Построение системы информационной безопасности предприятия на базе решений от Cisco Systems. Построение системы информационной безопасности предприятия на базе решений от Cisco Systems Визуализация инцидентов и отражение атак

Система мониторинга, анализа и ответной реакции Cisco MARS

Система мониторинга, анализа и ответной реакции Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) является аппаратной комплексной платформой, предоставляющей не имеющие аналогов возможности тщательного наблюдения и контроля существующей системы безопасности. Являясь ключевым элементом жизненного цикла управления безопасностью, Cisco MARS предоставляет ИТ-подразделениям и персоналу обслуживания сети возможность обнаружения, управления и отражения угроз безопасности.

	Описание	Цена GPL
	CS-MARS 25 Appliance
	CSMARS 25R 1RU Appliance;75 EPS; 250 GB
	CSMARS 55 1RU Appliance;1500EPS;500GB,RAID 1,Redundant
	CSMARS 110R 2RU Appliance;4500EPS;1500GB,RAID 10,Redundant
	CSMARS 110 2RU Appliance;7500EPS;1500GB,RAID 10,Redundant
	CSMARS 210 2RU Appliance;15000EPS;2000GB,RAID10,Redundant
	MARS GC2 2RU Appliance;2000GB;RAID10;Redundant PS
CSMARS-GC2-LIC-K9=	Upgrade license for CS-MARS-GC2R to CS-MARS-GC2

На основе имеющихся инвестиций в сеть и систему безопасности данная система выполняет обнаружение и изоляцию элементов, нарушающих нормальную работу сети, а также предоставляет администраторам рекомендации по их полному устранению. Кроме того, данная система обеспечивает поддержку соответствия политикам безопасности и может быть включена как составляющая в состав общей системы соблюдения соответствия нормативным документам.

Администраторы сети и системы безопасности стоят перед множеством сложных задач включая:

• Информационная сложность системы безопасности и сети.
• Недостаточная эффективность средств обнаружения, определения приоритетов и выработки ответных действий в отношении атак и сбоев.
• Повышенная сложность, скорость распространения и стоимость ликвидации последствий атак.
• Необходимость соблюдения норм соответствия и требований по отчетности.
• Нехватка специалистов по безопасности и денежных средств.

Cisco MARS позволяет решить эти задачи за счет следующих действий:

• Интеграция в сеть интеллектуальных функций для повышения эффективности механизма корреляции сетевых аномалий и событий безопасности.
• Визуализация подтвержденных нарушений безопасности и автоматизация их расследования.
• Отражение атак за счет использования всех преимуществ существующей инфраструктуры сети и безопасности.
• Мониторинг конечных узлов, сети и операций службы безопасности для обеспечения соответствия нормативным документам.
• Предоставление масштабируемого и простого в реализации и использовании устройства с минимальными совокупными затратами владения (TCO).

Cisco MARS обеспечивает преобразование предоставляемых сетью и системой безопасности необработанных данных о злонамеренной активности в понятную информацию, которая может быть использована для устранения подтвержденных нарушений безопасности и обеспечения соответствия нормативным документам. Набор удобных в использовании аппаратных средств отражения угроз позволяет администраторам централизованно обнаруживать, определять приоритетность и отражать угрозы с помощью уже внедренных в инфраструктуру сетевых устройств и устройств защиты.

Программно-аппаратный комплекс CISCO MARS предназначен для управления угрозами безопасности. В качестве источников информации о них могут выступать: сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС (Solaris, Windows NT, 2000, 2003, Linux) и приложений (СУБД, web и т.д.), а также сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей – Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т.д.

Механизм ContextCorrelation TM позволяет проанализировать и сопоставить события от разнородных средств защиты. Визуализация их на карте сети в реальном времени достигается с помощью механизма SureVector TM . Данные механизмы позволяют отобразить путь распространения атаки в режиме реального времени. Автоматическое блокирование обнаруженных атак достигается с помощью механизма AutoMitigate TM , который позволяет реконфигурировать различные средства защиты и сетевое оборудование.

Основные возможности

• Обработка до 10 000 событий в секунду и свыше 300 000 событий Netflow в секунду
• Возможность создания собственных правил корреляции
• Уведомление об обнаруженных проблемах по e-mail, SNMP, через syslog и на пейджер
• Визуализация атаки на канальном и сетевых уровнях
• Поддержка Syslog, SNMP, RDEP, SDEE, Netflow, системных и пользовательских журналов регистрации в качестве источников информации
• Возможность подключения собственных средств защиты для анализа
• Эффективное отсечение ложных срабатываний и шума, а также обнаружение атак, пропущенных отдельными средствами защиты
• Обнаружение аномалий с помощью протокола NetFlow
• Создание и автоматическое обновление карты сети, включая импорт из CiscoWorks и других систем сетевого управления
• Поддержка IOS 802.1x, NAC (фаза 2)
• Мониторинг механизмов защиты коммутаторов (Dynamic ARP Inspection, IP Source Guard и т.д.)
• Интеграция с Cisco Security Manager (CSM Police Lookup)
• Интеграция с системами управления инцидентами с помощью
• Аутентификация на RADIUS-сервере
• Мониторинг работоспособности компонентов Cisco MARS
• Syslog forwarding
• Динамическое распознавание новых сигнатур атак на Cisco IPS и загрузках их в Cisco MARS

Одним из ведущих производителей продуктов информационной безопасности является компания Cisco. Данная статья ставит целью показать примеры использования продуктов Cisco Security Agent, Cisco NAC Appliance и Cisco MARS для обеспечения внутренней информационной безопасности компании. Данные продукты интегрируются между собой и позволяют построить легко управляемую и надежную систему.

