`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Александр Щербина

NG IPS — больше безопасности, меньше рисков

+24
голоса

В пятерку наиболее распространенных киберугроз, направленных на внешний периметр современной организации, как и ранее, входят «malware», атаки типа «Отказ в обслуживании», и конечно же, всевозможные сетевые атаки.

Однако, не смотря на закономерно кажущуюся «стабильность», изменилось многое, а самое главное, изменился потребитель современной сетевой инфраструктуры.

Границы периметра сети размылись, тотальная виртуализация, внутри одного распространенного сетевого протокола могут передаваться сотни других, значительным образом выросли сетевые мощности, всё «изощрённей» становятся киберпреступники. Перечисление можно продолжать и далее, но думаю, вы уже поняли к чему я веду — изменений требовала и отрасль, отвечающая за обеспечение информационной безопасности, и эти изменения имеют место быть.

Появились так называемые устройства нового поколения, получившие приставку NG (Next-Generation) в своем названии. Далее речь пойдет как раз об одном из таких решений по обеспечению информационной безопасности, а именно о системах Intrusion Prevention System нового поколения (NGIPS).

Их предшественники, традиционные системы обнаружения/предотвращения вторжений, как правило, используют сигнатурный анализ обнаружения атак. Для достижения максимальной эффективности и точности срабатывания, данные системы требуют тонкой и тщательной настройки характеристик, особенно, если в сети используются приложения собственной разработки, что значительно усложняет этот процесс, а также увеличивает стоимость владения такими системами для организации. А если при этом еще и отсутствуют встроенные/сопутствующие системы управления и мониторинга, вопрос сбора информации о событиях, её корреляция и анализ становятся чрезмерно трудоёмкими, а порой и невозможными вовсе, что снижает общую эффективность систем безопасности.

Еще один нюанс связан с тем, что для внедрения и корректной эксплуатации систем подобного класса нужен квалифицированный персонал с необходимым опытом. Если вы никогда не имели опыта внедрения таких систем, скорее всего вам будет очень непросто оценить все те возможности, которые присущи системам подобного уровня. И, как ни прискорбно, многие компании упрощая стадию внедрения, останавливаются только на базовых функциях обнаружения атак (IDS), а не их предотвращения (IPS), что значительно уменьшает эффект от внедрения подобного класса систем, а также в некоторой степени дискредитирует уровень подобных решений. Объясняется это тем, что в таких случаях система не работает на полную мощность и является только средством, предоставляющим информацию об угрозах, а не активным инструментом организации защиты и противодействия атакам.

На фоне этого, традиционные решения обеспечения ИБ испытывают недостаток в гибкости, необходимой для успешной защиты от современных сетевых угроз в условиях постоянно изменяющихся сред хранения информации. Мы живем в мире, где сюрпризы являются нормой, где борьба между теми, кто придумывает атаки на системы клиентов и теми, кто обеспечивает их защиту, — постоянная и, порой, непримиримая, и нам необходимы решения, которые будут достаточно гибкими, чтобы адаптироваться к изменениям в сети, постоянно возникающим уязвимостям и сетевым угрозам.

Индустрия систем предотвращения атак идет в ногу со временем и должна соответствовать актуальным требованиям к безопасности. Компания SourceFire (приобретена компанией Cisco в конце 2013 года) стала основателем класса решений NG IPS (Next Generation IPS). Создателем компании является автор всемирно известного open-source IPS решения SNORT — Мартин Рош (Martin Roesch).

Класс решений NG IPS включает в себя весь функционал традиционных систем IPS, существенно его расширяя. Опираясь на концепцию безопасности Agile Security, решения SourceFire (Cisco) позволяют обеспечить полный цикл слежения за континуумом атаки: до, во время и после.

Данная концепция строится на четырёх основных принципах:

  1. Видеть: вы не можете защититься от того, чего не видите. AgileSecurity позволяет обеспечить видимость всего трафика, который проходит по сети, выполнить анализ окружающей ИТ-инфраструктуры и всех возникающих в ней сетевых атак.

  2. Учиться: способность системы к обучению предоставляет возможность понимания всей динамики процессов, происходящих в сети, тем самым, облегчая процесс принятия решений о блокировании угроз.

  3. Адаптироваться: возможность адаптировать свою защиту к непрерывно меняющимся угрозам и условиям эксплуатации.

  4. Действовать: как следствие, система должна обеспечить комплексную защиту ИТ-инфраструктуры и предложить гибкие автоматизированные инструменты реагирования на события безопасности.

Связывая все компоненты инфраструктуры безопасности организации от сетей до рабочих станций, концепция Agile Security позволяет непрерывно контролировать процессы взаимодействия, коррелируя их между собой, сокращая, таким образом, время реакции на возникающие угрозы.

Технология визуального управления приложениями позволяет обеспечить видимость тысяч приложений, работающих по одинаковым протоколам, например, http. Автоматическая система рекомендаций по политикам безопасности, основанная на контекстной осведомлённости о состоянии сети значительно сокращает время на развёртывание и уменьшает стоимость владения системой, а просмотр всех изменений сетевых узлов, приложений и пользователей в режиме реального времени позволяет всегда получать актуальную и необходимую информацию о сетевой инфраструктуре.

По мнению независимых экспертов, решения компании SourceFire (Cisco) обладают на сегодняшний день самым точным механизмом обнаружения, а также мощными инструментами автоматизации и интеграции с облачными сервисами обработки данных, что обеспечивает максимально возможный уровень защиты в сети передачи данных.

Как и предыдущая итерация развития данных систем, получивших возможность синхронизации с глобальными системами, решение SourceFire NGIPS также имеют облачный сервис SourceFire Collective Security Intelligence, который обеспечивает взаимодействие локальной системы безопасности с облачными базами данных, обладающими актуальной информацией по последним угрозам и вирусам, а также, репутационными базами для URL фильтрации.

В Украине представлено три класса решений компании SourceFire: NGFW (Next Generation Firewall), NGIPS (Next Generation Intrusion Prevention System), AMP (Advanced Malware Protection), отличительной особенностью которых является единая унифицированная система управления — платформа fireSIGHT. Как следствие все три продукта могут функционировать, под единой политикой безопасности, обеспечивая защиту по всему периметру.

Подводя итоги, отмечу, что решение действительно заслуживает особого внимания, что подтверждается:

  1. Признанием общественности. Продукт аккумулировал в себе громадный опыт, т.к. вырос из open-source проекта.

  2. Признанием индустрии. Продукт длительное время находится на лидирующих позициях аналитических компаний.

  3. Целостностью решения. Производитель специализируется исключительно на системах обеспечения информационной безопасности и предлагает не просто продукт, а законченную и управляемую архитектуру.

+24
голоса

Напечатать Отправить другу

Читайте также

Идея SourceFire, безусловно, хороша. А вот статья могла бы быть и получше стандартной маркетинговой жвачки. Никакой конкретики...

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT