Cisco Security MARS

Система мониторинга, анализа и ответной реакции Cisco Security MARS (Cisco Security Monitoring, Analysis, and Response System) – это аппаратное устройство, предоставляющее возможности детального наблюдения и контроля существующей системы безопасности, обнаружения, управления и отражения угроз безопасности.

Администраторы сети и систем безопасности могут столкнуться со следующими проблемами:

Очень большой объём информации о состоянии сети и безопасности системы;
Недостаточная эффективность средств обнаружения, определения значимости атак и сбоев и выработки ответных действий;
Высокая скорость и сложность атак и высокая стоимость восстановления после атак;
Необходимость создания отчётов для прохождения аудитов и проверок на соответствие требованиям.

Возможности Cisco MARS

Сбор и обработка информации

Cisco Security MARS накапливает и объединяет всю информацию о топологии сети, конфигурации сетевых устройств и правилах безопасности, получая её от сетевых устройств и систем безопасности, а также путём анализа сетевого трафика. При этом минимально использование агентов, что не снижает производительность сети и системы в целом.

Cisco Security MARS централизованно собирает файлы журналов с маршрутизаторов, коммутаторов, межсетевых экранов, систем обнаружения вторжений, сканеров уязвимостей, антивирусных приложений, с серверов под управлением операционных систем Windows , Solaris , Linux , прикладных программ (например, веб-серверов, серверов аутентификации), СУБД, а также программ обработки трафика (например, Cisco NetFlow ).

Выявление корреляции событий

Собранная информация упорядочивается в зависимости от топологии сети, конфигурации устройств, адресов источника и назначения. На основе полученной информации связанные между собой события группируются в сессии в режиме реального времени. В соответствии с системными и заданными администратором правилами Cisco MARS анализирует сессии для выявления инцидентов, сбоев, атак.

Cisco MARS поставляется с большим набором системных правил, который регулярно обновляется и включает в себя обнаружение большинства комбинированных атак, неизвестных атак ( zero - day attacks ), сетевых червей и т.д.. Администратор может создавать правила для любого приложения с помощью графического интерфейса.

Выявление корреляции событий структурирует информацию о сети и о безопасности системы, что уменьшает необходимый для принятия решений объём информации и помогает определить приоритетные действия по реагированию на атаки, и как следствие, повышает эффективность предпринимаемых мер.

Сбор и накопление больших объёмов данных

Cisco MARS получает информацию о множестве событий в сети, далее структурирует данные, производит сжатие данных для архивации. Обработка огромных объёмов данных возможна благодаря использованию эффективных алгоритмов и встроенной высокопроизводительной базы данных, настройка которой полностью прозрачна для администратора.

Для переноса данных на вспомогательные устройства архивирования, а также для возможности восстановления конфигурации после сбоев Cisco MARS поддерживает сетевую файловую систему NFS и протокол secure FTP .

Визуализация инцидентов и отражение атак

Cisco Security MARS может помочь администраторам быстрее и проще выявлять атаки и сбои, проводить подтверждение инцидентов и осуществлять меры по отражению атак.

Cisco MARS предоставляет мощные графические средства, с помощью которых можно построить карту сети (включая атакуемые узлы, пути атак), отобразить полную информацию об атаках и инцидентах. Это позволяет оперативно провести действия по отражению атак.

MARS анализирует сессии событий для обнаружения и подтверждения атак и сбора информации о них (вплоть до MAC -адресов конечных узлов). Этот автоматический процесс дополняется анализом файлов журналов средств защиты (межсетевых экранов, систем обнаружения вторжений и т.д.) и собственными проверками Cisco MARS на ложные срабатывания.

Кроме того, что Cisco MARS позволяет получить полную информацию об атаке, система автоматически определяет уязвимые для атаки узлы и генерирует команды, которые пользователь может выполнить для отражения атаки.

Сбор информации и отчёты о соответствии в режиме реального времени

Отличительной чертой Cisco Security MARS являются простые в использовании средства структурирования информации о безопасности сети и системы, обеспечивающие автоматическое определение состояния системы, инцидентов и ответных мер как в повседневной работе, так и для проведения проверок и аудитов.

Cisco MARS предоставляет возможность графически отображать атаки как в режиме реального времени, так и воссоздавать схемы атак и инцидентов при анализе событий в прошлом.

Cisco Security MARS предоставляет возможности создания отчётов для различных целей: для разработки планов восстановления после сбоев, для анализа инцидентов и сетевой активности, для аудита текущего состояния безопасности, при этом отчёты могут создаваться в виде текста, таблиц, графиков и диаграмм. Также имеются возможности по созданию отчётов на соответствие множеству зарубежных стандартов ( PCI DSS , Sarbanes - Oxley , HIPAA и др.).

Быстрое внедрение и гибкое управление

Для работы Cisco Security MARS необходимо подключение к сети с возможностью посылать и получать файлы журналов, сообщения по протоколу SNMP , а также устанавливать сеансы с сетевыми устройствами и средствами защиты по стандартным или зависящим от производителя защищённым протоколам.

Для установки Cisco MARS не требуется дополнительного оборудования, обновлений операционных систем, получения дополнительных лицензий или проведения вспомогательных работ. Для работы необходимо лишь, используя веб-интерфейс, настроить сетевые устройства и средства защиты на соединение с Cisco MARS , а также настроить сети и сетевые узлы, которые необходимо контролировать.

