Программное средство Cisco® Security Agent обеспечивает защиту серверов, настольных компьютеров и ноутбуков. Возможности Cisco Security Agent превышают возможности типовых решений для защиты оконечных узлов, объединяя в рамках одного программного средства передовые функции защиты от целенаправленных атак, шпионских программ, вредоносного ПО для скрытого удаленного управления, утечки информации и многих других типов нарушения безопасности компьютера.
Cisco Security Agent обеспечивает проактивную защиту от неизвестных и совершенно новых угроз, а также от модификаций известных угроз, использующих недавно опубликованные уязвимости. Cisco Security Agent предоставляет функции защиты «без обновления» критически важных серверов, которые не могут быть отключены для установки исправлений, устраняющих уязвимости операционных систем и приложений. Это программное обеспечение позволяет сократить количество установок критических исправлений, устраняющих опубликованные уязвимости, что позволяет минимизировать время простоя системы и трудозатраты ИТ-персонала. Теперь администраторы корпоративных сетей могут устанавливать исправления по собственному графику, а не в авральном режиме.
Эффективные средства контроля выполнения политик безопасности обеспечивают защиту конфиденциальных файлов и критически важных серверов. Для предотвращения хищения или потери данных можно задействовать средства контроля доступа к важным файлам, приложениям и серверам. Средства контроля использования съемных носителей снижают риск и обеспечивают соответствие рабочих мест установленным нормам. Гибкость настройки средства контроля соответствия политике безопасности позволяет обеспечивать выполнение требований политики безопасности относительно пользователей, приложений, узлов, сегментов сети и сетевых адресов.
Cisco Security Agent - это больше, чем просто независимое решение для защиты оконечных узлов. Данное программное обеспечение работает совместно с устройствами сетевой защиты для повышения эффективности функционирования всей системы обеспечения безопасности сети. Устройства Cisco для построения VPN могут использовать предоставляемые программным обеспечением Cisco Security Agent функции персонального межсетевого экрана и предотвращения вторжений на хосты (HIPS) для эффективной защиты удаленного узла при доступе по IPSec или SSL VPN. Cisco Security Agent может передавать собранную информацию о хостах на устройства предотвращения вторжений в сеть Cisco, что позволяет улучшить контроль состояния сети и оптимизировать стратегию защиты. Функции межсетевого экрана и проверки приложений, предоставляемые устройствами защиты Cisco ASA и Cisco PIX®, могут быть дополнены: например, можно выполнять проверку действий конкретных приложений с использованием меток трафика, добавляемых Cisco Security Agent.
Таблица функций Cisco Security Agent, интегрируемых в сеть:
| Функция | Описание |
| Маркирование трафика | Cisco Security Agent может расставлять приоритет трафика в проводных и беспроводных сетях в соответствии с приложениями для предоставления более высокого качества обслуживания критически важным приложениям, например, финансовым приложениям Oracle или приложениям для обработки аудио-/видеоданных. Менее важным приложениям, таким как web-браузеры и программы для работы с электронной почтой, может быть присвоен более низкий приоритет, что позволяет оптимизировать использование доступной полосы пропускания сети. Функции маркирования трафика Cisco Security Agent можно также использовать, чтобы расширить возможности межсетевых экранов устройств защиты Cisco ASA 5500 Series и Cisco PIX для применения специальных правил проверки приложений. |
| Контроль выполнения политик безопасности для беспроводных соединений | Cisco Security Agent предоставляет функции контроля выполнения политик для беспроводных соединений, что позволяет повысить общий уровень безопасности и оптимизировать использование полосы пропускания беспроводных каналов связи. Политики позволяют налагать на беспроводные соединения специальные ограничения, например, вводить требование VPN-соединения для беспроводного трафика, если пользователь работает вне офиса, или блокирование беспроводного интерфейса при работе по проводному соединению. Критически важным приложениям можно назначить более высокий приоритет, чтобы минимизировать задержки при передаче данных по беспроводной локальной сети. Предоставляемые программным обеспечением Cisco Security Agent функции контроля выполнения политики безопасности с учетом местоположения пользователя предоставляют дополнительный уровень защиты, когда пользователи работают вне офиса. |
| Интеграция с системами предотвращения вторжения (IPS) | Cisco Security Agent может работать совместно с устройствами предотвращения вторжения в сеть Cisco IPS v6.0 для повышения эффективности обнаружения сетевых атак. Cisco Security Agent передает важную информацию о состоянии защищенности конечных узлов на устройства Cisco IPS 4200 Series и модули IPS устройств Cisco ASA 5500 Series и коммутаторов Cisco Catalyst® 6500/7600 Series, что позволяет реализовывать полномасштабное интегрированное решение по обеспечению безопасности всей сети. |
| Интеграция с устройствами контроля доступа к сети (NAC) | При использовании в сети устройств Cisco NAC Appliance или инфраструктуры Cisco Nac Framework возможна идентификация компьютеров, на которых выполняется программное обеспечение Cisco Security Agent, и таким компьютерам может быть разрешен полный доступ к сети. Узлы, не соответствующие установленным правилам безопасности, могут быть переведены в карантин до того, как их состояние будет приведено в соответствие с установленными требованиями. Cisco Security Agent обеспечивает целостность агентов NAC на оконечных узлах, предотвращая внесение несанкционированных модификаций. Такой подход повышает эффективность механизмов самозащиты корпоративной сети, позволяя отражать атаки вредоносного ПО и атаки типа «отказ в обслуживании». |
| Интеграция с системой управления безопасностью Cisco MARS | Cisco Security Agent предоставляет важную информацию о состоянии конечных узлов системе мониторинга и реагирования Cisco MARS, повышая, тем самым, эффективность механизмов обнаружения и идентификации угроз во всей сети. |
Возможности и преимущества
Cisco Security Agent предоставляет целый ряд ценных возможностей, среди которых можно выделить следующие:
- Контроль соответствия состояния объектов сети требованиям политики безопасности
- Превентивная защита от целенаправленных атак
- Контроль USB, CD-ROM, PCMCIA и т.д.
