Budování podnikového informačního bezpečnostního systému založeného na řešeních od Cisco Systems. Produkty Sběr a zpracování informací

Monitorovací, analytický a odezvový systém Cisco MARS

Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) je komplexní hardwarová platforma poskytující jedinečné možnosti pro důkladné monitorování a kontrolu stávajícího bezpečnostního systému. Jako klíčový prvek životního cyklu správy zabezpečení poskytuje Cisco MARS pracovníkům IT a síťových operací schopnost detekovat, spravovat a překonávat bezpečnostní hrozby.

Na základě stávajících investic do sítě a zabezpečení tento systém detekuje a izoluje prvky, které narušují normální práce sítě a také poskytuje správcům doporučení týkající se jejich úplné odstranění. Tento systém navíc poskytuje podporu pro dodržování bezpečnostních zásad a může být zahrnut jako součást společný systém soulad s regulačními dokumenty.

Správci sítí a zabezpečení čelí mnoha složitým výzvám, včetně:

• Informační komplexnost bezpečnostního systému a sítě.
• Nedostatek efektivity při odhalování, stanovování priorit a reagování na útoky a selhání.
• Zvýšená složitost, rychlost šíření a náklady na zmírnění následků útoků.
• Nutnost dodržovat předpisy a požadavky na podávání zpráv.
• Nedostatek bezpečnostních specialistů a finančních prostředků.

Cisco MARS řeší tyto problémy takto:

• Integrace inteligentních funkcí do sítě pro zlepšení účinnosti mechanismu pro korelaci síťových anomálií a bezpečnostních událostí.
• Vizualizace potvrzených narušení bezpečnosti a automatizace jejich vyšetřování.
• Odrazte útoky plným využitím vaší stávající sítě a bezpečnostní infrastruktury.
• Monitorujte koncové body, síťové a bezpečnostní operace, abyste zajistili soulad s předpisy.
• Poskytování škálovatelného, ​​snadno implementovatelného a použitelného zařízení s minimálními celkovými náklady na vlastnictví (TCO).

Cisco MARS transformuje nezpracovaná síťová a bezpečnostní data o škodlivé činnosti na srozumitelné informace, které lze použít k vyřešení potvrzených porušení zabezpečení a zajištění souladu s předpisy. Sada snadno použitelného hardwaru pro zmírnění hrozeb umožňuje správcům centrálně detekovat, upřednostňovat a porážet hrozby pomocí síťových a bezpečnostních zařízení již zabudovaných v infrastruktuře.

Techniky zabezpečení informací se vyvinuly z ochrany perimetru na rozhraní s internetem k „hlubokému“ modelu, ve kterém jsou na mnoha úrovních v rámci infrastruktury distribuována více protiopatření. Vícevrstvý model se stává nutností kvůli nárůstu počtu útoků, jejich složitosti a rychlosti implementace. Síťové objekty lze skenovat tisíckrát denně a hledat zranitelnosti. Moderní „smíšené“ nebo hybridní útoky využívají různé sofistikované techniky k získání neoprávněného přístupu a kontroly zvenčí i zevnitř organizací. Šíření červů, virů, trojských koní, spywaru a vlastního softwaru představuje hrozbu i pro silně chráněné sítě, takže zbývá méně času na reakci a zvyšují se náklady na obnovu.

Kromě velkého počtu serverů a síťových zařízení si navíc každá součást bezpečnostního systému udržuje svůj vlastní protokol událostí a má vlastní sadu nástrojů pro detekci anomálií a reakci na hrozby. Bohužel tato situace vede k nutnosti zpracovávat obrovské množství nesourodých protokolů událostí a falešných signálů nebezpečí, což má za následek neschopnost operátora efektivně reagovat.

Produkty pro zabezpečení informací a správu událostí vám umožňují vyhodnocovat hrozby specifickým způsobem a podle toho s nimi nakládat. Tato řešení umožňují IT bezpečnostním službám centrálně shromažďovat a zpracovávat data událostí, využívat korelace, zpracovávat fronty a generovat zprávy...

Přehled řešení Cisco Systems

Cisco Security MARS je hardwarové, plnohodnotné řešení, které poskytuje přehled a kontrolu nad vaším stávajícím zabezpečením. Jako součást sady pro správu zabezpečení vám MARS umožňuje identifikovat, kontrolovat a zastavit bezpečnostní hrozby. Řešení spolupracuje s vaší stávající sítí a bezpečnostním systémem na nalezení, izolaci a odstranění problematických prvků. MARS také pomáhá udržovat integritu interních bezpečnostních politik a může být integrován jako součást celkového řešení regulace sítě.