Перед отделом информационной безопасности современной компании стоят совершенно различные задачи – это и поддержка защищенных каналов связи компании, поддержка подсистемы разграничения доступа пользователей, обеспечение антивирусной защиты, борьба со спамом, контроль утечек информации, а также обеспечение мониторинга событий информационной безопасности, происходящих в сети, и другие не менее важные задачи.

В настоящее время на рынке продуктов информационной безопасности существует огромное количество разработок, так или иначе позволяющих решить поставленные задачи. На наш взгляд наиболее верным путем является построение высокоинтегрированных систем защиты, способных наиболее гибко адаптироваться к конкретным процессам, происходящим в компании.

Введение

Любая система обеспечения информационной безопасности строится исходя из предполагаемой модели угроз. Приступая к планированию системы защиты необходимо рассматривать две категории угроз: внешние и внутренние.

Внешние угрозы являются легко прогнозируемыми, так как компания располагает полной информацией о том, какие сервисы являются доступными извне, какое программное обеспечение и аппаратные ресурсы обеспечивают связь данного сервиса и сети Интернет.

Бороться с внутренними угрозами намного сложнее, так как пользователи, работающие в компании, имеют различные уровни доступа и строят различные отношения внутри компании.

Для обеспечения защиты необходимо подходить комплексно, и не ограничиваться только техническими средствами. Грамотная работа службы информационной безопасности, а также четко продуманная административная политика компании помогут достичь максимальных результатов.

Административная политика строиться на фундаменте политики информационной безопасности. В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности, правила маркирования и правила обращения с конфиденциальной информацией. Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, включая авторизацию и аудит доступа.

Данные административные меры позволяют успешно бороться с наиболее многочисленным классом угроз – угрозами непреднамеренного разглашения конфиденциальной информации, но для борьбы со злоумышленниками его явно недостаточно – необходимо использование специальных программно-аппаратных средств.

Безопасность конечного хоста – Cisco Security Agent

Решение Cisco Security Agent (CSA) представляет собой систему обеспечения безопасности конечного хоста и в связке с другими системами позволяет решать более сложные и широкие задачи.

CSA обеспечивает защиту серверных систем и настольных компьютеров. Возможности Cisco Security Agent превышают возможности типовых решений для защиты оконечных узлов, объединяя в рамках одного программного средства передовые функции защиты от целенаправленных атак, шпионских программ, программ для скрытого удаленного управления, антивирусную защиту, а также защиту от утечек информации и многих других типов нарушения безопасности компьютера.

Cisco Security Agent представляет собой систему, использующую агентские приложения для применения настроенных на центральном сервере политик информационной безопасности.

CSA объединяет в себе защиту от «zero-day» атак, антивирус ClamAV, межсетевой экран, модуль защиты файлов и приложений, модуль «недоверенных» приложений и другие функции.

Cisco Security Agent предоставляет целый ряд ценных возможностей, среди которых можно выделить следующие:

• контроль соответствия состояния объектов сети требованиям политики безопасности;
• превентивная защита от целенаправленных атак;
• контроль USB, CD-ROM, PCMCIA и т.д.;
• создание замкнутой программной среды;
• способность обнаружения и изоляции вредоносных программ для скрытого удаленного управления;
• развитые функции предотвращения вторжения на узлы сети, персонального межсетевого экрана и защиты от совершенно новых атак;
• контроль утечки информации;
• контроль и предотвращение загрузки с несанкционированных носителей;
• оптимизация использования полосы пропускания Wi-Fi;
• обеспечение доступности критически важных приложений «клиент-сервер» и возможности осуществления транзакций;
• маркирование сетевого трафика;
• интеграцию с системами предотвращения вторжений (Cisco IPS);
• интеграция с системой контроля доступа к сети (Cisco NAC);
• интеграция с системой управления безопасностью (Cisco MARS).

Архитектура системы Cisco Security Agent представлена на рисунке 1. Агенты взаимодействуют с сервером управления и получают от него обновления политик и программного обеспечения.

Рисунок 1: Архитектура системы CSA

Конечные хосты объединяются в группы, для которых применяются политики информационной безопасности. Политики представляют собой наборы модулей правил (см. рисунок 2).

Рисунок 2: Политики, модули, правила в архитектуре CSA

Cisco Security Agent позволяет контролировать действия пользователей в то время, когда они подключены к сети передачи данных, и сервер управления доступен. Но также поддерживается специальный набор состояний, например недоступность менеджмент-центра, в котором для машин применяются специализированные политики доступа.

Второй системой обеспечения информационной безопасности является система контроля доступа к сети передачи данных.

Контроль доступа к сети – Cisco Network Admission Control (NAC)

Cisco NAC Appliance (бывший Cisco Clean Access) - это решение, предназначенное для автоматического обнаружения, изолирования и лечения инфицированных, уязвимых или не соответствующих политике безопасности узлов, осуществляющих проводной или беспроводной доступ к корпоративным ресурсам.

Будучи одним из компонентов технологии Network Admission Control, Clean Access выполнен либо в виде сетевого модуля для маршрутизаторов Cisco ISR (для сетей с количеством контролируемых устройств менее 100), либо в виде отдельного устройства.

Основными возможностями решения Cisco NAC являются:

• независимость от производителя сетевого оборудования (в режиме in-band);
• интеграция с Kerberos, LDAP, RADIUS, Active Directory, S/Ident и другими методами аутентификации;
• поддержка ОС Windows (включая Vista), MacOS, Linux, Xbox, PlayStation 2, КПК, принтеров, IP-телефонов и т. д.;
• поддержка антивирусов CA, F-Secure, Eset, «Лаборатории Касперского», McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro и других средств защиты компьютера (всего 250 производителей);
• помещение несоответствующего узла в карантин путем применения списков контроля доступа ACL или VLAN;
• создание "белого" списка узлов для ускорения их доступа к ресурсам сети;
• автоматическая установка отсутствующих обновлений, новых версий средств защиты или актуализация устаревших антивирусных баз;
• централизованное web-управление;
• поддержка русского языка;
• проведение прозрачного аудита.

