Cisco Security Agent 4.0

Je behaviorální analýza lepší metodou používanou u bezpečnostních produktů než stahování signatur? Cisco Security...


Je behaviorální analýza lepší metodou používanou u bezpečnostních produktů než
stahování signatur? Cisco Security Agent 4.0 je aktuálním pokusem společnosti
Cisco Systems dokázat, že tomu tak může být.
Většina síťových bezpečnostních produktů se spoléhá na pravidelné stahování
antivirových signatur a databází útoků, aby držely krok s každou novou hrozbou,
jakmile byla identifikována. Tento reaktivní přístup se dá v rozumné míře dobře
automatizovat, ale aplikace bude vždy závislá na rychlosti reakce každého
prodejce softwaru, což má za následek malou, ale potenciálně významnou mezeru,
kdy je obrana proti příštímu útoku bezmocná. Mnozí správci si tak začínají
všímat další bezpečnostní metody behaviorální analýzy, která chrání proti
známým i neznámým hrozbám bez potřeby pravidelného stahování aktualizací.
Cisco Security Agent (CSA) je právě takovým produktem, jenž má za cíl
poskytovat obranu v první linii proti řadě hrozeb včetně virů, trojských koňů,
červů, útoků jako SYN flood a pokusů o interní i externí vniknutí do sítě. Tato
účinná komponenta se natahuje do každého chráněného serveru i pracovní stanice
a sama se instaluje pod API a systémové rozhraní, kde může ověřovat všechna
volání do jádra řídicího systému. Tento způsob operací na nejnižší úrovni také
umožňuje nabídnout některé jedinečné vlastnosti, jako je předcházení útokům,
které využívají přetečení zásobníků.
CSA má zřejmě široký rozsah použití a Cisco dokonce míní, že notebooky, které
se připojují k internetu, si mohou vystačit jen s osobním firewallem.
CSA je ovládán z konzole CiscoWorks, kterou správci menších sítí a uživatelé
méně závislí na produktech společnosti Cisco považují za nemotornou; je
navržena tak, aby se starala o celou rodinu produktů a systémů Cisco Threat
Defense System.
Přesto se komponenta CSA dostatečně snadno používá a rozhraní poskytuje rychlý
přístup ke všem funkcím. K dispozici je zde dostatečný rozsah agentských
nástrojů, z nichž každý obsahuje úplnou sadu předem nastavených pravidel, která
pokrývají všechny eventuality. Jestliže však chcete omezit přístup ke
konkrétním aplikacím, budete je muset upravit na míru. A tady se stává CSA
složitým díky vymezenému rozsahu, který pravidla pokrývají.
Obecná pravidla pro zachycení skenování portů atd. se dostatečně snadno
nastavují, ale jejich vytvoření pro konkrétní aplikace bude pravděpodobně
vyžadovat, aby se do systému stáhl Agent Profiler. Ten může monitorovat všechny
používané soubory i volání softwaru a vytvářet sadu pravidel ke zjednání
přístupu.

V základu dostačuje
Zjistili jsme, že defaultní nastavení pravidel jsou dostatečná, protože
zachytila všechny pokusy instalovat zákázaný software, i když dovolila
uživatelům potlačit výstrahu; základní pravidla by potřebovala jen trošku
modifikovat. Pokusy na portu byly zpozorovány okamžitě, přičemž následně nás
CSA varoval, že bylo zjištěno nadměrné množství prohledávání portů. Pokusili
jsme se také spustit utilitu na registraci klíče, ale CSA věděl přesně o co jde
a okamžitě zablokoval přístup.
Nástroje reportingu jsou u CSA obzvlášť dobré, protože monitorovací tabulka se
otvírá s grafem, na kterém jsou zobrazeny všechny poplachy, které agent vyvolal
(vybrat přitom můžete jen jednu položku, abyste zjistili, který hostitel jej
poslal). Úroveň poskytnutých informací je velmi podrobná a jasně vidíte, která
pravidla byla porušena u každého daného poplachu.
I když bezpečnostních produktů s behaviorální analýzou je zatím na trhu
poskrovnu, Cisco Security Agent 4.0 spolu se svými ovládacími funkcemi a
reportingem patří k těm nejlepším, jaké známe.

Cisco Security Agent 4.0
+behaviorální analýza založená na pravidlech nevyžaduje pravidelné updatování,
dobré centralizované řízení (mnoho podrobných zpráv a záznamů událostí), dobrý
rozsah nastavených opatření
-pravidla pro vlastní nastavení mohou být pro menší podniky složitá a časově
náročná, konzole řízení je určena k ovládání skutečně všech produktů Cisca
Prodejce: Cisco Systems, www.cisco.cz
Cena (vč. DPH): 45 000 Kč (jeden server), 36 900 Kč (100 serverů, cena za
každý)

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.