Ciscos Sicherheitslösung der nächsten Generation (NGFW + NGIPS + AMP)

    So ist es passiert. Cisco hat seine neue Lösung angekündigt - FirePOWER for ASA ( Präsentation in russischer Sprache ); Das Ergebnis der Integration von Sourcefire-Technologien in native Lösungen von Cisco und genauer gesagt in die multifunktionale Sicherheitsplattform Cisco ASA 5500-X.





    Es ist zu beachten, dass dies nicht das erste gemeinsame Produkt ist. Bereits im Frühjahr, nur sechs Monate nach der Übernahme von Sourcefire, haben wir das Malware-Erkennungs- und -Reflektionssystem Advanced Malware Protection (AMP) in unsere Internet-Zugriffskontroll- und -Schutztools und den elektronischen Schutz von Cisco Web Security (physische, virtuelle und Cloud-Lösung) integriert Cisco Email Security Mail (physische, virtuelle und Cloud-Lösung) erweitert damit die Plattform zur Erkennung von Schadcode nicht nur auf Netzwerk- oder Endpunktebene, sondern auch auf Anwendungsebene.



    Einige Monate später, am 16. September, gaben wir das folgende Integrationsergebnis bekannt: Unsere Cisco ASA-Sicherheitsplattform wurde mit neuen Funktionen ausgestattet, die Folgendes ermöglichen:


    Und das alles zusätzlich zu den auf dem Cisco ASA 5500-X vorhandenen:
    • traditionelle Firewall (Stateful Firewall Funktion)
    • Active Directory-Integration zum Binden von Sicherheitsrichtlinien an Benutzernamen und nicht an IP-Adressen (Identity Firewall-Funktion)
    • Interoffice-VPN-Subsystem (Site-to-Site- oder IPSec-VPN)
    • Sicheres RAS-Subsystem (RAS- oder SSL-VPN-Funktion)
    • Clustering-Subsystem und hohe Verfügbarkeit.


    Besonderheiten



    Wir haben bereits über NGFW , NGIPS und AMP geschrieben , die die Grundlage der neuen Cisco-Lösung bilden (Beschreibungen dieser Lösungen sind auf Russisch und auf unserer Website verfügbar). Aber ich möchte mich an die Hauptmerkmale erinnern.

    Erstens verfügt Cisco ASA mit FirePOWER über eine integrierte Korrelation für Sicherheitsereignisse. Jeder, der mit den systemeigenen Cisco Intrusion Prevention Tools (Cisco IPS) vertraut ist, merkt sich, dass er über einen Mechanismus wie einen Meta Event Generator oder einen lokalen Korrelationsmechanismus verfügt, mit dem Bedrohungen mit mehreren Vektoren erkannt werden können, für die verschiedene Eindringungsmethoden zum Einsatz kommen. Jede dieser Methoden kann durch Ereignisse charakterisiert werden, die einzeln nicht von Interesse sind und die niedrigste Priorität haben. Zusammengenommen können diese Ereignisse jedoch eine ernsthafte gezielte Bedrohung darstellen. Zuvor waren zum Erkennen solcher Multivektor-Bedrohungen externe Korrelations- und Event-Management-Systeme (SIEM) erforderlich, die die Unternehmen zu viel kosten (sowohl hinsichtlich des Preises als auch hinsichtlich des Implementierungsaufwands). In Cisco IPS In Cisco ASA mit FirePOWER ist diese Funktion integriert, mit der Sie Angriffe erkennen und verhindern können, bis sie ihr Ziel erreicht haben, und nicht nach einer Analyse in SIEM. Der Unterschied zwischen der neuen Lösung besteht darin, dass Sourcefire-Technologien mehr Informationen und Datenquellen für die Korrelation verwenden.



    Die zweite interessante Funktion von Cisco ASA mit FirePOWER ist die Priorisierung von Bedrohungen basierend auf der Kritikalität der angegriffenen Knoten. Mit anderen Worten, wir können den Kontext des Angriffs verwenden, um wichtige Ereignisse von unwichtigen zu trennen und die Bemühungen von Sicherheitsspezialisten zur Abwehr von Bedrohungen zu priorisieren. Cisco IPS verfügte über einen ähnlichen Mechanismus namens Risikobewertung, mit dem Sie jede Bedrohung aus geschäftlicher Sicht bewerten können. Bei Cisco ASA mit FirePOWER wird die Priorisierung so weit wie möglich verbessert und automatisiert.



    Die Automatisierung ist übrigens ein weiteres Highlight von Sourcefire und Cisco ASA mit FirePOWER-Technologien. Zusätzlich zur Automatisierung der Einstellungen von Signaturen und Regeln in der Sicherheitsrichtlinie (dies erfolgt auf der Grundlage der Analyse des Netzwerk- und Anwendungsverkehrs und der Erkennung von Knoten, Geräten, Protokollen, Anwendungen, Betriebssystemen usw., die im Netzwerk verwendet werden) können die Richtlinien selbst in Abhängigkeit von der sich ändernden Situation dynamisch angepasst werden Netzwerke - die Entstehung neuer Dienste, Knoten, Benutzer und natürlich Bedrohungen.