Архитектура и принцип работы системы Cisco NAC Appliance

Cisco NAC – это программно-аппаратный комплекс для обеспечения внутренней информационной безопасности, который использует сетевую инфраструктуру, применяя политики информационной безопасности и ограничивая сетевой доступ тем устройствам, которые не удовлетворяют требованиям политик информационной безопасности.

Основными функциональными компонентами решения являются - сервер Clean Access Server (CAS) и Clean Access Manager (CAM). CAM отвечает за настройку политик безопасности, а CAS за их выполнение.

Оборудование может устанавливаться в отказоустойчивой конфигурации, при которой выполняется Active/Standby Failover.

На рисунке 3 представлено состояние системы, при котором пользователь находится в специально созданном аутентификационном VLAN из которого пользователю разрешен доступ к DHCP-сервису и другим, в соответствии с политиками, настроенными на CAM.

Рисунок 3: Доступа к сети нет

После того, как пользователь прошел проверку на соответствие политикам информационной безопасности он допускается в сеть путем назначения порта коммутатора в определенный VLAN (Рисунок 4).

Пользователи могут проходить процедуру аутентификации как при помощи специализированного агента – Cisco Clean Access, который также выполняет сбор информации для проверок, так и при помощи web-аутентификации.

Рисунок 4: Cisco NAC – Доступ к сети разрешен

Логика работы системы складывается из составных частей – проверок, правил и требований, применяемых к каждой конкретной роли пользователей.

Например, можно создать несколько ролей, соотносящихся с отделами компании и для каждой роли настроить определенные требования, выполнение которых становится обязательным условием для доступа в корпоративную среду.

Рисунок 5: Cisco NAC – Логика работы системы

Доступны различные варианты проверок. Можно проверить наличие запущенного приложения на ПК, установку необходимых «заплаток» для операционной системы, версию антивирусных баз и другие проверки.

Система информационной безопасности предполагает обязательное наличие системы мониторинга событий, происходящих в сети. Для этих целей предполагается использовать продукт Cisco Security Monitoring, Analysis and Response System (Cisco MARS).

Cisco Security Monitoring, Analysis and Response System (MARS)

Современные предприятия постоянно сталкиваются с проблемами, связанными с обеспечением информационной безопасности.

Сложность сетевой инфраструктуры влечет за собой увеличение количества средств защиты – этими устройствами могут быть отдельные межсетевые экраны, маршрутизаторы с определенным функционалом программного обеспечения, коммутаторы, различные системы IPS, IDS, HIPS-системы, а также различные антивирусные системы, почтовые прокси-серверы, web-прокси и другие подобные системы.

Большое количество средств защиты рождает проблемы управления, так как возрастает количество контрольных точек, растет количество регистрируемых событий и как следствие увеличивается время необходимое для принятия решений (см. рисунок 6).

Рисунок 6: Процесс принятия решения для предотвращения атаки

В связи с этим для предприятия возникает необходимость в системе более высокого уровня, способной оценить существующий уровень информационной безопасности, произведя регистрацию и корреляцию поступивших в систему событий.

Система мониторинга и реагирования Cisco MARS обеспечивает выполнение данных функций.

Основные возможности Cisco MARS

Cisco MARS представляет собой программно-аппаратное решение в серверном исполнении. Программное обеспечение системы базируется на операционной системе Linux (ядро 2.6). Основным компонентом системы является база данных Oracle, использующаяся для хранения информации.

Cisco MARS имеет возможность сбора информации с различных устройств по протоколам Syslog, SNMP, NetFlow, а также имеет возможность принимать системные лог-файлы.

MARS поддерживает оборудование различных вендоров таких как Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape и других.

Логика работы системы Cisco MARS базируется на запросах к базе данных. Можно выбирать информацию и уточнять её по IP-адресу источника, IP-адресу приемника, портам, типам событий, устройствам, по ключевым словам и так далее.

На базе запросов базируются определенные правила, которые группируются в системе. В базе Cisco MARS содержит более 2000 правил. Можно создавать свои правила, тем самым гибко адаптировать систему к конкретным видам предполагаемых угроз.

После сохранения правила и обнаружения информации, удовлетворяющей данному правилу – формируется инцидент.

Рассматривая работу Cisco MARS можно предложить конкретный пример выполнения атаки на хост (см. рисунок 7).

Рисунок 7: Выполнение атаки на хост

Собран стенд, содержащий Cisco MARS, несколько коммутаторов и ноутбук с установленным продуктом Cisco Security Agent. Для эмулирования атаки выполнено сканирование сервисов хоста при помощи утилиты NMAP.

При этом события выглядят следующим образом:

• Cisco Security Agent зафиксировал сканирование портов;
• Информация об этом попала на менеджмент центр системы Cisco Security Agent, который в свою очередь отправил сообщение на MARS;
• MARS произвел синтаксический разбор и нормализацию полученного сообщения к единому виду, предусмотренному базой данных MARS;
• MARS произвел корреляцию сессий;
• Данное событие было проверено при помощи правил, настроенных на MARS с целью регистрации инцидентов информационной безопасности;
• Произведена проверка на ложное срабатывание;
• Сформирован инцидент и выведена информация администратору.

На главной странице Cisco MARS появилась информация о том, что с сети произошел инцидент информационной безопасности (см. рисунок 8), и показан путь распространения атаки (см. рисунок 9).

