ОБЗОР ТЕХНИЧЕСКИХ ХАРАКТЕРИСТИК



СИСТЕМА КОНТРОЛЯ ПРОИСШЕСТВИЙ CISCO



В 2004 г. международным центром мониторинга вирусов лаборатории Trend Micro (Trend Micro World Tracking Center, WTC) было зарегистрировано 37 822 805 компьютерных вирусов. Другие производители антивирусных программ зафиксировали схожее количество вирусов. По расчетам экспертов, эту цифру следует умножить на десять. (реальное количество вирусов на порядок выше). Инфицирование вирусами во глобальном масштабе, наносящее ущерб тысячам, и даже миллионам пользователей, обычно называется вирусной атакой. В 2004 лаборатория Trend Micro зарегистрировала 28 вирусных атак. Согласно подготовленному Международной ассоциацией Cisco Systems 10-му Ежегодному отчету о вирусной активности, средняя стоимость ущерба от каждой вирусной атаки составила 130 000 долл. США.

Для борьбы с возрастающими вирусными угрозами компании Cisco Systems® и Trend Micro выступили с совместной инициативой создания усовершенствованной защиты от сетевых угроз, в том числе от вирусов, червей, и прочих сетевых атак, включающей услуги по доставке средств оперативного подавления сетевых угроз. Плодом совместных усилий компаний Cisco® и Trend Micro явилось создание нового действенного антивирусного средства (решения) в дополнение к существующим профессиональным средствам обеспечения сетевой безопасности: Система контроля происшествий Cisco Incident Control System (ICS). Административно-распределительным центром - сердцем Cisco ICS является сервер Cisco ICS, который позволяет пользователям применять быстродействующие политики безопасности к целому ряду сетевых устройств Cisco.

Cisco ICS позволяет таким сетевым устройствам эффективно и оперативно подавлять вирусные атаки и предотвращать вторжение новых вирусов. Целостный подход и глубокое понимание сетевых особенностей, воплощенные в Cisco ICS, помноженные на непревзойденный профессионализм компании TrendLabs в области оценки и устранения сетевых угроз, делают Cisco ICS важным дополнением к Cisco IPS (Cisco Services для IPS). Cisco ICS способна эффективно предотвращать вторжение и распространение вирусов по сети, а также уничтожать вирусы в случае ограниченного вторжения. При возникновении новых угроз Cisco ICS почти мгновенно оповещает всю сеть об угрозе и возможных вариантах ответных действий. Это позволяет инфраструктуре антивирусных устройств Cisco подавлять вторжения оперативно, с максимальной скоростью.


ОПИСАНИЕ КОМПОНЕНТОВ СИСТЕМЫ

В комплект Cisco ICS входят два компонента: программное обеспечение сервера Cisco ICS и лицензии для антивирусных устройств. Антивирусные устройства – это продукты сетевой инфраструктуры Cisco, которым сервер Cisco ICS направляет политики безопасности (которые получают политики безопасности с сервера Cisco ICS). Существует три типа лицензий для антивирусных устройств:

  • Лицензии для устройств cписка контроля доступа (ACL) – для совместимых с Cisco маршрутизаторов и коммутаторов, использующих операционную систему Cisco IOS®.
  • Лицензии для устройств системы предотвращения вторжений (Intrusion Prevention System, IPS) младших моделей, включающих в себя маршрутизаторы с ПО Cisco IOS IPS, а также все датчики Cisco IPS 4215 и адаптивные устройства безопасности Cisco ASA 5500 с модулем SSM-AIP-10.
  • Лицензии для высокопроизводительных устройств системы предотвращения вторжений, включающих в себя серию маршрутизатов интегрированного обслуживания серии Cisco 3800; маршрутизаторы серии Cisco 7200; датчики IPS Cisco IPS 4235, 4240, 4250, 4250 XL, и 4255; модуль IDSM-2 для коммутаторов Cisco Catalyst 6500 и адаптивные устройства безопасности Cisco ASA 5500 Series с модулем SSM-AIP-20.