- Создание замкнутой программной среды
- Способность обнаружения и изоляции вредоносного ПО для скрытого удаленного управления
- Развитые функции предотвращения вторжения на узлы сети, персонального межсетевого экрана и защиты от совершенно новых атак
- Контроль утечки информации
- Контроль и предотвращение загрузки с несанкционированных носителей
- Оптимизация использования полосы пропускания Wi-Fi
- Обеспечение доступности критически важных приложений «клиент-сервер» и возможности осуществления транзакций
Архитектура продукта
ПО Cisco Security Agent состоит из агентов, установленных на критически важных настольных компьютерах, ноутбуках и серверах. Эти агенты передают собранную информацию в центр управления Cisco (приложение Cisco Management Center for Cisco Security Agents). Центр управления - это автономное приложение, позволяющее настраивать развернутые в сети агенты Cisco Security Agent. Для управления агентами и для передачи данных между центром управления и агентами используются протоколы HTTP и SSL (128 бит). При использовании системы Cisco MARS сигналы тревоги от агентов могут объединяться с сигналами тревоги от других продуктов обеспечения безопасности Cisco.
Архитектура агента
Cisco Security Agent контролирует взаимодействие между приложениями и ядром, обеспечивая максимальную степень контроля состояния приложений с минимальным воздействием на стабильность и производительность используемой операционной системы. Уникальная архитектура этого программного обеспечения позволяет перехватывать все системные вызовы операционной системы, связанные с обращением к файлам, объектам сети и реестру, а также динамически используемым ресурсам, таким как страницы памяти, общие модули библиотек и COM-объекты. Агент использует уникальный интеллектуальный механизм для выполнения корреляционного анализа поведения этих системных вызовов на основе правил, определяющих неадекватное или недопустимое поведение отдельного приложения или всех приложений. Корреляционный анализ и последующее осмысление поведения приложений позволяет программному обеспечению Cisco Security Agent (в соответствии с конфигурацией, заданной специалистами по информационной безопасности) предотвращать новые вторжения.
Когда приложение предпринимает попытку выполнения некоторой операции, Cisco Security Agent проверяет, разрешена ли эта операция политикой безопасности для приложения, и разрешает или запрещает ее в режиме реального времени, а также определяет, требуется ли вносить соответствующую запись в журнал. Политики безопасности - это наборы правил, заданных администраторами сети/безопасности для защиты серверов и настольных компьютеров в сети предприятия. Эти правила обеспечивают безопасный доступ приложений к необходимым ресурсам. За счет объединения политик распределенного межсетевого экрана, средств предотвращения нарушения работы операционной системы и обеспечения целостности ПК, средств защиты от вредоносного мобильного кода, а также функций аудита событий в установленных по умолчанию политиках безопасности для серверов и настольных компьютеров, Cisco Security Agent обеспечивает глубокую эшелонированную защиту корпоративных систем.
Поскольку защита основана на блокировании злонамеренной активности, политики безопасности по умолчанию предотвращают как известные, так и неизвестные атаки, не требуя установки обновлений. Корреляционный анализ выполняется как на агенте, так и на консоли центра управления. Корреляционный анализ на базе агента позволяет существенно повысить точность обнаружения реальных атак или несанкционированных действий, не блокируя легитимные действия пользователя; корреляционный анализ на консоли центра управления позволяет обнаруживать глобальные атаки, например, эпидемии Интернет-червей и распределенные атаки типа «отказ в обслуживании».