Рисунок 8: Отражение информации об атаке в панели Cisco MARS

Рисунок 9: Путь распространения атаки в панели Cisco MARS

При нажатии на кнопку «Toggle Topology» можно увидеть реальную сетевую топологию и посмотреть путь распространения атаки (см. рисунок 10).

Рисунок 10: Сетевая топология пути распространения атаки в панели Cisco MARS

В качестве ответных мер на возникший инцидент Cisco MARS предлагает несколько вариантов предотвращения атаки с привязкой к сетевым устройствам (см. рисунок 11):

Рисунок 11: Ответные меры для предотвращения атаки

Также Cisco MARS имеет гибкую систему отчетов, что позволяет получать детализированные данные по всем зарегистрированным событиям. Это позволяет реализовывать принцип совершенствования защиты (см. рисунок 12).

Рисунок 12: Принцип совершенствования защиты

Пример комплексного решения

Рассмотрим комплексное решение на базе вышеперечисленных продуктов для центрального офиса компании К.

В головном офисе компании К работает 100 сотрудников, состоящих в трех отделах. Для контроля доступа пользователей используется система Microsoft Active Directory.

Необходимо решить следующие задачи:

• обеспечить выполнение политик информационной безопасности, созданных для сотрудников каждого отдела;
• иметь актуальную информацию о программном обеспечении, работающем на конкретных хостах;
• иметь возможность контроля доступа к внешним системам для хостов, находящихся вне корпоративной среды;
• обеспечить доступ к сети на основании заданных политик информационной безопасности;
• обеспечить выполнение заданных проверок для хоста на основании доменной учетной записи пользователя;
• обеспечить мониторинг происходящих в сети событий, а также сбор информации по протоколу NetFlow.

Настройка политик Cisco Security Agent

Для начала определяем права доступа каждой группы пользователей. В соответствии с данными правилами доступа настраиваются доменные права доступа и правила фильтрации на активном сетевом оборудовании.

Можно создать правила сетевого доступа при помощи Cisco Security Agent, но данные правила носят скорее частный характер. Например, можно запретить конкретному пользователю доступ к определенному ресурсу (IP, TCP/IP). В данном примере сетевые правила для CSA не создаются.

В первую очередь для всех групп пользователей в CSA создается политика, делающая невозможным отключение агентского приложения. Данная политика распространяется на всех пользователей, в том числе и на локальных администраторов.

Затем запускается процесс, позволяющий собрать информацию об установленном на компьютерах программном обеспечении – процесс под названием Application Deployment Investigation. В результате получаем отчет (см. рисунок 13).

Рисунок 13: Отчет об установленных приложениях при помощи Cisco Security Agent

В дальнейшем мы можем классифицировать данные приложения, например, выделяя из общего числа офисные приложения, ICQ-клиенты, P2P-приложения, почтовые приложения и так далее. Также при помощи CSA возможно проанализировать поведение конкретного приложения для дальнейшего создания политик информационной безопасности.

Для всех пользователей головного офиса создаются общие правила для всех выявленных приложений. Внедрение выполняется поэтапно – сначала политика ИБ внедряется в режиме аудита, что позволяет контролировать все события, но не влиять на текущие действия пользователей. В дальнейшем доработанная политика переводится в рабочий режим.

Кроме статической классификации приложений в CSA предусматривается динамическая классификация – метод динамических классов. Например, приложение Microsoft Word может быть отнесено к двум классам приложений – локальным и сетевым, и в зависимости от этого к нему могут применяться различные политики безопасности (см. рисунок 14).

Рисунок 14: Динамические классы для классификации приложений

Для антивирусной защиты в CSA предусмотрен встроенный модуль антивируса ClamAV. В случае наличия антивируса, этот модуль можно отключить.

Контроль утечек информации

Для предотвращения утечек конфиденциальной информации в CSA предусмотрен специальный модуль под названием Data Loss Prevention.

При активации данного программного модуля агент CSA сканирует файлы на предмет вхождения конфиденциальной информации. Классификация информации задается вручную на основе шаблонов – scanning tags (см. рисунок 15). Возможно выполнение теневого сканирования, а также сканирования при открытии/закрытии файлов.

Рисунок 15: Классификация конфиденциальной информации

После выполненной классификации необходимо создать и применить политики информационной безопасности для приложений, работающих с данными файлами. Необходимо осуществлять контроль доступа к данным файлам, вывод на печать, передачу на внешние носители, копирование в буфер обмена и другие события. Все это можно сделать, используя стандартные шаблоны и правила, которые предустановленны в Cisco Security Agent.

Настройка Cisco NAC (Clean Access)

Приступая к конфигурированию Cisco NAC необходимо четко представлять себе логику работы данной системы для каждой конкретной группы пользователей.

В случае внедрения в компании К запланировано, что все пользователи сначала будут попадать в единый VLAN (Vlan 110 на рисунке 16). Находясь в данном VLAN, они проходят процедуру аутентификации и проверки на соответствие требованиям политик информационной безопасности. Доступ из данного VLAN к ресурсам корпоративной сети ограничен. На втором уровне модели OSI для пользователей доступен только Clean Access Server. При этом по DHCP пользователи получают IP-адреса из рабочих VLAN, что избавляет от необходимости повторного получения IP-адреса.

Рисунок 16: Аутентификационный VLAN

В случае успешной проверки, пользователь переводится в «рабочий» VLAN (Vlan 10 на рисунке 17). Номер данного VLAN присваивается в соответствии с Organizational Unit (OU), к которому принадлежит данный пользователь в Active Directory. Данный функционал становится возможным благодаря использованию ролей пользователей в системе NAC.

Рисунок 17: Перевод пользователя в «рабочий» VLAN

Для всех пользователей компании К предусматривается настройка требований соответствия последним критично важным обновлениям для операционной системы Windows, а также наличие запущенной Cisco Security Agent.

