Шатилин Илья

Корпорация Cisco запустила линейку фаерволлов (межсетевых экранов) нового поколения Cisco ASA с функцией FirePOWER, способных, по большому счету, заменить антивирусное программное обеспечение на рабочих станциях. Устройства способны самостоятельно обнаруживать реальные и потенциальные угрозы, в том числе ранее не известные, а также блокировать их и предупреждать об опасностях; это позволяет защититься от угроз уже до того, как будут тем или иным способом атакованы компьютеры во внутренней сети, в том числе это касается и мобильных устройств.

Разработка новых фаерволлов стала возможной после приобретения трех компаний, имевших серьезные наработки в этой области: Sourcefire Security (2013), Cognitive Security (2013) и ThreatGRID (2014).
Данный подход принципиально отличается от использовавшегося в межсетевых экранах предыдущих поколений, которые были в основном ориентированы на защиту от активных атак извне, но не могли противостоять угрозам, проникновение которых происходит «по инициативе пользователя» — фишинга, троянов, загрузки вредоносного кода с веб-страниц — одним словом, всего того, для защиты от чего на компьютеры устанавливается защитное ПО.

Между тем сегодня в 75% случаев от атаки до компрометации проходят считанные минуты, и те же несколько минут в 38% случаев проходят от компрометации до утечки данных. В свою очередь, в 54% случаев от утечки до ее обнаружения проходит несколько месяцев, а в 38% от обнаружения до локализации и устранения — несколько недель (данные Verizon). Это следствие того, что системы безопасности используются статические, требущие вмешательством человека или полуавтоматически, в то время как современный уровень развития угроз требует динамических механизмов, а в недалеком будущем — механизмов на основе прогнозирования.

В лучшем случае межсетевые экраны (речь об устройствах последнего поколения) фокусируются на конкретных приложениях. Это позволяет сузить область атаки, но усовершенствованный вредоносный код часто обходит защитные алгоритмы. Сегодня каждый день появляется в среднем 82000 (!) новых угроз, причем в 8 из 10 виновны «троянские кони».

Новое решение Cisco упрощает архитектуру информационной безопасности и экономит сетевые ресурсы (становится меньше устройств безопасности, которые необходимо разворачивать и контролировать, а для расширения функциональности можно приобрести дополнительные подписки). Интеграция с такими решениями на базе открытого исходного кода, как Snort, OpenAppID и ClamAV, позволяет заказчикам легко конфигурировать функции безопасности для максимально быстрого выстраивания защиты любых приложений от новых или известных угроз.