    In Fortsetzung des Themas Korrelation kann man die Möglichkeit von Cisco ASA mit FirePOWER als Verwendung von Anzeichen (Indikatoren) für einen Kompromiss erwähnen, der es ermöglicht, nicht nur Ereignisse von einem einzelnen Sicherheitsgerät (z. B. von einem Intrusion Detection System-Sensor) aus zu verarbeiten, sondern auch Ereignisse von verschiedenen Sicherheitstools, die über verschiedene Bereiche verteilt sind Netzwerk. Ein von IPS erkannter Netzwerkscan kann beispielsweise mit der Interaktion mit dem von der NGFW-Firewall definierten Botnet-Befehlsserver und der Ausführung von bösartigem Code kombiniert werden, der vom AMP-Agenten für das System zur Spiegelung von bösartigem Code identifiziert wurde. Diese drei Ereignisse können als Indikator für einen Kompromiss (Indicator of Compromise, IOC) dienen, der darauf hinweist, dass ein Angriff auf das Unternehmen vorbereitet wird oder dass das Unternehmensnetzwerk bereits durch eine gezielte Bedrohung gefährdet ist.



    Der letzte Punkt auf der Liste, jedoch nicht der letzte, ist die nachträgliche Sicherheitsfunktion, mit der Sie die Gefährdung von Netzwerkknoten nachverfolgen können, die durch die Umgehung des Perimeterschutzes, die unbefugte Installation eines 3G / 4G-Modems oder -Zugriffspunkts, das Anschließen eines infizierten Flash-Laufwerks usw. verursacht wurde Gründe. Mithilfe der Post-Factum-Analyse können wir bereits abgeschlossene Fakten zu Malware, die in das Unternehmen gelangt, ermitteln, infizierte Knoten schnell überwachen und lokalisieren, die Vertriebskette von Schadcode nachverfolgen und die Gründe für eine Gefährdung analysieren (z. B. Sicherheitsanfälligkeit in Acrobat Reader oder Firefox).



    Alle diese Funktionen spiegeln das Konzept wider, auf dem die Sicherheitslösungen von Cisco nach der Integration in Sourcefire basieren. Dieses Konzept beinhaltet den Kampf gegen Bedrohungen in allen Phasen ihres Lebenszyklus:
    • Bevor sie im Umkreis des Netzwerks angezeigt werden, kann dieses Problem durch die Funktionalität der Firewall- und URL-Filterung behoben werden.
    • Während eines Angriffs wird diese Aufgabe von den Subsystemen Intrusion Prevention und Anti-Malware gelöst.
    • Nach dem Einstieg in das Netzwerk löst die Funktionalität der retrospektiven Analyse, Korrelation und Arbeit mit Anzeichen von Kompromissen dieses Problem.




    Das angegebene Drei-Link-Konzept "VOR - ZEIT - NACH" wird in allen unseren Lösungen implementiert - Cisco Cyber ​​Threat Defense, Cisco ISE, Cisco ESA / WSA, Sourcefire NGIPS / NGFW / AMP usw. Cisco ASA mit FirePOWER setzt diese Tradition fort.

    Leistung



    Da der neue Cisco ASA mit FirePOWER-Funktionalität für die gesamte Cisco ASA 5500-X-Modellpalette gilt - vom Cisco ASA 5512-X bis zum Cisco ASA 5585-X (einschließlich aller Zwischenprodukte - 5515, 5525, 5545 und 5555), ist die Frage logisch , und wie ist die Leistung dieser Lösung? Es ist zu beachten, dass dies von zwei Parametern abhängt - dem Modell selbst und der verwendeten Funktionalität (NGFW, NGIPS, AMP - in verschiedenen Kombinationen). Die minimale Leistung beträgt 100 MBit / s (für den Cisco ASA 5512-X), die maximale 15 GBit / s (für den Cisco ASA 5585-X). Wenn Sie mehr Leistung benötigen, sollten Sie sich auf dedizierte physische Sourcefire 8300-Geräte konzentrieren, die im NGIPS-Modus mit einer Geschwindigkeit von bis zu 60 Gbit / s und im NGFW-Modus mit bis zu 120 Gbit / s arbeiten.

    Verwalten von ASA mit FirePOWER



    Die logische Frage ist, wie die Cisco ASA mit FirePOWER verwaltet wird. Derzeit sind nur zwei Lösungen erforderlich - ASDM (zur Verwaltung eines einzelnen Geräts) oder CSM (zur zentralen Verwaltung mehrerer Geräte) und FireSIGHT Manager. Mit ASDM / CSM können Sie die Funktionen der herkömmlichen Cisco ASA ITU- und VPN-Subsysteme verwalten und die Netzwerkfunktionen der Sicherheitsplattform konfigurieren - Clustering, mehrere Kontexte, Routing usw.

    FireSIGHT, das wir bereits früher beschrieben haben , verwaltet alle neu erworbenen Funktionen - NGFW, NGIPS, URL-Filter und AMP. In naher Zukunft ist die Integration beider Konsolen in eine Cisco ASA mit FirePOWER-Verwaltungslösung geplant.

    Zusammenfassend



    Die Lösung selbst kann bereits bestellt und verwendet werden. Gleichzeitig reicht es für bestehende Benutzer von Cisco ASA aus, die Lizenz für die erforderlichen neuen Funktionen (NGFW, NGIPS, AMP - in einer beliebigen Kombination) zu aktivieren. Es muss weder auf die Lieferung physischer Geräte gewartet werden (mit Ausnahme des Moduls für den älteren Cisco ASA 5585-X, auf dem ein FirePOWER-Modul installiert ist), noch sind zusätzliche Importgenehmigungen erforderlich. Es gibt keine besonderen Probleme beim Testen dieser Lösung. Es reicht aus, einen Cisco ASA 5500-X in Ihrem Netzwerk zu haben und einen Testschlüssel von Cisco anzufordern (für 45 Tage), um alle beschriebenen Funktionen zu testen. Mit anderen Worten, wir können die bereits getätigten Investitionen in den Cisco ASA 5500-X beibehalten und diese Plattform verwenden, um die Schutzfunktionen zu erweitern.

    Jetzt auch beliebt: