Cisco Systems yechimlari asosida korporativ axborot xavfsizligi tizimini yaratish. Mahsulotlar Hodisalarni vizuallashtirish va hujumlarni qaytarish

18.11.2023

Axborot xavfsizligi texnikasi Internet bilan interfeysda perimetrni himoya qilishdan "chuqur" modelga aylandi, unda bir nechta qarshi choralar ko'p darajalarda infratuzilma bo'ylab taqsimlanadi. Ko'p qatlamli model hujumlar sonining ko'payishi, ularning murakkabligi va amalga oshirish tezligi tufayli zaruratga aylanib bormoqda. Tarmoq ob'ektlari zaifliklarni izlash uchun kuniga minglab marta skanerlanishi mumkin. Zamonaviy "aralashtirilgan" yoki gibrid hujumlar tashqi va ichki tashkilotlar tomonidan ruxsatsiz kirish va nazoratni qo'lga kiritish uchun turli xil murakkab usullardan foydalanadi. Qurtlar, viruslar, troyan otlari, josuslik dasturlari va maxsus dasturlarning tarqalishi hatto qattiq himoyalangan tarmoqlarga ham xavf tug'diradi, javob berish uchun kamroq vaqt qoldiradi va tiklash xarajatlarini oshiradi.

Bundan tashqari, ko'p sonli serverlar va tarmoq qurilmalariga qo'shimcha ravishda, xavfsizlik tizimining har bir komponenti o'z hodisalar jurnalini yuritadi va anomaliyalarni aniqlash va tahdidlarga javob berish uchun o'z vositalari to'plamiga ega. Afsuski, bu holat juda ko'p turli xil hodisalar jurnallari va noto'g'ri xavf signallarini qayta ishlash zarurligiga olib keladi, bu esa operatorning samarali javob bera olmasligiga olib keladi.

Axborot xavfsizligi va hodisalarni boshqarish mahsulotlari sizga tahdidlarni muayyan tarzda baholash va ularga mos ravishda ishlov berish imkonini beradi. Ushbu echimlar AT xavfsizlik xizmatlariga voqea ma'lumotlarini markazlashtirilgan tarzda yig'ish va qayta ishlash, korrelyatsiyalardan foydalanish, navbatlarni qayta ishlash va hisobotlarni yaratish imkonini beradi.....

Cisco tizimlari yechimlari haqida umumiy ma'lumot

Cisco Security MARS - bu apparatga asoslangan, toʻliq xususiyatli yechim boʻlib, mavjud xavfsizlik holatini tushunish va nazorat qilish imkonini beradi. Xavfsizlikni boshqarish to'plamining bir qismi sifatida MARS sizga xavfsizlik tahdidlarini aniqlash, nazorat qilish va to'xtatish imkonini beradi. Yechim muammoli elementlarni topish, ajratish va yo'q qilish uchun mavjud tarmoq va xavfsizlik tizimingiz bilan ishlaydi. MARS shuningdek, ichki xavfsizlik siyosatlarining yaxlitligini saqlashga yordam beradi va umumiy tarmoqni tartibga solish yechimining bir qismi sifatida birlashtirilishi mumkin.

Xavfsizlik ma'murlari ko'plab muammolarga duch kelishadi, masalan:

Kiruvchi tarmoq va xavfsizlik ma'lumotlarining haddan tashqari oqimi
Hujumlarni tan olishda muammolar va aniqlash, ustuvorlik va javob berishdagi xatolar
Hujumlarni murakkablashtirish, tiklash xarajatlarini oshirish
Xavfsizlik talablariga rioya qilish zarurati
Xodimlar bilan bog'liq muammolar

Cisco Security MARS sizga ushbu muammolarni quyidagi tarzda hal qilishga imkon beradi:

Tarmoq anomaliyalari va xavfsizlik hodisalarining korrelyatsiyasini yaratish uchun tarmoq ma'lumotlarini birlashtiradi

Hodisalarni kuzatib boradi va tergovni avtomatlashtiradi

Mavjud tarmoq va xavfsizlik infratuzilmangizning barcha imkoniyatlaridan foydalangan holda hujumlarni kamaytiradi

Ob'ektlar, tarmoqlar, xavfsizlik tartib-qoidalarining holatini kerakli shablonga muvofiqligini nazorat qiladi

Kengaytirilgan yechim sifatida ishlaydi, amalga oshirish va ishlatish oson, egalik qilishning arzonligi

Cisco Security MARS xom ma'lumotlarni qayta ishlash uchun qulay shaklga aylantirib, tarmoq infratuzilmasiga o'rnatilgan qurilmalar yordamida ustuvor tahdidlarni maxsus aniqlash, bostirish va hisobotlarni yaratish imkoniyatini beradi.

Axborot xavfsizligini nazorat qilish va tahdidlarning oldini olish tizimini rivojlantirish

Ushbu muammoni hal qilish uchun Cisco kengaytiriladigan apparat tizimlari qatorini taklif etadi. Cisco Security MARS tarmoq maʼlumotlarini, “Kontekst korrelyatsiyasi”, “SureVector™ tahlili” kontent korrelyatsiyasi funksiyalarini va tahdidlarni avtomatik ravishda bostirish qobiliyatini birlashtirib, tarmoq qurilmalarini himoya qiluvchi va axborot xavfsizligini optimallashtiradigan yuqori unumdor, kengaytiriladigan tizimlardan biridir. MARS platformasi xavfsizlikni boshqarish kompleksi - Cisco Security Manager bilan chambarchas integratsiyalashgan. Ushbu integratsiya sizga voqea xabarlarini Cisco Security Manager-da sozlangan siyosatga ulash imkonini beradi. Siyosatni ko'rib chiqish xavfsizlik devoridagi xavfsizlik siyosatining ishlashini tezkor tahlil qilish va tarmoq muammolari va konfiguratsiya xatolarini aniqlash imkonini beradi.

Xususiyatlari va afzalliklari

Voqealarni aqlli qayta ishlash va ishlashni boshqarish

Cisco Security MARS tarmoq topologiyasi, qurilma konfiguratsiyasi va tarmoq trafigi profillari haqidagi bilimlardan foydalangan holda tarmoq maʼlumotlaridan foydalanadi. Tizimning integratsiyalangan tarmoqni o'rganish qobiliyati qurilma konfiguratsiyasi va qo'llaniladigan xavfsizlik siyosatlarini o'z ichiga olgan topologiya diagrammasini yaratadi, bu Cisco Security MARS-ga tarmoqdagi ma'lumotlar oqimini modellashtirish imkonini beradi. Cisco Security MARS tarmoq trafigini bevosita qayta ishlamasligi va tarmoq dasturiy ta'minoti elementlaridan minimal foydalanishi sababli, umumiy tarmoq ishlashiga ta'siri minimal bo'lib qoladi.

Cisco Security MARS markazlashtirilgan tarzda marshrutizatorlar va kalitlar kabi keng doiradagi tarmoq qurilmalaridan voqea ma'lumotlarini to'playdi; xavfsizlik devorlari, hujumni aniqlash qurilmalari, zaiflik skanerlari va antivirus ilovalari kabi xavfsizlik qurilmalari va ilovalari. Yakuniy tizimlar (Windows, Solaris, Linux), ilovalar (ma'lumotlar bazalari, veb-serverlar va autentifikatsiya serverlari) va tarmoq trafigiga oid statistik ma'lumotlar (Cisco NetFlow) ham qayta ishlanadi.

Kontekstli korrelyatsiya

Ma'lumotlarni qabul qilishda tarmoq topologiyasi, qurilma konfiguratsiyasi va manzil tarjimasi (NAT) parametrlari bilan birlashtirilgan yozishmalar sxemasi quriladi. Tegishli voqealar real vaqtda guruhlangan. Keyin tarmoq hodisalarini aniqlash uchun tizim va foydalanuvchi korrelyatsiya qoidalari qo'llaniladi. Cisco Security MARS har xil murakkab hujumlarning aksariyatini aniqlay oladigan Cisco tomonidan muntazam yangilanib turiladigan keng qamrovli korrelyatsiya naqshlari bilan birga keladi. Grafik vositalar turli ilovalar uchun qoidalar yaratishni osonlashtiradi. Kontekstli korrelyatsiya qayta ishlangan ma'lumotlar hajmini sezilarli darajada kamaytiradi, bu esa javoblarni ustuvorlashtirishga imkon beradi va qo'llaniladigan qarshi choralar samaradorligini oshiradi.

Yuqori samaradorlik agregatsiyasi

Cisco Security MARS millionlab asosiy xabarlarni qayta ishlaydi, ma'lumotlar hajmini sezilarli darajada kamaytirish uchun hodisalarni samarali tasniflaydi va arxivlash uchun ma'lumotlarni siqadi. Bunday hajmdagi ma'lumotlarni boshqarish barqaror va xavfsiz markazlashtirilgan platformani talab qiladi. Cisco Security MARS qurilmalari sekundiga 15 000 ta hodisa yoki sekundiga 300 000 Cisco NetFlow hodisalarigacha bo'lgan ko'p sonli hodisalarni qayta ishlash uchun optimallashtirilgan. Bundan tashqari, MARS NFS va sFTP orqali konfiguratsiyalar va ma'lumotlarni zaxiralash va tiklashni qo'llab-quvvatlaydi.