Администраторам необходимо приобрести копию Cisco ICS и желаемое количество лицензий Cisco ICS. После регистрации всех продуктов и получения лицензионных ключей для всех компонентов, программное обеспечение Cisco ICS устанавливается на оборудование заказчика, а лицензионные ключи регистрируются в Cisco ICS. После этого администратор должен сопоставить лицензии Cisco ICS с соответствующими устройствами, после чего последние станут центрами подавления новых вирусных атак.


СИСТЕМА КОНТРОЛЯ ПРОИСШЕСТВИЙ CISCO

Рис. 1 иллюстрирует работу Cisco ICS. На рисунке показано, как вторжение опасного ПО, обнаруженного TrendLabs, вызывает быструю реакцию Cisco ICS, которая рассылает по всей инфраструктуре сети рекомендации по устранению возникшей угрозы.

Рис 1. Работа Cisco ICS


Эксплуатация

После настройки и конфигурации Cisco ICS ее работа состоит из нескольких стадий, которые описаны ниже.

Обнаружение угрозы, установление характера угрозы, и применение Списка контроля доступа для предотвращения вирусной атаки

В лабораториях TrendLabs компании Trend Micro проводится непрерывный мониторинг Интернета и других источников информации по всему миру на предмет возникновения новых вирусных атак. В своей работе лаборатория TrendLabs использует сложные технологические методы, такие как анализ угрозы, усовершенствование способов оперативного реагирования, постоянное составление сигнатур, визуальное тестирование, функциональное тестирование, тестирование ложных срабатываний, а также загрузка шаблонов атак на сервер ActiveUpdate (AU) компании. При обнаружении новой атаки враждебного ПО, специалисты лаборатории TrendLabs проводят работу по анализу, классифицированию и распознаванию угрозы. В результате такой работы немедленно создается список контроля доступа для предотвращения вирусной атаки (Outbreak prevention access control list, OPACL). Характерная черта OPACL – низкая избирательность, поскольку с его помощью блокируется порт или протокол, что является лишь временной мерой по предотвращению вторжения или распространения враждебного ПО в сети. Такое функционирование OPACL может нарушить нормальное функционирование сети, поэтому стоит помнить, что его применение должно носить временный характер (он может быть использован лишь как временная мера). Обычно лаборатория TrendLabs выпускает новый OPACL в течение 15 минут после обнаружения вирусной атаки. OPACL помещается на серверы AU лаборатории Trend Micro и может быть загружен сервером системы контроля происшествий Cisco как часть антивирусной задачи (outbreak management task, OMT). Сервер Cisco ICS постоянно запрашивает AU серверы лаборатории TrendLabs на предмет объявления о новой атаке и наличии антивирусной задачи (OMT). При обнаружении сервером Cisco ICS антивирусной задачи (OMT), он создает задачу в Cisco ICS, предупреждает администратора, автоматически загружает OPACL, и – если настроен на автоматическое применение, – применяет загруженный OPACL к конфигурированным антивирусным устройствам Cisco. Если сервер Cisco ICS не настроен на автоматическое применение списка контроля доступа, администраторы имеют возможность проверить OPACL и внести необходимые изменения перед тем, как применить его вручную. Списки OPACL передаются на маршрутизаторы и коммутаторы либо при помощи Secure Shell (SSH) (по умолчанию), либо через telnet, а на устройства Cisco IPS с использованием HTTPS.

Разработка и применение сигнатур для предотвращения атак

Выпустив список OPACL, лаборатория TrendLabs продолжает работу по созданию сигнатуры для предотвращения атаки (outbreak prevention signature - OPSig), которая сможет распознать именно этот тип угрозы среди прочих видов трафика. Обычно лаборатория TrendLabs создает такую сигнатуру и выкладывает ее на AU серверы Trend Micro в течение 90 минут после обнаружения вирусной атаки. К этому времени она может быть загружена сервером Cisco ICS как следующая часть антивирусной задачи OMT. Сервер Cisco ICS автоматически загружает данную сигнатуру (OPSig) и применяет ее к совместимым с Cisco IPS антивирусным устройствам в качестве временной меры, заменяя ранее установленный список OPACL. Это позволяет вернуться к нормальному функционированию сети в полном объеме в случае, если удаление списка OPACL привело к каким-либо нарушениям в ее работе. Предлагаемая сигнатура также поступает в распоряжение команды разработчиков сигнатур Cisco и выпускается как часть стандартного обновления сигнатур, доступного для всех продуктов Cisco, совместимых с IPS, с не истекшим сроком обслуживания по контракту на обслуживание системы предотвращения вторжений Cisco. Как правило, такое обновление становится доступным в течение от шести до восьми часов с момента обнаружения атаки.