Bezpečnostní administrátoři čelí mnoha výzvám, jako například:

• Nadměrný tok příchozích síťových a bezpečnostních informací
• Problémy s rozpoznáváním útoků a chyb při identifikaci, stanovení priorit a odezvy
• Komplikace útoků, zvýšení nákladů na obnovu
• Potřeba dodržovat bezpečnostní shodu
• Problémy s personálem

Cisco Security MARS umožňuje vyřešit tyto problémy následujícím způsobem:

Integruje síťová data pro vytváření korelací síťových anomálií a bezpečnostních incidentů

Sleduje incidenty a automatizuje vyšetřování

Zmírňuje útoky využitím všech možností vaší stávající sítě a bezpečnostní infrastruktury

Sleduje stav objektů, sítí, bezpečnostních postupů pro shodu s požadovanou šablonou

Funguje jako škálovatelné řešení, snadno se implementuje a provozuje s nízkými náklady na vlastnictví

Cisco Security MARS transformuje nezpracovaná data do formy vhodné pro zpracování a poskytuje možnost specificky detekovat, zastavit a generovat zprávy o prioritních hrozbách pomocí zařízení již zabudovaných v síťové infrastruktuře.

Rozvoj kontrol informační bezpečnosti a prevence hrozeb

K vyřešení tohoto problému nabízí Cisco řadu škálovatelných hardwarových systémů. Cisco Security MARS je jedním z vysoce výkonných, škálovatelných systémů, které chrání síťová zařízení a optimalizují zabezpečení informací kombinací síťových dat, funkcí korelace obsahu „Context Correlation“, „SureVector™ Analysis“ a schopnosti automaticky potlačovat hrozby. Platforma MARS je úzce integrována s komplexem správy zabezpečení – Cisco Security Manager. Tato integrace umožňuje svázat zprávy událostí se zásadami nakonfigurovanými v Cisco Security Manager. Kontrola zásad umožňuje rychle analyzovat fungování bezpečnostních zásad na bráně firewall a odhalit problémy se sítí a chyby konfigurace.

Vlastnosti a výhody

Inteligentní zpracování událostí a řízení výkonu

Cisco Security MARS využívá síťová data pomocí znalosti topologie sítě, konfigurací zařízení a profilů síťového provozu. Schopnost integrovaného průzkumu sítě systému vytváří topologický diagram, který zahrnuje konfigurace zařízení a aplikované bezpečnostní zásady, což umožňuje Cisco Security MARS modelovat datové toky v síti. Protože Cisco Security MARS přímo nezpracovává síťový provoz a minimálně využívá síťové softwarové prvky, dopad na celkový výkon sítě zůstává minimální.

Cisco Security MARS centrálně shromažďuje data událostí z celé řady síťových zařízení, jako jsou směrovače a přepínače; bezpečnostní zařízení a aplikace, jako jsou brány firewall, zařízení pro detekci narušení, skenery zranitelnosti a antivirové aplikace. Zpracovávají se také data z koncových systémů (Windows, Solaris, Linux), aplikací (databáze, webové servery a autentizační servery) a statistiky síťového provozu (Cisco NetFlow).

Kontextová korelace

Při přijímání dat je vytvořeno jednotné korespondenční schéma s parametry topologie sítě, konfigurace zařízení a překladu adres (NAT). Relevantní události jsou seskupeny v reálném čase. Systémová a uživatelská korelační pravidla se pak použijí k identifikaci síťových incidentů. Cisco Security MARS přichází s komplexní sadou korelačních vzorů, pravidelně aktualizovaných společností Cisco, které dokážou detekovat většinu různých komplexních útoků. Grafické nástroje usnadňují vytváření pravidel pro různé aplikace. Kontextová korelace výrazně snižuje množství zpracovaných nezpracovaných dat, což umožňuje prioritizaci odezvy a zvyšuje efektivitu aplikovaných protiopatření.

Vysoká agregace výkonu

Cisco Security MARS zpracovává miliony primárních zpráv, efektivně klasifikuje události za účelem výrazného snížení objemu dat a komprimuje informace pro archivaci. Správa takových objemů dat vyžaduje stabilní a bezpečnou centralizovanou platformu. Zařízení Cisco Security MARS jsou optimalizována pro zpracování velkého počtu událostí, až 15 000 událostí za sekundu nebo 300 000 událostí Cisco NetFlow za sekundu. MARS navíc podporuje zálohování a obnovu konfigurací a dat přes NFS a sFTP.

Vizualizace a potlačení incidentů

MARS umožňuje urychlit a zjednodušit proces odhalování, vyšetřování, hodnocení a nápravy hrozeb. Společným problémem pro pracovníky IT bezpečnosti je čas, který zabere analýza a řešení bezpečnostních událostí, ke kterým dojde. Cisco Security MARS je v tomto případě výkonný interaktivní nástroj pro správu zabezpečení a vytváření pravidel.

Grafické pracovní prostředí zobrazuje topologickou mapu zobrazující události, vektory útoků a podrobnosti o incidentech, což vám umožňuje okamžitě identifikovat existující hrozby. Cisco „SureVector Analysis“ zpracovává úzké skupiny událostí za účelem posouzení reality hrozby a jejího původu až po MAC adresu koncového zařízení. Proces je automatizován analýzou protokolů událostí ze zařízení, jako jsou firewally a zařízení pro prevenci narušení (IPS), systémy pro hodnocení dat třetích stran a výsledky skenování koncových bodů, aby se zabránilo falešným pozitivním výsledkům. Pomocí Cisco Security MARS mají bezpečnostní týmy nástroje k rychlému pochopení komponent komplexního útoku a identifikaci postiženého systému. Funkce „automatického zmírňování“ společnosti Cisco najdou dostupná řídicí zařízení podél cesty útoku a automaticky poskytují vhodné příkazy, které mohou operátoři rychle použít k odstranění hrozby.

Provozní analýza a ověřování shody

Cisco Security MARS poskytuje snadno použitelný rámec, který zjednodušuje probíhající bezpečnostní operace, automatizuje vyšetřování, eskalace, výstrahy, dokumentaci probíhajících aktivit a ad hoc audity. Cisco Security MARS graficky zobrazuje útoky a extrahuje historická data pro analýzu předchozích událostí. Systém plně podporuje libovolné dotazy pro rychlé získání informací.

Cisco Security MARS nabízí mnoho vestavěných šablon požadavků a je kompatibilní s protokoly PCI-DSS, GLBA, HIPAA, FISMA, Basel II. Generátor sestav umožňuje upravovat více než 100 standardních sestav nebo vytvářet nové s neomezenými možnostmi pro plánování odezvy a postupů obnovy, sledování incidentů a síťové aktivity, sledování dodržování bezpečnostních zásad a provádění auditů. Podporováno je také odesílání reportů.

Rychlost a jednoduchost implementace

Při implementaci Cisco Security MARS je nutné zajistit možnost odesílat a přijímat „syslog“ zprávy, SNMP zprávy (SNMP trapy) a dále je nutné komunikovat s instalovanými síťovými zařízeními pomocí obecně uznávaných nebo proprietárních protokolů. Ani jedno není vyžadováno doplňkové vybavení ani úpravy použitého softwaru. Tímto způsobem je konfigurováno předávání zpráv do Cisco Security MARS a monitorovací objekty jsou přidávány prostřednictvím „webového GUI“. MARS může odesílat statistiky na externí servery pro integraci s aktuální infrastrukturou.

Jedním z předních výrobců produktů pro bezpečnost informací je společnost Cisco. Tento článek si klade za cíl ukázat příklady použití Cisco Security Agent, Cisco NAC Appliance a produktů Cisco MARS k zajištění interní informační bezpečnosti společnosti. Tyto produkty se vzájemně integrují a umožňují vám vybudovat snadno ovladatelný a spolehlivý systém.

Oddělení informační bezpečnosti moderní společnosti stojí před zcela odlišnými úkoly - to zahrnuje podporu bezpečných komunikačních kanálů společnosti, podporu subsystému řízení přístupu uživatelů, zajištění antivirové ochrany, boj proti spamu, kontrolu úniků informací a také zajištění monitorování bezpečnosti informací. události vyskytující se v síti a další stejně důležité úkoly.

V současné době probíhá na trhu produktů informační bezpečnosti obrovské množství novinek, které tak či onak umožňují řešit zadané problémy. Podle našeho názoru je nejsprávnější cestou budování vysoce integrovaných bezpečnostních systémů, které se dokážou nejpružněji přizpůsobit konkrétním procesům probíhajícím ve společnosti.

Úvod

Jakýkoli systém informační bezpečnosti je postaven na základě modelu očekávané hrozby. Při zahájení plánování bezpečnostního systému je nutné zvážit dvě kategorie hrozeb: vnější a vnitřní.

Externí hrozby jsou snadno předvídatelné, protože společnost má kompletní informace o tom, jaké služby jsou dostupné zvenčí, jaké softwarové a hardwarové zdroje zajišťují komunikaci této služby a internetu.

Boj s vnitřními hrozbami je mnohem obtížnější, protože uživatelé pracující ve společnosti mají různé úrovně přístupu a budují různé vztahy v rámci společnosti.

K zajištění ochrany je nutné přistupovat komplexně a neomezovat se pouze na technické prostředky. Kompetentní práce služby informační bezpečnosti, stejně jako jasně promyšlená administrativní politika společnosti pomohou dosáhnout maximálních výsledků.

Administrativní politika je postavena na základech politiky informační bezpečnosti. Organizace musí vypracovat předpisy na ochranu důvěrných informací a odpovídající pokyny. Tyto dokumenty by měly definovat pravidla a kritéria pro kategorizaci informačních zdrojů podle stupně důvěrnosti, pravidla pro označování a pravidla pro nakládání s důvěrnými informacemi. Musí být definována pravidla pro poskytování přístupu k informačním zdrojům a musí být zavedeny vhodné postupy a kontrolní mechanismy, včetně autorizace a auditu přístupu.

Tato administrativní opatření umožňují úspěšně bojovat s nejpočetnější třídou hrozeb - hrozbami neúmyslného prozrazení důvěrných informací, ale k boji proti narušitelům zjevně nestačí - je nutné použití speciálního softwaru a hardwaru.

Zabezpečení koncového hostitele – Cisco Security Agent

Řešení Cisco Security Agent (CSA) je koncový bezpečnostní systém, který ve spojení s dalšími systémy umožňuje řešit složitější a širší problémy.

CSA poskytuje ochranu serverové systémy a stolní počítače. Cisco Security Agent jde nad rámec běžných řešení ochrany koncových bodů tím, že kombinuje pokročilou ochranu proti cíleným útokům, spywaru a skrytým útokům do jednoho softwarového nástroje. dálkové ovládání, antivirovou ochranu a také ochranu před únikem informací a mnoha dalšími typy narušení počítačové bezpečnosti.

Cisco Security Agent je systém, který používá aplikace agentů k vynucení zásad zabezpečení informací nakonfigurovaných na centrálním serveru.

CSA kombinuje ochranu proti zero-day útokům, antivirus ClamAV, firewall, modul ochrany souborů a aplikací, modul nedůvěryhodných aplikací a další funkce.

Cisco Security Agent poskytuje řadu cenných funkcí, včetně následujících:

• sledování souladu stavu síťových objektů s požadavky bezpečnostní politiky;
• preventivní ochrana před cílenými útoky;
• ovládání USB, CD-ROM, PCMCIA atd.;
• vytvoření uzavřeného softwarového prostředí;
• schopnost detekovat a izolovat malware pro skryté dálkové ovládání;
• pokročilé funkce pro zabránění vniknutí do síťových uzlů, osobní firewall a ochranu před zcela novými útoky;
• kontrola úniku informací;
• kontrola a prevence stahování z neautorizovaných médií;
• optimalizace využití šířky pásma Wi-Fi;
• zajištění dostupnosti kritických klient-server aplikací a schopnosti provádět transakce;
• značkování síťového provozu;
• integrace se systémy prevence narušení (Cisco IPS);
• integrace se systémem řízení přístupu k síti (Cisco NAC);
• integrace se systémem řízení bezpečnosti (Cisco MARS).

Architektura systému Cisco Security Agent je znázorněna na obrázku 1. Agenti spolupracují se serverem pro správu a přijímají z něj aktualizace zásad a softwaru.

Obrázek 1: Architektura systému CSA

Koncoví hostitelé jsou seskupeni do skupin, pro které platí zásady zabezpečení informací. Zásady jsou sady modulů pravidel (viz obrázek 2).

Obrázek 2: Zásady, moduly, pravidla v architektuře CSA

Cisco Security Agent umožňuje sledovat aktivity uživatelů, když jsou připojeni k datové síti a je dostupný management server. Podporuje však také speciální sadu stavů, jako je nedostupnost centra správy, ve kterých jsou na stroje aplikovány specializované přístupové politiky.

Druhým systémem zabezpečení informací je systém řízení přístupu k datové síti.

Řízení přístupu k síti – Cisco Network Admission Control (NAC)

Cisco NAC Appliance (dříve Cisco Clean Access) je řešení navržené pro automatickou detekci, izolaci a dezinfekci infikovaných, zranitelných nebo nevyhovujících hostitelů, kteří přistupují k firemním zdrojům s kabelem nebo bezdrátově.

Jako jedna ze součástí technologie Network Admission Control je Clean Access implementován buď jako síťový modul pro routery Cisco ISR (pro sítě s méně než 100 ovládanými zařízeními) nebo jako samostatné zařízení.

Hlavní rysy řešení Cisco NAC jsou:

• nezávislost na výrobci síťového zařízení (režim v pásmu);
• integrace s Kerberos, LDAP, RADIUS, Aktivní adresář, S/Ident a další autentizační metody;
• podpora pro Windows (včetně Vista), MacOS, Linux, Xbox, PlayStation 2, PDA, tiskárny, IP telefony atd.;
• podpora antivirů CA, F-Secure, Eset, Kaspersky Lab, McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro a dalších nástrojů ochrany počítače (celkem 250 výrobců);
• Umístění nevhodného hostitele do karantény použitím ACL nebo VLAN;
• vytvoření „bílého“ seznamu uzlů pro urychlení jejich přístupu k síťovým zdrojům;
• automatická instalace chybějících aktualizací, nové verze ochranných nástrojů nebo aktualizace zastaralých antivirových databází;
• centralizovaná správa webu;
• podpora ruského jazyka;
• provést transparentní audit.

Architektura a provoz zařízení Cisco NAC

Cisco NAC je softwarové a hardwarové řešení pro interní zabezpečení informací, které využívá síťovou infrastrukturu k vynucení zásad zabezpečení informací a omezení přístupu k síti na zařízení, která nesplňují požadavky zásad zabezpečení informací.

Hlavními funkčními součástmi řešení jsou Clean Access Server (CAS) a Clean Access Manager (CAM). CAM je zodpovědný za konfiguraci bezpečnostních politik a CAS je zodpovědný za jejich provádění.

Zařízení lze nainstalovat v konfiguraci odolné proti poruchám, ve které se provádí aktivní/pohotovostní přepnutí při selhání.

Obrázek 3 ukazuje stav systému, ve kterém se uživatel nachází ve speciálně vytvořené ověřovací síti VLAN, ze které má uživatel povolen přístup ke službě DHCP a dalším, v souladu se zásadami nakonfigurovanými na modulu CAM.

Obrázek 3: Žádný přístup k síti

Poté, co byl uživatel ověřen z hlediska souladu se zásadami bezpečnosti informací, je mu povolen vstup do sítě přiřazením portu přepínače ke konkrétní VLAN (obrázek 4).

Uživatelé mohou autentizaci podstoupit buď pomocí specializovaného agenta – Cisco Clean Access, který také shromažďuje informace pro kontroly, nebo pomocí webové autentizace.

Obrázek 4: Cisco NAC - Network Access Allowed

Logiku systému tvoří komponenty - kontroly, pravidla a požadavky aplikované na každou konkrétní uživatelskou roli.

Můžete například vytvořit několik rolí, které odpovídají oddělením společnosti a pro každou roli nakonfigurovat určité požadavky, jejichž splnění se stává předpokladem pro přístup do firemního prostředí.

Obrázek 5: Cisco NAC - Logika provozu systému

K dispozici jsou různé možnosti ověření. Můžete zkontrolovat přítomnost spuštěné aplikace na vašem PC, nainstalovat potřebné záplaty operační systém, verze antivirových databází a další kontroly.

Systém zabezpečení informací vyžaduje povinnou přítomnost monitorovacího systému pro události vyskytující se v síti. Pro tyto účely je určeno použití produktu Cisco Security Monitoring, Analysis and Response System (Cisco MARS).

Cisco Security Monitoring, Analysis and Response System (MARS)

Moderní podniky se neustále potýkají s problémy souvisejícími s informační bezpečností.

Složitost síťové infrastruktury s sebou nese zvýšení počtu ochranných prostředků - těmito zařízeními mohou být samostatné firewally, routery s určitou softwarovou funkčností, přepínače, různé IPS systémy, IDS, HIPS systémy, ale i různé antivirové systémy, pošta proxy servery, web-proxy a další podobné systémy.

Velké množství bezpečnostních prostředků vyvolává problémy s řízením, protože se zvyšuje počet kontrolních bodů, zvyšuje se počet zaznamenaných událostí a v důsledku toho se prodlužuje čas potřebný pro rozhodování (viz obrázek 6).

Obrázek 6: Rozhodovací proces k zabránění útoku

V tomto ohledu podnik potřebuje systém více vysoká úroveň, schopný vyhodnotit stávající úroveň zabezpečení informací záznamem a korelací událostí přijatých v systému.

Tyto funkce poskytuje Cisco MARS Monitoring and Response System.

Klíčové vlastnosti Cisco MARS

Cisco MARS je softwarové a hardwarové řešení v serverové verzi. Systémový software je založen na operačním systému Linux (kernel 2.6). Hlavní součástí systému je databáze Oracle, která slouží k ukládání informací.

Cisco MARS má schopnost shromažďovat informace z různých zařízení pomocí protokolů Syslog, SNMP, NetFlow a má také schopnost přijímat systémové protokolové soubory.