Hodisalarni vizualizatsiya qilish va bostirish

MARS sizga tahdidlarni aniqlash, tekshirish, baholash va bartaraf etish jarayonini tezlashtirish va soddalashtirish imkonini beradi. AT xavfsizligi xodimlari uchun keng tarqalgan muammo - bu sodir bo'lgan xavfsizlik hodisalarini tahlil qilish va hal qilish uchun ketadigan vaqt. Bunday holda, Cisco Security MARS xavfsizlikni boshqarish va qoidalar yaratish uchun kuchli, interaktiv vositadir.

Grafik ish muhiti hodisalar, hujum vektorlari va hodisa tafsilotlarini ko'rsatadigan topologik xaritani ko'rsatadi, bu sizga mavjud tahdidlarni bir zumda aniqlash imkonini beradi. Cisco "SureVector tahlili" tahdidning haqiqatini va uning kelib chiqishini yakuniy qurilmaning MAC manziligacha baholash uchun hodisalarning yaqin guruhlarini qayta ishlaydi. Jarayon xavfsizlik devorlari va tajovuzni oldini olish qurilmalari (IPS), uchinchi tomon ma'lumotlarini baholash tizimlari va noto'g'ri pozitivlarni oldini olish uchun oxirgi nuqtani skanerlash natijalari kabi qurilmalardan voqea jurnallarini tahlil qilish orqali avtomatlashtirilgan. Cisco Security MARS dan foydalanib, xavfsizlik guruhlari murakkab hujumning tarkibiy qismlarini tezda tushunish va ta'sirlangan tizimni aniqlash vositalariga ega. Cisco-ning "avtomatik yumshatish" xususiyatlari hujum yo'li bo'ylab mavjud boshqaruv qurilmalarini topadi va operatorlar tahdidni bartaraf etish uchun tezda qo'llashi mumkin bo'lgan tegishli buyruqlarni avtomatik ravishda taqdim etadi.

Operatsion tahlil va muvofiqlikni tekshirish

Cisco Security MARS davom etayotgan xavfsizlik operatsiyalarini, tergovlarni, eskalatsiyalarni, ogohlantirishlarni, davom etayotgan faoliyat hujjatlarini va maxsus auditlarni avtomatlashtirishni soddalashtiradigan foydalanish uchun qulay tizimni taqdim etadi. Cisco Security MARS hujumlarni grafik tarzda ko'rsatadi va oldingi voqealarni tahlil qilish uchun tarixiy ma'lumotlarni chiqaradi. Ma'lumotni tezda olish uchun tizim o'zboshimchalik bilan so'rovlarni to'liq qo'llab-quvvatlaydi.

Cisco Security MARS ko'plab o'rnatilgan so'rov shablonlarini taklif qiladi va PCI-DSS, GLBA, HIPAA, FISMA, Basel II protokollari bilan mos keladi. Hisobot generatori sizga 100 dan ortiq standart hisobotlarni o'zgartirish yoki javob berish va tiklash protseduralarini rejalashtirish, hodisalar va tarmoq faoliyatini kuzatish, xavfsizlik siyosatiga rioya etilishini nazorat qilish va auditlarni o'tkazish uchun cheksiz imkoniyatlarga ega yangilarini yaratish imkonini beradi. Hisobotlarni yuborish ham qo'llab-quvvatlanadi.

Tezlik va amalga oshirish qulayligi

Cisco Security MARS-ni amalga oshirishda "syslog" xabarlarini, SNMP xabarlarini (SNMP tuzoqlarini) yuborish va qabul qilish qobiliyatini ta'minlash kerak, shuningdek, umumiy qabul qilingan yoki mulkiy protokollar yordamida o'rnatilgan tarmoq qurilmalari bilan aloqa o'rnatish kerak. Hech qanday qo'shimcha uskuna yoki foydalanilgan dasturiy ta'minotni o'zgartirish talab qilinmaydi. Shu tarzda, xabarlarni Cisco Security MARS-ga yo'naltirish sozlanadi va monitoring ob'ektlari "Veb-asoslangan GUI" orqali qo'shiladi. MARS joriy infratuzilma bilan integratsiyalashuv uchun statistik ma'lumotlarni tashqi serverlarga yuborishi mumkin.

Axborot xavfsizligi mahsulotlarini ishlab chiqaruvchi yetakchi kompaniyalardan biri Cisco hisoblanadi. Ushbu maqola kompaniyaning ichki axborot xavfsizligini ta'minlash uchun Cisco Security Agent, Cisco NAC Appliance va Cisco MARS mahsulotlaridan foydalanish misollarini ko'rsatishga qaratilgan. Ushbu mahsulotlar bir-biri bilan integratsiyalashgan va oson boshqariladigan va ishonchli tizimni yaratishga imkon beradi.

Zamonaviy kompaniyaning axborot xavfsizligi bo'limi oldida mutlaqo boshqa vazifalar turibdi - bu kompaniyaning xavfsiz aloqa kanallarini qo'llab-quvvatlash, foydalanuvchilarga kirishni boshqarish quyi tizimini qo'llab-quvvatlash, antivirus himoyasini ta'minlash, spamga qarshi kurashish, ma'lumotlarning sizib chiqishini nazorat qilish, shuningdek, axborot xavfsizligi monitoringini ta'minlashni o'z ichiga oladi. tarmoqda sodir bo'layotgan voqealar va boshqa bir xil darajada muhim vazifalar.

Hozirgi vaqtda axborot xavfsizligi mahsulotlari bozorida u yoki bu tarzda belgilangan muammolarni hal qilishga imkon beradigan juda ko'p ishlanmalar mavjud. Bizning fikrimizcha, eng to'g'ri yo'l kompaniyada sodir bo'layotgan muayyan jarayonlarga eng moslashuvchan tarzda moslasha oladigan yuqori darajada integratsiyalashgan xavfsizlik tizimlarini qurishdir.

Kirish

Har qanday axborot xavfsizligi tizimi kutilayotgan tahdid modeli asosida quriladi. Xavfsizlik tizimini rejalashtirishni boshlashda tahdidlarning ikkita toifasini ko'rib chiqish kerak: tashqi va ichki.

Tashqi tahdidlarni oldindan aytish oson, chunki kompaniya tashqaridan qaysi xizmatlarga kirish mumkinligi, ushbu xizmat va Internet o'rtasida qanday dasturiy ta'minot va apparat resurslari ulanishini ta'minlashi haqida to'liq ma'lumotga ega.

Insayder tahdidlarga qarshi kurashish ancha qiyin, chunki kompaniyada ishlaydigan foydalanuvchilar turli darajadagi kirish imkoniyatiga ega va kompaniya ichida turli munosabatlar o'rnatadilar.

Himoyani ta'minlash uchun faqat texnik vositalar bilan cheklanib qolmasdan, kompleks yondashuvni qo'llash kerak. Axborot xavfsizligi xizmatining malakali ishi, shuningdek, kompaniyaning aniq o'ylangan ma'muriy siyosati maksimal natijalarga erishishga yordam beradi.

Ma'muriy siyosat axborot xavfsizligi siyosati negizida quriladi. Tashkilot maxfiy ma'lumotlarni himoya qilish bo'yicha qoidalar va tegishli ko'rsatmalar ishlab chiqishi kerak. Ushbu hujjatlar maxfiylik darajasi bo'yicha axborot resurslarini turkumlash qoidalari va mezonlarini, yorliqlash qoidalari va maxfiy ma'lumotlar bilan ishlash qoidalarini belgilashi kerak. Axborot resurslariga kirishni ta'minlash qoidalari belgilanishi, tegishli tartib va nazorat mexanizmlari, shu jumladan ruxsatni avtorizatsiya qilish va auditni amalga oshirish kerak.

Ushbu ma'muriy choralar tahdidlarning eng ko'p sinfiga - maxfiy ma'lumotlarni qasddan oshkor qilish tahdidlariga qarshi muvaffaqiyatli kurashish imkonini beradi, ammo buzg'unchilarga qarshi kurashish uchun bu etarli emas - maxsus dasturiy ta'minot va texnik vositalardan foydalanish kerak.

Yakuniy Xost xavfsizligi - Cisco Security Agent

Cisco Security Agent (CSA) yechimi boshqa tizimlar bilan birlashganda yanada murakkab va kengroq muammolarni hal qilishga imkon beruvchi soʻnggi xost xavfsizligi tizimidir.

CSA server tizimlari va ish stoli kompyuterlarini himoya qiladi. Cisco Security Agent maqsadli hujumlar, josuslik dasturlari, masofadan boshqarish dasturlari, viruslardan himoyalanish, ma'lumotlarning sizib chiqishi va boshqa ko'plab xavfsizlik buzilishlariga qarshi ilg'or himoyani bitta dasturiy ta'minot yechimida birlashtirib, odatiy so'nggi nuqta xavfsizlik echimlaridan tashqariga chiqadi.

Cisco Security Agent - bu markaziy serverda sozlangan axborot xavfsizligi siyosatini amalga oshirish uchun agent ilovalaridan foydalanadigan tizim.

CSA nol kunlik hujumlardan himoya, ClamAV antivirusi, xavfsizlik devori, fayllar va ilovalarni himoya qilish moduli, ishonchsiz dastur moduli va boshqa funktsiyalarni birlashtiradi.

