Язык Cisco OpenAppID и средства обнаружения и контроля приложений

--> Дата: Мар 23, 2014 94

Корпорация Cisco анонсировала новый язык описания приложений OpenAppID, интегрированный в систему обнаружения и предотвращения вторжений Snort. Открытый функционал идентификации и контроля приложений позволяет пользователям создавать, распространять и реализовывать собственные механизмы обнаружения приложений с целью максимально быстрого реагирования на исходящие от последних новые угрозы.

Открытый функционал идентификации и контроля приложений реализован благодаря новому языку описания приложений Cisco OpenAppID. Он обеспечивает выявление приложений, ускоряет создание детекторов приложений, дает сообществу возможность обмениваться детекторами для повышения качества защиты. Сейчас, когда приложения очень быстро разрабатываются и появляются в корпоративных сетях, OpenAppID дает пользователям гибкие возможности контроля новых, в том числе специализированных, приложений. Его появление особенно важно для организаций, использующих заказные и специализированные приложения, а также для тех, кто работает в особо регулируемых отраслях, где необходимы самые высокие уровни идентификации и контроля.

OpenAppID ускорит обнаружение и расширит спектр обнаруживаемых приложений, облегчив обмен информацией между членами сообщества и упростив разработку новых детекторов приложений. Язык поддерживает следующие функции:

• обнаружение приложений и генерация отчетов – пользователи системы Snort с помощью новых детекторов приложений OpenAppID могут обнаруживать и идентифицировать приложения и получать отчеты об их использовании;

• контекст приложений, привязанный к сетевым вторжениям – предоставляя контекст прикладного уровня с включением событий, относящихся к обеспечению безопасности, OpenAppID помогает совершенствовать анализ и ускорить восстановление;

• оперативное обнаружение и контроль приложений – OpenAppID позволяет системе Snort блокировать определенные приложения или сообщать об их обнаружении, тем самым уменьшая риски благодаря охвату всего горизонта угроз.

Одновременно с OpenAppID компания Cisco предложила специальную версию системы Snort с препроцессором OpenAppID. Таким образом, сообщество пользователей Snort уже может начать создавать детекторы приложений, пользуясь новым языком. Препроцессор OpenAppID, включенный в планируемую массовую версию Snort, поддерживает:

обнаружение приложений в сети;
генерацию отчетов по статистике использования приложений (трафик);
блокировку приложений в соответствии с политиками;
расширение языка правил Snort для определения приложений;
сообщение имени приложения App Name в привязке к событиям системы обнаружения вторжений.

Кроме того, члены сообщества пользователей Snort могут бесплатно загрузить библиотеку, включающую более 1000 детекторов OpenAppID. Любой член сообщества (в том числе организации, использующие специализированные, некоммерческие приложения), может предлагать собственные детекторы.