Рассмотрим, как можно проверить состояние Cisco Security Agent на персональных компьютерах пользователей:

• создается новая проверка (см. рисунок 18);
• затем создается правило (см. рисунок 19);
• создается требование (см. рисунок 20);
• в конечном итоге данное требование применяется к роли пользователей.

Рисунок 18: Создание новой проверки состояния Cisco Security Agent

Рисунок 19: Создание правила для новой проверки состояний Cisco Security Agent

Рисунок 20: Создание требований для новой проверки состояния Cisco Security Agent

В результате выполненной настройки для всех пользователей группы HR, для осуществления доступа к ресурсам сети должно выполняться условие работы Cisco Security Agent.

При помощи Cisco NAC возможно осуществлять проверки актуальности антивирусных баз, состояние сервисов на конечных хостах и другие немаловажные вещи.

Каждый вариант настройки индивидуален, но в тоже время система изначально имеет богатый набор требований, способствующий её быстрому развертыванию.

Настройка Cisco MARS

Cisco Security Agent и Cisco NAC имеют богатую систему предоставления отчетной информации, но для возможности корреляции событий, а также для возможности сбора информации о событиях с различных устройств предлагается использовать систему Cisco MARS.

В качестве базовых настроек системы Cisco MARS можно указать добавление устройств в систему (межсетевые экраны, IPS, IDS, антивирусные системы, почтовые системы и др.), настройку экспорта NetFlow на сервер MARS, а также настройку пользователей.

MARS уже имеет большое количество предустановленных правил (см. рисунок 21), что позволяет максимально быстро ввести систему в эксплуатацию и получать актуальные сведения о состоянии информационной безопасности.

Рисунок 21: Предустановленные правила с Cisco MARS

Для более глубокой настройки требуется в соответствии с прогнозируемыми моделями угроз составлять свои правила, которые будут анализировать поступающую информацию.

При наличии всех необходимых условий, прописанных в правиле, создается инцидент, который можно увидеть на главной панели системы. Также возможна отправка уведомления на электронную почту персонала, обслуживающего Cisco MARS.

Таким образом, Cisco MARS обеспечивает преобразование предоставляемых сетью и системой безопасности необработанных данных о злонамеренной активности в понятную информацию, которая используется для устранения нарушений безопасности при помощи уже существующего в сети оборудования.

Заключение

Рассмотренная комплексная система, решает широкий круг задач, позволяя администраторам в максимально короткие сроки выявлять и устранять нарушения политик безопасности компании.

Использованные для статьи продукты, являются целостными системами и способны работать в отдельности друг от друга, но в объединении данных систем лежит стратегия самозащищающейся сети, способной противостоять новейшим угрозам (zero-day) безопасности.

Забиякин Игорь
Ведущий инженер ООО «НТС» (NTS Ltd.)

Если вы заинтересованы во внедрении продуктов по информационной безопасности от Cisco Systems, то вы можете обратиться к представителям компании NTS.

Методики информационной защиты эволюционировали от защиты периметра на стыке с Internet к «глубинной» модели, при которой множественные меры противодействия распределены на многих уровнях по всей инфраструктуре. Многоуровневая модель становится необходимостью вследствие увеличения количества атак, увеличения их сложности и скорости реализации. Объекты сети могут тысячи раз за день подвергаться сканированию в поисках уязвимостей. Современные «смешанные» или гибридные атаки используют множество хитроумных методик для получения неавторизованного доступа и контроля как снаружи, так и изнутри организаций. Распространение «червей», вирусов, «троянов», шпионских программ и специального программного обеспечения представляет угрозу даже для серьезно защищенных сетей, оставляя меньше времени на реагирование и увеличивая стоимость восстановления.

Кроме того, в добавление к большому количеству серверов и сетевых устройств, каждый компонент системы защиты ведет свой журнал событий, имеет свой набор инструментов для обнаружения аномалий, реагирования на угрозы. К сожалению такая ситуация приводит к необходимости обрабатывать огромное количество разрозненных журналов событий, ложных сигналов опасности, следствием чего становится отсутствие возможности эффективного реагирования оператора.

Продукты, предназначенные для управления информационной безопасностью и событиями, позволяют определенным образом оценивать угрозы, и соответственно их обрабатывать. Данные решения позволяют службам ИТ-безопасности централизованно собирать и обрабатывать данные о событиях, использовать корреляции, очереди обработки, и генерировать отчеты…..

Обзор решения компании Cisco Systems

Cisco Security MARS — это аппаратное, полнофункциональное решение, обеспечивающее понимание и контроль существующей системы безопасности. Являясь частью комплекса управления безопасности, MARS позволяет идентифицировать, контролировать, и пресекать угрозы безопасности. Решение работает с существующей сетью и системой безопасности с целью нахождения, изолирования и устранения проблемных элементов. Также MARS помогает поддерживать целостность внутренней политики безопасности и может быть интегрирована как часть общего решения регулирования сети.

Администраторы безопасности сталкиваются с множеством проблем, таких как:

• Чрезмерный поток поступающей информации о сети и системы безопасности
• Проблемы при распознании атак и ошибки при идентификации, приоритезации и реагировании
• Усложнение атак, увеличение стоимости восстановления
• Необходимость поддержания соответствия системы безопасности
• Проблемы с персоналом

Cisco Security MARS позволяет решить данные проблемы следующим образом:

Интегрирует сетевые данные для построения корреляций сетевых аномалий и инцидентов безопасности

Отслеживает возникающие инциденты и автоматизирует исследование

Ослабляет атаки используя все возможности существующей сети и инфраструктуры безопасности

Отслеживает состояние объектов, сети, процедур безопасности на соответствие требуемому шаблону

Выступает как масштабируемое решение, простое во внедрении и эксплуатации, при низкой стоимости владения

Cisco Security MARS преобразовывает первичные данные в форму удобную для обработки, обеспечивает возможность целенаправленно обнаруживать, пресекать и генерировать отчеты для приоритетных угроз, с использованием устройств уже внедренных в сетевую инфраструктуру.