Cisco Security Agent bir qator qimmatli xususiyatlarni taqdim etadi, jumladan, quyidagilar:

tarmoq ob'ektlari holatining xavfsizlik siyosati talablariga muvofiqligini monitoring qilish;
maqsadli hujumlardan profilaktik himoya;
USB, CD-ROM, PCMCIA va boshqalarni boshqarish;
yopiq dasturiy muhitni yaratish;
yashirin masofadan boshqarish uchun zararli dasturlarni aniqlash va izolyatsiya qilish qobiliyati;
tarmoq tugunlariga kirishning oldini olish, shaxsiy xavfsizlik devori va mutlaqo yangi hujumlardan himoya qilish uchun ilg'or funktsiyalar;
axborotning tarqalishini nazorat qilish;
ruxsatsiz ommaviy axborot vositalaridan yuklab olishni nazorat qilish va oldini olish;
Wi-Fi tarmoqli kengligidan foydalanishni optimallashtirish;
muhim mijoz-server ilovalari mavjudligini va tranzaktsiyalarni amalga oshirish imkoniyatini ta'minlash;
tarmoq trafigini belgilash;
kirishni oldini olish tizimlari (Cisco IPS) bilan integratsiya;
tarmoqqa kirishni boshqarish tizimi (Cisco NAC) bilan integratsiya;
xavfsizlikni boshqarish tizimi (Cisco MARS) bilan integratsiya.

Cisco Security Agent tizimining arxitekturasi 1-rasmda ko'rsatilgan. Agentlar boshqaruv serveri bilan o'zaro ishlaydi va undan siyosat va dasturiy ta'minot yangilanishlarini oladi.

1-rasm: CSA tizimi arxitekturasi

Yakuniy xostlar axborot xavfsizligi siyosati qo'llaniladigan guruhlarga guruhlangan. Siyosat qoida modullari to'plamidir (2-rasmga qarang).

2-rasm: CSA arxitekturasidagi siyosatlar, modullar, qoidalar

Cisco Security Agent foydalanuvchilarning ma'lumotlar tarmog'iga ulangan va boshqaruv serveri mavjud bo'lganda ularning faoliyatini kuzatish imkonini beradi. Ammo u, shuningdek, boshqaruv markazining mavjud emasligi kabi maxsus holatlar to'plamini qo'llab-quvvatlaydi, bunda mashinalarga maxsus kirish siyosati qo'llaniladi.

Ikkinchi axborot xavfsizligi tizimi ma'lumotlar tarmog'iga kirishni boshqarish tizimidir.

Tarmoqqa kirishni boshqarish - Cisco Network Admission Control (NAC)

Cisco NAC Appliance (sobiq Cisco Clean Access) simli yoki simsiz korporativ resurslarga kiradigan infektsiyalangan, zaif yoki mos kelmaydigan xostlarni avtomatik aniqlash, izolyatsiya qilish va dezinfeksiya qilish uchun mo'ljallangan yechimdir.

Tarmoqqa kirishni boshqarish texnologiyasining tarkibiy qismlaridan biri sifatida Clean Access Cisco ISR routerlari uchun tarmoq moduli sifatida (100 dan kam boshqariladigan qurilmalarga ega tarmoqlar uchun) yoki alohida qurilma sifatida amalga oshiriladi.

Cisco NAC yechimining asosiy xususiyatlari quyidagilardan iborat:

tarmoq uskunalari ishlab chiqaruvchisidan mustaqillik (in-band rejimi);
Kerberos, LDAP, RADIUS, Active Directory, S/Ident va boshqa autentifikatsiya usullari bilan integratsiya;
Windows (shu jumladan Vista), MacOS, Linux, Xbox, PlayStation 2, PDA, printerlar, IP telefonlar va boshqalarni qo'llab-quvvatlash;
CA, F-Secure, Eset, Kaspersky Lab, McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro antiviruslarini va boshqa kompyuterlarni himoya qilish vositalarini qo'llab-quvvatlash (jami 250 ta ishlab chiqaruvchi);
ACL yoki VLAN-larni qo'llash orqali nomaqbul xostni karantin qilish;
tarmoq resurslariga kirishni tezlashtirish uchun tugunlarning "oq" ro'yxatini yaratish;
etishmayotgan yangilanishlarni, himoya vositalarining yangi versiyalarini avtomatik o'rnatish yoki eskirgan antivirus ma'lumotlar bazalarini yangilash;
markazlashtirilgan veb boshqaruv;
rus tilini qo'llab-quvvatlash;
shaffof audit o'tkazish.

Cisco NAC Appliance arxitekturasi va ekspluatatsiyasi

Cisco NAC axborot xavfsizligi siyosatini amalga oshirish va axborot xavfsizligi siyosati talablariga javob bermaydigan qurilmalarga tarmoqqa kirishni cheklash uchun tarmoq infratuzilmasidan foydalanadigan ichki axborot xavfsizligi dasturiy va apparat yechimidir.

Yechimning asosiy funktsional komponentlari toza kirish serveri (CAS) va toza kirish menejeri (CAM). CAM xavfsizlik siyosatini sozlash uchun javobgar, CAS esa ularni amalga oshirish uchun javobgardir.

Uskunani nosozliklarga chidamli konfiguratsiyada o'rnatish mumkin, unda Faol/Kutish rejimida uzilish amalga oshiriladi.

3-rasmda foydalanuvchi maxsus yaratilgan autentifikatsiya VLAN-da bo'lgan tizim holati ko'rsatilgan, undan foydalanuvchi CAM-da sozlangan siyosatlarga muvofiq DHCP xizmatiga va boshqalarga kirishiga ruxsat beriladi.

3-rasm: Tarmoqqa kirish imkoni yo'q

Foydalanuvchining axborot xavfsizligi siyosatiga muvofiqligi tekshirilgandan so'ng, unga ma'lum bir VLAN-ga kommutator portini belgilash orqali tarmoqqa kirishga ruxsat beriladi (4-rasm).

Foydalanuvchilar autentifikatsiya protsedurasidan ixtisoslashgan agent - Cisco Clean Access, shuningdek, tekshiruvlar uchun ma'lumot to'playdigan yoki veb-autentifikatsiya yordamida o'tishlari mumkin.

4-rasm: Cisco NAC - Tarmoqqa kirishga ruxsat berilgan

Tizim mantig'i tarkibiy qismlardan iborat - har bir aniq foydalanuvchi roliga qo'llaniladigan tekshiruvlar, qoidalar va talablar.

Masalan, siz kompaniyaning bo'limlariga mos keladigan bir nechta rollarni yaratishingiz mumkin va har bir rol uchun ma'lum talablarni sozlashingiz mumkin, ularning bajarilishi korporativ muhitga kirish uchun zaruriy shartga aylanadi.

5-rasm: Cisco NAC - Tizimning ishlash mantig'i

Har xil tekshirish imkoniyatlari mavjud. Shaxsiy kompyuteringizda ishlaydigan dastur mavjudligini, operatsion tizim uchun kerakli yamoqlarni o'rnatishni, virusga qarshi ma'lumotlar bazalari versiyasini va boshqa tekshiruvlarni tekshirishingiz mumkin.

Axborot xavfsizligi tizimi tarmoqda sodir bo'layotgan hodisalarni monitoring qilish tizimining majburiy mavjudligini talab qiladi. Ushbu maqsadlar uchun u Cisco Xavfsizlik Monitoring, Analysis and Response System (Cisco MARS) mahsulotidan foydalanish uchun mo'ljallangan.

Cisco Xavfsizlik monitoringi, tahlili va javob tizimi (MARS)

Zamonaviy korxonalar doimo axborot xavfsizligi bilan bog'liq muammolarga duch kelmoqdalar.

Tarmoq infratuzilmasining murakkabligi himoya vositalari sonining ko'payishiga olib keladi - bu qurilmalar alohida xavfsizlik devorlari, ma'lum dasturiy ta'minot funktsiyalariga ega marshrutizatorlar, kalitlar, turli xil IPS tizimlari, IDS, HIPS tizimlari, shuningdek, turli xil antivirus tizimlari, pochta bo'lishi mumkin. proksi-serverlar, web-proksi va boshqa shunga o'xshash tizimlar.

Ko'p sonli xavfsizlik vositalari boshqaruv muammolarini keltirib chiqaradi, chunki nazorat nuqtalari soni ko'payadi, qayd etilgan hodisalar soni ko'payadi va natijada qaror qabul qilish uchun zarur bo'lgan vaqt oshadi (6-rasmga qarang).

6-rasm: Hujumning oldini olish uchun qaror qabul qilish jarayoni

Shu munosabat bilan, korxonaga tizimda olingan hodisalarni qayd etish va o'zaro bog'lash orqali mavjud axborot xavfsizligi darajasini baholashga qodir bo'lgan yuqori darajadagi tizim kerak.

Cisco MARS Monitoring and Response System bu funksiyalarni taqdim etadi.

Cisco MARS asosiy xususiyatlari

Cisco MARS - bu server versiyasidagi dasturiy va apparat yechimi. Tizim dasturiy taʼminoti Linux operatsion tizimiga asoslangan (yadro 2.6). Tizimning asosiy komponenti Oracle ma'lumotlar bazasi bo'lib, u ma'lumotlarni saqlash uchun ishlatiladi.

Cisco MARS Syslog, SNMP, NetFlow protokollari yordamida turli qurilmalardan ma'lumotlarni yig'ish imkoniyatiga ega, shuningdek, tizim jurnali fayllarini qabul qilish imkoniyatiga ega.

MARS Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape va boshqalar kabi turli ishlab chiqaruvchilarning uskunalarini qo'llab-quvvatlaydi.

Cisco MARS tizimining ishlash mantig'i ma'lumotlar bazasiga so'rovlarga asoslanadi. Siz ma'lumotni tanlashingiz va uni manba IP manzili, maqsad IP manzili, portlar, hodisa turlari, qurilmalar, kalit so'zlar va boshqalar bo'yicha aniqlab olishingiz mumkin.

So'rovlar asosida tizimda guruhlangan ma'lum qoidalar asoslanadi. Cisco MARS ma'lumotlar bazasi 2000 dan ortiq qoidalarni o'z ichiga oladi. Siz o'zingizning qoidalaringizni yaratishingiz mumkin, shu bilan tizimni qabul qilingan tahdidlarning muayyan turlariga moslashuvchan tarzda moslashtirasiz.

Qoidani saqlash va ushbu qoidaga mos keladigan ma'lumotni aniqlagandan so'ng, hodisa hosil bo'ladi.

Cisco MARS ishlashini ko'rib chiqsak, biz xostga hujum qilishning aniq misolini taklif qilishimiz mumkin (7-rasmga qarang).

7-rasm: Xostga hujum qilish

Cisco MARS, bir nechta kalitlar va Cisco Security Agent mahsuloti o'rnatilgan noutbukni o'z ichiga olgan stend yig'ildi. Hujumga taqlid qilish uchun NMAP yordam dasturi yordamida xost xizmatlari skanerdan o'tkazildi.

Voqealar quyidagicha ko'rinadi:

Cisco Security Agent portni skanerlashni aniqladi;
Bu haqdagi ma'lumotlar Cisco Security Agent tizimining boshqaruv markaziga yetib keldi va u o'z navbatida MARSga xabar yubordi;
MARS qabul qilingan xabarni MARS ma'lumotlar bazasi tomonidan taqdim etilgan yagona shaklga tahlil qildi va normallashtirdi;
MARS ishlab chiqarilgan sessiya korrelyatsiyasi;
Bu voqea axborot xavfsizligi hodisalarini qayd etish uchun MARS da sozlangan qoidalar yordamida tekshirildi;
Noto'g'ri pozitivlar tekshirildi;
Hodisa yuzaga keldi va ma'lumot administratorga yuborildi.

Cisco MARS bosh sahifasida tarmoqdan axborot xavfsizligi hodisasi sodir bo'lganligi haqida ma'lumot paydo bo'ldi (8-rasmga qarang) va hujumning tarqalish yo'li ko'rsatilgan (9-rasmga qarang).

8-rasm: Cisco asboblar panelida hujum ma'lumotlarini ko'rsatish MARS

9-rasm: Cisco panelidagi hujum yo'li MARS

"Topologiyani almashtirish" tugmasini bosish orqali siz haqiqiy tarmoq topologiyasini ko'rishingiz va hujumning tarqalish yo'lini ko'rishingiz mumkin (10-rasmga qarang).

10-rasm: Cisco boshqaruv panelidagi hujumning tarqalish yo'lining tarmoq topologiyasi MARS

Hodisaga javob berish uchun Cisco MARS tarmoq qurilmasiga asoslangan hujumni oldini olish uchun bir nechta variantni taklif qiladi (11-rasmga qarang):

11-rasm: Hujumning oldini olish uchun javob

Cisco MARS shuningdek, barcha ro'yxatga olingan voqealar haqida batafsil ma'lumotlarni olish imkonini beruvchi moslashuvchan hisobot tizimiga ega. Bu himoyani takomillashtirish tamoyilini amalga oshirish imkonini beradi (12-rasmga qarang).

12-rasm: Xavfsizlikni yaxshilash tamoyili

Kompleks yechimga misol

Keling, K kompaniyasining markaziy ofisi uchun yuqoridagi mahsulotlarga asoslangan kompleks yechimni ko'rib chiqaylik.

K kompaniyasi shtab-kvartirasida uchta bo'limda 100 nafar xodimga ega. Microsoft Active Directory tizimi foydalanuvchi kirishini boshqarish uchun ishlatiladi.

Quyidagi vazifalarni hal qilish kerak:

har bir bo‘lim xodimlari uchun yaratilgan axborot xavfsizligi siyosatiga rioya etilishini ta’minlash;
muayyan xostlarda ishlaydigan dasturiy ta'minot haqida so'nggi ma'lumotlarga ega bo'lish;
korporativ muhitdan tashqarida joylashgan xostlar uchun tashqi tizimlarga kirishni nazorat qila olish;
belgilangan axborot xavfsizligi siyosati asosida tarmoqqa kirishni ta'minlash;
domen foydalanuvchi hisobiga asoslangan xost uchun belgilangan tekshiruvlar amalga oshirilishini ta'minlash;
tarmoqda sodir bo'layotgan voqealar monitoringini ta'minlash, shuningdek, NetFlow protokoli yordamida ma'lumot to'plash.

Cisco Security Agent siyosatlarini sozlash

Birinchidan, biz har bir foydalanuvchi guruhining kirish huquqlarini aniqlaymiz. Ushbu kirish qoidalariga muvofiq, faol tarmoq uskunasida domenga kirish huquqlari va filtrlash qoidalari sozlangan.

Siz Cisco Security Agent yordamida tarmoqqa kirish qoidalarini yaratishingiz mumkin, ammo bu qoidalar tabiatan juda shaxsiydir. Misol uchun, siz ma'lum bir foydalanuvchining ma'lum bir manbaga (IP, TCP / IP) kirishini rad qilishingiz mumkin. Ushbu misolda CSA uchun tarmoq qoidalari yaratilmagan.

Birinchi qadam CSAdagi barcha foydalanuvchilar guruhlari uchun agent ilovasini o'chirib qo'yishni imkonsiz qiladigan siyosat yaratishdir. Ushbu siyosat barcha foydalanuvchilar, jumladan mahalliy ma'murlar uchun ham amal qiladi.

Keyin kompyuterlarda o'rnatilgan dasturiy ta'minot haqida ma'lumot to'plash uchun jarayon ishga tushiriladi - bu jarayon Ilovalarni joylashtirishni tekshirish deb ataladi. Natijada biz hisobot olamiz (13-rasmga qarang).

13-rasm: Cisco-dan foydalangan holda o'rnatilgan ilovalar haqida hisobot Xavfsizlik Agent

Kelajakda biz ushbu ilovalarni tasniflashimiz mumkin, masalan, umumiy raqam ofis ilovalari, ICQ mijozlari, P2P ilovalari, elektron pochta ilovalari va boshqalardan farqlash. Shuningdek, CSA-dan foydalanib, axborot xavfsizligi siyosatini yanada yaratish uchun ma'lum bir dasturning xatti-harakatlarini tahlil qilish mumkin.

Bosh ofisning barcha foydalanuvchilari uchun barcha aniqlangan ilovalar uchun umumiy qoidalar yaratilgan. Amalga oshirish bosqichma-bosqich amalga oshiriladi - birinchidan, axborot xavfsizligi siyosati audit rejimida amalga oshiriladi, bu sizga barcha hodisalarni kuzatish imkonini beradi, lekin foydalanuvchilarning joriy harakatlariga ta'sir qilmaydi. Keyinchalik, qayta ko'rib chiqilgan siyosat ish rejimiga o'tkaziladi.

Ilovalarning statik tasnifiga qo'shimcha ravishda, CSA dinamik tasniflashni - dinamik sinf usulini ta'minlaydi. Masalan, Microsoft Word ilovasini ilovalarning ikkita sinfiga - mahalliy va tarmoqqa bo'lish mumkin va shunga qarab unga turli xil xavfsizlik siyosatlari qo'llanilishi mumkin (14-rasmga qarang).

14-rasm: Ilovalarni tasniflash uchun dinamik sinflar

Antivirusdan himoya qilish uchun CSA o'rnatilgan ClamAV antivirus moduliga ega. Agar sizda antivirus bo'lsa, ushbu modulni o'chirib qo'yish mumkin.

Axborot tarqalishini nazorat qilish

Maxfiy ma'lumotlarning sizib chiqishini oldini olish uchun CSA ma'lumotlar yo'qotilishining oldini olish deb nomlangan maxsus modulni taqdim etadi.

Ushbu dasturiy modul faollashtirilganda, CSA agenti maxfiy ma'lumotlar uchun fayllarni skanerlaydi. Axborot tasnifi qo'lda shablonlar - skanerlash teglari asosida o'rnatiladi (15-rasmga qarang). Fayllarni ochish/yopishda skanerlash bilan bir qatorda soyalarni skanerlashni ham amalga oshirish mumkin.

15-rasm: Maxfiy ma'lumotlarning tasnifi

Tasniflash tugallangandan so'ng, ushbu fayllar bilan ishlaydigan ilovalar uchun axborot xavfsizligi siyosatini yaratish va qo'llash kerak. Ushbu fayllarga kirishni, chop etishni, tashqi muhitga o'tkazishni, clipboardga nusxalashni va boshqa hodisalarni nazorat qilish kerak. Bularning barchasi Cisco Security Agent-da oldindan o'rnatilgan standart andozalar va qoidalar yordamida amalga oshirilishi mumkin.

Cisco NAC (Clean Access) ni sozlash

Cisco NAC-ni sozlashni boshlaganingizda, har bir aniq foydalanuvchi guruhi uchun ushbu tizimning ishlash mantiqini aniq tushunishingiz kerak.

K kompaniyasida amalga oshirilgan taqdirda, barcha foydalanuvchilar birinchi navbatda yagona VLANga tushishi rejalashtirilgan (16-rasmda Vlan 110). Ushbu VLAN-da ular axborot xavfsizligi siyosati talablariga muvofiqligi uchun autentifikatsiya va tekshirishdan o'tadilar. Ushbu VLAN-dan korporativ tarmoq resurslariga kirish cheklangan. OSI modelining ikkinchi darajasida foydalanuvchilar uchun faqat Clean Access Server mavjud. Shu bilan birga, DHCP-dan foydalangan holda, foydalanuvchilar ishlaydigan VLAN-lardan IP-manzillarni oladi, bu esa IP-manzilni qayta olish zaruratini yo'q qiladi.

16-rasm: autentifikatsiya VLAN

Agar tekshirish muvaffaqiyatli bo'lsa, foydalanuvchi "ishchi" VLAN-ga o'tkaziladi (17-rasmdagi Vlan 10). Ushbu VLAN raqami foydalanuvchi Active Directory-da tegishli bo'lgan Tashkiliy Birlikka (OU) muvofiq tayinlanadi. Bu funksiya NAC tizimidagi foydalanuvchi rollaridan foydalanish orqali amalga oshiriladi.

17-rasm: Foydalanuvchini "ish" VLAN-ga o'tkazish

Barcha Kompaniya K foydalanuvchilari Windows operatsion tizimi uchun eng so'nggi muhim yangilanishlarga rioya qilishlari va Cisco Security Agent ishlayotgan bo'lishi kerak.

Keling, foydalanuvchilarning shaxsiy kompyuterlarida Cisco Security Agent holatini qanday tekshirish mumkinligini ko'rib chiqaylik:

yangi chek yaratiladi (18-rasmga qarang);
keyin qoida yaratiladi (19-rasmga qarang);
talab yaratiladi (20-rasmga qarang);
Oxir-oqibat, bu talab foydalanuvchi roliga tegishli.

18-rasm: Yangi Cisco Security Agent holatini tekshirishni yaratish

19-rasm: Yangi Cisco Security Agent holatini tekshirish uchun qoida yaratish

20-rasm: Yangi Cisco Security Agent sog'lig'ini tekshirish uchun talablarni yaratish

Tugallangan sozlash natijasida HR guruhining barcha foydalanuvchilari uchun tarmoq resurslariga kirish uchun Cisco Security Agent ish sharti bajarilishi kerak.

Cisco NAC-dan foydalanib, antivirus ma'lumotlar bazalarining dolzarbligini, oxirgi xostlardagi xizmatlarning holatini va boshqa muhim narsalarni tekshirish mumkin.

Har bir konfiguratsiya opsiyasi individualdir, lekin shu bilan birga, tizim dastlab uni tez joylashtirishni osonlashtiradigan boy talablarga ega.

Cisco MARS o'rnatilmoqda

Cisco Security Agent va Cisco NAC hisobot ma'lumotlarini taqdim etish uchun boy tizimga ega, ammo hodisalarni o'zaro bog'lash imkoniyatiga ega bo'lish, shuningdek, turli qurilmalardan voqealar haqida ma'lumot to'plash imkoniyatiga ega bo'lish uchun Cisco MARS tizimidan foydalanish taklif etiladi.

Cisco MARS tizimining asosiy sozlamalari tizimga qurilmalar qo'shish (xavfsizlik devori, IPS, IDS, virusga qarshi tizimlar, pochta tizimlari va boshqalar), MARS serveriga NetFlow eksportini sozlash va foydalanuvchilarni sozlashni o'z ichiga oladi.

MARS allaqachon ko'plab oldindan belgilangan qoidalarga ega (21-rasmga qarang), bu tizimni tezda ishga tushirish va axborot xavfsizligi holati to'g'risida dolzarb ma'lumotlarni olish imkonini beradi.

21-rasm: Cisco bilan oldindan belgilangan qoidalar MARS

Chuqurroq moslashtirish uchun siz kiruvchi ma'lumotlarni tahlil qiladigan taxmin qilingan tahdid modellariga muvofiq o'z qoidalaringizni yaratishingiz kerak.

Agar qoidada ko'rsatilgan barcha zarur shartlar mavjud bo'lsa, tizimning asosiy panelida ko'rish mumkin bo'lgan hodisa yaratiladi. Cisco MARS-ga xizmat ko'rsatuvchi xodimlarning elektron pochtasiga bildirishnoma yuborish ham mumkin.

Shu tarzda, Cisco MARS tarmoq va xavfsizlik tizimi tomonidan taqdim etilgan zararli harakatlar haqidagi xom ashyoni tushunarli ma'lumotlarga aylantiradi, ular tarmoqda allaqachon mavjud bo'lgan uskunalar yordamida xavfsizlik buzilishlarini hal qilish uchun ishlatilishi mumkin.

Xulosa

Ko'rib chiqilgan murakkab tizim ma'murlarga kompaniyaning xavfsizlik siyosati buzilishini imkon qadar tezroq aniqlash va bartaraf etish imkonini beruvchi keng ko'lamli muammolarni hal qiladi.

Ushbu maqola uchun ishlatiladigan mahsulotlar ajralmas tizimlar bo'lib, bir-biridan alohida ishlashga qodir, ammo bu tizimlarni birlashtirishda eng so'nggi (nol kunlik) xavfsizlik tahdidlariga bardosh bera oladigan o'zini o'zi himoya qiluvchi tarmoq strategiyasi yotadi.

Zabiyakin Igor
“NTS” MChJ yetakchi muhandisi (NTS Ltd.)

Agar siz Cisco Systems kompaniyasining axborot xavfsizligi mahsulotlarini joriy qilmoqchi bo'lsangiz, u holda NTS vakillari bilan bog'lanishingiz mumkin.

CISCO MARS apparat va dasturiy ta'minot tizimi xavfsizlik tahdidlarini boshqarish uchun mo'ljallangan. Ular haqida ma'lumot manbalari quyidagilar bo'lishi mumkin: tarmoq uskunalari (marshrutizatorlar va kalitlar), xavfsizlik vositalari (xavfsizlik devorlari, antiviruslar, hujumlarni aniqlash tizimlari va xavfsizlik skanerlari), OT jurnallari (Solaris, Windows NT, 2000, 2003, Linux) va ilovalar (DBMS, veb va boshqalar), shuningdek tarmoq trafigini (masalan, Cisco Netflow). Cisco MARS turli ishlab chiqaruvchilarning yechimlarini qo'llab-quvvatlaydi - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft va boshqalar.

ContextCorrelation TM mexanizmi heterojen xavfsizlik vositalaridan hodisalarni tahlil qilish va solishtirish imkonini beradi. Ularning real vaqt rejimida tarmoq xaritasida vizualizatsiyasi SureVector TM dvigateli yordamida amalga oshiriladi. Ushbu mexanizmlar hujumning tarqalish yo'lini real vaqtda ko'rsatishga imkon beradi. Aniqlangan hujumlarning avtomatik bloklanishiga turli xil xavfsizlik choralari va tarmoq uskunalarini qayta sozlash imkonini beruvchi AutoMitigate TM mexanizmi yordamida erishiladi.

Asosiy xususiyatlar

Bir soniyada 10 000 tagacha va soniyada 300 000 dan ortiq Netflow hodisalarini qayta ishlash
O'zingizning korrelyatsiya qoidalarini yaratish qobiliyati
Elektron pochta, SNMP, syslog va peyjer orqali aniqlangan muammolar haqida xabar berish
Ma'lumotlar havolasi va tarmoq darajalarida hujumlarni vizualizatsiya qilish
Axborot manbalari sifatida Syslog, SNMP, RDEP, SDEE, Netflow, tizim va foydalanuvchi jurnallarini qo'llab-quvvatlaydi
Tahlil qilish uchun shaxsiy xavfsizlik vositalarini ulash imkoniyati
Noto'g'ri pozitiv va shovqinlarni samarali tarzda bostiradi, shuningdek, alohida xavfsizlik choralari bilan o'tkazib yuborilgan hujumlarni aniqlaydi.
NetFlow protokoli yordamida anomaliyalarni aniqlash
Tarmoq xaritasini yaratish va avtomatik yangilash, jumladan CiscoWorks va boshqa tarmoq boshqaruv tizimlaridan import qilish
IOS 802.1x, NACni qo'llab-quvvatlash (2-bosqich)
Kalitlarni himoya qilish mexanizmlarini monitoring qilish (Dynamic ARP Inspection, IP Source Guard va boshqalar).
Cisco Security Manager bilan integratsiya (CSM Police Lookup)
Hodisalarni boshqarish tizimlari yordamida integratsiya
RADIUS serverida autentifikatsiya
Cisco MARS komponentlari salomatligi monitoringi
Syslogni yo'naltirish
Cisco IPS-da yangi hujum imzolarini dinamik ravishda tanib olish va ularni Cisco MARS-ga yuklash

Cisco Security Monitoring, Analysis, and Response System MARS (Cisco Security Monitoring, Analysis, and Response System) — mavjud xavfsizlik tizimining batafsil monitoringi va nazorat qilish imkoniyatlarini taʼminlovchi, xavfsizlik tahdidlarini aniqlash, boshqarish va qaytarish imkonini beruvchi apparat qurilmasi.

