Cisco Firepower

Cisco Firepower – это специализированная модульная платформа безопасности. Ее эксплуатантами являются операторы связи и провайдеры. Оборудование устанавливают в центрах информационной обработки и схожих инфраструктурах, где от оборудования требуется повышенная производительность и функциональность. Обеспечивая всесторонний анализ трафика, решение не влияет на скорость и эффективность работы, что особенно важно при сервисной поддержке клиентов. Безопасность обеспечивается в традиционных, виртуальных средах, а также в облаке. Система оперативно интегрируется в инфраструктуру компании и быстро окупается.

Особенности оборудования:
Cisco Firepower полностью устраняет уязвимые зоны в сети. Устройство сканирует все участки, тщательно исследует инфраструктуру. Проникновения вредоносных программ с ним полностью исключается. Возможности платформы постоянно наращиваются. Она задействует интеллектуальные механизмы, позволяющие производить обучение и динамически реагировать на новые вызовы. Расширение базовых возможностей производится параллельно потребностям организации, необходимые ресурсы выделяются мгновенно. Представленная линейка довольно широкая. Оптимальная версия подбирается для каждой конкретной среды. Уровень защиты соответствует корпоративным требованиям.

Преимущества оборудования:

• Cisco Firepower оперативно обрабатывает большие объемы входящего и исходящего трафика, работает в режиме многозадачности.
• Структура платформы – универсальная, что делает ее оптимальным вариантом для программных сетей, сервисных конфигураций, а также сред, ориентированных на разработку приложений.
• Пользователи решения отмечают его быструю работу. Простоев системы практически не бывает, эффективность – высочайшая.

Автоматическая подстройка сигнатурного набора – Порой для качественного отслеживания инцидентов и адекватной реакции на них человеческих ресурсов бывает недостаточно. Собирая следующую информацию у FirePower появляется возможность автоматически подстраивать наборы сигнатур для отдельных элементов сети:

• Актуальный список хостов/систем;
• Перечень операционных систем с версиями и патчами на конечных устройствах;
• Версии и наличие клиентского ПО;
• Список пользователей, находящихся за хостами;
• Перечень возможных уязвимостей;
• Наличие обмена данными между хостами в пассивном режиме.

Next-Generation Firewall (NGFW) – Межсетевой экран нового поколения, использует сигнатуры определения типов приложений и теперь способен производить фильтрацию вплоть до 7-го уровня, позволяя контролировать не только приложения, но и их функции. При формировании политики фильтрации и политики обнаружения вторжений мы можем указать множество условий:

• Зоны, и/или сети и/или VLAN между которыми будет производиться фильтрация;
• Интересующие нас пользователи AD, трафик которых хотим фильтровать;
• Приложения, доступ к которым хотим ограничить/разрешить;
• Порты tcp/udp, обращения с/на которые будем фильтровать;
• URL, разбитые по категориям и репутации.

Каждая запись ACL может быть усилена политиками предотвращения вторжений, политиками файловой фильтрации и защиты от Malware и/или политиками логирования.

Функция защиты Advanced Malware Protection – Эта технология включает защиту от Malware на уровне сети. Файлы, проходящие через устройство FirePower, подвергаются анализу с использованием облачных решений. Процедура выглядит следующим образом: инспектируемого файла снимается хэш SHA-256 и производится запрос в базу данных для выяснения диспозиции этого файла (является ли этот файл чистым). Если диспозицию файла выяснить не удается. То файл посылается в песочницу, для анализа его поведения. Дополнением к этому присутствует ретроспективный анализ, при котором запоминаются все пути распространения файлов и их атрибуты. В случае, если файл оказался-таки зловредом, система с легкостью его может отследить и заблокировать на уровне сети и показать все дополнительные компоненты, Malware программы и обращения к процессам, которые дали возможность заразить и дали начало распространения угрозы.

Функция Compliance Whitelist – Функция позволяет указать перечень хостов, с определенными операционными системами, наборами патчей, клиентскими приложениями, мы разрешаем видеть в сети. Если хост не соответствует критериям, система уведомит администратора и использует методы корреляции.

Функция профилей трафика – Функция отслеживания параметров соединений, устанавливаемых хостами сети. Основываясь на статистических данных, система собирает параметры соединения и создает базовый профиль соединений для каждого хоста.

Функция корреляции событий – Функция по отслеживанию, эскалации и реагированию на события предоставляет возможность по событию выставлять наборы условий с логическими их связками для генерации реактивного воздействия.

Система мониторинга и отчетности – Функция предоставляет статистическую информацию как по системе в целом, так и по каждой активности любого трафика.
Например:

• Активность пользователей, приложений (учитывая уровень рисков), операционных систем;
• Оценка событий безопасности по уровню воздействия и уровню приоритета;
• Статистика обнаружения активности зловредов и передачи зараженных файлов;
• Местоположение хостов, реализующих враждебную активность и/или наиболее интенсивный информационный обмен;
• Статистику наиболее часто посещаемых категорий сайтов, в том числе по репутации и самых посещаемых URL.

Каждое событие или инцидент детально изучается вплоть до содержимого пакета. Система так же содержит информацию о сработавшей сигнатуре и текста этой сигнатуры. По необходимости можно сформировать отчет как по заранее подготовленным, так и по персональным шаблонам. Шаблон может включать графики таблицы, а также содержимое пакетов.

Система предотвращения вторжений (IPS) – Система IPS следующего поколения устанавливает новый стандарт защиты от угроз благодаря интеграции функций учета контекста в реальном времени, интеллектуальной автоматизации и обеспечению непревзойденной производительности систем предотвращения вторжений. Возможности IPS:

• Учет контекста в реальном времени: возможность просмотра и сопоставления больших объемов данных событий, связанных с элементами ИТ – среды — приложениями, пользователями, устройствами, операционными системами, уязвимостями, службами, процессами, поведением сети, файлами и угрозами.
• Усовершенствованная защита от угроз: защита от современных угроз благодаря передовой технологии предотвращения угроз, эффективность которой подтверждена независимым тестированием и опытом использования тысячами заказчиков по всему миру.
• Интеллектуальная автоматизация: значительное сокращение совокупной стоимости владения и обеспечения соответствия меняющимся потребностям бизнеса благодаря автоматизации оценки влияния событий, настройки политик IPS, управления политиками, анализа поведения сети и идентификации пользователей.

URL-фильтрация – Опция фильтрации URL-адресов, с помощью которой организации могут применить фильтрацию веб-адресов на основе категорий и репутации, чтобы внедрить политики допустимого использования и сократить риск вторжения или заражения.

Система управления Defense Center – Полноценное управление всеми функциями FirePower осуществляется посредством Defense Center. Локально производится, только первоначальная конфигурация FirePower которая позволяет подключить устройство в сеть и настроить связь с центром управления.

Cisco Firepower NGFW — это первый в своем роде корпоративный, максимально целостный, сфокусированный на сетевых угрозах брандмауэр следующего поколения с единообразным, стандартизированным управлением. Он обеспечивает уникальную расширенную защиту от угроз до, во время и после атак. NGFW объединяет в одной высокопроизводительной аппаратуре функционал брандмауэра и интегрированные средства контроля приложений с самой эффективной в мире системой предотвращения вторжений NGIPS.

Файрволы Firepower от компании Cisco разделяются на следующие серии:

• Cisco Firepower 1000 — решение, предназначенное для небольшого бизнеса с малыми офисами. Сочетает в себе простоту использования, глубокий мониторинг угроз без снижения производительности сети;
• Cisco Firepower 2100 — имеет более совершенную архитектуру, включающую два многоядерных процессора. Объединяет в себе функции контроля угроз, криптографии, а также межсетевого экранирования;
• Cisco Firepower 4100 — является хорошим вариантом для высокопроизводительных сред. Позволяет получить полную информацию о сети и о том, что в ней происходит. Присутствуют функция обнаружения угроз на ранних стадиях и функция быстрого реагирования на них;
• Cisco Firepower 9000 — данная серия подойдет для центров обработки данных и остальных больших сетей со своей инфраструктурой, где требуется большая пропускная способностью и низкая задержка.

Межсетевые экраны (брандмауэры) прошлого поколения способны обеспечить защитой сеть от внешних угроз в виде вредоносных программ и сторонних пользователей, тогда как NGFW умеют анализировать виды угроз, которыми подвергаются пользователи, работающие с программами внутри сети.