MARS podporuje zařízení od různých výrobců, jako jsou Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape a další.

Operační logika systému Cisco MARS je založena na dotazech do databáze. Můžete vybrat informace a upřesnit je podle zdrojové IP adresy, cílové IP adresy, portů, typů událostí, zařízení, klíčových slov a tak dále.

Na základě požadavků jsou založena určitá pravidla, která jsou seskupena v systému. Databáze Cisco MARS obsahuje více než 2000 pravidel. Můžete si vytvořit vlastní pravidla a flexibilně tak přizpůsobit systém konkrétní typy vnímané hrozby.

Po uložení pravidla a zjištění informací, které toto pravidlo splňují, je vygenerován incident.

Vzhledem k fungování Cisco MARS můžeme nabídnout konkrétní příklad útoku na hostitele (viz obrázek 7).

Obrázek 7: Provedení útoku na hostitele

Byl sestaven stojan obsahující Cisco MARS, několik přepínačů a notebook s nainstalovaným produktem Cisco Security Agent. Pro emulaci útoku byly hostitelské služby skenovány pomocí nástroje NMAP.

Události vypadají takto:

• Cisco Security Agent zjistil skenování portu;
• Informace o tom dorazily do řídícího centra systému Cisco Security Agent, které obratem odeslalo zprávu do MARS;
• MARS analyzoval a normalizoval přijatou zprávu do jediného formuláře poskytovaného databází MARS;
• MARS produkoval korelace relací;
• Tato událost byla ověřena pomocí pravidel nakonfigurovaných na MARS pro zaznamenávání incidentů zabezpečení informací;
• Kontrolováno na falešné poplachy;
• Byl vygenerován incident a informace byly odeslány správci.

Na domovské stránce Cisco MARS se objevila informace, že ze sítě došlo k incidentu zabezpečení informací (viz obrázek 8) a byla zobrazena cesta šíření útoku (viz obrázek 9).

Obrázek 8: Zobrazení informací o útoku na řídicím panelu Cisco MARS

Obrázek 9: Cesta útoku v panelu Cisco MARS

Kliknutím na tlačítko „Toggle Topology“ můžete vidět skutečnou topologii sítě a cestu šíření útoku (viz obrázek 10).

Obrázek 10: Síťová topologie cesty šíření útoku v řídicím panelu Cisco MARS

V reakci na incident nabízí Cisco MARS několik možností, jak zabránit útoku na síťová zařízení (viz obrázek 11):

Obrázek 11: Reakce na zabránění útoku

Cisco MARS má také flexibilní systém reportingu, který umožňuje získat podrobné údaje o všech registrovaných událostech. To umožňuje implementovat princip zlepšení ochrany (viz obrázek 12).

Obrázek 12: Princip zlepšení zabezpečení

Příklad komplexního řešení

Uvažujme komplexní řešení založené na výše uvedených produktech pro centrálu společnosti K.

Společnost K má ve svém sídle 100 zaměstnanců ve třech odděleních. K řízení přístupu uživatelů se používá systém Microsoft Active Directory.

Je třeba vyřešit následující úkoly:

• zajistit dodržování zásad bezpečnosti informací vytvořených pro zaměstnance každého oddělení;
• mít aktuální informace o softwaru běžícím na konkrétních hostitelích;
• být schopen řídit přístup k externím systémům pro hostitele umístěné mimo firemní prostředí;
• poskytovat přístup k síti na základě specifikovaných zásad bezpečnosti informací;
• zajistit, aby byly pro hostitele prováděny stanovené kontroly na základě uživatelského účtu domény;
• poskytují monitorování událostí vyskytujících se v síti a také sběr informací pomocí protokolu NetFlow.

Konfigurace zásad Cisco Security Agent

Nejprve definujeme přístupová práva každé skupiny uživatelů. V souladu s těmito pravidly přístupu se na aktivním síťovém zařízení konfigurují přístupová práva k doméně a pravidla filtrování.

Pravidla přístupu k síti můžete vytvořit pomocí Cisco Security Agent, ale tato pravidla jsou spíše soukromé povahy. Můžete například odepřít konkrétnímu uživateli přístup ke konkrétnímu prostředku (IP, TCP/IP). V tomto příkladu nejsou pro CSA vytvořena žádná síťová pravidla.

Prvním krokem je vytvoření zásady pro všechny skupiny uživatelů v CSA, která znemožňuje deaktivaci aplikace agenta. Tato zásada platí pro všechny uživatele, včetně místních správců.

Poté je spuštěn proces shromažďování informací o softwaru nainstalovaném v počítačích – proces nazvaný Application Deployment Investigation. Výsledkem je zpráva (viz obrázek 13).