Tarmoq va xavfsizlik ma'murlari quyidagi muammolarga duch kelishi mumkin:

Tarmoq holati va tizim xavfsizligi haqida juda katta hajmdagi ma'lumotlar;
Aniqlash vositalarining samarasizligi, hujumlar va nosozliklarning ahamiyatini aniqlash va javob choralarini ishlab chiqish;
Hujumlarning yuqori tezligi va murakkabligi va hujumlardan keyin tiklanishning yuqori narxi;
Audit va muvofiqlik tekshiruvlaridan o'tish uchun hisobotlarni yaratish zarurati.

Cisco MARS xususiyatlari

Axborotni yig'ish va qayta ishlash

Cisco Security MARS tarmoq topologiyasi, tarmoq qurilmalari konfiguratsiyasi va xavfsizlik qoidalari haqidagi barcha ma'lumotlarni to'playdi va birlashtiradi, uni tarmoq qurilmalari va xavfsizlik tizimlaridan qabul qiladi, shuningdek, tarmoq trafigini tahlil qiladi. Shu bilan birga, agentlardan foydalanish minimal bo'lib, bu tarmoq va umuman tizimning ish faoliyatini pasaytirmaydi.

Cisco Security MARS markaziy ravishda marshrutizatorlar, kalitlar, xavfsizlik devorlari, tajovuzlarni aniqlash tizimlari, zaiflik skanerlari, antivirus dasturlari, Windows, Solaris, Linux operatsion tizimlarida ishlaydigan serverlar, amaliy dasturlar (masalan, veb-serverlar, autentifikatsiya serverlari), DBMS kabi log fayllarini to'playdi. shuningdek, trafikni qayta ishlash dasturlari (masalan, Cisco NetFlow).

Hodisa korrelyatsiyasini aniqlash

Yig'ilgan ma'lumotlar tarmoq topologiyasi, qurilma konfiguratsiyasi, manba va maqsad manzillariga qarab tartibga solinadi. Qabul qilingan ma'lumotlarga asoslanib, tegishli voqealar real vaqtda sessiyalarga guruhlanadi. Tizim qoidalari va administrator tomonidan o'rnatilgan qoidalarga muvofiq, Cisco MARS hodisalar, nosozliklar va hujumlarni aniqlash uchun sessiyalarni tahlil qiladi.

Cisco MARS tizim qoidalarining katta to'plami bilan birga keladi, ular muntazam ravishda yangilanadi va ko'pchilik kombinatsiyalangan hujumlar, nol kunlik hujumlar, tarmoq qurtlari va boshqalarni aniqlashni o'z ichiga oladi. Administrator grafik interfeysdan foydalangan holda har qanday dastur uchun qoidalar yaratishi mumkin.

Hodisalar korrelyatsiyasi tuzilmalarini aniqlash tarmoq va tizim xavfsizligi to'g'risidagi ma'lumotlarning identifikatsiyasi, bu qaror qabul qilish uchun zarur bo'lgan ma'lumotlar miqdorini kamaytiradi va hujumlarga javob berish uchun ustuvor harakatlarni aniqlashga yordam beradi va natijada ko'rilgan choralar samaradorligini oshiradi.

Katta hajmdagi ma'lumotlarni to'plash va to'plash

Cisco MARS tarmoqdagi turli hodisalar haqida ma'lumot oladi, so'ngra ma'lumotlarni tuzadi va arxivlash uchun ma'lumotlarni siqadi. Katta hajmdagi ma'lumotlarni qayta ishlash samarali algoritmlar va o'rnatilgan yuqori samarali ma'lumotlar bazasi tufayli mumkin, ularning konfiguratsiyasi administrator uchun to'liq shaffof.

Ma'lumotlarni ikkilamchi arxivlash qurilmalariga o'tkazish, shuningdek, nosozliklardan keyin konfiguratsiyalarni tiklash imkoniyati uchun Cisco MARS NFS tarmoq fayl tizimini va xavfsiz FTP protokolini qo'llab-quvvatlaydi.

Hodisalarni vizualizatsiya qilish va hujumlarni qaytarish

Cisco Security MARS ma'murlarga hujumlar va nosozliklarni tezroq va osonroq aniqlash, hodisalarni tasdiqlash va hujumni yumshatish choralarini amalga oshirishda yordam berishi mumkin.

Cisco MARS kuchli grafik vositalarni taqdim etadi, ular yordamida siz tarmoq xaritasini (jumladan, hujumga uchragan tugunlar, hujum yo'llari) yaratishingiz, hujumlar va hodisalar haqida to'liq ma'lumotni ko'rsatishingiz mumkin. Bu sizga hujumlarni qaytarish uchun tezda harakat qilish imkonini beradi.

MARS hujumlarni aniqlash va tasdiqlash va ular haqida ma'lumot to'plash uchun voqea seanslarini tahlil qiladi (oxirgi tugunlarning MAC manzillarigacha). Ushbu avtomatlashtirilgan jarayon xavfsizlik jurnali fayllari (xavfsizlik devorlari, hujumlarni aniqlash tizimlari va boshqalar) tahlili va Cisco kompaniyasining o'zining MARS tekshiruvi noto'g'ri pozitivlar bilan to'ldiriladi.

Cisco MARS sizga hujum haqida to'liq ma'lumot olish imkonini berishidan tashqari, tizim hujumga zaif xostlarni avtomatik ravishda aniqlaydi va foydalanuvchi hujumni qaytarish uchun bajarishi mumkin bo'lgan buyruqlarni ishlab chiqaradi.

Haqiqiy vaqtda ma'lumot to'plash va muvofiqlik hisoboti

Cisco Security MARS-ning ajralib turadigan jihati shundaki, tizim holatini, hodisalarni va muntazam operatsiyalar, tekshiruvlar va auditlar uchun javoblarni avtomatik aniqlash uchun tarmoq va tizim xavfsizligi ma'lumotlarini tashkil qilish uchun ishlatish uchun qulay vositalar.

Cisco MARS real vaqt rejimida hujumlarni grafik ko'rsatish va tarixiy voqealarni tahlil qilishda hujumlar va hodisalar naqshlarini qayta qurish qobiliyatini ta'minlaydi.

Cisco Security MARS turli maqsadlar uchun hisobot berish imkoniyatlarini taqdim etadi: falokatlarni tiklash rejalarini ishlab chiqish, hodisalar va tarmoq faoliyatini tahlil qilish, joriy xavfsizlik holatini tekshirish va hisobotlar matn, jadval, grafik va diagrammalar shaklida yaratilishi mumkin. Shuningdek, ko'plab xorijiy standartlarga (PCI DSS, Sarbanes - Oxley, HIPAA va boshqalar) muvofiqligi bo'yicha hisobotlarni yaratish imkoniyatlari mavjud.

Tez amalga oshirish va moslashuvchan boshqaruv

Cisco Security MARS jurnali fayllari, SNMP xabarlarini yuborish va qabul qilish hamda standart yoki sotuvchiga xos xavfsiz protokollar yordamida tarmoq qurilmalari va xavfsizlik qurilmalari bilan seanslar o‘rnatish qobiliyatiga ega tarmoq ulanishini talab qiladi.

Cisco MARS-ni o'rnatish qo'shimcha uskuna, operatsion tizimni yangilash, qo'shimcha litsenziyalar yoki qo'shimcha ishlarni talab qilmaydi. Ishlash uchun Cisco MARS-ga ulanish uchun tarmoq qurilmalari va xavfsizlik vositalarini sozlash, shuningdek, kuzatilishi kerak bo'lgan tarmoqlar va tarmoq tugunlarini sozlash uchun faqat veb-interfeysdan foydalanishingiz kerak.

Cisco MARS mavjud tarmoq infratuzilmangiz bilan integratsiya qilish uchun jurnal fayllarini tashqi serverga o'tkazish imkonini beradi. Cisco Security MARS, shuningdek, qo'shimcha boshqaruv qurilmasini (Global Controller) o'rnatish imkonini beradi, bu quyidagilarni ta'minlaydi: bir nechta Cisco MARS tizimlarini ierarxik boshqarish, individual tizimlar hisobotlarini birlashtirish, qoidalar va hisobot shablonlarini o'rnatish va mahalliy Cisco MARS tizimlari uchun yangilanishlar.

