Cisco FirePower – основные функции

Включая в себя Next Generation Firewall, Next Generation IPS, URL-фильтрации, Advanced Malware Protection и VPN, FirePower позволяет раскрывать угрозы усиливать политики безопасности, обнаруживать, блокировать, защищать сеть от атак, устранять пробелы в безопасности и предотвращать будущие атаки, предоставляя комплексную защиту до, во время, и после атаки.

  1. Автоматической подстройки сигнатурного набора

Порой для качественного отслеживания инцидентов и адекватной реакции на них человеческих ресурсов бывает недостаточно. Собирая следующую информацию у FirePower появляется возможность автоматически подстраивать наборы сигнатур для отдельных элементов сети:

  • Актуальный список хостов/систем;
  • перечень операционных систем с версиями и патчами на конечных устройствах;
  • версиями и наличием клиентского ПО;
  • список пользователей, находящихся за хостами;
  • перечень возможных уязвимостей;
  • наличие обмена данными между хостами в пассивном режиме.
  1. Next-Generation Firewall (NGFW)

Межсетевой экран нового поколения, использует сигнатуры определения типов приложений и теперь способен производить фильтрацию вплоть до 7-го уровня, позволяя контролировать не только приложения, но и их функции.

При формировании политики фильтрации и политики обнаружения вторжений мы можем указать множество условий:

  • Зоны, и/или сети и/или VLAN между которыми будет производиться фильтрация;
  • интересующие нас пользователи AD, трафик которых хотим фильтровать;
  • приложения, доступ к которым хотим ограничить/разрешить;
  • порты tcp/udp, обращения с/на которые будем фильтровать;
  • URL, разбитые по категориям и репутации.

Каждая запись ACL может быть усилена политиками предотвращения вторжений, политиками файловой фильтрации и защиты от Malware и/или политиками логирования.

 

  1. Функция защиты Advanced Malware Protection

Эта технология включает защиту от Malware на уровне сети. Файлы, проходящие через устройство FirePower, подвергаются анализу с использованием облачных решений. Процедура выглядит следующим образом: инспектируемого файла снимается хэш SHA-256 и производится запрос в базу данных для выяснения диспозиции этого файла (является ли этот файл чистым). Если диспозицию файла выяснить не удается. То файл посылается в песочницу, для анализа его поведения. Дополнением к этому присутствует ретроспективный анализ, при котором запоминаются все пути распространения файлов и их атрибуты. В случае, если файл оказался-таки зловредом, система с легкостью его может отследить и заблокировать на уровне сети и показать все дополнительные компоненты, Malware программы и обращения к процессам, которые дали возможность заразить и дали начало распространения угрозы.

  1. Функция Compliance Whitelist

Функция позволяет указать перечень хостов, с определенными операционными системами, наборами патчей, клиентскими приложениями, мы разрешаем видеть в сети. Если хост не соответствует критериям, система уведомит администратора и использует методы корреляции.

  1. Функция профилей трафика

Функция отслеживания параметров соединений, устанавливаемых хостами сети. Основываясь на статистических данных, система собирает параметры соединения и создает базовый профиль соединений для каждого хоста.

  1. Функция корреляции событий

Функция по отслеживанию, эскалации и реагированию на события предоставляет возможность по событию выставлять наборы условий с логическими их связками для генерации реактивного воздействия.

 Система мониторинга и отчетности

Функция предоставляет статистическую информацию как по системе в целом, так и по каждой активности любого трафика. Например:

  • активность пользователей, приложений (учитывая уровень рисков), операционных систем;
  • оценка событий безопасности по уровню воздействия и уровню приоритета;
  • статистика обнаружения активности зловредов и передачи зараженных файлов;
  • местоположение хостов, реализующих враждебную активность и/или наиболее интенсивный информационный обмен;
  • статистику наиболее часто посещаемых категорий сайтов, в том числе по репутации и самых посещаемых URL.


Каждое событие или инцидент детально изучается вплоть до содержимого пакета. Система так же содержит информацию о сработавшей сигнатуре и текста этой сигнатуры.  По необходимости можно сформировать отчет как по заранее подготовленным, так и по персональным шаблонам. Шаблон может включать графики таблицы, а также содержимое пакетов.

  1. Система предотвращения вторжений (IPS) нового поколения

Система IPS следующего поколения устанавливает новый стандарт защиты от угроз благодаря интеграции функций учета контекста в реальном времени, интеллектуальной автоматизации и обеспечению непревзойденной производительности систем предотвращения вторжений. Возможности IPS:

  • Учет контекста в реальном времени: возможность просмотра и сопоставления больших объемов данных событий, связанных с элементами ИТ – среды — приложениями, пользователями, устройствами, операционными системами, уязвимостями, службами, процессами, поведением сети, файлами и угрозами.
  • Усовершенствованная защита от угроз: защита от современных угроз благодаря передовой технологии предотвращения угроз, эффективность которой подтверждена независимым тестированием и опытом использования тысячами заказчиков по всему миру.
  • Интеллектуальная автоматизация: значительное сокращение совокупной стоимости владения и обеспечения соответствия меняющимся потребностям бизнеса благодаря автоматизации оценки влияния событий, настройки политик IPS, управления политиками, анализа поведения сети и идентификации пользователей.
  1. URL-фильтрация

Опция фильтрации URL-адресов, с помощью которой организации могут применить фильтрацию веб-адресов на основе категорий и репутации, чтобы внедрить политики допустимого использования и сократить риск вторжения или заражения.

  1. Система управления Defense Center

Полноценное управление всеми функциями FirePower осуществляется посредством Defense Center. Локально производится, только первоначальная конфигурация FirePower которая позволяет подключить устройство в сеть и настроить связь с центром управления.