Централизованное управление
Центр управления агентами Cisco предоставляет полный набор функций для централизованного управления всеми агентами. Механизмы ролевого контроля доступа с помощью web-браузера позволяют администраторам легко создавать дистрибутивы программного обеспечения для агентов, создавать или изменять политики безопасности, осуществлять мониторинг сигналов тревоги или формировать отчеты. Центр управления поставляется более чем с 20 установленными по умолчанию полностью настроенными политиками безопасности, упрощающими задачу развертывания агентов в корпоративной сети. Центр управления также позволяет заказчикам развертывать агенты в режиме системы обнаружения вторжений, которая подает сигналы тревоги, но не блокирует подозрительные действия.
Центр управления предоставляет простые и эффективные возможности настройки, позволяющие администраторам быстро приспосабливать установленные по умолчанию политики безопасности к конкретным средам. Администраторы могут легко изменять существующие правила или создавать новые в соответствии с требованиями и условиями конкретной среды развертывания. Функция объяснения правил позволяет администраторам распечатывать описание конкретных правил и политик безопасности на понятном пользователям языке.
Установка агентов на серверы, настольные компьютеры и лэптопы выполняется непосредственно из центра управления; центр управления также позволяет контролировать работу агентов и выполнять их обновление. Каждый агент работает в автономном режиме; если связь с центром управления невозможна (например, пользователь удаленного портативного компьютера еще не установил VPN-соединение), агент продолжает осуществлять контроль соблюдения политики безопасности. Все сигналы тревоги системы безопасности записываются в кэш-память и передаются в центр управления сразу же после восстановления связи.
Центр управления Cisco также предоставляет средства создания отчетов о результатах анализа. Функция анализа развертывания передает на консоль со всех агентов сведения об установленных приложениях, а также информацию об использовании этих приложений. Функция анализа поведения обеспечивает комплексный анализ данных, поступающих от известных и неизвестных приложений и прикладных сред. Она предоставляет подробные отчеты о поведении приложений, что позволяет заказчику быть в курсе действий, выполняемых любыми - даже самыми сложными - приложениями, работающими в его сети.
Cisco Security Agent является основным компонентом стратегии самозащищающейся сети Cisco (Self-Defending Network). Инвестируя средства в совместно работающие компоненты на базе оконечных узлов и сети, заказчики могут задействовать новые критически важные сервисы защиты, которые невозможно реализовать в случае отдельно работающих систем.
Технические характеристики Cisco Security Agent версии 5.2:
| Описание | Технические характеристики |
| Системные требования к программной среде для агента Cisco Security Server Agent (решение для серверов) | • Windows 2003 (Standard, Enterprise, Web или Small Business Edition) • Windows 2000 Server и Advanced Server • Windows NT 4.0 Server и Enterprise Server (пакет обновления 6a) • Solaris 8 SPARC (64-разрядная архитектура) • Solaris 9 SPARC (64-разрядная архитектура) • Red Hat Enterprise Linux 3.0 ES и AS • Red Hat Enterprise Linux 4.0 ES и AS |
| Системные требования к программной среде для агента Cisco Security Desktop Agent (решение для настольных компьтеров) | • Windows XP Professional • Windows XP Tablet Edition • Windows 2000 Professional • Windows NT 4.0 Workstation (пакет обновления 6a) • Red Hat Enterprise Linux 3.0 WS • Red Hat Enterprise Linux 4.0 WS |
| Системные требования к аппаратным средствам для агента Cisco Security Agent (минимальные требования ОС Windows) | • Процессор семейства x86 с тактовой частотой 200 МГц • 25 Мбайт свободного пространства на жестком диске • 128 Мбайт ОЗУ • Подключение к сети через модем или Ethernet-адаптер |
| Системные требования к аппаратным средствам для агента Cisco Security Agent (минимальные требования ОС Solaris) | • Процессор семейства UltraSPARC с тактовой частотой 400 МГц • 25 Мбайт свободного пространства на жестком диске • 256 Мбайт ОЗУ • Подключение к сети через Ethernet-адаптер |
| Системные требования к аппаратным средствам для агента Cisco Security Agent (минимальные требования ОС Linux) | • Процессор семейства x86 с тактовой частотой 500 МГц • 25 Мбайт свободного пространства на жестком диске • 256 Мбайт ОЗУ • Подключение к сети через Ethernet-адаптер |
| Системные требования к программной среде для центра управления Management Center for Cisco Security Agents | • Windows 2003 R2 Server |
| Системные требования к аппаратным средствам для центра управления Management Center for Cisco Security Agents (минимальные требования) | • Процессор семейства x86 с тактовой частотой 1 ГГц • 1 Гбайт ОЗУ • 2 Гбайт виртуальной памяти |
| Локализация | • Поддержка английской версии ОС Windows (США) и версий ОС Windows на других языках (кроме арабского и иврита) • Локализованный пользовательский интерфейс для операционных систем Windows. Поддерживаемые языки: английский (США), испанский, итальянский, китайский (упрощенный), корейский, немецкий, французский и японский • Для ОС Linux и Solaris поддерживается только английский (США) |
