Cisco jelentés: egymillió szakember hiányzik a globális IT biztonság területén
23 perc olvasás
A Cisco Magyarország 2014. március 7-én közzétett biztonsági jelentése a címben jelzett gondra hívja fel a figyelmet, a biztonsági teendők élvonalába a hálózati szintű védekezést helyezi.
A Cisco Magyarország 2014. március 7-én közzétett biztonsági jelentése a címben jelzett gondra hívja fel a figyelmet, a biztonsági teendők élvonalába a hálózati szintű védekezést helyezi.
A Cisco 2014. évi biztonsági jelentése áttekintést ad az év legfontosabb biztonsági trendjeiről, és javaslatokat tartalmaz az informatikai infrastruktúrák biztonságosabbá tételére. A Cisco éves jelentésében saját biztonsági vizsgálatainak segítségével osztja meg tudását a legújabb fenyegetésekről, amelyet idén a 2013-ban felvásárolt Sourcefire cég adatainak felhasználásával egészített ki. A Cisco vizsgálatai a világ legnagyobb felhőalapú biztonsági ökoszisztémáján alapulnak, amelyet több mint 75 terabájtnyi email, web, tűzfal és behatolás-megelőző (intrusion prevention system – IPS) megoldásaiból érkező adat táplál.
A szaksajtó számára tartott tájékoztatón Ács György, a Cisco regionális, közép-európai országokért felelős hálózatbiztonsági szakértője ismertette a hetedik alkalommal közzétett éves biztonsági jelentést, az internetes biztonsági kockázatokkal kapcsolatos figyelemreméltó trendeket és az új jelenségeket.
A megjelentekkel találkozott a Cisco Magyarország új ügyvezető igazgatója, Horváth Krisztina is.
A vállalatoknak ma már a korlátozott, helyi jellegű támadások mellett szervezett bűnözői csoportokkal és összetett, infrastruktúra-szintű támadásokkal is számolniuk kell, mivel az intelligens mobil eszközök, az átjárható rendszerek és a felhőalapú megoldások, minden előnyük mellett, az eddiginél nagyobb kockázatot jelentenek.
A kiberbűnözők rájöttek, sokkal jövedelmezőbb a stratégiai elhelyezkedésű csomópontok; szerverek, adatközpontok támadása, mint az egyedi számítógépek vagy eszközök rosszindulatú elérése.
A Cisco tanulmánya szerint a fenyegetettség és a sérülékenység az elmúlt évben minden eddigi szintet meghaladó mértékben, 14%-al növekedett. Az intelligens mobil eszközök és a felhőalapú számítástechnika gyors terjedése miatt a támadások egyre kifinomultabbá és összetettebbé váltak, a korábbi egyszerű támadásokat felváltotta a szervezett kiberbűnözés tevékenysége. Az új eszközök és architektúrák minden eddiginél szélesebb támadási felületet képeznek, ami a korábbinál hatékonyabb védekezést igényel. A kiberbűnözők a stratégiai elhelyezkedésű szervereken és adatközpontokon keresztül a felhasználói eszközök sokaságához jóval gyorsabban és egyszerűbben férhetnek hozzá, mint ahogy azt az egyedi eszközök támadásával elérhetnék.
Az online bűnözés technológiájának finomodása miatt legalább egymillióval több biztonsági szakemberre lenne szükség 2014-ben ahhoz, hogy a vállalatok időben felismerjék és eredményesen védekezzenek is a támadások ellen. A heckerek általában az alkalmazások webes elérésével kapcsolatos sérülékenységet használják ki.
Gyakori a tartalom-menedzsment alkalmazások sérülékenységének támadása, a hackerek így tudnak bekerülni a vállalatba, s tudnak célirányosan információt eltulajdonítni.
A Cisco részéről a saját Hálózati Akadémia biztonsági képzése új biztonsági modulokkal egészül ki az elkövetkező hónapokban.
A szakértő szerint a kiberbiztonság 2014-ben is a technológiai szektor legfontosabb kérdései közé tartozik.
A biztonság alapja a tudatosság, ezért fontos az érintettek tájékoztatása a támadási felületek és módszerek bővüléséről. Az eredményes védekezéshez meg kell értenünk a támadók gondolkodását, indítékait és módszereit a támadások minden fázisában. A biztonsági stratégiának a támadások megelőzésére éppúgy ki kell terjednie, mint a támadások alatti és utáni szakaszra.
A támadható felületek kiterjedtsége és a módszerek kifinomultsága miatt a hagyományos gondolkodás ma már nem elég, a védekezést a hálózatok szintjén el kell kezdeni. A hackerek nagy hatékonysággal képesek támadni az
infrastruktúrákat, az egyik ilyen irány volt 2013-ban a DNS sérülékenységgel kapcsolatos támadás. A másik az Apache webszerver sérülékenységét használta ki; installált egy SSH démont, ennek eredményeként e-frameket illesztett a weblapba, ezzel a hosting szolgáltatást, a különböző weblapokat időben változó módon fertőzte meg. Nem lehetett azonosítani, mert nem statikus, hanem dinamikus viselkedést produkált. Szabály-alapú támadást tartalmazott; amikor az admin látogatta meg a weblapot, akkor nem történt támadás, felhasználó látogatásakor viszont, amikor az pl. Google keresőmotoron keresztül érkezett, meg tudta fertőzni annak gépét. A jövőben ilyen jellegű támadásokra lehet számítani.
A jelentés szerint a teljes spam-mennyiség csökkent ugyan, de a rosszindulatú levelek még mindig komoly fenyegetést jelentenek, tartalmuk megváltozott, többnyire egy káros tartalomra mutató linkként jelentkeznek.
A legelterjedtebb témák a banki műveletekkel kapcsolatos átverések, az online vásárlásokkal kapcsolatos levelek, ill. a csatolt képek formájában érkező vírusok.
A kéretlen levelekkel ellentétben, az elosztott szolgáltatásmegtagadás (DDoS – Distributed Denial of Service) típusú támadások száma emelkedett, ill. a multifunkciós trójai programok mennyisége is jelentős volt az elmúlt esztendőben.
A tanulmány szerint továbbra is a Java a leggyakrabban támadott programozási nyelv, a mobilkártevők túlnyomó többségének pedig még mindíg az Android operációs rendszer a célpontja. A rosszindulatú programok, a korábban is sokat támadott gyógyszer- és vegyipar, ill. az elektronikai iparágak mellett, az eddig alacsonyabb kockázatúnak számító mezőgazdaságban és bányászatban is magas fertőzöttséget produkáltak, de az energia-, olaj- és gáziparban is tovább emelkedett az azonosított kártevők száma.
A kutatás legfontosabb megállapításai
A Cisco saját SIO (Security Intelligence Operations) biztonsági szervezete együttműködik ügyfélhálózatokban telepített eszközökkel, ill. külső forrásokból is kap információkat, melyeket 24 órás üzemben elemezve, figyelemmel kíséri a támadásokat. Vizsgálják, a nagyvállalati felhasználók mennyire veszik igénybe a különböző weboldalakat.
A vonatkozó elemzésben harminc nagy világcéget vizsgáltak a szakemberek, s úgy találták a nagyvállalati felhasználók mindegyike látogatott káros anyagokat tartalmazó weboldalakat, 96%-uk jutott eltérített oldalakra fertőzött szerverek miatt, 92%-uk pedig rosszindulatú tevékenységre szolgáló üres honlapokra lett irányítva. Banki weblapok sem mentesek a káros anyagoktól!
A kártevők nyomon követésének 2000. májusi kezdete óta a sérülékenységek és fenyegetések száma eddig nem tapasztalt szintet ért el. 2013 októberében az éves riasztások száma 14%-al volt magasabb az egy évvel korábbinál.
A vizsgálat ma már nem csak webes URL-ekre, de fájlokra is kiterjed, káros anyagok online elemzése végett.
Az elemzés során azt vizsgálják, az üzemeltetett rendszer mennyire képes megállapítani az eszközök fertőzöttségét, a hacker tevékenységet.
Emelkedett az elosztott szolgáltatásmegtagadás (Distributed Denial of Service – DDoS) típusú támadások száma és súlyossága is. Ezek a támadások megzavarják a fenyegetett honlapokra, s az azokról kifelé irányuló adatforgalmat, valamint megbéníthatják az internetszolgáltatót is. Egyes nagy publicitású és látványos DDoS támadások további rosszindulatú tevékenységet fednek el, például elektronikus csalásokat.
A többfunkciós trójai programok számítanak a weben leggyakrabban terjedő kártevőknek, 2013-ban az esetek 27%-át tették ki. A második helyen 23%-kal a szoftverek biztonsági réseit kihasználó rosszindulatú kódok (exploit, iframes) állnak, az adatlopó trójai és backdoor programok a webes incidensek 22%-ával a harmadik helyet foglalják el.
A kártevőknek otthont adó tárhelyek és IP-címek száma 2013 januárja és szeptembere között 30%-os visszaesést mutatott, ez arra utal, hogy a rosszindulatú szoftverek kevesebb gazdagépen és IP-címen koncentrálódnak.
Az internetes bűnözők továbbra is a Java sérülékenységeit használják ki leggyakrabban. A Cisco-hoz tartozó Sourcefire kiberbiztonsági szolgáltató adatai szerint a Java biztonsági réseinek kihasználása generálja a támadások (indicators of compromise, IOC) 91%-át. Ezt követi az Office kitettsége, majd az Adobe Acrobat Readeré 3%-ban.
Tehát, a Java frissítése kritikus fontosságú.
A mobil eszközökre írt rosszindulatú programok 99%-a az Android operációs rendszert támadja. A leggyakrabban azonosított mobil kártevő az Andr/Qdplugin-A, általában a nem hivatalos szoftverpiacokról letölthető legális alkalmazásokba csomagolva fordul elő. Veszélyessége, hogy át tudja venni az adott mobiltelefon felett a teljes ellenőrzést. Más kártevők, pl. egyes játékokhoz kapcsolódóan, pénzdíjas SMS-eket képesek küldeni a tulajdonos tudomása nélkül.
Bizonyos iparágakban, például a gyógyszer- és vegyiparban, ill. az elektronikában eddig is gyakrabban fordultak elő rosszindulatú szoftverek, 2012-ben és 2013-ban viszont feltűnően nőtt az alacsony kockázatú szektoroknak számító mezőgazdaság és a bányászat fertőzöttsége, de az energia-, olaj- és gáziparban is tovább emelkedett a kártevők száma.
A támadások kivitelezése ma már egyfajta iparággá vált a „rosszfiúk" részéről, megrendelésre állíthatók össze, s támogatással árusítják.
Magyarországon néhány banki adathalász eset történt, pl. OTP elleni támadás. Primitív fordításokkal ellátott útmutatók vezettek OTP weblaphoz hasonló helyekre, a támadásnak voltak magyar áldozatai is.
Felütötte fejét néhány zsarolóprogram (cryptolocker) támadás is, amely a merevlemez adatokat titkosította.
A zsarolók kínálta megoldás hamis rendőrségi oldalakhoz vezetett. A rendszer felszabadítása változó sikerrel zajlott.
A Zeus támadó-kód még ebben az évben is működőképes, banki tranzakciónál képes hamis információkkal hamis helyre irányuló telefonhívásra bíztatja a felhasználót.
A Cisco Éves Biztonsági Jelentésének teljes változata:
http://www.cisco.com/web/offers/lp/2014-annual-security-report/
Videó: John N. Stewart a bizalomról: https://www.youtube.com/watch?v=BrsL0rJPXMk
Cisco Biztonság a Facebook-on: http://facebook.com/ciscosecurity
A Cisco blogjai: http://blogs.cisco.com
Mit kínál a Cisco a fenti fenyegetettségek ellen?
Új, nyílt forráskódú alkalmazás-azonosító- és vezérlő megoldás a Cisco saját IT biztonsági portfóliójában
Kezdetben voltak a VPN-ek, tűzfalak, antivírus rendszerek, betörés-detektáló rendszerek, Network Addition Control Function (NACF – sérülékenység naprakész elhárításának ellenőrzése), az utóbbi évek előrelépése ezen a területen az alkalmazás-vezérlés. A tűzfalak ma már alkalmazás-szintű szabályokat tudnak kontrollálni, felismerik az SSH-t, HTTP-t, függetlenül az alkalmazott porttól. Mostanában terjedő megoldás a SandBoxing („homokozó"-szerű, zárt rendszerben történő vizsgálat, elhatárolt területen belüli futtatás). Lényege, egy vizsgálatra szánt fájl ellenőrzése ne a saját gépen történjen, hanem olyan rendszeren belül, amely ezt önállóan, biztonságosan képes elemezni. Pl., felküldjük a felhőbe, s ott egy, a káros anyag nyomkövetésére felkészített, virtuális gép leírja a kérdéses anyag tevékenységét; milyen fájlokat hoz végre, milyen műveleteket indít, kommunikál-e más géppel, forgalmaz-e a hálózaton. Ez a megoldás ettől az évtől már Cisco hálózati rendszerekben is tud működni, köszönhetően a Sourcefire-nek és az integrációnak. A Cisco erős ütemben fejleszti a vonatkozó szolgáltatásokat.
http://en.wikipedia.org/wiki/Sandbox_(computer_security)
http://hu.wikipedia.org/wiki/Homokoz%C3%B3_(biztons%C3%A1g)
A nyílt forráskódú alkalmazás-azonosítás és szabályozás a Cisco által fejlesztett új, alkalmazásközpontú azonosítási nyelven, az OpenAppID-n alapul, a Cisco a programnyelv kifejlesztésével új, nyílt forráskódú alkalmazás-azonosítást integrál Snort motorjához. (http://www.snort.org )
A Snort a világ legelterjedtebb IDS/IPS technológiája, olyan nyílt forráskódú, hálózati betörés-detektáló és megelőző (IDS/IPS) rendszer, melyet eredetileg a Sourcefire fejlesztett ki.
A Sourcefire által fejlesztett Netgeneration IPS (újgenerációs betörés-detektáló rendszer) felhasználókat, alkalmazásokat is ismer. A szabályrendszert ennek megfelelően lehet kialakítani. 2006 óta a Gartner Magic Quadrant értékelésében a cég IPS megoldásai piacvezetők.
Az intelligens cybersecurity megoldások területén vezető Sourcefire céget a Cisco 2013 során vásárolta fel, a vételár megközelítette a 2,7 milliárd dollárt. (http://www.sourcefire.com ) A korábban az amerikai kormányzat számára dolgozó biztonsági cég IPS rendszereket valósított meg nyílt forráskóddal.
Sourcefire megoldások, amelyek bekerültek a Cisco biztonsági portfóliójába:
A korábbi IPS megoldáson kívül:
Netgeneration Firewall alkalmazás-kontroll, az alkalmazások valós idejű felismerésére és kezelésére
Netgeneration IPS; felhasználókat és alkalmazásokat is ismer
Adwance Malware Protection,a fájl-alapú károsanyag detektálás (valós idejű, vagy visszatekintő elemzés)
A Cisco új biztonsági modelljének alapgondolata; mit csinálna másképp, ha tudná, hogy megheckelik?
Minden céget meg tudnak heckelni, legjobb, ha már most gondolkodik róla a biztonsági vezető, mit tenne másképp, mit tenne most másképp, ha megheckelik. Milyen technológiát alkalmazzon ennek elkerülésére.
Ezen gondolat alapján határozta meg a Cisco az új biztonsági modellt, ami alapvetően a támadás tényére épül, azaz, milyen technológiákat lehet bevetni a támadás különböző szakaszaiban.
Eszerint:
Előtte: vezérlés jellegű védelem, tűzfal, Network Edition Control típusú megoldások
Alatta: betörés-detektáló rendszerek
Utána: Advance Malware Detection (ez betörés alatt is képes működni, hash alapján detektál és zár), új típusú támadás esetén pedig retrospektív elemzéssel meg tudjuk nézni a támadás hatásait, hogy milyen gépeket fertőzött meg és hogyan.
A stratégiai irányelvek kulcsfontosságú tényezője a
vizibilitás; a Netgeneration IPS arra épít, hogy ismerjük az alkalmazásokat, a felhasználókat és a környezetet, a szervereket és a klienseket is, s ebből következik, hogy a sérülékenységek is ismertek. A sérülékenységek ismeretéből következően az IPS rendszereket finomhangolás alá vehetjük, alkalmazni tudjuk pl. az Apache szerverek IPS mintáit magára az Apache szerverre
a fenyegetésre való összpontosítás; threat protection, felhő alapú biztonsági rendszerek (elemzés a felhőben),a jövőben magában az eszközben is sandboxy rendszert alakíthatunk ki a platform-alapú működés; különböző szolgáltatások, tűzfal, Netgeneration Firewall, Netgeneration IPS és Adwanced Malware Protection integrációja, nagy teljesítménnyel párosítva.
A fenti, széles körben elterjedt ingyenes, kognitív alapú Sourcefire szabályrendszer nagy elismertségnek örvend a szakemberek körében. Ötvözi az anomália alapú és a szignatúra alapú vizsgálatok előnyeit, s kiegészítő update-eket is nyújt a felhasználóknak.
A cég nyílt forráskódú antivírus rendszere, netgeneration tűzfala és advance malware protection rendszere képes fájlokat vizsgálni, s biztonságukat elemezni valós időben online, vagy eldöntésre váró esetben a felhőbe tudja küldeni kiértékelésre. Az eddig ismeretlen, újfajta káros-anyagot ugyan nem ismerheti automatikusan, de róla egy hash fájlt képez, ezt felküldi a felhőbe, ott elemzésre kerül a működése különböző rendszerekkel, s kiértékelik a hatását. Mindez időigényes, s nem is történhet valós időben, ezt nevezzük retrospektív (visszatekintő) elemzésnek. Azaz, ha adott időben nem is tudjuk eldönteni a fájl miben létét, de nyomon tudjuk követni, hogy ki volt az első áldozat és utána milyen gépeket tudott megfertőzni az adott rendszer. Ezután tudjuk az érintett gépeket megtisztítani.
Konklúzió; együtt kell élni az ilyesfajta támadásokkal, de a korábban alkalmazott védelmi megoldások mellé ilyen, fájl alapú rendszereket is be kell iktatni.
Antivírus rendszer és a malwarek elleni intézkedés ma:
Minden gépen vannak antivírus rendszerek is, gyakori panasz, hogy ezek nem eléggé hatékonyak, nem ismerik fel az új kódokat, új támadásokat. Ezen rendszerek hatékonysága limitált, a CPU-nak kb. 2-5%-át használják. Az új antivírus rendszereknél is látható fejlesztés, pl. sandboxy és felhő irányba, de erősen, tipikusan eszközre, az adott gépre korlátozott szabálykészlettel működnek, s point-of-time (jelen-pillanatú) döntésre kényszerülnek. Az antivírus rendszerek mellé, tipikusan az új támadások detektálására, kiegészítő rendszerekre van szükség.
Cisco bejelentések
A rosszindulatú programok „signature" kódjának azonosítására sokszor hetekig, hónapokig várni kell, ezért az AMP a fájl-felismerés, az elkülönítés és a visszamenőleges fájlvizsgálat együttes használatával azonosítja és állítja meg a támadásokat.
Új, hálózati szintű védelem a Cisco tartalombiztonsági portfoliójában: Advanced Malware Protection, AMP, már hálózati és végponti rendszerekre is:
A webes és email biztonsági eszközökbe, valamint a Cloud Web Security szolgáltatásba integrált AMP-t eredetileg a Sourcefire fejlesztette. Jelentősen kiegészítve, a Cisco és a Sourcefire integrációjának első közös eredményeként csaknem mindenhol, hálózati és végponti rendszerekben is elérhető.
http://www.cisco.com/c/en/us/solutions/enterprise-networks/advanced-malware-protection/index.html
Az észlelést, blokkolást, folyamatos vizsgálatot és utólagos kármentesítést is magában foglaló AMP a Cisco tartalombiztonsági megoldásai által védett, több mint 60 millió felhasználónak nyújt fokozott védelmet a rosszindulatú programok ellen. http://www.cisco.com/c/en/us/products/security/cloud-web-security/index.html
A kivédendő támadásokkal lépést tartva, az AMP is folyamatosan fejlődik. Ez a fejlett károsanyag felismerő rendszer korábban már működött az integrált rendszerben, az IPS-el és Firewall-al együtt, de egyre inkább érvényre jut
PC-ken, végpontokon, mobil eszközökön, ill. virtuális gépen is. 2014. február óta önálló eszközként is elérhető.
Új dolog, hogy ma már a korábban alkalmazott email-es és webes rendszerek sem csak antivírus motorokat tartalmaznak, hanem az AMP-vel az új típusú támadások detektálására is képesek. Az AMP ötvözi a Sourcefire legújabb fenyegetésekkel kapcsolatos ismereteit és elemzési képességeit, valamint a Cisco tartalombiztonsági megoldásait, s a cég szakemberei szerint, átlátható, könnyen ellenőrizhető, gazdaságos megoldást biztosít a rosszindulatú programok elleni védekezéshez. A megoldás a Cisco és a Sourcefire felhőalapú intelligens hálózatain alapuló, folyamatos hálózatszintű ellenőrzést és elemzést végez a támadások minden fázisában.
Az IPS mintázatok esetében a Cisco nyílt forráskód alapon megadja, közzéteszi a közösségnek ezeket a mintázatokat, de a továbbiakban már nem csak IPS, hanem úgynevezett alkalmazás mintákat is megoszt vele, ezzel lényegében szabványosítja az alkalmazások felismerését. Ez várhatóan nagyon meg fogja változtatni a tűzfali alkalmazás-felismerési motorokat, ill. a load-balancing rendszerektől kezdve, sok olyan területet érinthet, ahol az alkalmazások felismerése, vagy vezérlése kritikus jellegű. Ezer open-add detektort adott át a Cisco a közösségnek. Ezek fejleszthetők, vannak mintakönyvtárak hozzá, s új alkalmazások fejlesztésénél felhasználhatók.
Felhő alapú biztonsági rendszer
A Cisco az elmúlt évben felvásárolt cseh illetőségű Cognitive Security cég biztonsági kockázatokat elemző megoldását elérhetővé, megvásárolhatóvá tette a Cloud Web Security (felhő alapú biztonsági rendszer) felhasználói számára. Ezzel a már meglévő megoldással az adott gépről (asztali PC-ről, vagy mobil eszközről) a webes tartalmat átirányítjuk a felhőbe, ott történik az illető tartalmak vizsgálata káros elemre, ill. URL-szűrése.
Új elem; az új típusú támadások egyértelmű detektálása anomália vizsgálattal. A rendszer adaptív típusú, tanulásra képes, vele a webes támadásokat valós időben tudjuk érzékelni.
A Cognitive Threat Analytics olyan felismerő, önfejlesztő rendszer, amely viselkedési modellekkel és az anomáliák felfedezésével azonosítja a rosszindulatú tevékenységet, felgyorsítva a fenyegetések felismerését. A Cognitive Threat Analytics és az AMP is elérhető a Cisco Cloud Web Security megoldásában, választható licensz formájában.
http://www.cisco.com/c/en/us/solutions/enterprise-networks/cognitive-threat-analytics/index.html
OpenAddID – alkalmazások felismerése és detektálása
A vállalatok szoftverkörnyezetében soha nem látott ütemben fejlesztik és vezetik be az új üzleti alkalmazásokat.
A Cisco a közösség rendelkezésére bocsátja a nyelv leírását és dokumentációját. Az új programnyelvnek köszönhetően a felhasználók rugalmasabb módon szabályozhatják a hálózatban használt új, vagy egyedi alkalmazásokat. Segítségével a betörés-detektáló rendszerek (Snort, stb.) képesek alkalmazásokat felismerni és rájuk szabályokat alkalmazni. Tehát, nem csak forgalmi statisztikák alkalmazás-szintű elemzéséről van szó, hanem alkalmazási szabályalapú blokkolásról is, s az alkalmazás neve, specifikációja is rögzül. A Snort alkalmazás használói számára ez olyan könyvtárat jelent, ami a Snort egyik elő-feldolgozója motorja, bővíthető minta-detektorokkal is, s jelenleg több mint ezer alkalmazás felismerésére alkalmas.
Az OpenAppID különösen fontos lehet az egyedi, vagy specializált alkalmazásokat használó szervezetek számára, ill. olyan, szigorúan szabályozott környezetben működő vállalatok esetében, ahol a legmagasabb szintű azonosításra és ellenőrzésre van szükség.
Összegezve:
Az OpenAppID az új alkalmazás-azonosítók nyílt, közösségi megosztásával és fejlesztésével jelentősen felgyorsítja és kiterjeszti az új alkalmazások felismerését. Támogatja az alábbi kritikus fontosságú funkciókat és ezzel hozzájárul a hatékonyabb védelem kialakításához:
Alkalmazások felismerése és jelentése: a Snort felhasználói az OpenAppID új azonosító programjaival felismerhetik és azonosíthatják az alkalmazásokat, jelentést készíthetnek azok használatáról.
Hálózati behatoláshoz társított alkalmazáskontextus: a biztonsági események alkalmazásszintű összefüggéseinek köszönhetően, az OpenAppID javítja az elemzést és felgyorsítja a helyreállítást.
Beavatkozó alkalmazás-azonosítás és szabályozás: az OpenAppID segítségével a Snort bizonyos alkalmazásokat már azok felismeréskor blokkolhat, vagy figyelmeztet rájuk, így jelentősen csökkenti a kockázatokat.
A Cisco bejelentette a Snort motor speciális, az új OpenAppID pre-processzort magában foglaló változatának kiadását is. Így a Snort közössége az OpenAppID segítségével már el is kezdheti az alkalmazás-azonosítók létrehozását. A Snort várható, általános változatában megjelenő OpenAppID.kompatibilis preprocesszor a következő funkciókat támogatja:
Alkalmazások felismerése a hálózatban
Jelentés az alkalmazások forgalmi statisztikáiról
Alkalmazások szabályozás-alapú blokkolása
A Snort szabálynyelv kiterjesztése az alkalmazás-specifikáció érdekében
Az alkalmazásnevek jelentése az IPS eseményekkel együtt
Mindezen túl, a Snort közösségen keresztül több mint ezer, ingyenes OpenAppID azonosító áll majd rendelkezésre: http://www.snort.org . A közösség bármely tagja feltölthet új azonosítókat, beleértve a végfelhasználói szervezetek által használt, kereskedelmi forgalomban el nem érhető alkalmazásokat is.
A Cisco elkötelezett támogatója a Snorthoz és a ClamAV-hoz hasonló nyílt forráskódú biztonsági projekteknek, amelyek segítik a felhasználókat és a fejlesztőket megoldásaik tökéletesítésében, technológiai képességeik bemutatásában, és képesek gyors védelmet biztosítani a fenyegetésekkel szemben.
A Sourcefire megvásárlása tovább erősítette a Cisco hozzájárulását a nyílt forráskódú szoftverfejlesztői közösség munkájához.
http://facebook.com/ciscosecurity.
Értelmező:
Fájlreputáció (fájl-felismerés): a fájlok tartalmát elemzi a hálózaton, és az automatikus blokkoláshoz vagy más adminisztrátori beavatkozásokhoz szükséges információkhoz segíti a felhasználókat. A beavatkozásokat a Cisco Web vagy Email Security felhasználói felületének segítségével hajthatjuk végre.
Fájlok zárt környezetű vizsgálata (sandboxing): a hálózaton áthaladó ismeretlen fájlok valódi viselkedését elemzi. Ezzel az AMP részletes viselkedés-alapú adatokat gyűjt a fájlokról, majd alapos emberi és számítógépes elemzéssel határozza meg ezek veszélyességi szintjét.
Fájl retrospekció (visszamenőleges fájl-elemzés): azokat a rosszindulatú fájlokat elemzi, amelyek veszélyeire csak a külső védelmi vonalon való átjutás után derült fény. A retrospekció nem csak egy-egy adott pillanatra érvényes, hanem folyamatos elemzést jelent. Az AMP a felhőalapú intelligens hálózatából származó valós idejű adatok segítségével tart lépést a változó fenyegetettségi szintekkel, ily módon az AMP még a kártevő elterjedése előtt azonosíthatja és kezelheti a támadást.
A legújabb Cisco hálózati rendszer: 60 Gbit/sec
Egy klaszterben ilyen sebességre képes a Cisco új rendszere, de további klaszterezéssel 120 Gbit/sec is elérhető.
A benne szereplő interfészek viselkedése állítható, használható tűzfalként, IPS-ként és AMP-ként is.
Az IPS-eknél gyakran fontos by-pass képesség is megtalálható, pl. a tápegység lekapcsolásakor se adhasson rövidzárt, erre is konfigurálható. A rendszerben minden biztonsági szolgáltatás, NetGeneration, Firewall, IPS és AMP is integráltan működik.
AMP a hálózatban
A hálózatok szintjén az AMP továbbra is a következő generációs IPS megoldásokhoz, vagy tűzfalakhoz alkalmazott FirePOWER részeként működik, ugyanakkor különálló eszközként is alkalmazható. A FireAMP megoldások önállóan vagy a FirePOWER eszközzel együttműködve végponti védelmet is nyújtanak számítógépek, mobil eszközök és virtuális környezetek számára.
A hálózati sebesség növekedésével egyre nagyobb az igény a rosszindulatú programok ellen fejlett védelmet biztosító, nagyobb teljesítményű eszközökre. A felhasználói igényekre reagálva a Cisco az AMP-vel kompatibilis négy új FirePOWER eszközt jelentett be. A 8350-as (15 Gbit/sec), a 8360-as (30 Gbit/sec), a 8370-es
(45 Gbit/sec) és a 8390-es (60 Gbit/sec) a FirePOWER család egymásra építhető új tagjai, amelyek az összes NetMod megoldáshoz biztosítják a modularitást és a vegyes eszközhasználatot. A FirePOWER 8300-as széria 50%-kal magasabb vizsgált átviteli sebességgel rendelkezik, amely akár 120 Gbit/sec fölötti sebességig növelhető.
http://www.sourcefire.com/products/firepower-appliances
http://facebook.com/ciscosecurity
http://www.cisco.com/c/en/us/products/security/cloud-web-security/index.html
http://www.cisco.com/c/en/us/products/security/web-security-appliance/index.html
http://www.cisco.com/c/en/us/products/security/email-security-appliance/index.html
Az Euroastra kérdésére a lehallgatásokkal kapcsolatos Cisco álláspontot Sinkó Judit, a Cisco Magyarország PR managere vázolta
A Cisco-nak a lehallgatási ügyekről előzetes tudomása nem volt.A Cisco soha, semmilyen eszközt nem módosított úgy, ill. nem épített be olyan hátsó ajtót, amely ezeket a lehallgatásokat lehetővé tette volna.
A Cisco régóta üzemelteti PSIRT elnevezésű biztonság-elemző rendszerét, s amikor felismerésre kerül, hogy valamilyen eszközzel valamilyen hiányosság, ill. valamilyen biztonsági gond merül fel, akkor a problémát azonnal nyilvánossá teszi. A Cisco azonnal kommunikálja, hogy a problémára milyen megoldások adottak, mikor adnak ki rá frissítést, stb. Ez a transzparens viselkedésmód évtizedek óta sajátja a cégnek.
A globális, ill. európai internettel kapcsolatos bizalmatlansági hullám esetében túl kevés információ áll jelenleg rendelkezésre ahhoz, hogy a működés folyamatára, a koncepcióra bármilyen rálátásunk lenne.
Az elhatárolt rendszerekre irányuló elképzelések nem illeszkednek az internet működési alapjaihoz, az internet nem erre van kitalálva. Amennyiben komolyan felvetődik ilyen, akkor arról diskurzust kell folytatni, meg kell vizsgálni a megvalósíthatóság műszaki hátterét, a szolgáltatók ezt hogyan tudják megvalósítani. EU tisztségviselők szerint a vonatkozó nemzeti (vagy másirányú) elszigetelődés nem tenne jót az uniónak, a digitális világban Európa versenyképességét csökkentené.
http://www.first.org/members/teams/cisco_psirt
Harmat Lajos
