Компания Cisco начала поставки системы предотвращения вторжений (IPS),
которая согласно ее заявлению является первой в мире системой подобного рода,
объединяющей репутационную фильтрацию IP-адресов с предотвращающими вторжение
сенсорами на основе сигнатурного анализа.

Результаты тестирования последнего программного обновления для аппаратных
систем предотвращения вторжений от Cisco показывают, что компании удалось не
только увеличить роль этого класса устройств в предотвращении атак, но и сделать
это таким образом, что любой менеджер по IT-безопасности может легко и на
интуитивном уровне развернуть систему за считанные минуты.

Несмотря на наличие пробелов и необработанных граней, неизбежных при выходе
любого нового продукта, компания Cisco все же установила этим релизом весьма
высокую планку качества.

В Cisco взяли за основу уже имеющуюся технологию репутационной фильтрации
SenderBase и создали на ее основе еще один репутационный сервис — Cisco
SensorBase, ставший доступным с выходом программного обеспечения IPS 7.0.
Тестирование показало, что SensorBase тесно интегрирован в IPS и действительно
работает.

Помимо репутационной оценки с помощью Risk Rating в IPS от Cisco присутствует
также система Global Correlation Inspection, которая повышает Risk Rating для
любого события в случае, если один из связанных с ним IP-адресов имеет плохую
репутацию.

Разница между репутационной фильтрацией (Reputation Filtering) и Global
Correlation Inspection очень важна: с включенной функцией Reputation Filtering
весь трафик с IP-адреса с исключительно низкой репутацией -10 будет
заблокирован, а если включена функция Global Correlation Inspection, то плохая
репутация адреса приведет лишь к повышению Risk Rating для связанных с ним
событий.

Имея оценку степени риска для каждого события, можно принимать нужное решение
гораздо быстрее, концентрируя основное внимание только на событиях с наиболее
высоким Risk Rating, поскольку они представляют собой потенциальную угрозу
безопасности.

Впрочем, оценка риска на основе репутационного рейтинга Risk Rating
по-прежнему не является чудодейственным средством. Ранее некоторые правила в IPS
от Cisco допускали возможность ложных срабатываний и эта ситуация ничуть не
изменилась с введением в строй технологии SensorBase. Добавление репутационной
информации дает IT-специалисту возможность принятия более широкого спектра
решений по одному и тому же типу события, однако основная ответственность за
недопущение блокировки нормального трафика по-прежнему лежит на администраторе
сети.

Оставить мнение