Развитие средств управления информационной безопасности и предотвращения угроз

В рамках решения данной задачи Cisco предлагает линейку масштабируемых аппаратных комплексов. Cisco Security MARS одна из высокопроизводительных, масштабируемых систем, защищающих сетевые устройства и оптимизирующих информационную безопасность путем комбинирования данных о сети, функций корреляции контента «Context Correlation», «SureVector™ analysis», возможности автоматического пресечения угроз. Платформа MARS, тесно интегрирована с комплексом управления безопасностью — Cisco Security Manager. Такая интеграция позволяет привязывать сообщения о событии к политике настроенной в Cisco Security Manager. Обзор политик позволяет проводить оперативный анализ работы политик безопасности на firewall и обнаруживать сетевые проблемы и ошибки конфигурирования.

Возможности и преимущества

Интеллектуальная обработка событий и управление производительностью

Cisco Security MARS, использует сетевые данные применяя знания о топологии сети, конфигурации устройств и профили сетевого трафика. Интегрированная в систему функция исследования сети строит топологическую схему, включающую конфигурации устройств и применяемые политики безопасности, что позволяет Cisco Security MARS моделировать потоки данных в сети. Поскольку Cisco Security MARS не обрабатывает непосредственно сетевой трафик, и минимально использует программные элементы сети, воздействие на общую производительность сети остается минимальным.

Cisco Security MARS централизованно собирает данные о событиях с широкого круга сетевых устройств, таких как маршрутизаторы и коммутаторы; устройств и приложений безопасности таких как, сетевые экраны, устройства распознания вторжений , сканеры уязвимостей, и антивирусные приложения. Также обрабатываются данные с конечных систем (Windows, Solaris, Linux), приложений (базы данных, Web-серверов и сервера аутентификации), статистика по сетевому трафику (Cisco NetFlow).

Контекстная корреляция

При получении данных выстраивается единая схема соответствия с сетевой топологией, конфигурацией устройств, параметрами трансляций адресов (NAT). Соответствующие события группируются в режиме реального времени. Затем системные и пользовательские правила корреляции применяются для выявления сетевых инцидентов. Cisco Security MARS поставляется с полнофункциональным набором шаблонов корреляций, регулярно обновляемых Cisco, которые позволяют выявлять большую часть различных комплексных атак. Графические инструменты упрощают создание правил для различных приложений. Контекстная корреляция существенно уменьшает объем обрабатываемых «сырых» данных, что позволяет реализовать приоритезацию реагирования и повышает результативность применяемых контрмер.

Высокопроизводительное агрегирование

Cisco Security MARS обрабатывает миллионы первичных сообщений, проводит эффективную классификацию событий, что позволяет существенно уменьшить объемы данных и сжимает информацию для архивирования. Управление такими объемами данных требует стабильной и безопасной централизованной платформы. Устройства Cisco Security MARS оптимизированы для обработки большого количества событий, до 15000 в секунду, или 300000 Cisco NetFlow событий в секунду. Кроме того MARS поддерживает резервирование и восстановление конфигураций и данных через NFS, и sFTP.

Визуализация и подавление инцидентов

MARS позволяет ускорить и упростить процесс обнаружения, исследования, оценки и устранения угроз. Обычной проблемой для персонала служб ИТ-безопасности является большие затраты времени на анализ и разрешение возникающих событий безопасности. В данном случае, Cisco Security MARS – это функциональный, интерактивный инструмент для управления безопасностью и создания правил.

Графическая рабочая среда отображает топологическую карту, показывающую события, направления атак, детализацию инцидентов, что позволяет мгновенно идентифицировать существующие угрозы. Cisco «SureVector analysis» обрабатывает близкие группы событий для оценки реальности угрозы, и ее происхождения, вплоть до MAC-адреса конечного устройства. Автоматизация процесса происходит путем анализа журналов событий таких устройств как сетевые экраны и устройства предотвращения вторжений (IPS), сторонних систем оценки данных и результатов сканирования конечных устройств для предотвращения ложных срабатываний. Используя Cisco Security MARS, службы безопасности получают средства для быстрого понимания компонентов сложной атаки, и идентификации пораженной системы. Функции «автоматического подавления» Cisco находит доступные контрольные устройства на пути атаки, и автоматически предоставляют соответствующие команды, которые оператор может быстро применить для устранения угрозы.

Оперативный анализ и проверка соответствия

Cisco Security MARS предоставляет легкую в использовании структуру, упрощающую текущую работу по поддержанию безопасности, автоматизирующую исследование, эскалацию, оповещение, документирование текущих операций и специализированный аудит. Cisco Security MARS графически отображает атаки и извлекает накопленные данные для анализа предыдущих событий. Система полностью поддерживает произвольные запросы, для оперативного получения информации.

Cisco Security MARS предлагает множество встроенных шаблонов запросов, поддерживает совместимость с протоколами PCI-DSS, GLBA, HIPAA, FISMA, Basel II. Генератор отчетов позволяет модифицировать более чем 100 стандартных, либо создавать новые с неограниченными возможностями для планирования процедур реагирования и восстановления, отслеживания инцидентов и сетевой активности, отслеживания соответствия политик безопасности и проведения аудита. Также поддерживается рассылка отчетов.

Скорость и простота внедрения

При внедрении Cisco Security MARS необходимо обеспечить возможность отправки и получения «syslog» сообщений, сообщений SNMP (SNMP traps), также необходимо наличие связи с установленными сетевыми устройствами по общепринятым, либо закрытым протоколам. Не требуется ни дополнительного оборудования, ни модифицирования используемого программного обеспечения. Таким образом конфигурируется пересылка сообщений на Cisco Security MARS, и объекты наблюдения добавляются через «Web-based GUI». MARS может пересылать статистику на внешние сервера, для интеграции с текущей инфраструктурой.

Система мониторинга, анализа и ответной реакции Cisco Security MARS (Cisco Security Monitoring, Analysis, and Response System) - это аппаратное устройство, предоставляющее возможности детального наблюдения и контроля существующей системы безопасности, обнаружения, управления и отражения угроз безопасности.

Администраторы сети и систем безопасности могут столкнуться со следующими проблемами:

• Очень большой объём информации о состоянии сети и безопасности системы;
• Недостаточная эффективность средств обнаружения, определения значимости атак и сбоев и выработки ответных действий;
• Высокая скорость и сложность атак и высокая стоимость восстановления после атак;
• Необходимость создания отчётов для прохождения аудитов и проверок на соответствие требованиям.

Возможности Cisco MARS

Сбор и обработка информации

Cisco Security MARS накапливает и объединяет всю информацию о топологии сети, конфигурации сетевых устройств и правилах безопасности, получая её от сетевых устройств и систем безопасности, а также путём анализа сетевого трафика. При этом минимально использование агентов, что не снижает производительность сети и системы в целом.

Cisco Security MARS централизованно собирает файлы журналов с маршрутизаторов, коммутаторов, межсетевых экранов, систем обнаружения вторжений, сканеров уязвимостей, антивирусных приложений, с серверов под управлением операционных систем Windows , Solaris , Linux , прикладных программ (например, веб-серверов, серверов аутентификации), СУБД, а также программ обработки трафика (например, Cisco NetFlow).

Выявление корреляции событий

Собранная информация упорядочивается в зависимости от топологии сети, конфигурации устройств, адресов источника и назначения. На основе полученной информации связанные между собой события группируются в сессии в режиме реального времени. В соответствии с системными и заданными администратором правилами Cisco MARS анализирует сессии для выявления инцидентов, сбоев, атак.

Cisco MARS поставляется с большим набором системных правил, который регулярно обновляется и включает в себя обнаружение большинства комбинированных атак, неизвестных атак (zero - day attacks), сетевых червей и т.д.. Администратор может создавать правила для любого приложения с помощью графического интерфейса.

Выявление корреляции событий структурирует информацию о сети и о безопасности системы, что уменьшает необходимый для принятия решений объём информации и помогает определить приоритетные действия по реагированию на атаки, и как следствие, повышает эффективность предпринимаемых мер.

Сбор и накопление больших объёмов данных

Cisco MARS получает информацию о множестве событий в сети, далее структурирует данные, производит сжатие данных для архивации. Обработка огромных объёмов данных возможна благодаря использованию эффективных алгоритмов и встроенной высокопроизводительной базы данных, настройка которой полностью прозрачна для администратора.

Для переноса данных на вспомогательные устройства архивирования, а также для возможности восстановления конфигурации после сбоев Cisco MARS поддерживает сетевую файловую систему NFS и протокол secure FTP .

Визуализация инцидентов и отражение атак

Cisco Security MARS может помочь администраторам быстрее и проще выявлять атаки и сбои, проводить подтверждение инцидентов и осуществлять меры по отражению атак.

Cisco MARS предоставляет мощные графические средства, с помощью которых можно построить карту сети (включая атакуемые узлы, пути атак), отобразить полную информацию об атаках и инцидентах. Это позволяет оперативно провести действия по отражению атак.

MARS анализирует сессии событий для обнаружения и подтверждения атак и сбора информации о них (вплоть до MAC -адресов конечных узлов). Этот автоматический процесс дополняется анализом файлов журналов средств защиты (межсетевых экранов, систем обнаружения вторжений и т.д.) и собственными проверками Cisco MARS на ложные срабатывания.

Кроме того, что Cisco MARS позволяет получить полную информацию об атаке, система автоматически определяет уязвимые для атаки узлы и генерирует команды, которые пользователь может выполнить для отражения атаки.

Сбор информации и отчёты о соответствии в режиме реального времени

Отличительной чертой Cisco Security MARS являются простые в использовании средства структурирования информации о безопасности сети и системы, обеспечивающие автоматическое определение состояния системы, инцидентов и ответных мер как в повседневной работе, так и для проведения проверок и аудитов.

Cisco MARS предоставляет возможность графически отображать атаки как в режиме реального времени, так и воссоздавать схемы атак и инцидентов при анализе событий в прошлом.

Cisco Security MARS предоставляет возможности создания отчётов для различных целей: для разработки планов восстановления после сбоев, для анализа инцидентов и сетевой активности, для аудита текущего состояния безопасности, при этом отчёты могут создаваться в виде текста, таблиц, графиков и диаграмм. Также имеются возможности по созданию отчётов на соответствие множеству зарубежных стандартов (PCI DSS , Sarbanes - Oxley , HIPAA и др.).

Быстрое внедрение и гибкое управление

Для работы Cisco Security MARS необходимо подключение к сети с возможностью посылать и получать файлы журналов, сообщения по протоколу SNMP , а также устанавливать сеансы с сетевыми устройствами и средствами защиты по стандартным или зависящим от производителя защищённым протоколам.

Для установки Cisco MARS не требуется дополнительного оборудования, обновлений операционных систем, получения дополнительных лицензий или проведения вспомогательных работ. Для работы необходимо лишь, используя веб-интерфейс, настроить сетевые устройства и средства защиты на соединение с Cisco MARS , а также настроить сети и сетевые узлы, которые необходимо контролировать.

