СПЕЦИФИКАЦИЯ



СИСТЕМА МОНИТОРИНГА, АНАЛИЗА И ОТВЕТНОЙ РЕАКЦИИ CISCO MARS


Система мониторинга, анализа и ответной реакции Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) является аппаратной комплексной платформой, предоставляющей не имеющие аналогов возможности тщательного наблюдения и контроля существующей системы безопасности. Являясь ключевым элементом жизненного цикла управления безопасностью, Cisco MARS предоставляет ИТ-подразделениям и персоналу обслуживания сети возможность обнаружения, управления и отражения угроз безопасности.

На основе имеющихся инвестиций в сеть и систему безопасности данная система выполняет обнаружение и изоляцию элементов, нарушающих нормальную работу сети, а также предоставляет администраторам рекомендации по их полному устранению. Кроме того, данная система обеспечивает поддержку соответствия политикам безопасности и может быть включена как составляющая в состав общей системы соблюдения соответствия нормативным документам.


Администраторы сети и системы безопасности стоят перед множеством сложных задач включая:

  • Информационная сложность системы безопасности и сети.
  • Недостаточная эффективность средств обнаружения, определения приоритетов и выработки ответных действий в отношении атак и сбоев.
  • Повышенная сложность, скорость распространения и стоимость ликвидации последствий атак.
  • Необходимость соблюдения норм соответствия и требований по отчетности.
  • Нехватка специалистов по безопасности и денежных средств.

Cisco MARS позволяет решить эти задачи за счет следующих действий:

  • Интеграция в сеть интеллектуальных функций для повышения эффективности механизма корреляции сетевых аномалий и событий безопасности.
  • Визуализация подтвержденных нарушений безопасности и автоматизация их расследования.
  • Отражение атак за счет использования всех преимуществ существующей инфраструктуры сети и безопасности.
  • Мониторинг конечных узлов, сети и операций службы безопасности для обеспечения соответствия нормативным документам.
  • Предоставление масштабируемого и простого в реализации и использовании устройства с минимальными совокупными затратами владения (TCO).

Cisco MARS обеспечивает преобразование предоставляемых сетью и системой безопасности необработанных данных о злонамеренной активности в понятную информацию, которая может быть использована для устранения подтвержденных нарушений безопасности и обеспечения соответствия нормативным документам. Набор удобных в использовании аппаратных средств отражения угроз позволяет администраторам централизованно обнаруживать, определять приоритетность и отражать угрозы с помощью уже внедренных в инфраструктуру сетевых устройств и устройств защиты.


ДИЛЕММА ГЛУБОКОЙ ВСЕСТОРОННЕЙ ЗАЩИТЫ

Современные методы обеспечения информационной безопасности позволяют перейти от модели защиты периметра к модели глубокой всесторонней защиты, предусматривающей размещение механизмов противодействия уязвимостям и атакам на всех уровнях инфраструктуры. Такая необходимость обусловлена повышенной частотой, скоростью распространения, разнообразностью и сложностью атак – факторов, размывающих границы между сетью и периметром.

Исследование точек доступа к сети с целью обнаружения и в дальнейшем использования уязвимостей происходит по тысяче раз на дню. Современные комбинированные атаки основаны на множестве изощренных методов, допускающих несанкционированный доступ и контроль систем как извне, так и изнутри организации. Быстрое возрастание числа червей, вирусов, атак нулевого дня, троянских коней, шпионских программ и инструментальных средств реализации атак ставит под вопрос безопасность даже самой защищенной инфраструктуры и нередко приводит к увеличению времени реакции и простоя сети, а также расходов на ликвидацию последствий.

В соответствии с традиционным подходом практически на каждом сервере и устройстве сети устанавливается отдельный компонент безопасности, предоставляющий свой журнал регистрации событий и функции обнаружения аномального поведения, подачи сигналов тревоги, реакции на угрозы и криминалистического анализа нарушений безопасности. К сожалению, это приводит к возникновению огромного числа сигналов тревоги, журналов регистрации событий, ложных срабатываний и сумбурных действий администраторов, имеющих ограниченное время и ресурсы, чтобы разобраться в этой информации. Кроме того, жесткие нормативные требования соответствия обязывают обеспечивать повышенную конфиденциальность данных и операций, а также управляемость процессов учета.


ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ О СОБЫТИЯХ БЕЗОПАСНОСТИ

На первый взгляд системы управления информацией о событиях безопасности позволяют упростить эти задачи, обеспечивая оценку угроз для их контроля. Такие системы позволяют администраторам централизованно собирать данные о событиях безопасности, анализировать их с помощью ограниченного набора методов корреляции и запросов, а также генерировать сигналы тревоги и отчеты об отдельных событиях.

