Cisco Systems http://www.cisco.com/go/sims

Cisco Security Monitoring, Analysis and Response System (CS-MARS)

Cisco Security Monitoring, Analysis and Response System (CS-MARS) -Це система контролю мережі, що дозволяє проводити кореляцію подій безпеки в мережі та забезпечує контроль за дотриманням правил з метою попереджуючого реагування на несанкціонований доступ і проникнення в мережу. Система перестає собою програмне забезпечення, встановлене на високопродуктивний сервер.

Основні функції системи:

моніторинг мережі;
побудова мережевого графа;
виявлення мережевих атак та їх графічне відмальовування;
вивчення налаштувань мережевих пристроїв;
збір даних аналіз та обробка даних, отриманих від різних мережевих пристроїв;
подання кінцевого результату у вигляді графіків, звітів та діаграм;

MARS здійснює відображення мережевої інфраструктури у графічному вигляді, малюючи у реальному часі поширення мережевих атак (рис. 1). Проводячи аналіз конфігурацій маршрутизаторів, комутаторів та міжмережевих екранів (МСЕ), система MARS має достатній інтелект, щоб простежити джерело зараження, з якого проводиться несанкціонований доступ, навіть якщо він знаходиться за МСЕ.

Для побудови топології мережі (рис. 2), взаємодії з комутаторами (мають підтримувати SNMP STP MIB) та маршрутизаторами (мають підтримувати SNMP MIB II) MARS використовує протокол snmp, а для взаємодії з МСЕ та отримання їх конфігурації, система використовує telnet, SSH та CPMI.

MARS веде облік та розпізнавання подій, які можуть генерувати практично всі мережеві пристрої:

мережеві пристрої: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x;
МСЕ/VPN: Cisco PIX Firewall 6.x, IOS Firewall, FWSM 1.x, 2.2, Concentrator 4.0, Checkpoint Firewall-1 NGx, VPN-1, NetScreen Firewall 4.0, 5.0, Nokia Firewall;
IDS: Cisco NIDS 3.x, 4.x, Network IDS module 3.x, 4.x, Enterasys Dragon NIDS 6.x, Snort NIDS 2.x, McAfee Intrushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT;
Антивірусне програмне забезпечення: Symantec A/V;
Сервера аутентифікації: Cisco ACS;
Операційні системи: Windows NT, 2000, 2003 (з агентами або без), Solaris, Linux (потрібна установка агента);
Програми: Web Servers (ISS, iPlanet, Apache), Oracle 9i, 10i audit logs, Network Appliance NetCache, Oracle 9i and 10i;

MARS може обробляти до 10 тисяч подій на секунду. Система підтримує масштабованість, для цього в мережах великих підприємств та інтернет-провайдерів можна створити дворівневу архітектуру за рахунок використання MARS-контролерів, до яких може підключитися кілька MARS-серверів. Під час використання такої архітектури мережа ділиться на «зони» і кожна закріплюється за певним MARS-сервером.
Система MARS дозволяє централізовано налаштовувати мережеві політики, проводити збір даних та створювати до 80 різних видів стандартних звітів.
Про зафіксовані порушення MARS може повідомляти через snmp-протокол, електронну пошту, скидати повідомлення на пейджер або вести облік подій syslog.
Система MARS не вимагає придбання ліцензій на підтримку агентів та/або баз даних.