Как стать автором
Обновить

Комментарии 15

А вообще есть ли интеграция (или планы по интеграции, которыми вы можете поделиться) всего со всем? Скажем, результат анализа SPAN с IPS плюс логи соединений/netflow с ASA без функционала NGF плюс AVC или хотя бы FNF с умеренно умных железок вроде ASR1k и WLC плюс netflow с почти безмозглых каталистов плюс ISE для получения полной картины с максимального числа мест? Возможно, через посредничество Prime, но все-таки… Определенные зловреды могут быть обнаружены даже простым netflow, странно было бы не использовать это.

Есть ли автоматический механизм, по которому при обнаружении любым методом заразы на клиенте (или сильного подозрения на нее) он будет тут же по команде с ISE деаутентифицирован свитчем (с применением соответствующего ACL на его порту), самостоятельно зайдет на remediation server за патчем или запустит обновление и полную проверку антивирусом, и по окончании процесса автоматически или вручную будет возвращен в сеть?

Есть ли какой-нибудь другой wow-функционал, на который моей фантазии не хватило?

И вообще, позиционируется ли AMP как замена всяким касперским-макафям? Что-то информация довольно туманная. Вроде похоже на HIPS, но название смущает.

Только сейчас, наткнувшись на фразу «мы купили», я заметил, что вы таки завели блог. Ну не прошло и десятка лет :)
По второму абзацу я бы также добавил что как CTD так и Sourcefire NGIPS/NGFW могут изолировать скомпрометированный хост. Это делается путём отдачи команд на устройства различных производителей — ISE, межсетевые экраны, коммутаторы, системы управления конфигурациями и т.п. Какие-то модули для интеграции уже есть в составе решения, остальные можно разработать самостоятельно, благо API есть.
По первому абзацу: есть такое решение Cisco Cyber Threat Defense. Это по сути и есть описанная хотелка. В основе анализ NetFlow с коммутаторов и маршрутизаторов, NAT с ASR/ASA, NSEL с ASA и NBAR от рутеров. От ISE добавляется контекст для получения максимальной картины. Это то, что уже есть в первой версии CTD — www.cisco.com/c/en/us/solutions/enterprise-networks/threat-defense/index.html. В следующей будет больше.

По второму абзацу: ISE с встроенным NAC-клиентом это и делает. Также есть вариант интеграции ISE с кучей разных SIEM, куда будут стекаться данные от IPS и антивирусов. При обнаружении вредоносного кода или заражения SIEM может дать команду ISE на блокирование порта.

Насчет замены AMPом других средств борьбы с вредоносным кодом надо смотреть более детально. В автономном режиме врядли. В случае нормального соединения с Интернетом — вполне можно рассматривать. По сути это что-то среднее между антивирусом и HIPS. У иностранцев есть название Breach Detection System для такого класса решений — www.nsslabs.com/reports/breach-detection-systems-bds-comparative-analysis-report-security-value-map-svm
есть такое решение Cisco Cyber Threat Defense

Оно базируется на чужом SIEM. С одной стороны, это, может, и хорошо (авось меньше глючить будет), с другой — могут вылезти всякие связанные с совместимостью грабли, когда кто-то с кем-то не договорился.
В случае нормального соединения с Интернетом — вполне можно рассматривать.

А есть ли хотя бы проплаченные сравнения с теми же касперскими-макафями с точки зрения эффективности борьбы с обыкновенными зловредами?
По McAfee есть. По Касперу нет
AMP ловит реальные, а не мифические угрозы
Перевожу: «этих угроз не существует, потому они в белом списке, в логах не отображаются и алерты не генерят» :)
Особенно интересно посмотреть, как будет ловить средство защиты ПК мифические аппаратные закладки в снятом с производства сетевом оборудовании :-)
Ну вы же упомянули технологию.
Аналогичный подход стал применяться и в других средствах защиты Cisco, например, в межсетевых экранах Cisco ASA 5500-X и его модуле Botnet Traffic Filter.


При этом реализация не совсем аппаратная.
Просто перешивается bios
filearchive.cnews.ru/img/cnews/2014/01/10/nsa01.jpg

Особенно интересно посмотреть, как будет ловить средство защиты ПК


Очень интересно, ведь для распространенных ОС тоже есть соответствующие модули bios.
Касперыч вон возмутился и уже что-то ловит.
www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS

Аналогичная — то есть из облака берется аналитика.

Что касается угрозы из BIOS, то у нас иные технологии для защиты от этого. Они встроены в оборудование. Вот тут подробнее — www.cisco.com/web/solutions/trends/trustworthy_systems/index.html
Алексей, как с поддержкой IPv6 в решении и коллекционируется ли репутация по IPv6 узлам?
Что ты имеешь ввиду? AMP оперирует репутацией файлов, а не узлов. А сетевые решения, разумеется, IPv6 поддерживают.
Там такой переход от знаний о вредоносных сайтах к репутации (внезапно файлов), но почему-то через картинку с профилем хоста. Если имеются ввиду только черные списки вредоносных сайтов, то вопрос снимается.
Для IPv4 поддерживать репутационные базы, которые покрывают очень большой процент хостов достаточно просто. Для IPv6 пока не очень получается — слишком разреженное пространство, слишком большие диапазоны, слишком много бардака.
Там говорится, что репутационная технология в AMP (для файлов) схожа с репутацией для узлов в системах контроля Web-доступа
Зарегистрируйтесь на Хабре, чтобы оставить комментарий