Краткий обзор
Услуги Cisco по удаленному управлению
средствами обеспечения безопасности для
систем предотвращения вторжений (IPS)
Современная ситуация в области компьютерной безопасности
отличается высокой динамикой и стремительным ростом
количества угроз — ежедневно появляется более 70 000 новых
угроз. Угрозы и атаки становятся все более изощренными,
поэтому первостепенное значение в такой ситуации имеют
знания и опыт в вопросах обеспечения безопасности, сбор
информации об угрозах и возможности упреждающего
оперативного управления системой безопасности для
обеспечения защиты важнейших ресурсов и инфраструктуры.
Чтобы достойно ответить на этот вызов и при этом остаться
среди лидеров, предприятия должны перейти от простого
мониторинга и оповещения к упреждающим мерам по
устранению угроз на основе аналитических данных,
позволяющих принимать обоснованные решения.
Аналитический центр Cisco по информационной безопасности (SIO)
включает в себя следующее:
•
•
•
•
Услуги Cisco по удаленному управлению средствами
обеспечения безопасности
Услуги Cisco® по удаленному управлению средствами
обеспечения безопасности (Cisco RMS Security) позволяют вести
ежедневный круглосуточный упреждающий мониторинг угроз
и осуществлять управление передовыми и перспективными
технологиями защиты и сетевыми архитектурами. Благодаря
использованию проверенной методики предоставления услуг на
основе стандартов ITIL® в сочетании с применением концепции
совместного управления услуги удаленного управления Cisco RMS
гарантируют высочайшую эффективность выполнения операций
и полный контроль со стороны заказчика. Услуги Cisco по
удаленному управлению средствами обеспечения безопасности
реализуют всесторонний упреждающий подход к мониторингу,
управлению и защите важнейших сетевых инфраструктур,
гарантируя непрерывность бизнес-процессов. Эти услуги,
созданные на основе передовой расширяемой платформы
безопасности Cisco Security и подкрепленные данными об угрозах,
поступающими в реальном времени из Аналитического центра
Cisco по информационной безопасности, проверены практикой
и не имеют себе равных.
•
•
•
Операционный центр по управлению безопасностью
(SOC) — глобальная команда, отвечающая за мониторинг,
управление и защиту заказчиков услуг Cisco RMS Security.
Группа реагирования на уязвимости технических решений
(Product Security Incident Response Team, PSIRT) — глобальная
команда, отвечающая за обработку информации об уязвимостях
продуктов Cisco, ее изучение и составление отчетов.
Группа реагирования на уязвимости, связанные
с компьютерной безопасностью (Computer Security Incident
Response Team, CSIRT) — внутренняя группа Cisco для
реагирования на уязвимости и принятия ответных мер.
Центр изучения угроз безопасности (Security Research
Operations, SRO) — группа высококвалифицированных
специалистов по безопасности с глубокими знаниями
и опытом в предметной области, отвечающих за выработку
мер для нейтрализации угроз безопасности и восстановления
работоспособности систем.
IntelliShield — сервис, предоставляющий актуальную
аналитическую информацию по безопасности, анализу
уязвимостей и идентификации угроз.
Группа по учету сигнатур для систем предотвращений
вторжений (IPS Signature Team) — группа экспертов,
отвечающих за изучение уязвимостей и создание сигнатур
Cisco IPS.
Sender Base — пополняемая в реальном времени глобальная
база данных по безопасности, содержащая сведения,
полученные методом дистанционного контроля,
и обеспечивающая анализ угроз и оценку репутации.
Вопрос.
Ответ.
Сбор информации, защита, ответные действия
Инфраструктура дистанционного управления аналитического
центра Cisco по информационной безопасности (SIO) включает
более 700 000 источников информации об угрозах, которые
непрерывно собирают, анализируют, классифицируют
и распространяют аналитические данные для принятия
решений в области безопасности. Операционный центр по
управлению безопасностью (Security Operations Center, SOC)
объединяет эти аналитические данные и проводит анализ
безопасности с учетом особенностей конкретного заказчика
для предотвращения и нейтрализации угроз и атак, которым
подвергается инфраструктура заказчиков услуг Cisco RMS Security.
Услуги Cisco по удаленному управлению средствами обеспечения
безопасности предлагают лучшее в отрасли экономически
эффективное решение по ежедневному и круглосуточному
упреждающему мониторингу и управлению устройствами и модулями
Cisco IPS. Центр управления операциями Cisco по обеспечению
безопасности (SOC), обладающий актуальной аналитической
информацией и обширным отраслевым опытом, осуществляет
наблюдение за инфраструктурой безопасности в реальном времени
для защиты от атак, вредоносных программ, червей, а также
интернет-атак, нацеленных на важнейшие бизнес-ресурсы.
Услуги Cisco по удаленному управлению средствами обеспечения
безопасности для системы IPS включают непрерывный упреждающий
анализ угроз, классификацию событий, автоматическое отправление
уведомлений, нейтрализацию и составление отчетов, доступ
к которым предоставляется через безопасный веб-портал.
Управление процессами ревизий политик IPS, обновлений сигнатур,
идентификации важнейших ресурсов, настройки сигнатур,
а также анализа и классификации событий осуществляется
высококвалифицированными специалистами Cisco по безопасности.
Предусмотрены два уровня обслуживания, позволяющие любому
предприятию воспользоваться услугами обеспечения безопасности,
которые соответствуют масштабу его деятельности.
согласованность корпоративных политик управления
доступом и их обновление по мере развития бизнеса.
При оказании услуг Cisco Security RMS все изменения,
касающиеся устройств или конфигураций, вносятся
согласно требованиям стандарта ITIL и в соответствии
с утвержденным заказчиком процессом управления
изменениями, что обеспечивает полный контроль, учет
и возможность отслеживания при проведении аудитов.
Примеры вопросов и ответов
Аналитический центр Cisco по информационной
безопасности (Cisco Security Intelligence Operations, SIO)
Аналитический центр Cisco по информационной безопасности
(SIO) обеспечивает раннее оповещение, проводит анализ
угроз и уязвимостей и предлагает проверенные практикой
решения Cisco для защиты от новых и развивающихся угроз.
Услуги Cisco по обеспечению безопасности для
Cisco IPS
Вопрос.
Ответ.
Какова процедура активации услуг по настройке
и управлению процессами мониторинга
и применения IPS?
Процедура активации услуг для IPS включает
первоначальный анализ текущих политик IPS, правил
обновления сигнатур, характера трафика в сети
заказчика, важнейших ресурсов и приложений. Эта
информация в сочетании с внешними аналитическими
данными по безопасности, результатами анализа
событий и сведениями об используемой заказчиком
архитектуре составляет основу для создания
первоначальных политик безопасности IPS.
Как обеспечивается использование и обновление
политик IPS?
Услуги по удаленному управлению средствами
обеспечения безопасности предусматривают
проведение ежемесячных ревизий всех управляемых
устройств безопасности и обеспечивают соответствие
всех применяемых политик внутренним правилам
и стандартам заказчика, а также нормативным
требованиям. Результаты аудитов и ревизий политик
передаются заказчику с целью обеспечить
Вопрос.
Ответ.
Какой процесс используется для внедрения новых
сигнатур IPS?
Во время первоначальной активации услуг для всех
управляемых устройств безопасности создается
стандартный процесс управления изменениями по
правилам заказчика. Все новые сигнатуры проходят
ревизию и тестирование в сообществе осваивающих
новые продукты пользователей, организованном
центром оказания услуг Cisco RMS Security.
Это позволяет убедиться в точности сигнатур
и возможности их применения в среде заказчика. Все
изменения вносятся с соблюдением установленной
заказчиком процедуры управления изменениями,
документируются, передаются на утверждение,
утверждаются и отслеживаются. Просмотр
информации об изменениях осуществляется через
портал Cisco RMS Security.
© Корпорация Cisco и/ или ее дочерние компании, 2012. Все права защищены. В данном документе содержится общедоступная информация корпорации Cisco
1
Краткий обзор
Услуги Cisco по удаленному управлению
средствами обеспечения безопасности для
систем предотвращения вторжений (IPS)
Услуги Cisco по удаленному управлению для мониторинга и управления
системами предотвращения вторжений (IPS)
Таблица 1. Состав услуг Cisco по удаленному управлению для мониторинга работы и управления
системами предотвращения вторжений
Функции
Услуги
Оценка
готовности
управления
• Первоначальная оценка политик и конфигурации,
Стандартны
й контроль
Расширенно
е управление
Непревзойденный контроль: управление и составление отчетов
Портал многофакторной аутентификации Cisco Security RMS представляет собой единый центр для
получения информации о состоянии инфраструктуры обеспечения безопасности сети, углубленного
анализа событий, связанных с безопасностью, а также составления отчетов о производительности
и безопасности. Инструментальная панель углубленных отчетов по запросу предоставляет доступ
к отчетам для анализа тенденций и данных, а также для контроля обстановки в области безопасности.
Рисунок 1. Портал Cisco Security RMS
анализ трафика в сети, выявление критически важных
ресурсов и мониторинг характера приложений.
• Активация услуг, создание учетной записи для портала
и определение профиля уведомлений.
Управление
инцидентами
Управление
проблемами
• Ежедневный круглосуточный упреждающий мониторинг
и классификация нештатных ситуаций на основе
стандарта ITIL, а также автоматизированная рассылка
уведомлений об этапах жизненного цикла событий
безопасности, пороговых значений и аварийных сигналов
устройств.
• Изучение, точное описание и классификация нештатных
ситуаций (безвредная, атака, отказ в обслуживании,
вредоносная программа, несанкционированное
использование, разведывательная атака,
подозрительный трафик).
• Ежедневное круглосуточное разрешение связанных
с безопасностью нештатных ситуаций, неполадок или
нарушений производительности, а также устранение их
последствий на управляемых устройствах безопасности.
Прямой доступ к сертифицированным экспертаманалитикам и инженерам Cisco по безопасности.
• Анализ тенденций развития инцидентов для
выявления закономерностей или систематических
условий, а также проблем и причин их возникновения.
Управление
изменениями
• Ежедневный круглосуточный доступ
Расширенная
корреляция
событий, связанных
с безопасностью
• Выявление подозрительных структур на основании
Пакет составления
отчетов по
безопасности
• Пакет для составления всесторонних отчетов о работе
Веб-портал по
вопросам сетевой
безопасности
• Углубленное изучение и исследование нештатных
к сертифицированным экспертам по безопасности для
внесения изменений с целью разрешения инцидента
или проблемы, внесения изменений с целью
устранения критической уязвимости или внесения
стандартных изменений с целью устранения известной
ошибки.
расширенного контроля всей сети с помощью
многомерного корреляционного анализа данных путем
сопоставления отдельных событий, касающихся
безопасности.
• Аналитические данные по безопасности,
предоставляемые сервисом IntelliShield
системы IPS по запросу
• Инструментальная панель для оценки
производительности и тенденций IPS по запросу
ситуаций, бюллетени IntelliShield по нейтрализации
угроз, реестр устройств, версия программного
обеспечения, серийный номер, информация о хостах
и активная карта.
*Заказчики приобретают блок на определенное количество часов, которые используются для внесения избранных
изменений. Количество часов для каждого конкретного договора определяется отдельно.
Пакет составления углубленных отчетов по безопасности для IPS предоставляет непревзойденные
возможности контроля событий и тенденций, связанных безопасностью, и возможность подготовки
высокоуровневых отчетов для руководства, необходимых для соблюдения нормативных требований.
При предоставлении услуг Cisco по удаленному управлению средствами обеспечения безопасности для
системы IPS доступны следующие отчеты.
Отчеты об атаках, блокированных
Сводные отчеты о работе системы
системой предотвращения вторжений
предотвращения вторжений
• Основные блокированные атаки по
• Основные выявленные сигнатуры
сигнатуре
с учетом сложности
• Основные блокированные атаки по
• Основные источники атак
источнику данных об атаке
• Основные атакованные адресаты
• Основные блокированные атаки по
• Сводка о серьезности сигнатур по источнику
источнику атаки
данных об атаке
• Основные блокированные атаки по цели
• Основные выявленные сигнатуры по
атаки
сложности
• Серьезность сигнатур IPS
Дополнительная информация
Для получения дополнительной информации об услугах Cisco по безопасности посетите веб-сайт
www.cisco.com/go/rms или обратитесь к местному представителю Cisco.
Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками корпорации Cisco и/или ее дочерних компаний в США и других странах. Чтобы просмотреть список товарных знаков Cisco, перейдите по ссылке:
www.cisco.com/go/trademarks. Товарные знаки сторонних организаций, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. Использование слова «партнер» не предполагает взаимоотношений партнерства
между Cisco и любой другой компанией. (1110R)
C96-705533-00 04/12
© Корпорация Cisco и/ или ее дочерние компании, 2012. Все права защищены. В данном документе содержится общедоступная информация корпорации Cisco.
2