Cisco MARS xususiyatlarining batafsil tavsifi

Dinamik seans korrelyatsiyasi:

Anomaliyalarni aniqlash, shu jumladan NetFlow ma'lumotlari
Xulq-atvor va qoidalarga asoslangan hodisa korrelyatsiyasi
Umumiy o'rnatilgan va foydalanuvchi tomonidan belgilangan qoidalar
Tarjima qilingan tarmoq manzillarini avtomatik normallashtirish

Topologik diagrammani qurish:

Routerlar, kalitlar va 2 va 3-qatlam xavfsizlik devorlari
Tarmoq hujumlarini aniqlash tizimining modullari va qurilmalari
Qo'lda yoki rejalashtirilgan qurilish
SSH, SNMP, Telnet va qurilmaga xos aloqalar

Zaiflikni tahlil qilish:

Tarmoq yoki tugunga asoslangan buzilishlarni aniqlash
Kalitlar, marshrutizatorlar, xavfsizlik devorlari va NAT konfiguratsiyasi tahlili
Zaifliklarni skanerlash ma'lumotlarini avtomatik qayta ishlash
Avtomatik va foydalanuvchi tomonidan aniqlangan noto'g'ri ijobiy tahlil

Buzilish tahlili va javobi:

Shaxsiy xavfsizlik hodisalarini boshqarish paneli
Seans hodisasi ma'lumotlarini barcha qoidalar konteksti bilan birlashtirish
Batafsil tahlil bilan hujum yo'lining grafik tasviri
Yakuniy tugunlarning MAC manzillarini aniqlash bilan hujum yo'li bo'ylab qurilma profillari
Hujum turining grafik va batafsil ketma-ket ifodalanishi
Buzilish tafsilotlari, jumladan, qoidalar, ishlov berilmagan hodisalar, umumiy zaifliklar va tarmoq ta'siri va javob variantlari
Buzilishlarni tezkor tahlil qilish va noto'g'ri pozitivlarni aniqlash
Maxsus qoidalar va kalit so'z tahlilini qo'llab-quvvatlash uchun GUI yordamida qoidalarni aniqlang
Foydalanuvchilar uchun bosqichma-bosqich harakatlarni tavsiflovchi ish varag'ini berish bilan buzilishlarni baholash
Elektron pochta, peyjer, syslog va SNMP kabi bildirishnoma

So'rovlar va hisobotlarni yaratish:

Keng ko'lamli standart va moslashtirilgan so'rovlarni qo'llab-quvvatlaydigan grafik foydalanuvchi interfeysi
80 dan ortiq umumiy hisobotlar, shu jumladan boshqaruv, operatsiyalar va muvofiqlik hisobotlari
Cheksiz miqdordagi shaxsiy hisobotlarni yaratishga imkon beruvchi vizual interfeysga ega hisobot generatori
HTML va CSV fayllariga eksportni qo'llab-quvvatlovchi matn, grafik va umumiy hisobot formati
Chop etishga tayyor, guruh, standart va hokazo hisobotlarni yaratish

Ma'muriyat:

HTTPS veb-interfeysi; belgilangan ruxsatlarga ega rolga asoslangan boshqaruv
Global kontroller yordamida bir nechta Cisco MARS tizimlarini ierarxik boshqarish
Qurilmani qo'llab-quvvatlash, yangi qoidalar va xususiyatlarni o'z ichiga olgan avtomatik yangilanishlar
Xom buzilgan ma'lumotlar arxivlarini oflayn NFS xotirasiga doimiy ko'chirish

Qurilmani qo'llab-quvvatlash:

Tarmoq faol uskunalari: Cisco IOS dasturiy ta'minoti, 11.x va 12.x versiyalari; Cisco Catalyst OS 6.x versiyasi; Cisco NetFlow 5.0 va 7.0 versiyalari; Extreme Extremeware versiyasi 6.x.
Xavfsizlik devorlari/VPN: Cisco Adaptive Security Appliance versiyasi 7.0, Cisco PIX xavfsizlik moslamasining 6.x va 7.0 versiyalari; Cisco IOS xavfsizlik devorining 12.2(T) yoki undan yuqori versiyasi; Cisco Firewall Function Module (FWSM) 1.x, 2.1 va 2.2 versiyalari; Cisco VPN 3000 4.0 versiyasi uchun dasturiy ta'minot; xavfsizlik devori Checkpoint Firewall-1 NG FP-x va VPN-1 versiyalari FP3, FP4 va AI; NetScreen xavfsizlik devorining 4.x va 5.x versiyalari; Nokia xavfsizlik devorining FP3, FP4 va AI versiyalari.
IDS tizimlari: Cisco IDS 3.x, 4.x va 5.0 versiyasi; Cisco IDS modulining 3.x va 4.x versiyalari; Cisco IOS IPS versiyasi 12.2; Enterasys Dragon NIDS 6.x versiyasi; ISS RealSecure tarmoq sensori 6.5 va 7.0 versiyalari; Snort NIDS versiyasi 2.x; McAfee Intrushield NIDS 1.5 va 1.8 versiyalari; NetScreen IDP tizimining 2.x versiyasi; OT versiyalari 4.x va 5.x; Symantec MANHUNT tizimi.
Zaiflikni baholash tizimlari: eEye REM 1.x versiyasi va FoundStone FoundScan 3.x versiyasi.
Oxirgi nuqta xavfsizlik tizimlari: Cisco Security Agent 4.x versiyasi; McAfee Entercept 2.5 va 4.x versiyalari; so'nggi tugunlar uchun sensor ISS RealSecure Host Sensor versiyalari 6.5 va 7.0.
Antivirus dasturi: Symantec Antivirus 9.x versiyasi.
Autentifikatsiya serverlari: Cisco ACS server versiyalari 3.x va 4.x.
Yakuniy tugun operatsion tizimlari: Windows NT, 2000 va 2003 (agentlar bilan va ularsiz); Solaris OS 8.x, 9.x va 10.x versiyalari; Linux OS versiyasi 7.x.
Ilovalar: Veb-serverlar (ISS, iPlanet va Apache); Oracle 9i va 10g; NetCache.
Har qanday dasturning tizim jurnallarini yig'ish va monitoring qilish uchun universal qurilmani qo'llab-quvvatlash.

Qo'shimcha apparat xususiyatlari:

Maxsus maqsadlar uchun moslamalar, 19 dyuymli rafga o'rnatish; UL sertifikati.
Kengaytirilgan himoyaga ega OS; kamaytirilgan funktsiyalar to'plamiga ega xavfsizlik devori.
Ikki Ethernet 10/100/1000 interfeysi.
Qayta tiklash disklari bilan DVD-ROM.

CiscoWorks xavfsizlik ma'lumotlarini boshqarish yechimi (SIMS)

Biz tarmoq monitoringi, ma'lumotlarni yig'ish, tarmoq qurilmalarini qayta ishlash va boshqarish tizimining tavsifini taqdim etamiz.

CiscoWorks xavfsizlik ma'lumotlarini boshqarish yechimi (SIMS) boshqaruv, monitoring va statistik ma’lumotlarni yig‘ish tizimi bo‘lib, uning arxitekturasi ko‘p bosqichli modelga asoslangan (1-rasm), bu tizimni korxona tarmoq infratuzilmasi o‘sishi bilan bosqichma-bosqich kengaytirish imkonini beradi.
SIMS yadroni ifodalaydi - tarmoqdagi barcha hodisalarni to'plash, ularni tasniflash va doimiy monitoring qilish uchun yagona nuqta.

SIMSning asosiy vazifalari:

monitoring;
xavfsizlik devorlari, qurilmalar, hujumlarni aniqlash, antivirus va operatsion tizimlar, shuningdek, ilovalardan olingan ma'lumotlarni to'plash;
ma'lumotlarni tahlil qilish va qayta ishlash;
yakuniy natijani grafik shaklda taqdim etish - hisobotlar va diagrammalar;

SIMS nafaqat alohida qurilmaning, masalan, IDSning, balki butun tarmoqning mumkin bo'lgan xavfsizlik buzilishi to'g'risidagi ma'lumotlarni olish imkonini beradi va bu tarmoq xavfsizligini tashkil etishning kuchli/zaif tomonlarini ko'rish imkonini beradi.
SIMS 30 dan bir necha mingtagacha tarmoqlarga ega yirik korxonalar va Internet-provayderlar tarmoqlari uchun mo'ljallangan va HP Openview va Micromuse kabi tizimlar bilan birgalikda ishlashi mumkin. Shuningdek, tarmoqqa tajovuzlar aniqlanganda, SIMS muammoni tavsiflovchi hodisalarni yaratishi va ularni korporativ tarmoqning texnik yordam xizmatiga yuborishi mumkin.

Tizimning markaziy komponenti yadro hisoblanadi. Bu tarqatilgan dastur bo'lgan tezkor javob tizimi. SIMS korporativ tarmoqning istalgan joyida xavfsizlik siyosatining buzilishi haqida bildirishnomalarni olish imkonini beradi, hisobotlarni ishlab chiqaradi va veb-interfeysni qo'llab-quvvatlaydigan har qanday ilovadan ularga kirishni ta'minlaydi.

SIMS texnologiyasining ishlash printsipini 4 qismga bo'lish mumkin:

1. Standartlashtirish.

Turli tarmoq qurilmalaridan ma'lumotlar agentlar tomonidan yig'iladi (2-rasm), ular hodisalarni qayta ishlaydi, ularni guruhlarga to'playdi (20 minggacha turli hodisalarni tan oladi), ularni bitta ma'lumot turiga (IDMEF) qisqartiradi va TCP orqali serverga yuboradi. ma'lumotlarni qayta ishlash uchun asosiy dastur (SIM yadrosi) bilan.

