Интеграция решений инфобезопасности Cisco и Sourcefire

--> Дата: Мар 26, 2014 69

Корпорация Cisco анонсировала пополнение своего портфеля продуктов Content Security, предназначенного для обеспечения инфобезопасности. В него вошли решения Advanced Malware Protection – AMP (первоначально разработанные фирмой Sourcefire), в том числе устройства Web Security Appliance и Email Security Appliance, а также сервис Cloud Web Security. Обновление портфеля – это начало интеграции технологий компаний Cisco и Sourcefire; такая интеграция предоставляет заказчикам комплексные средства борьбы с вредоносным ПО, включая выявление и блокировку, непрерывный анализ и ретроспективное устранение совершенствующихся угроз.

Для получения оперативной информации об угрозах AMP использует обширные облачные сети Cisco и Sourcefire. Это решение, развиваясь вместе с атаками, от которых оно призвано защищать, предусматривает непрерывный мониторинг и анализ всей сети до, после и во время атаки. Сочетание знаний Sourcefire в области анализа угроз с решениями Cisco Email/Web Security обеспечивает заказчикам полный контроль и экономичный и бесшовный способ устранения проблем, связанных с вредоносным ПО.

Еще одним добавлением в портфолио Cisco в качестве опции для заказчиков Cisco Cloud Web Security стало решение Cognitive Threat Analytics, приобретенное в прошлом году вместе с компанией Cognitive Security. Оно представляет собой интуитивную, самообучающуюся систему, в которой для идентификации вредоносной деятельности и ускорения обнаружения угроз в сети используются методы поведенческого моделирования и обнаружения аномалий. Решения Cognitive Threat Analytics и AMP доступны по опциональной лицензии в системе защиты облаков от интернет-угроз Cisco Cloud Web Security.

Не полагаясь на сигнатуры вредоносного ПО, на создание которых для каждого конкретного экземпляра уходят недели и даже месяцы, решение AMP использует в процессе определения и блокирования угроз на всем пространстве атак сочетание таких технологий, как определение репутации файла, карантин файла (sandboxing) и ретроспективный анализ.

Репутация файла определяется в реальном времени во время его прохождения по сети путем анализа полезной нагрузки. Полученная информация позволяет автоматически блокировать вредоносные файлы и применять определенные администратором политики с помощью интерфейсов Cisco Web/Email Security или аналогичных им.

При появлении в сети незнакомых файлов они помещаются в безопасную среду (карантин) для определения их реального назначения. Таким образом AMP собирает более подробную информацию о файле, которая в сочетании с экспертным и машинным анализом позволяет определить уровень его опасности.

Ретроспективный анализ файлов решает проблему вредоносных файлов, прошедших сквозь периметр защиты, но впоследствии признанных опасными. Ретроспективный анализ выполняется не одномоментно, а постоянно, с использованием сведений, поступающих в реальном времени от облачной системы защиты. Таким образом, AMP помогает быстро выявлять и отражать атаки до того, как они получат шанс распространения.

Решение AMP доступно как встроенная функция устройств семейства FirePOWER для межсетевых экранов и систем отражения атак следующего поколения или как автономное устройство. Решения FireAMP обеспечивают также защиту ПК, мобильных устройств и виртуальных сред, подключаясь к FirePOWER и автономным устройствам через разъем.

С ростом сетевых скоростей растет и потребность в высокопроизводительных устройствах для защиты от угроз. С учетом этого Cisco анонсировала четыре скоростных устройства FirePOWER, совместимых с решениями AMP. Устройства 8350 (15 Гбит/с), 8360 (30 Гбит/с), 8370 (45 Гбит/с) и 8390 (60 Гбит/с) представляют собой стековые дополнения семейства FirePOWER и совместимы со всеми имеющимися устройствами NetMod, обеспечивая поддержку модульности и различных сред передачи. Устройства FirePOWER 8300 обеспечивают 50%-ное повышение скорости анализируемого трафика. При установке в стек суммарная пропускная способность превышает 120 Гбит/с.