Характеристики продукта

Типы услуг
Cisco ICS предлагает два типа покрытия. Они применимы к целому ряду продуктов Cisco в зависимости от их потенциальных возможностей.

ACL Coverage (Покрытие ACL)

ACL Coverage обеспечивает антивирусные устройства списками OPACL. ACL Coverage применим к продуктам Cisco, которые не поддерживают программное обеспечение систем обнаружения и предотвращения вторжений (IDS, IPS), но поддерживают списки контроля доступа или фильтры. Продукты Cisco, совместимые с ACL, к которым может применяться данный уровень покрытия, включают:

  • совместимые маршрутизаторы Cisco (подробнее см. таблицу 1)
  • совместимые коммутаторы Cisco (подробнее см. таблицу 1)

Необходимо отметить, что требованием Cisco ICS является обязательное наличие действующих контрактов о тех. Поддержке, таких как Cisco SMARTnet® или аналогичную программу поддержки для всех устройств, входящих в ACL Coverage.

IPS Coverage (Покрытие IPS)

IPS Coverage обеспечивает антивирусные устройства списками OPACL и сигнатурами OPSig. IPS Coverage применимо ко всем продуктам Cisco, имеющих возможность полной загрузки сигнатур IPS. Продукты Cisco, поддерживающие системы предотвращения вторжений, к которым применяется данный тип покрытия, включают:

  • датчики серии Cisco IPS 4200 c IPS v5.1 или выше;
  • адаптивные устройства безопасности Cisco ASA 5500 с модулем SSM-AIP IPS v5.1 или выше;
  • модульные серверы Cisco Catalyst 6500 IDSM2 IPS v5.1 или выше;
  • маршрутизаторы Cisco с Cisco IOS Software security image of Revision 12.4(4)T или выше;

Необходимо отметить, что требованием Cisco ICS является обязательное наличие действующих контрактов о тех. поддержке Cisco SMARTnet®.

В дополнение к этому, существует два типа лицензий на использование системы предотвращения вторжений, основанных на технических характеристиках IPS-совместимых: лицензии на высокопроизводительные устройства (high-end IPS licenses) и на младшие модели (low-end IPS licenses). Возможности и действие лицензий двух типов идентичны. Лицензии отличаются только по видам антивирусных устройств, которые должны быть установлены на Cisco ICS и сопоставлены с соответствующим антивирусным устройством.

Лицензии на использование высокопроизводительных устройств IPS – такие лицензии необходимы для использования устройств со средней и высокой производительностью (включая IPS-совместимые маршрутизаторы использующие ПО IOS Software), а также маршрутизаторов с интеграцией сервисов серии Cisco 3800 (integrated services routers); маршрутизаторы серии Cisco 7200; датчики Cisco IPS 4235, 4240, 4250, 4250 XL и 4255; модуль IDSM-2 (модуль системы выявления вторжений) для коммутаторов Cisco Catalyst® 6500 и адаптивные устройства безопасности серии Cisco ASA 5500 с модулем SSM-AIP-20.

Лицензии на использование устройств IPS младшей модели – такие лицензии необходимы для использования устройств младшей модели (включая IPS-совместимые маршрутизаторы использующие защищенные имиджи Cisco IOS Software), а также все маршрутизаторы Cisco серий 800, 1800, 1700, 2600XM и 3700; датчики Cisco IPS 4215, адаптивные устройства безопасности Cisco ASA 5500 с модулями SSM-AIP-10.

В таблице 1 показаны лицензий, виды обслуживания и минимальные системные требования для антивирусных устройств.

Таблица 1. Совместимые устройства, минимальные требования по версиям ПО, типы лицензий и условия обслуживания.

Тип покрытия Cisco ICS (Cisco ICS Coverage Type) Антивирусное устройство Минимальная версия ПО Необходимая лицензия Необходимый контракт на обслуживание
ACL Coverage (только OPACL) Маршрутизаторы серий Cisco 800, 1700, 1800, 2600XM, 2800, 3600, 3800, 7200 и 7301 Cisco IOS Software Release 12.3M ACL (ICS-LIC-ACL-25) SMARTnet или аналогичная вспомогательная программа
Коммутаторы серии Cisco 3550 Cisco IOS Software Release 12.1(22)EA5
Коммутаторы серии Cisco Catalyst 6500 Cisco IOS Software Release 12.2(18)SXD5
Коммутаторы серии Cisco 7600 Cisco IOS Software Release 12.2(17)SXB8
IPS Coverage (OPACL Plus OPSig) Маршрутизаторы с интеграцией сервисов серии Cisco 3800 Cisco IOS Software Release 12.4(4)T IPS high-end (ICS-LIC-IPS-HE-1) Cisco Services for IPS
Маршрутизаторы серии Cisco 7200 Cisco IOS Software Release 12.4(4)T
Датчики Cisco IPS 4235 IPS v5.1
Датчики Cisco IPS 4240 IPS v5.1
Датчики Cisco IPS 4250 IPS v5.1
Датчики Cisco IPS 4250 XL IPS v5.1
Датчики Cisco IPS 4255 IPS v5.1
Модули Cisco IDSM2 Catalyst Modules IPS v5.1
Адаптивные устройства безопасности Cisco ASA 5500 с модулем AIP-SSM-20 ASA v7.0/IPS v5.1
Датчики Cisco IPS 4215 IPS v5.1 IPS low-end (ICS-LIC-IPS-LE-5) Cisco Services for IPS
Адаптивные устройства безопасности Cisco ASA 5500 с модулем AIP-SSM-10 ASA v7.0/IPS v5.1
Маршрутизаторы серии Cisco 800, маршрутизаторы с интеграцией сервисов серии Cisco 1800, маршрутизаторы модульного доступа серии Cisco 1700 (modular access routers), маршрутизаторы многоканального доступа Cisco серий 2600XM и 3700 Cisco IOS Software Release 12.4(4)T

Системные требования и настройка

Для инсталляции Cisco ICS необходимо наличие серверной платформы чтобы установить программное обеспечение сервера Cisco ICS и антивирусных устройств Cisco (как описано в предыдущей главе), которые будут получать политики безопасности для оперативного подавления вирусных атак. Программное обеспечение Cisco ICS должно быть установлено на серверной платформе, которая отвечает минимальным программным и аппаратным требованиям, указанным в таблице 2.

Таблица 2. Минимальные программные и аппаратные требования

Минимальные программные и аппаратные требования
Операционные системы
  • Windows 2000 Server или Advanced Server SP3
  • Windows 2003 Server Standard Edition или Enterprise Edition (English)
Аппаратное обеспечение
  • процессор 866-MHz Intel Pentium III или аналогичный
  • 512 MB RAM
  • 350 MB свободного места на жестком диске
Web Сервер
  • IIS: Windows 2000 IIS 5.0 или Windows 2003 IIS 6.0
  • Apache: 2.0
Web-браузер (для доступа к консоли управления)
Internet Explorer версии 5.5 SP2

Приобретение компонентов Cisco, необходимых для OPS, дает потребителю возможность заказывать программное обеспечение Cisco ICS и ежегодные лицензии трех видов на предотвращение вирусных атак (OPS), в соответствии с его потребностями и пожеланиями.

В таблице 3 перечислены компоненты Cisco, которые можно заказать.

Таблица 3. Компоненты Cisco на заказ

Серийный номер компонента Cisco Описание
ICS-SVR-V10-K9 Программное обеспечение Cisco ICS v1.0
ICS-LIC-IPS-HE-1 Лицензия на ICS: IPS Coverage for high-end devices, Qty 1.
ICS-LIC-IPS-LE-5 Лицензия на ICS: IPS Coverage for low-end devices, Qty 5
ICS-LIC-ACL-25 Лицензия на ICS: ACL Coverage, Qty 25
ICS-EVAL-K9 Ознакомительный комплект ICS на 60 дней (ICS SW+25xACL+5xIPS-LE+1xIPS-HE)

Перед инсталляцией сервера Cisco ICS , администратор должен зарегистрировать приобретенные компоненты продукта и получить все необходимые лицензионные ключи в соответствии с инструкциями, входящими в комплект поставки. Во время установки сервера Cisco ICS , администратору необходимо будет ввести соответствующие разрешительные ключи для ПО Cisco ICS и для каждой лицензии на антивирусное устройство. По окончании установки программное обеспечение можно настроить с учетом использования тех или иных антивирусных устройств, политик, и любых желаемых исключений. Что касается лицензионной политики, создатели ICS отказались от традиционных уведомлений о необходимости обновления лицензий. Используемая лицензионная политика является более удобной для администратора и позволяет сократить время и усилия, которые последний тратит на обновление лицензий. Лицензионная политика Cisco отличается от традиционных моделей по двум параметрам:

  • Сервер Cisco ICS может использовать автоматическую схему оплаты, при которой по истечении срока действия установленных лицензий, новые лицензии того же (или другого, по желанию) типа покупаются и вновь инсталлируются на сервер Cisco ICS. Такая схема позволяет экономить время и освобождает администраторов от забот, связанных с заказом и покупкой лицензий.
  • Истечение срока действия лицензий на сервер Cisco ICS фиксировано и наступает в один из установленных дней: 31 марта, 30 июня, 31 сентября и 31 декабря. Таким образом, сокращается количество дат истечения срока действия лицензий, что также позволяет экономить время и усилия администратора.

В таблице 4 приведены дополнительные сведения о возможностях антивирусных устройств разного типа.

Таблица 4. Сведения об антивирусных устройствах.

Тип антивирусного устройства Продукт или семейство Cisco Мандат эккаунта Применение OPACL Применение OPSig Режим списка OPACL
Устройства IPS
  • Датчики серии Cisco IPS 4200
  • Модуль Cisco IDSM2 для адаптивных устройств безопасности Catalyst
  • Адаптивные устройства безопасности Cisco ASA 5500 с модулями SSM-AIP
Администратор к интерфейсам (входящий и исходящий трафик) Есть Блокирование и запись сведений
Устройства IPS Cisco IOS Software IPS Devices Маршрутизаторы с Cisco IOS Software security image Администратор к интерфейсам (входящий и исходящий трафик) Есть Блокирование и запись сведений
коммутаторы Стандартные коммутаторы, использующие ПО ОС Cisco IOS уровень 15 или root view
  • к физическим интерфейсам (только входящий трафик)
  • к VLAN (входящий и исходящий трафик)
нет Только блокирование
Маршрутизаторы Стандартные маршрутизаторы, использующие ПО ОС Cisco IOS уровень 15 или root view
  • К физическим интерфейсам (входящий и исходящий трафик)
  • к VLAN (входящий и исходящий трафик)
нет Только блокирование

Архитектура и свойства

Сервер Cisco ICS является центром управления и применения всех антивирусных задач (OMT) для Cisco ICS. Он загружает и применяет компоненты антивирусных задач (OMT components): (информация об угрозе, списки OPACL и сигнатуры OPSigs); позволяет администратору решать, в каком случае, как и где их применять; и отвечает за применение этих задач в антивирусных устройствах. В базе данных сервера ICS создаются журналы, в которые включается информация не только о применении списков OPACL и сигнатур OPSig, но и о событиях, вызванных соответствиями трафика, проходящими через антивирусные устройства. Используя данные журналы, сервер Cisco ICS может генерировать события системного журнала в режиме реального времени и создавать графики-отчеты, при помощи которых администратор сможет оценить уровень безопасности в связи с каждой атакой. В дополнение к этому сервер Cisco ICS интегрируется со службой устранения ущерба Trend Micro Damage Cleanup Service (DCS) с целью обозначения инфицированных конечных узлов Windows и эффективной очистки всех источников заражения в рамках сети.

В следующих разделах будут изложены некоторые основные черты Cisco ICS .

Режимы работы OPACL (Drop and Log)
Для облегчения настройки и расширения сферы применения Cisco ICS, OPACLs могут работать в двух режимах конфигурированного поведения: при обнаружении совпадения OPACLs могут быть настроены либо на выброс пакетов, либо на регистрацию совпадений без прерывания потока трафика. Необходимо заметить, что такая настройка применима только к устройствам IPS (IPS coverage). Регистрация совпадений трафика недоступна для антивирусных устройств с поддержкой только ACL (ACL coverage).

Автоматический и ручной режимы OPACL Для обеспечения тщательного контроля администраторов над потенциально опасным поведением для OPACL в сервере Cisco ICS предусмотрена возможность настройки одного из двух режимов работы:

  • автоматический режим: в данном режиме OPACL автоматически направляются к антивирусным устройствам, без вмешательства администратора. Это позволяет администраторам максимально сократить время отклика и обеспечивает наиболее оперативное применение защитных мер.
  • ручной режим: в данном режиме OPACL содержатся в сервере Cisco ICS, а администраторы получают уведомления об их наличии и получают возможность проверять и/или редактировать их до принятия решения о необходимости отправки этих каталогов антивирусным устройствам.

Централизованное конфигурирование антивирусных задач ОМТ (Outbreak Management Tasks)
Сервер ICS позволяет полностью контролировать все антивирусные задачи, при этом администратор может изменять новые или уже применявшиеся антивирусные задачи, а также создавать новые задачи по своему усмотрению. В дополнение к этому, администраторы могут устанавливать общие правила для протоколов или портов, на которые не будет влиять применение антивирусных задач. Эта функциональная особенность позволяет исключить влияние Cisco ICS на стабильность работы системы и критически важных приложений. Все эти функции могут быть централизованно выполнены сервером ICS и применены к отдельным антивирусным устройствам, логическим группам устройств или ко всем зарегистрированным устройствам.

Логическое обозначение или группирование устройств
После регистрации антивирусных устройств в сервере Cisco ICS им могут быть присвоены логические имена, и они могут быть отнесены к той или иной логической группе. Это позволяет администратору сортировать имеющиеся антивирусные устройства в зависимости от потребностей и в соответствии с сетевой топологией, функциональностью, расположением, степенью ответственности администратора или по любым другим желаемым критериям.

Мгновенные антивирусные задачи по подавлению множественных атак
Множественные вирусные атаки могут возникать одновременно. Сервер ICS создан таким образом, что он может одновременно выполнять несколько антивирусных задач (до 32-х), что позволяет ему справляться с множественными атаками.

Регистрация и мониторинг событий в режиме реального времени
Применяя какую-либо антивирусную задачу, администраторы обладают широкой свободой действий в отношении мониторинга влияния любых проявлений вирусной активности в своих сетях, что достигается путем отслеживания соответствия трафика сигнатурам, используемых в антивирусных устройствах OPACLs и OPSigs. Сервер Cisco ICS оснащен мощными интегрированными инструментами для мониторинга и отчетности. Помимо поддержки встроенной отчетности (syslog) и продукта Cisco Security Monitoring, Analysis and Response System (CS MARS), администраторы могут использовать иные средства мониторинга и отслеживания соответствий по своему усмотрению.

Взаимодействие с Системой ликвидации ущерба Trend Micro (Damage Cleanup Service)
Несмотря на то, что OPACLs и OPSigs препятствуют вторжению и распространению инфекций по сети, всегда есть угроза инфицирования в результате пробелов в применении системы предотвращения вторжений или благодаря существованию непредвиденных точек входа инфекции. Для предотвращения потенциальной угрозы администраторам необходимы средства для борьбы с источниками внутренних инфекций. Сервер Cisco ICS способен регистрировать и отслеживать хосты, генерирующие трафик, при котором срабатывают OPSig. База данных сигнатур вирусов может создаваться системой Trend Micro's DCS. Серверы Trend Micro's DCS могут регистрироваться сервером Cisco ICS, позволяя службе DCS автоматически и удаленно очищать зараженные устройства Windows, идентифицированные Cisco ICS как внутренние источники инфекции.

Подобное взаимодействие изображено на рисунке 2.

Рисунок 2. Взаимодействие с Системой ликвидации ущерба


  1. Инфицированный компьютер отсылает злонамеренный содержимое по сети. Антивирусное устройство Cisco ICS, конфигурированное с соответствующим OPSig, блокирует опасный трафик.
  2. Сервер Cisco ICS применяет протокол информационного обмена устройств безопасности (Security Device Event Exchange protocol, SDEE) для запроса об информации от антивирусного устройства и определяет IP адрес источника инфекции. После этого Cisco ICS добавляет данный IP адрес к контрольному списку (Watch List) своей базы данных инфицированных устройств.
  3. Сервер Cisco ICS уведомляет сервер СКД Trend Micro об устройствах в контрольном списке базы данных и запускает удаленную очистку инфицированных устройств.
  4. Сервер Trend Micro's DCS направляет к инфицированному источнику средство очистки повреждений (Damage Cleanup Engine, DCE) и шаблон очистки (Damage Cleanup Template, DCT) и выполняет удаленную очистку инфицированного компьютера. После очистки компьютера, система контроля данных уведомляет сервер Cisco ICS, и Cisco ICS удаляет IP адрес источника инфекции из контрольного списка (Watch List).

ОБСЛУЖИВАНИЕ СИСТЕМЫ КОНТРОЛЯ ПРОИСШСТВИЙ: ПОДГОТОВКА, ПЛАНИРОВАНИЕ, РАЗРАБОТКА, ПРИМЕНЕНИЕ И ЭФФЕКТИВНОЕ ИСПОЛЬЗОВАНИЕ СИСТЕМЫ ICS

В перечень услуг Cisco Services входит полный спектр услуг по профессиональной и технической поддержке на каждом этапе жизненного цикла сети потребителя: подготовка, планирование, разработка, инсталляция, эксплуатация и оптимизация (PPDIOO). Данные услуги помогут повысить эффективность использования систем Cisco на каждом этапе. Краткое описание услуг изложено ниже.

Расширенное обслуживание(Advanced Services) для Cisco ICS

Компания Cisco предлагает ряд дополнительных услуг, включая анализ потребностей, планирование, разработку и консультации по внедрению программных продуктов, консультации специалистов по вопросам эффективного использования системы контроля происшествий Cisco. Чтобы обеспечить наиболее успешную работу вашей Cisco ICS, консультанты могут оказать следующие виды дополнительных услуг:

Используя последовательную и обоснованную методологию для осуществления внедрения ICS Cisco, консультанты услуг (Advanced Services consultants) обеспечивают ряд услуги для гарантии, что ваше развертывание Cisco ICS будет имеет успех:

  • Оценка эксплуатационной готовности системы контроля происшествий – инженеры Cisco оценят готовность устройств корпоративной сети, операционных процессов, и архитектуры поддерживать Cisco ICS. Специалисты по безопасности определят, какие их устройств в сети поддерживают Cisco ICS и предложат варианты по изменению или усовершенствованию существующей сети, с целью получения максимальной пользы от использования возможностей Cisco ICS.
  • Разработка рабочего проекта системы контроля происшествий - консультанты Cisco помогут в разработке проекта и интеграции Cisco ICS в инфраструктуру сети, проведут глубокий анализ технических, процедурных и системных требований для пилотного и корпоративного использования системы. Инженеры по сетевой безопасности разработают решение и проведут пилотные или ограниченные развертывания и испытания для проверки и отладки разработанного решения.
  • Проектирование внедрения Cisco ICS – для достижения максимальной эффективности, Cisco ICS должна быть тщательно настроена и интегрирована в сетевую инфраструктуру. Инженеры безопасности Cisco обеспечивают поддержку на всем этапе внедрения, обучения персонала, разработки подробных проектов использования, включая инсталляцию, конфигурацию, интеграцию и управление. После создания проектов внедрения инженеры безопасности Cisco могут обеспечить инсталляцию, настройку, тестирование и отладку на месте, чтобы убедиться, что установленная система должным образом вписалась в ваш производственный процесс.

Cisco предлагает услуги по технической поддержке, которые дополняют внутренние источники и помогают обеспечить эффективную работу продуктов Cisco, их доступность, и соответствие самым современным системным требованиям.

Техническая поддержка системы контроля происшествий Cisco*

Cisco предлагает услуги по технической поддержке, которые дополняют внутренние источники и помогают обеспечить эффективную работу продуктов Cisco, их доступность, и соответствие самым современным системным требованиям. Для подготовки и эффективного использования Cisco ICS, Cisco предлагает три пакета услуг: поддержку SMARTnet®, поддержку по программному обеспечению и обновлениям (Software Application Support plus Upgrade, SASU) и обслуживание Cisco IPS (Cisco Services for IPS).

  • Поддержка SMARTnet
    Пакет услуг по технической поддержке включает поддержку SMARTnet для удовлетворения требований по поддержке сетевых продуктов Cisco и защиты инвестиций в них. Пакет включает следующие услуги:
    • постоянный доступ к обновлениям ОС Cisco, таких как Cisco IOS Software;
    • доступ к центру технической поддержки для оперативного разрешения технических вопросов с оборудованием и ПО Cisco, круглосуточно и повсеместно;
    • доступ к информационным ресурсам Cisco.com и обширной библиотеке технической литературы;
    • возможность дополнительной замены оборудования с возможностью выезда специалиста для замены неисправного оборудования.
  • Обслуживание Cisco IPS
    Обслуживание Cisco IPS объединяет услуги поддержки SMARTnet и доступ к сигнатурам IPS в одну большую программу обслуживания. Пакет включает следующие услуги:
    • доступ к сигнатурам Cisco IPS , рассчитанных на широкий спектр угроз, со стандартными интервалами выпуска.
    • доступ к обновлениям ПО, например, IPS версии 5.x
    • доступ к центру технической поддержки, круглосуточно, повсеместно.
    • доступ к информационным ресурсам Cisco.com
    • возможность дополнительной замены оборудования с возможностью выезда специалиста для замены неисправного оборудования.
  • Cisco SASU (Software Application Support plus Upgrade)
    Пакет услуг по технической поддержке включает поддержку программного обеспечения и его обновления (Software Application Support plus Upgrade, SASU) для удовлетворения требований по поддержке программного обеспечения Cisco и защиты инвестиций, например, для ПО сервера Cisco ICS.
    SASU предлагает следующие услуги:
    • доступ к обновлениям ПО, включая исправленные баги, обслуживание, основные и дополнительные выпуски.
    • доступ к центру технической поддержки для оперативного разрешения технических проблем с оборудованием и ПО Cisco, круглосуточно, повсеместно.
    • доступ к информационным ресурсам Cisco.com и обширной библиотеке технической литературы.

В таблице 5 отображены компоненты каждой программы.

Таблица 5. Услуги по тех. поддержке для Cisco ICS

Компонент поддержки Поддержка SMARTnet Обслуживание Системы предотвращения вторжений Cisco SASU
Продукт предназначен для Антивирусные устройства, не входящие в IPS Антивирусные устройства, входящие в IPS ПО сервера ICS
Авторизованные Обновления сигнатур Cisco x
Доступ к обновлениям ОС x x
Доступ к информационному ресурсу Cisco.com x x x
Доступ к технической поддержке x x x
Замена оборудования x x

* При приобретении Cisco ICS необходимым требованием является наличие действующих контрактов о тех. поддержке для всех антивирусных устройств. Антивирусные устройства с ACL coverage должны быть защищены действующим контрактом Cisco SMARTnet®. Антивирусные устройства с IPS coverage должны быть защищены действующим контрактом Cisco Services for IPS.

Резюме

Система контроля происшествий Cisco мгновенно распределяет по сети средства иммунизации от червей и вирусов. Такой высокоскоростной упреждающий подход предотвращает вторжение червей и вирусов, что помогает обеспечить бесперебойную работу сети и снизить издержки, связанные с устранением ущерба от вирусных атак. Cisco ICS является важным дополнением к Cisco Services для IPS и обеспечивает дополнительный уровень защиты, основанной на оперативной реакции на новые вирусные атаки. ICS может применяться как в больших, так и в малых инфраструктурах сетевых устройств Cisco.