2. Uyushma.

SIMS yadrosi olingan ma'lumotlarni xavfsizlik nuqtai nazaridan muhimlik darajasiga qarab 9 guruhga (3-rasm) taqsimlaydi. Katta tarmoqlarda tizimning miqyosliligi tufayli taqsimlangan ishlov berishni ta'minlash uchun bir nechta shunday serverlardan foydalanish mumkin.

3.Olingan ma'lumotlarni tahlil qilish.
Tizim olingan ma'lumotlarni tahlil qiladi va qayta ishlaydi. Tizim ishlashining ushbu bosqichida siz tarmoqning turli bo'limlari uchun shablonlar, xavfsizlik siyosati va himoya darajalarini farqlash uchun sozlamalarni o'rnatishingiz mumkin.

4.Vizualizatsiya.

To'rtinchi va oxirgi bosqichda SIMS o'z ishining natijasini qulay grafik shaklda taqdim etadi (4-rasm). Tizim ma'lumotlarning vizual taqdimoti uchun turli xil grafiklar, jadvallar va diagrammalar yaratish imkonini beradi. Tizim ma'lumotlar bazasida saqlangan parametrlardan foydalanib, alohida mezonlar bo'yicha ham, butun tizim bo'yicha ham qiyosiy tahlil qilish mumkin.

Mahsulot afzalliklari:

Masshtablilik
Tarqalgan arxitektura
Openview va Micromuse bilan integratsiya

SIMS-ni alohida dasturiy ta'minot sifatida sotib olish va serverga o'rnatish yoki yuqori samarali server platformasida allaqachon o'rnatish mumkin.

1-jadval. Uskuna platformasi bilan SIMS 3.1 yechimiga buyurtma berish uchun ma'lumot.

2-jadval. Buyurtma ma'lumotlari SIMS 3.1 (faqat dasturiy ta'minot)

Mahsulot raqamlari	Tavsif
CWSIM-3.1-SS-K9	OC Solaris uchun SIMS 3.1 asosiy konfiguratsiyasi; 30 tagacha tarmoq qurilmalarini kuzatish uchun litsenziya, 1 ta asosiy maʼlumotlarni qayta ishlash serveri, 1 ta qoʻshimcha taqsimlangan maʼlumotlarni qayta ishlash serveri va 1 ta maʼlumotlar bazasi serveri uchun litsenziyani oʻz ichiga oladi.
CWSIM-3.1-SL-K9	OS Linux uchun SIMS 3.1 asosiy konfiguratsiyasi; 30 tagacha tarmoq qurilmalarini kuzatish uchun litsenziya, 1 ta asosiy maʼlumotlarni qayta ishlash serveri, 1 ta qoʻshimcha taqsimlangan maʼlumotlarni qayta ishlash serveri va 1 ta maʼlumotlar bazasi serveri uchun litsenziyani oʻz ichiga oladi.
CWSIM-3.1-DS-K9	Solaris OS bilan ishlaydigan mavjud CiscoWorks SIMS 3.1 yechimi uchun qo'shimcha saqlash serveri litsenziyasi.
CWSIM-3.1-DL-K9	Linux bilan ishlaydigan mavjud CiscoWorks SIMS 3.1 yechimi uchun qo'shimcha saqlash serveri litsenziyasi.
CWSIM-3.1-ADD20-K9	OS Solaris yoki Linux bilan ishlaydigan CiscoWorks SIMS 3.1 ishchi yechimiga 20 ta agent qo'shish uchun litsenziya.
CWSIM-3.1-MON30-K9	30 server 300 ish stantsiyasini kuzatish uchun Cisco Secure Agent uchun SIM 3.1 litsenziyasi
CWSIM-3.1-MON75-K9	75 server 750 ish stantsiyasini kuzatish uchun Cisco Secure Agent uchun SIM 3.1 litsenziyasi
CWSIM-3.1-EN-K9	Solaris yoki Linux OS bilan ishlaydigan taqsimlangan ma'lumotlarni qayta ishlash serverini qo'shish uchun litsenziya.
CWSIM-3.1-20LND-K9	Serverlarda 20 tagacha past darajadagi qurilmalar va operatsion tizimlarni kuzatish uchun litsenziya
CWSIM-3.1-100LNDK9	Serverlarda 100 tagacha past darajadagi qurilmalar va operatsion tizimlarni kuzatish uchun litsenziya
CWSIM-3.1-500LNDK9	Serverlarda 500 tagacha past darajadagi qurilmalar va operatsion tizimlarni kuzatish uchun litsenziya

3-jadval. SIMS 3.1 dasturini o'rnatish uchun minimal talablar.

Uskuna	Talablar
Markaziy protsessor	Linux: Dual Intel Pentium 4 1,5 GHz (server klassi)
Markaziy protsessor	Solaris: Dual UltraSPARC-IIIi 444 MGts (server klassi)
Ram	4 GB
Bo'sh disk maydoni	18 GB
Saqlash qurilmasi	CD-ROM

Qo'shimcha ma'lumot uchun Cisco Systems veb-saytiga tashrif buyuring http://www.cisco.com/go/sims

Cisco Xavfsizlik monitoringi, tahlili va javob tizimi (CS-MARS)

Cisco Xavfsizlik monitoringi, tahlili va javob tizimi (CS-MARS) - tarmoq xavfsizligi hodisalari o'zaro bog'liqligini ta'minlaydigan va tarmoqqa ruxsatsiz kirish va bosqinlarga proaktiv javob berish uchun qoidalarni qo'llash imkonini beruvchi tarmoq monitoringi tizimi. Tizim yuqori unumli serverda o'rnatilgan dasturiy ta'minotdan iborat.

Tizimning asosiy funktsiyalari:

tarmoq monitoringi;
tarmoq grafigini qurish;
tarmoq hujumlarini aniqlash va ularni grafik ko'rsatish;
tarmoq qurilmalari sozlamalarini o'rganish;
ma'lumotlarni yig'ish tahlili va turli tarmoq qurilmalaridan olingan ma'lumotlarni qayta ishlash;
yakuniy natijani grafikalar, hisobotlar va diagrammalar shaklida taqdim etish;

MARS tarmoq infratuzilmasini real vaqt rejimida tarmoq hujumlarining tarqalishini tasvirlaydigan grafik ko'rinishda ko'rsatadi (1-rasm). Marshrutizatorlar, kalitlar va xavfsizlik devorlari (xavfsizlik devorlari) konfiguratsiyasini tahlil qilish orqali MARS, hatto xavfsizlik devori orqasida bo'lsa ham, ruxsatsiz kirishdan infektsiya manbasini kuzatish uchun etarlicha aqlli.

Tarmoq topologiyasini qurish (2-rasm), kalitlar (SNMP STP MIB-ni qo'llab-quvvatlashi kerak) va marshrutizatorlar (SNMP MIB II-ni qo'llab-quvvatlashi kerak) bilan o'zaro ta'sir qilish uchun MARS snmp protokolidan foydalanadi va xavfsizlik devori bilan o'zaro aloqada bo'lish va ularning konfiguratsiyasini olish uchun tizim telnet, SSH va CPMI dan foydalanadi.

MARS deyarli barcha tarmoq qurilmalari tomonidan yaratilishi mumkin bo'lgan hodisalarni qayd qiladi va taniydi:

tarmoq qurilmalari: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x;
ITU/VPN: Cisco PIX xavfsizlik devori 6.x, IOS xavfsizlik devori, FWSM 1.x, 2.2, Konsentrator 4.0, Checkpoint xavfsizlik devori-1 NGx, VPN-1, NetScreen xavfsizlik devori 4.0, 5.0, Nokia xavfsizlik devori;
IDS: Cisco NIDS 3.x, 4.x, Tarmoq IDS moduli 3.x, 4.x, Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0, Snort NIDS 2.x, McAfee Intrushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT;
Antivirus dasturi: Symantec A/V;
Autentifikatsiya serverlari: Cisco ACS;
Operatsion tizimlar: Windows NT, 2000, 2003 (agentlar bilan yoki ularsiz), Solaris, Linux (agentni o'rnatishni talab qiladi);
Ilovalar: Veb-serverlar (ISS, iPlanet, Apache), Oracle 9i, 10i audit jurnallari, Network Appliance NetCache, Oracle 9i va 10i;

MARS soniyasiga 10 mingtagacha hodisani qayta ishlay oladi. Tizim bu maqsadda miqyoslilikni qo'llab-quvvatlaydi, yirik korxonalar va Internet-provayderlar tarmoqlarida bir nechta MARS serverlari ulanishi mumkin bo'lgan MARS kontrollerlaridan foydalanish orqali ikki darajali arxitektura yaratilishi mumkin; Ushbu arxitekturadan foydalanganda tarmoq "zonalar" ga bo'linadi va ularning har biri ma'lum bir MARS serveriga tayinlanadi.
MARS tizimi tarmoq siyosatlarini markazlashtirilgan tarzda sozlash, ma'lumotlarni yig'ish va 80 tagacha turli xil standart hisobotlarni yaratish imkonini beradi.
MARS snmp protokoli, elektron pochta orqali qayd etilgan qoidabuzarliklar haqida xabar berishi, peyjerga xabarlar yuborishi yoki syslog voqealarini qayd etishi mumkin.
MARS agent va/yoki ma'lumotlar bazasi litsenziyalarini sotib olishni talab qilmaydi.