К сожалению, многие системы управления данными о событиях безопасности первого и второго поколения не предоставляют достаточной информации о сети и не обладают достаточной производительностью для точного определения и подтверждения коррелированных событий, более эффективного выявления путей атак, тщательного устранения угроз и сопровождения большего числа событий. Cisco Systems позволяет решить эти проблемы и повысить эффективность управления информацией о событиях безопасности с помощью масштабируемых устройств отражения угроз безопасности предприятий. Экономичная, простая в реализации и в эксплуатации Cisco MARS расширяет набор возможностей инфраструктуры сети и безопасности. Высокопроизводительное масштабируемое оборудование Cisco MARS усиливают защиту имеющихся сетевых устройств и механизмов противодействия за счет объединения интеллектуальных возможностей сети, функций корреляции событий на основе контекста (ContextCorrelation™), векторного анализа (SureVector™) и автоматического отражения (AutoMitigate™), позволяя ИТ-подразделениям быстро обнаруживать, сопровождать и устранять сетевые атаки, а также обеспечивать соответствие требуемым нормативным документам.


ФУНКЦИИ И ПРЕИМУЩЕСТВА

Сбор и обработка информации о сетевых событиях

Cisco MARS собирает информацию о сетевых событиях, изучая топологию сети и конфигурацию маршрутизаторов, коммутаторов и межсетевых экранов, а также анализируя сетевой трафик. Система создает топологическую схему сети, содержащую информацию о конфигурации устройств и действующих политик безопасности, что позволяет моделировать потоки пакетов в сети. За счет автономной работы устройства и минимального использования существующих программ-агентов производительность сети или системы в целом практически не снижается.

Устройство Cisco MARS централизованно собирает данные о событиях, регистрируемых множеством распространенных сетевых устройств (например, маршрутизаторы и коммутаторы), устройств защиты и приложений (например, межсетевые экраны, системы обнаружения вторжений, сканеры уязвимостей и антивирусные программы), главных узлов (например, серверы под управлением Windows, Solaris и Linux), приложений (например, базы данных, Web-серверы и серверы аутентификации) и программ обработки сетевого трафика (например, Cisco NetFlow).

Контекстная корреляция событий на основе Cisco ContextCorrelation

После сбора данные о событиях упорядочивается в соответствии с топологической схемой, конфигурациями обнаруженных устройств, приложениями источника и назначения (между границами NAT), а также сходными типами атак. Сходные события объединяются в сеансы в реальном времени. Системные и пользовательские правила корреляции применяются ко множеству сеансов для определения нарушений. Cisco MARS поставляется с полным набором предварительно заданных правил, часто обновляемых специалистами компании Cisco Systems, которые определяют большинство комбинированных и неизвестных атак, а также червей. Графическая среда определения правил упрощает процесс создания пользовательских правил для любого приложения. Функция корреляции событий на основе контекста обеспечивает сокращение объема необработанных данных о событиях безопасности, назначение приоритетов ответных действий и максимальную результативность системы.

Высокоэффективный сбор и объединение данных о событиях безопасности

Cisco MARS собирает необработанные данные о множестве событий, эффективно классифицирует нарушения с помощью новейшего алгоритма преобразования данных и архивирует полученную информацию. Для управления огромным многообразием событий безопасности необходима надежная и стабильная платформа централизованного сбора информации. Системы Cisco MARS являются надежными устройствами, оптимизированными для сбора больших объемов информации о событиях безопасности со скоростью свыше 10000 событий в секунду или свыше 300000 событий Cisco NetFlow в секунду. Это обеспечивается запатентованным алгоритмом обработки Protego и встроенной системой, использующей Oracle. Все процессы, связанные с функционированием и настройкой базы данных, прозрачны для пользователя. Встроенная память и возможность переноса архивных данных на вспомогательные запоминающие устройства NFS делает Cisco MARS надежной платформой, обеспечивающей сбор данных о событиях.

Визуализация и устранение нарушений

Cisco MARS позволяет ускорить и упростить процесс обнаружения, анализа, подтверждения и отражения угроз. Персонал службы информационной безопасности часто сталкивается с большим числом событий, требующих длительного анализа для их разрешения и ликвидации последствий. Cisco MARS предоставляет эффективную интерактивную инструментальную панель для управления безопасностью. Графический интерфейс пользователя предоставляет обновляемую в реальном времени топологическую схему сети, отображающую горячие точки, нарушения, пути атак и данные подробного анализа с полным описанием нарушения, обеспечивая немедленное подтверждение фактической опасности угроз.

Функция анализа Cisco SureVector обрабатывает аналогичные сеансы событий и определяет фактическую опасность угроз или принятые меры по их отражению с помощью анализа всего пути атаки вплоть до MAC-адреса конечного узла. Этот автоматизированный процесс обеспечивается за счет анализа журналов регистрации событий, полученных от межсетевых экранов и систем предотвращения вторжений, данных оценки уязвимостей третьей стороной, а также сканирования конечных узлов системой Cisco MARS для сокращения числа ложных срабатываний. Пользователям предоставляется возможность быстрой и точной настройки системы для дальнейшего сокращения числа ложных срабатываний.

Целью любой программы безопасности является поддержание системы в постоянной работоспособности и нормального функционирования – это чрезвычайно важно для предотвращения и сдерживания нарушений безопасности, а также ликвидации последствий. Cisco MARS позволяет администраторам быстро определять все охваченные атакой объекты, вплоть до MAC-адресов как атакующих, так и атакованных узлов. Функция автоматического отражения Cisco обнаруживает расположенные на пути атаки доступные устройства защиты и автоматически генерирует для них необходимые команды, которые пользователь может выполнить для отражения атаки. Эти действия позволяют незамедлительно и безошибочно предотвратить или сдержать атаку.

Создание отчетов соответствия и анализ в реальном времени

Cisco MARS предоставляет простой в использовании механизм анализа, который упрощает традиционный процесс защиты сети, обеспечивая автоматическое определение, анализ распространения, оповещение и комментирование событий безопасности для ежедневных операций и специальных проверок. Этот механизм позволяет графически воспроизвести атаку и восстановить сохраненные данные для анализа предыдущих событий. Система обеспечивает полную поддержку специальных запросов для последовательного извлечения данных в реальном времени.

Cisco MARS предоставляет множество стандартных отчетов для удовлетворения эксплуатационных требований и упрощения процесса обеспечения соответствия нормативным документам, включая законы Сарбейнса-Оксли (Sarbanes-Oxley), акт Грэмма-Лича-Блили (Gramm-Leach Bliley Act, GLBA), акт Health Insurance Portability and Accountability Act (HIPAA), акт Federal Information Security Management Act (FISMA) США, а также европейское соглашение Revised Basel Capital Framework (Basel II). Генератор отчетов с наглядным интерфейсом позволяет изменять более 80 стандартных отчетов или создавать новые отчеты по планированию действий и ликвидации последствий, нарушениям и сетевой активности, защищенности и проверке, а также ведомственные отчеты в текстовом, графическом и общем формате. Система также позволяет создавать групповые отчеты.

Поддержка системы контроля доступа к сети Cisco NAC

Cisco MARS обеспечивает анализ, упорядочивание, корреляцию и создание отчетов о событиях аутентификации по протоколу 802.1x, получаемых как от коммутаторов уровня 2, так и от сервера Cisco ACS. С помощью протокола EAP уровня 3 данная система предоставляет те же самые возможности для маршрутизаторов и концентраторов Cisco VPN 3000. Это позволяет пользователям устранять неполадки аутентификации устройств посредством определения цепочки соединений между коммутатором, сервером Cisco ACS, утвержденным конечным узлом и внешним сервером аутентификации, например, Active Directory или NIS. Cisco MARS также обеспечивает централизованное создание отчетов как для Cisco NAC фазы 1, так и для фазы 2 параметров процедуры контроля доступа к сети, в которых указывается причина неудачной аутентификации устройства и его состояния. Примерами таких отчетов являются:

  • Отчет по пользователям.
  • Подробные сведения по пользователям.
  • Подробные сведения о конечном узле.
  • Отчет о конечных узлах, которым было отказано в доступе.
  • Отчет о распределении токенов состояний.
  • Отчет первой десятки нарушений со стороны конечных узлов и пользователей.
  • Отчет о времени карантина по конечным узлам.

Быстрое развертывание и масштабируемое управление

Cisco MARS устанавливается в сети TCP/IP, выполняя передачу и прием системных журналов и запросов SNMP; также данная система позволяет устанавливать безопасные сеансы с внедренными устройствами сети и защиты с помощью стандартных или определяемых фирмой-поставщиком протоколов безопасной передачи данных. Для установки и развертывания решения Cisco MARS никаких дополнительных аппаратных средств, обновлений операционной системы, лицензий или услуг длительного специального обслуживания не требуется. Достаточно просто связать узлы, на которых будут регистрироваться события, с системой и определить любую сеть или источник с помощью графического Web-интерфейса пользователя.