Cisco MARS позволяет передавать файлы журналов на внешний сервер для объединения с существующей сетевой инфраструктурой. Также Cisco Security MARS позволяет установить дополнительное устройство управления (Global Controller), обеспечивающее: иерархическое управление несколькими системами Cisco MARS, объединение отчётов отдельных систем, задание правил и шаблонов отчётов и обновления для локальных систем Cisco MARS.

Подробное описание возможностей Cisco MARS

Динамическая сеансовая корреляция :

• Обнаружение аномалий, включая информацию NetFlow
• Корреляция событий на основе поведения и правил
• Общие встроенные и определенные пользователем правила
• Автоматическая нормализация транслированных сетевых адресов

Построение топологической схемы :

• Маршрутизаторы, коммутаторы и межсетевые экраны уровня 2 и 3
• Модули и устройства сетевой системы обнаружения вторжений
• Ручное или по графику построение
• SSH, SNMP, Telnet и зависящие от конкретного устройства взаимодействия

Анализ уязвимостей :

• Снятие следов нарушений на основе сети или конечного узла
• Анализ конфигурации коммутаторов, маршрутизаторов, межсетевых экранов и NAT
• Автоматическая обработка данных сканирования уязвимостей
• Выполняемый автоматически и заданный пользователем анализ ложных срабатываний

Анализ нарушений и ответная реакция :

• Инструментальная панель управления отдельными событиями безопасности
• Объединение данных сеансовых событий с контекстом всех правил
• Графическое представление пути атаки с подробным анализом
• Профили устройств на пути атаки с определением MAC-адресов конечных узлов
• Графическое и подробное последовательное представление типа атаки
• Подробные данные нарушения, включая правила, необработанные события, общие уязвимости и способы воздействия на сеть, а также варианты отражения
• Мгновенный анализ нарушений и определение ложных срабатываний
• Определение правил с помощью графического интерфейса пользователя для поддержки собственных правил и анализа по ключевым словам
• Оценка нарушений с выдачей по пользователям рабочего листа с описанием пошаговых действий
• Оповещение, включая электронную почту, пейджер, системный журнал и SNMP

Формирование запросов и отчетов :

• Графический интерфейс пользователя, поддерживающий большое число стандартных и настраиваемых запросов
• Более 80 распространенных отчетов, включая отчеты по управлению, эксплуатации и контролю нормативного соответствия
• Генератор отчетов с наглядным интерфейсом, позволяющим создавать неограниченное число пользовательских отчетов
• Текстовый, графический и общий формат отчетов, поддерживающий экспорт в файлы HTML и CSV
• Создание готовых к печати, групповых, типовых и пр. отчетов

Администрирование :

• Web-интерфейс HTTPS; ролевое администрирование с заданными полномочиями
• Иерархическое управление несколькими системами Cisco MARS с помощью глобального контроллера
• Автоматические обновления, включая поддержку устройств, новых правил и функций
• Постоянный перенос архивов необработанных данных нарушений в автономные хранилища NFS

Поддержка устройств :

• Сетевое активное оборудование: Программное обеспечение Cisco IOS, версии 11.x и 12.x; ОС Cisco Catalyst версии 6.x; Cisco NetFlow версии 5.0 и 7.0; Extreme Extremeware версии 6.x.
• Межсетевые экраны/VPN: Cisco Adaptive Security Appliance версии 7.0, программное обеспечение для устройств защиты Cisco PIX версии 6.x и 7.0; межсетевой экран Cisco IOS версии 12.2(T) или выше; модуль функций межсетевого экрана Cisco (FWSM) версии 1.x, 2.1 и 2.2; программное обеспечение для Cisco VPN 3000 версии 4.0; межсетевой экран Checkpoint Firewall-1 NG FP-x и VPN-1 версии FP3, FP4 и AI; межсетевой экран NetScreen версии 4.x и 5.x; межсетевой экран Nokia версии FP3, FP4 и AI.
• Системы IDS: Система Cisco IDS версии 3.x, 4.x и 5.0; модуль Cisco IDS версии 3.x и 4.x; система Cisco IOS IPS версии 12.2; система Enterasys Dragon NIDS версии 6.x; сетевой сенсор ISS RealSecure версии 6.5 и 7.0; система Snort NIDS версии 2.x; система McAfee Intrushield NIDS версии 1.5 и 1.8; система NetScreen IDP версии 2.x; ОС версии 4.x и 5.x; система Symantec MANHUNT.
• Системы оценки уязвимости: система eEye REM версии 1.x и FoundStone FoundScan версии 3.x.
• Системы безопасности конечных узлов: программа-агент Cisco Security Agent версии 4.x; система McAfee Entercept версии 2.5 и 4.x; датчик для конечных узлов ISS RealSecure Host Sensor версии 6.5 и 7.0.
• Антивирусное ПО: Symantec Antivirus версии 9.x.
• Серверы аутентификации: Сервер Cisco ACS версии 3.x и 4.x.
• Операционные системы конечных узлов: ОС Windows NT, 2000 и 2003 (с агентами и без); ОС Solaris версии 8.x, 9.x и 10.x; ОС Linux версии 7.x.
• Приложения: Web-серверы (ISS, iPlanet и Apache); Oracle 9i и 10g; NetCache.
• Универсальная поддержка устройств для объединения и мониторинга системных журналов любых приложений.

Дополнительные аппаратные характеристики :

• Устройства специального назначения, монтаж в стойку 19 дюймов; сертификация UL.
• ОС с усиленной защитой; межсетевой экран с сокращенным набором функций.
• Два интерфейса Ethernet 10/100/1000.
• DVD-ROM с дисками для восстановления.