Cisco Security Agent (версія 6.0)
Система забезпечення захисту локальної мережі на рівні хоста
Реалізуємий функціональний профіль:
Загальний опис
Cisco Security Agent (CSA) — це система попередження на рівні хоста (HIPS) для операційних систем Windows, Solaris та Linux.
Система відслідковує поведінку застосувань, код, що виконується на машині, локальні мережеві з’єднання та виявляє аномалії в їх роботі, щоб визначити чи дозволити цю активність. Явною перевагою таких систем попередження атак є те, що їм не потрібні сигнатури атак.
Система має архітектуру агент-сервер.
Можливості CSA
Після інсталяції на кінцеву систему CSA починає відслідковувати ресурси системи та складати таблиці з інформацією про події в системі. Користуючись цими таблицями, CSA слідкує, щоб задані попередньо правила поведінки цієї системи не порушувались. Агент відслідковує:
- Використання та доступ до файлів та застосувань;
- Мережеві транзакції,
- Доступ до реєстру,
- Використання ядра,
- Доступ до COM об’єктів та інших компонентів системи.
В реальному часі CSA може контролювати чи потрібно дозволяти певні дії чи забороняти. Це виникає, коли деякі дії виконуються користувачем, або зловмисна програма пробує ініціюватись. Коли CSA виявляє, що запит не може бути дозволений у відповідності з локальною політикою безпеки, то агент блокує цю дію і відправляє повідомлення про невірну поведінку системи.
Розміщуючись безпосередньо між ядром системи та системними викликами та контролюючи її та будь-яку її поведінку, агент виконує множину заходів, попереджуючи як відомі, так і невідомі атаки, включаючи наступні функції:
• Глобальна автоматична кореляція подій та реагування.
• розподілене керування захистом хостів.
• Контроль застосувань, захист від переповнення буфера.
• Захист файлів та директорій.
• Контроль доступу в мережу, персональний екран
• Аналіз розповсюдження в мережі інстальованих прикладних застосувань та їх поведінки.
• Автоматична зміна політики контролю в залежності від імені користувача та його місцеположення в мережі.
• Аудит роботи користувачів.
• Блокує витік інформації через USB порти, DVD-RW, зовнішні пристрої, КПК, через мережу, через буфер обміну.
• Блокує клавіатурні перехоплювачі.
• Інтегрується з Network Admission Control (NAC).
• Контроль цілісності.
• Захист від Spyware.
• Захист від rootkit.
• Захист від скачування захищеного контенту (наприклад , MP3 файлів).
Агент контролює застосування, які некоректно працюють в операційних системах Windows, Solaris и Linux. Таким чином, забороняється експлуатація існуючих в цих застосуваннях вразливості, як віддалено по мережі, так і локально при випадковому запуску зловмисного коду.