Управление Cisco MARS осуществляется с помощью защищенного Web-интерфейса, поддерживающего механизм ролевого управления. Дополнительное устройство, называемое глобальным контроллером (Global Controller, GC), позволяет централизованно управлять расширенными операциями безопасности, обеспечивая единое представление всей сети предприятия и распространение полномочий доступа, конфигураций, обновлений, специальных правил и шаблонов отчетов, а также последовательный комплексный анализ с ускоренным формированием запросов и отчетов, обрабатываемых локально.

Результаты выполнения запросов и правил для всей сети предприятия системами Cisco MARS суммируются для проведения централизованного анализа на глобальном контроллере системы. Данная масштабируемая архитектура обеспечивает дополнительный уровень распределенной обработки и хранения. В результате обеспечивается более экономичное развертывание и повышенная эффективность управления, что соответствует требованиям крупных и географически распределенных компаний.

Технические характеристики Cisco MARS

Устройства семейства Cisco MARS имеют различные характеристиками производительности и стоимости в зависимости от требований организаций и сценариев применения (таблица 1).

Таблица 1. Системы Cisco MARS

Номенклатурный номер Событий/сек* NetFlow/сек Объем памяти Размеры в стойке
(Rack Unit)
Мощность
Система Cisco MARS 20 (CS-MARS-20-K9) 500 15,000 120 Гбайт (не RAID) 1 RU x 16 дюймов 300W, 120/240V автоматическое переключение
Система Cisco MARS 50 (CS-MARS-50-K9) 1000 30,000 240 Гбайт RAID 0, с горячей заменой 1 RU x 25,6 дюймов 300W, 120/240V автоматическое переключение
Система Cisco MARS 100e (CS-MARS-100E-K9) 3000 75,000 750 Гбайт RAID 10, с горячей заменой 3 RU x 25,6 дюймов 500 Вт отказоустойчивый блок, 120/240V автоматическое переключение
Система Cisco MARS 100 (CS-MARS-100-K9) 5000 150,000 750 Гбайт RAID 10, с горячей заменой 3 RU x 25,6 дюймов 500 Вт отказоустойчивый блок, 120/240V автоматическое переключение
Система Cisco MARS 200 (CS-MARS-200-K9) 10,000 300,000 1 терабайт RAID 10, с горячей заменой 4 RU x 25,6 дюймов 500 Вт отказоустойчивый блок, 120/240V автоматическое переключение
Номенклатурный номер (модели с глобальным контроллером) Распределенный мониторинг
Поддерживаемые модели Максимальное число соединений Объем памяти Размеры в стойке (Rack Unit) Мощность
Система Cisco MARS GCm (CS-MARS-GCM-K9) Только от системы Cisco MARS 20/50 5 1 терабайт RAID 10, с горячей заменой 4 RU x 25,6 дюймов 500 Вт отказоустойчивый блок, 120/240V автоматическое переключение
Система Cisco MARS GC (CS-MARS-GC-K9) Любые На данный момент никаких ограничений не накладывается 1 терабайт RAID 10, с горячей заменой 4 RU x 25,6 дюймов. 500 Вт отказоустойчивый блок, 120/240V автоматическое переключение

* Событий/сек (EPS): Максимальное число событий в секунду с динамической корреляцией и включением всех функций.

Динамическая сеансовая корреляция

  • Обнаружение аномалий, включая информацию NetFlow
  • Корреляция событий на основе поведения и правил
  • Общие встроенные и определенные пользователем правила
  • Автоматическая нормализация транслированных сетевых адресов

Построение топологической схемы

  • Маршрутизаторы, коммутаторы и межсетевые экраны уровня 2 и 3
  • Модули и устройства сетевой системы обнаружения вторжений
  • Ручное или по графику построение
  • SSH, SNMP, Telnet и зависящие от конкретного устройства взаимодействия

Анализ уязвимостей

  • Снятие следов нарушений на основе сети или конечного узла
  • Анализ конфигурации коммутаторов, маршрутизаторов, межсетевых экранов и NAT
  • Автоматическая обработка данных сканирования уязвимостей
  • Выполняемый автоматически и заданный пользователем анализ ложных срабатываний

Анализ нарушений и ответная реакция

  • Инструментальная панель управления отдельными событиями безопасности
  • Объединение данных сеансовых событий с контекстом всех правил
  • Графическое представление пути атаки с подробным анализом
  • Профили устройств на пути атаки с определением MAC-адресов конечных узлов
  • Графическое и подробное последовательное представление типа атаки
  • Подробные данные нарушения, включая правила, необработанные события, общие уязвимости и способы воздействия на сеть, а также варианты отражения
  • Мгновенный анализ нарушений и определение ложных срабатываний
  • Определение правил с помощью графического интерфейса пользователя для поддержки собственных правил и анализа по ключевым словам
  • Оценка нарушений с выдачей по пользователям рабочего листа с описанием пошаговых действий
  • Оповещение, включая электронную почту, пейджер, системный журнал и SNMP

Формирование запросов и отчетов

  • Графический интерфейс пользователя, поддерживающий большое число стандартных и настраиваемых запросов
  • Более 80 распространенных отчетов, включая отчеты по управлению, эксплуатации и контролю нормативного соответствия
  • Генератор отчетов с наглядным интерфейсом, позволяющим создавать неограниченное число пользовательских отчетов
  • Текстовый, графический и общий формат отчетов, поддерживающий экспорт в файлы HTML и CSV
  • Создание готовых к печати, групповых, типовых и пр. отчетов
  • Централизованное создание отчетов для параметров NAC фазы 2

Администрирование

  • Web-интерфейс HTTPS; ролевое администрирование с заданными полномочиями
  • Иерархическое управление несколькими системами Cisco MARS с помощью глобального контроллера
  • Автоматические обновления, включая поддержку устройств, новых правил и функций
  • Постоянный перенос архивов необработанных данных нарушений в автономные хранилища NFS

Поддержка устройств

  • Сетевое активное оборудование: Программное обеспечение Cisco IOS, версии 11.x и 12.x; ОС Cisco Catalyst версии 6.x; Cisco NetFlow версии 5.0 и 7.0; Extreme Extremeware версии 6.x.
  • Межсетевые экраны/VPN: Cisco Adaptive Security Appliance версии 7.0, программное обеспечение для устройств защиты Cisco PIX версии 6.x и 7.0; межсетевой экран Cisco IOS версии 12.2(T) или выше; модуль функций межсетевого экрана Cisco (FWSM) версии 1.x, 2.1 и 2.2; программное обеспечение для Cisco VPN 3000 версии 4.0; межсетевой экран Checkpoint Firewall-1 NG FP-x и VPN-1 версии FP3, FP4 и AI; межсетевой экран NetScreen версии 4.x и 5.x; межсетевой экран Nokia версии FP3, FP4 и AI.
  • Системы IDS: Система Cisco IDS версии 3.x, 4.x и 5.0; модуль Cisco IDS версии 3.x и 4.x; система Cisco IOS IPS версии 12.2; система Enterasys Dragon NIDS версии 6.x; сетевой сенсор ISS RealSecure версии 6.5 и 7.0; система Snort NIDS версии 2.x; система McAfee Intrushield NIDS версии 1.5 и 1.8; система NetScreen IDP версии 2.x; ОС версии 4.x и 5.x; система Symantec MANHUNT.
  • Системы оценки уязвимости: система eEye REM версии 1.x и FoundStone FoundScan версии 3.x.
  • Системы безопасности конечных узлов: программа-агент Cisco Security Agent версии 4.x; система McAfee Entercept версии 2.5 и 4.x; датчик для конечных узлов ISS RealSecure Host Sensor версии 6.5 и 7.0.
  • Антивирусное ПО: Symantec Antivirus версии 9.x.
  • Серверы аутентификации: Сервер Cisco ACS версии 3.x и 4.x.
  • Операционные системы конечных узлов: ОС Windows NT, 2000 и 2003 (с агентами и без); ОС Solaris версии 8.x, 9.x и 10.x; ОС Linux версии 7.x.
  • Приложения: Web-серверы (ISS, iPlanet и Apache); Oracle 9i и 10g; NetCache.
  • Универсальная поддержка устройств для объединения и мониторинга системных журналов любых приложений.

Наиболее полный список см. по адресу:
http://www.cisco.com/en/US/products/ps6241/products_device_support_tables_list.html

Дополнительные аппаратные характеристики

  • Устройства специального назначения, монтаж в стойку 19 дюймов; сертификация UL.
  • ОС с усиленной защитой; межсетевой экран с сокращенным набором функций.
  • Два интерфейса Ethernet 10/100/1000.
  • DVD-ROM с дисках для восстановления.