Cisco MARS позволяет передавать файлы журналов на внешний сервер для объединения с существующей сетевой инфраструктурой. Также Cisco Security MARS позволяет установить дополнительное устройство управления (Global Controller), обеспечивающее: иерархическое управление несколькими системами Cisco MARS, объединение отчётов отдельных систем, задание правил и шаблонов отчётов и обновления для локальных систем Cisco MARS.

Подробное описание возможностей Cisco MARS

Динамическая сеансовая корреляция:

Обнаружение аномалий, включая информацию NetFlow
Корреляция событий на основе поведения и правил
Общие встроенные и определенные пользователем правила
Автоматическая нормализация транслированных сетевых адресов

Построение топологической схемы:

Маршрутизаторы, коммутаторы и межсетевые экраны уровня 2 и 3
Модули и устройства сетевой системы обнаружения вторжений
Ручное или по графику построение
SSH, SNMP, Telnet и зависящие от конкретного устройства взаимодействия

Анализ уязвимостей:

Снятие следов нарушений на основе сети или конечного узла
Анализ конфигурации коммутаторов, маршрутизаторов, межсетевых экранов и NAT
Автоматическая обработка данных сканирования уязвимостей
Выполняемый автоматически и заданный пользователем анализ ложных срабатываний

Анализ нарушений и ответная реакция:

Инструментальная панель управления отдельными событиями безопасности
Объединение данных сеансовых событий с контекстом всех правил
Графическое представление пути атаки с подробным анализом
Профили устройств на пути атаки с определением MAC-адресов конечных узлов
Графическое и подробное последовательное представление типа атаки
Подробные данные нарушения, включая правила, необработанные события, общие уязвимости и способы воздействия на сеть, а также варианты отражения
Мгновенный анализ нарушений и определение ложных срабатываний
Определение правил с помощью графического интерфейса пользователя для поддержки собственных правил и анализа по ключевым словам
Оценка нарушений с выдачей по пользователям рабочего листа с описанием пошаговых действий
Оповещение, включая электронную почту, пейджер, системный журнал и SNMP

Формирование запросов и отчетов:

Графический интерфейс пользователя, поддерживающий большое число стандартных и настраиваемых запросов
Более 80 распространенных отчетов, включая отчеты по управлению, эксплуатации и контролю нормативного соответствия
Генератор отчетов с наглядным интерфейсом, позволяющим создавать неограниченное число пользовательских отчетов
Текстовый, графический и общий формат отчетов, поддерживающий экспорт в файлы HTML и CSV
Создание готовых к печати, групповых, типовых и пр. отчетов

Администрирование:

Web-интерфейс HTTPS; ролевое администрирование с заданными полномочиями
Иерархическое управление несколькими системами Cisco MARS с помощью глобального контроллера
Автоматические обновления, включая поддержку устройств, новых правил и функций
Постоянный перенос архивов необработанных данных нарушений в автономные хранилища NFS

Поддержка устройств:

Сетевое активное оборудование: Программное обеспечение Cisco IOS, версии 11.x и 12.x; ОС Cisco Catalyst версии 6.x; Cisco NetFlow версии 5.0 и 7.0; Extreme Extremeware версии 6.x.
Межсетевые экраны/VPN: Cisco Adaptive Security Appliance версии 7.0, программное обеспечение для устройств защиты Cisco PIX версии 6.x и 7.0; межсетевой экран Cisco IOS версии 12.2(T) или выше; модуль функций межсетевого экрана Cisco (FWSM) версии 1.x, 2.1 и 2.2; программное обеспечение для Cisco VPN 3000 версии 4.0; межсетевой экран Checkpoint Firewall-1 NG FP-x и VPN-1 версии FP3, FP4 и AI; межсетевой экран NetScreen версии 4.x и 5.x; межсетевой экран Nokia версии FP3, FP4 и AI.
Системы IDS: Система Cisco IDS версии 3.x, 4.x и 5.0; модуль Cisco IDS версии 3.x и 4.x; система Cisco IOS IPS версии 12.2; система Enterasys Dragon NIDS версии 6.x; сетевой сенсор ISS RealSecure версии 6.5 и 7.0; система Snort NIDS версии 2.x; система McAfee Intrushield NIDS версии 1.5 и 1.8; система NetScreen IDP версии 2.x; ОС версии 4.x и 5.x; система Symantec MANHUNT.
Системы оценки уязвимости: система eEye REM версии 1.x и FoundStone FoundScan версии 3.x.
Системы безопасности конечных узлов: программа-агент Cisco Security Agent версии 4.x; система McAfee Entercept версии 2.5 и 4.x; датчик для конечных узлов ISS RealSecure Host Sensor версии 6.5 и 7.0.
Антивирусное ПО: Symantec Antivirus версии 9.x.
Серверы аутентификации: Сервер Cisco ACS версии 3.x и 4.x.
Операционные системы конечных узлов: ОС Windows NT, 2000 и 2003 (с агентами и без); ОС Solaris версии 8.x, 9.x и 10.x; ОС Linux версии 7.x.
Приложения: Web-серверы (ISS, iPlanet и Apache); Oracle 9i и 10g; NetCache.
Универсальная поддержка устройств для объединения и мониторинга системных журналов любых приложений.

Дополнительные аппаратные характеристики:

Устройства специального назначения, монтаж в стойку 19 дюймов; сертификация UL.
ОС с усиленной защитой; межсетевой экран с сокращенным набором функций.
Два интерфейса Ethernet 10/100/1000.
DVD-ROM с дисками для восстановления.

Cisco Security MARS

Другие продукты этого производителя: