Depistarea unei breșe de securitate de către o organizație durează, în medie, 206 zile, conform unui studiu actual derulat de Ponemon Institute: „Cost of a Data Breach Report 2019”. Analiștii de la FireEye sunt ceva mai optimiști și estimează că timpul mediu de detecție în zona EMEA este de „doar” 177 de zile (potrivit raportului „M-Trends 2019”). Chiar dacă avem o diferență de aproape 30 de zile, concluzia este aceeași: organizațiile au nevoie de câteva luni pentru a depista un eveniment de securitate sau o vulnerabilitate. O realitate pe care majoritatea companiilor o conștientizează abia atunci când au fost victimele unui atac. Pentru a preîntâmpina astfel de situații, specialiștii Datanet Systems recomandă abordarea integrată a securității pe mai multe niveluri și utilizarea unor soluții de protecție complementare. În cazul de față, soluția recomandată o reprezintă sistemele de tipul Next-Generation Intrusion Prevention (NGIPS).
Când firewall-ul nu este de ajuns…
Unele companii ar putea considera „redundantă“ recomandarea, având în vedere că tot mai multe firewall-uri de nouă generație (Next-Generation Firewall – NGFW) integrează și câteva funcționalitati IPS. Aparent, au dreptate, dar… aproape orice firewall, fie el si Next-Generation, are o serie de limitări inerente.
Cum ar fi faptul că, atunci când se activează sub-setul de funcționalități IPS pe echipamentele NGFW, performanța rețelei scade rapid și apar latențe mari ale aplicațiilor. În cazul soluțiilor NGIPS astfel de probleme nu există, aceastea putând fi utilizate atât ca sistem pasiv de detectare a intruziunilor (semnalează activitățile și evenimentele cu potențial de risc), cât și ca sistem inline de prevenire (blochează efectiv amenințările depistate).
O altă limitare a firewall-urilor este dată de amplasarea acestora – deoarece echipamentele NGFW sunt plasate perimetral, ele nu pot acoperi întreaga rețea, ca urmare zone critice pentru derularea activităților de business nu sunt controlate și inspectate. Soluțiile NGIPS au avantajul de a fi plasate în spatele firewall-urilor, în nodurile centrale ale rețelei, ceea ce le asigură o vizibilitate extinsă și le permite să depisteze „mișcarile laterale” ale fișierelor –caracteristică utilă în identificarea echipamentelor deja compromise și a amenințărilor care au reușit să treacă de sistemele de protecție.
Nu în ultimul rând, sistemele NGIPS au avantajul că nu utilizează un sistem de inspecție de tip „state table“, spre deosebire de firewall-uri. Prin urmare, sunt mai puțin vulnerabile la atacurile de tip Denial of Service. În plus, integrează opțiuni de tipul „Fail-to-Wire“ care permit ca, în cazul în care echipamentul NGIPS se defectează, acest fapt să nu perturbeze traficul din rețea până când problema este remediată sau echipamentul înlocuit.
Avantajele competitive ale soluției Cisco NGIPS
Limitarile enumerate sunt resimtite cu precădere de companiile ce operează rețele complexe, utilizează pe scară largă servicii Cloud și care au un număr mare de utilizatori mobili.
Dacă va regasiti în acest „portret-robot“, specialiștii Datanet Systems vă recomandă adoptarea soluției Cisco Firepower NGIPS. Este o recomandare facută pe baza performanțelor soluției, recunoscute atât de analiștii de la Gartner (Firepower NGIPS este de 7 ani consecutiv lider în Magic Quadrant), cât și de cei de la NSS Labs. Testele soluției Cisco au indicat un nivel de eficacitate de 99,7% în blocarea amenințărilor și de 100% în identificarea celor mai noi tipuri de amenințări și vulnerabilități.
Pentru a atinge acest nivel de performanță, Firepower NGIPS integrează mai multe tehnologii proprietare Cisco, care îi asigură o serie de avantaje competitive importante.
De exemplu, Firepower NGIPS este actualizat cu noi reguli IPS și semnături de amenințări la fiecare două ore, folosind serviciul de Security Intelligent Talos, care operează cea mai mare rețea de detectare a amenințărilor la nivel mondial. Talos analizează zilnic 600 de miliarde de email-uri, peste 1 miliard de solicitări Web și aproximativ 1,5 milioane de „mostre“ malware pentru a identifica cele mai noi amenințări și vulnerabilități. Beneficiați astfel, din start, de un sistem de avertizare timpurie, care vă livrează informații la zi despre cele mai noi amenințări.
Acestea nu sunt însă singurele informații pe care le folosește soluția Cisco. Firepower NGIPS colectează și analizează în timp real date contextuale din rețea, care includ informații despre aplicații, utilizatori, echipamente, sisteme de operare, fișiere și comportamentul acestora în rețea, vulnerabilități, fluxuri de trafic, porturi etc. Toate aceste date contextuale vă pot ajuta să vă definiți – cu ajutorul specialiștilor Datanet – propriile reguli IPS, personalizate pe nevoile specifice organizației dvs. În plus față de cele 30.000 de reguli IPS pe care soluția Cisco le folosește pentru a identifica și bloca traficul de rețea care încearcă sa exploateze o vulnerabilitate existentă.
Prin aplicarea regulilor IPS, Firepower NGIPS poate asigura un ajutor temporar imediat pentru sistemele fără patch-uri sau care nu pot fi configurate cu patch-uri. Soluția Cisco nu poate înlocui aplicarea patch-urilor, dar cu ajutorul regulilor IPS se pot crea asa-numite „virtual patch”, care sunt simplu și rapid de aplicat, eficiente și nu necesită multe resurse.
NGIPS – măsuri de protecție automate
Un alt câstig important asigurat de Firepower NGIPS îl reprezintă automatizarea măsurilor de protecție, ceea ce va asigura creșterea eficienței operaționale, prin prioritizarea amenințărilor reale și livrarea automată de recomandări de politici pe baza vulnerabilităților identificate. Practic, tentativele de intruziune detectate sunt corelate automat cu vulnerabilitățile depistate în rețea și sunt emise alerte despre atacurile care pot avea șanse de reușită, ceea ce vă permite să vă concentrați eforturile pe evenimentele care contează.
Totodată, punctele slabe din rețea sunt depistate automat și analizate, fiind generate tot automat și recomandări de politici de securitate pentru a le remedia. Astfel vă puteți adapta dinamic la toate schimbările din rețea și să aveți permanent un sistem de protecție adecvat condițiilor specifice companiei dvs.
Complementar, Firepower NGIPS monitorizează permanent și parametrii IoC (Indications of Compromise) la nivelul întregii rețele, facilitând depistarea echipamentelor compromise prin corelarea informațiilor specifice din mai multe surse.
Nu în ultimul rând, soluția Cisco oferă și opțiuni avansate de filtrare URL – vă asigură controlul asupra 80 de categorii de domenii și acoperă peste 300 de milioane de adrese URL invididuale – ceea ce vă ajută să vă imbunatățiți nivelul de securitate și conformitate al organizaței dvs.
Un produs „All in One”
Utilizând Firepower NGIPS beneficiați și de avantajul altor soluții Cisco cu performanțe confirmate. Cum este, de exemplu, Advanced Malware Protection (AMP), care este complet integrată în soluția NGIPS de la Cisco.
Cisco AMP for networks (versiunea special concepută pentru a fi utilizată pe echipamentele care asigură securitatea rețelei, de tipul NGIPS și NGFW) depistează și elimină amenințările sofisticate, care folosesc tehnici de evaziune și nu sunt detectate de sistemele tradiționale de securitate. Prin intermediul ei, folosind Firepower NGIPS beneficiați și de functionalități avansate de sandboxing (în Cloud sau on-premises), un sistem de scoring al amenințărilor și analiză a comportamentului fișierelor, care se pot dovedi salutare împotriva amenințărilor necunoscute și a atacurilor de tip Zero-day. Nu în ultimul rând, cu ajutorul AMP puteți acționa și retroactiv, soluția emițând alerte imediat ce o nouă amenintțare a fost depistată în infrastructura dvs., chiar dacă analizele inițiale au lăsat malware-ul să patrundă.
Soluția NGIPS de la Cisco este gestionată centralizat prin intermediul Firepower Management Center, care asigură un punct unic de colectare a informațiilor despre evenimentele de securitate și de management al politicilor pentru toate implementările NGIPS, NGFW și AMP. Beneficiați astfel de vizibilitate extinsă asupra securității la nivelul întregii organizații și protecție în toate punctele rețelei, totul printr-un efort de management redus.
Valorificare prin integrare
Specialiștii Datanet Systems vă pot ajuta să selectați soluția Firepower NGIPS adecvată nevoilor organizației dvs. Oferta Cisco include mai multe modele de echipamente, costruite astfel încât să acopere o gamă vastă de cerințe, precum și o versiune virtuală.
Putem asigura implementarea rapidă a soluției, fără a genera schimbări hardware majore în infrastructura dvs., și integrări în arhitecturi hibride, valorificând faptul că Firepower NGIPS oferă suport nativ pentru Azure, AWS, Vmware și mai mulți hypervisori.
Specialiștii nostri vă pot ajuta să integrați Firepower NGIPS și cu alte soluții Cisco, pentru a obține un nivel superior de protecție. De exemplu, prin integrarea cu Cisco Identity Services Engine, amenințările depistate de Firepower NGIPS pot genera acțiuni automate de remedire (carantină, blocare acces etc.) executate de ISE.
De asemenea, utilizând OpenAppID, vă putem ajuta să definiți aplicațiile pe care doriți să le monitorizați prin intermediul Firepower NGIPS, soluția Cisco asigurând vizibilitate și control asupra modului în care sunt accesate și utilizate peste 4.000 de aplicații.
Acestea sunt doar câteva dintre modalitățile practice prin care Datanet Systems vă poate ajuta să valorificați soluția Firepower NGIPS și să vă îmbunătățiți securitatea la nivelul întregii organizații. Dacă doriți să aflați detalii, nu exitati să ne contactați.