Obrázek 13: Zpráva o nainstalovaných aplikacích pomocí Cisco Bezpečnostní Činidlo

Do budoucna můžeme tyto aplikace klasifikovat např. odlišením od celkového počtu kancelářských aplikací, ICQ klientů, P2P aplikací, emailových aplikací a podobně. Pomocí CSA je také možné analyzovat chování konkrétní aplikace pro další tvorbu politik informační bezpečnosti.

Pro všechny uživatele jsou vytvořeny centrály hlavní pravidla pro všechny identifikované aplikace. Implementace probíhá po etapách - nejprve je implementována politika informační bezpečnosti v režimu auditu, který umožňuje sledovat všechny události, ale neovlivňovat aktuální akce uživatelů. Následně je revidovaná politika uvedena do provozního režimu.

Kromě statické klasifikace aplikací nabízí CSA také dynamickou klasifikaci – metodu dynamických tříd. Například aplikaci Microsoft Word lze rozdělit do dvou tříd aplikací – lokální a síťové, a v závislosti na tom na ni mohou být aplikovány různé bezpečnostní politiky (viz obrázek 14).

Obrázek 14: Dynamické třídy pro klasifikaci aplikací

Pro antivirovou ochranu má CSA vestavěný antivirový modul ClamAV. Pokud máte antivirus, lze tento modul zakázat.

Kontrola úniků informací

Aby se zabránilo úniku důvěrných informací, nabízí ČSA speciální modul s názvem Data Loss Prevention.

Když je tento softwarový modul aktivován, agent CSA skenuje soubory na důvěrné informace. Klasifikace informací se nastavuje ručně na základě šablon – skenování tagů (viz Obrázek 15). Je možné provádět stínové skenování, stejně jako skenování při otevírání/zavírání souborů.

Obrázek 15: Klasifikace důvěrných informací

Po dokončení klasifikace je nutné vytvořit a aplikovat zásady bezpečnosti informací pro aplikace, které s těmito soubory pracují. Je nutné kontrolovat přístup k těmto souborům, tisk, přenos na externí média, kopírování do schránky a další události. To vše lze provést pomocí standardních šablon a pravidel, které jsou předinstalované v Cisco Security Agent.

Nastavení Cisco NAC (čistý přístup)

Když začínáte konfigurovat Cisco NAC, musíte jasně pochopit provozní logiku tohoto systému pro každou konkrétní skupinu uživatelů.

V případě implementace ve firmě K se počítá s tím, že všichni uživatelé budou nejprve spadat do jediné VLAN (Vlan 110 na obrázku 16). Když jsou v této VLAN, procházejí autentizací a ověřováním, zda splňují požadavky zásad zabezpečení informací. Přístup z této VLAN ke zdrojům podnikové sítě je omezený. Na druhé úrovni modelu OSI je uživatelům k dispozici pouze Clean Access Server. Zároveň pomocí DHCP uživatelé dostávají IP adresy z fungujících VLAN, čímž odpadá nutnost znovu získávat IP adresu.

Obrázek 16: Autentizační VLAN

Pokud je kontrola úspěšná, uživatel je převeden do „pracovní“ VLAN (Vlan 10 na obrázku 17). Toto číslo VLAN je přiřazeno podle organizační jednotky (OU), ke které uživatel patří v Active Directory. Tato funkcionalita je umožněna použitím uživatelských rolí v systému NAC.

Obrázek 17: Převedení uživatele do „pracovní“ VLAN

Všichni uživatelé společnosti K musí dodržovat nejnovější kritické aktualizace pro operační systém Windows a mít spuštěného Cisco Security Agent.

Podívejme se, jak můžete zkontrolovat stav Cisco Security Agent na osobní počítače uživatelé:

• vytvoří se nový posudek (viz obrázek 18);
• poté se vytvoří pravidlo (viz obrázek 19);
• je vytvořen požadavek (viz obrázek 20);
• Nakonec se tento požadavek vztahuje na uživatelskou roli.

Obrázek 18: Vytvoření nové kontroly stavu Cisco Security Agent

Obrázek 19: Vytvoření pravidla pro novou kontrolu stavu Cisco Security Agent

Obrázek 20: Vytvoření požadavků pro novou kontrolu stavu Cisco Security Agent

V důsledku dokončeného nastavení musí být pro všechny uživatele skupiny HR splněny provozní podmínky Cisco Security Agent pro přístup k síťovým zdrojům.

Pomocí Cisco NAC je možné kontrolovat relevanci antivirových databází, stav služeb na koncových hostitelích a další důležité věci.

Každá možnost konfigurace je individuální, ale zároveň má systém zpočátku bohatou sadu požadavků, které usnadňují jeho rychlé nasazení.

Nastavení Cisco MARS

Cisco Security Agent a Cisco NAC mají bohatý systém pro poskytování reportovacích informací, ale aby bylo možné události korelovat a také shromažďovat informace o událostech z různých zařízení, je navrženo použití systému Cisco MARS.

Základní nastavení systému Cisco MARS zahrnuje přidávání zařízení do systému (firewally, IPS, IDS, antivirové systémy, poštovní systémy atd.), nastavení exportu NetFlow na server MARS a nastavení uživatelů.

MARS má již velké množství předdefinovaných pravidel (viz obrázek 21), což umožňuje rychlé zprovoznění systému a příjem aktuálních informací o stavu informační bezpečnosti.

Obrázek 21: Předdefinovaná pravidla s Cisco MARS

Pro hlubší přizpůsobení si musíte vytvořit vlastní pravidla v souladu s předpokládanými modely hrozeb, které budou analyzovat příchozí informace.

Pokud jsou splněny všechny nezbytné podmínky uvedené v pravidle, dojde k vytvoření incidentu, který je vidět na hlavním panelu systému. Je také možné zaslat upozornění na e-mail personálu obsluhujícího Cisco MARS.

Tímto způsobem Cisco MARS transformuje nezpracovaná data o škodlivé činnosti poskytované sítí a bezpečnostním systémem na srozumitelné informace, které lze použít k řešení narušení bezpečnosti pomocí zařízení, které již v síti existuje.

Závěr

Uvažovaný komplexní systém řeší širokou škálu problémů a umožňuje správcům co nejrychleji identifikovat a eliminovat porušení zásad zabezpečení společnosti.

Produkty použité v tomto článku jsou integrální systémy a jsou schopny pracovat odděleně od sebe, ale v kombinaci těchto systémů spočívá strategie sebeobrany sítě, která dokáže odolat nejnovějším (nultým) bezpečnostním hrozbám.

Zabijakin Igor
Přední inženýr společnosti NTS LLC (NTS Ltd.)

Máte-li zájem o implementaci produktů informační bezpečnosti od společnosti Cisco Systems, můžete kontaktovat zástupce NTS.

Hardwarový a softwarový systém CISCO MARS je navržen pro správu bezpečnostních hrozeb. Zdrojem informací o nich mohou být: síťová zařízení (směrovače a přepínače), bezpečnostní nástroje (firewally, antiviry, systémy detekce útoků a bezpečnostní skenery), protokoly OS (Solaris, Windows NT, 2000, 2003, Linux) a aplikace (DBMS, web atd.), stejně jako síťový provoz (například Cisco Netflow). Cisco MARS podporuje řešení od různých výrobců – Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft atd.

Mechanismus ContextCorrelation TM umožňuje analyzovat a porovnávat události z heterogenních bezpečnostních nástrojů. Jejich vizualizace na mapě sítě v reálném čase je dosažena pomocí enginu SureVector TM. Tyto mechanismy umožňují zobrazit cestu šíření útoku v reálném čase. Automatického blokování detekovaných útoků je dosaženo pomocí mechanismu AutoMitigate TM, který umožňuje překonfigurovat různá bezpečnostní opatření a síťová zařízení.

Klíčové vlastnosti

• Zpracujte až 10 000 událostí za sekundu a více než 300 000 událostí Netflow za sekundu
• Schopnost vytvářet vlastní korelační pravidla
• Upozornění na zjištěné problémy prostřednictvím e-mailu, SNMP, syslogu a pageru
• Vizualizace útoků na úrovni datového spoje a sítě
• Podporuje Syslog, SNMP, RDEP, SDEE, Netflow, systémové a uživatelské protokoly jako informační zdroje
• Možnost připojení vlastních bezpečnostních nástrojů pro analýzu
• Efektivně potlačuje falešné poplachy a šum a také detekuje útoky, které byly zmeškany samostatnými bezpečnostními opatřeními
• Detekce anomálií pomocí protokolu NetFlow
• Vytvořte a automaticky aktualizujte mapu sítě, včetně importu z CiscoWorks a dalších systémů správy sítě
• Podpora IOS 802.1x, NAC (fáze 2)
• Monitorování mechanismů ochrany přepínačů (Dynamic ARP Inspection, IP Source Guard atd.)
• Integrace s Cisco Security Manager (CSM Police Lookup)
• Integrace s využitím systémů řízení incidentů
• Ověření na serveru RADIUS
• Monitorování stavu komponent Cisco MARS
• Syslog forwarding
• Dynamické rozpoznávání nových signatur útoku na Cisco IPS a jejich načítání do Cisco MARS