dcsimg

网络IPS购买者指南:思科-第3页

思科通过将IPS嵌入到交换机,路由器,防火墙和设备中来应对威胁。

 By 丽莎·菲弗(Lisa Phifer)
第3页,共3页  |  返回第1页

思科IPS Manager Express()可用于管理多达5个传感器的小型NIPS部署,提供基本配置,实时监控,警报和报告。但是,通过使用以下命令,可以集成方式处理多达5000个设备的较大部署 思科安全管理器,还负责管理Cisco防火墙,路由器和VPN产品。

云采购威胁情报

根据Carskadden的说法,Cisco IPS以多种方式利用云来源的信誉数据。 “一个是动态黑名单-基于有关威胁环境的情报,我们可以阻止Internet急需的东西。这对于整个网络IPS市场都是有效的方法。”

但是卡斯卡登(Carskadden)强调说,思科的主要区别在于集成检查平面。他解释说:“通过将签名情报和声誉情报结合起来,我们可以看到本身并不能确定的活动。” “如果我们能够将这些活动与与广泛的黑客行为相关的来源相关联,那么我们就能获得效力。我们已经看到,情报会修改在边缘IPS部署中触发的签名的80%以上。这表明我们可以阻止两次与单独使用签名相比,将它们一起使用会产生更多的效果。”

思科威胁情报的主要来源是实时部署思科安全技术。 “我们已经遍历了Web安全产品,电子邮件安全产品和IPsec客户端,使所有这些产品都能向我们发送他们所看到的内容。这每天为我们提供约4 TB的数据-不仅仅是流量数据,但有特定的威胁数据。”卡尔斯卡登说。他说,思科的下一步将是提取来自核心路由技术的威胁​​数据。

但是,思科如何将大量数据转化为可应用于IPS的实际情报?据卡斯卡登(Carskadden)说,这是思科最近致力于开发工作的地方。 “关键是在不同类型的环境之间可以看到重叠的地方。如果我们可以看到主机(与IPS事件相关联)在此之前发送了垃圾邮件,则可能表明该邮件已被感染。这也表明内容之间存在很大的相关性。托管和威胁,例如托管用于在线赌博广告的网站和托管恶意软件的网站。将这些数据集配对是倍增的力量。您不仅在获取情报,而且还在逐步提高知名度。”

底线

总而言之,思科的NIPS方法是多方面的。与网络安全的许多其他领域一样,思科已经定义了广泛的NIPS架构,其产品组合中的各个产品都可以适用。在可能的情况下,思科可提供在客户现有网络设备上运行的NIPS功能-这种方法通常适用于较小的环境,这些环境为简单起见倾向于整合。但是对于那些想要专用设备的人,思科提供了NIPS设备-以及可以与其他网络设备配对以提高性能的专用硬件模块。作为全球最大的网络设备制造商,思科处于收集基于网络的威胁信息的独特位置。将数据馈送到Cisco IPS显然是有益的-只要客户具有充分利用此功能所需的可见性和可管理性。


丽莎·菲弗(Lisa Phifer)拥有核心能力(Core Competence),这是一家致力于新兴网络和安全技术在商业上的应用的咨询公司。 Lisa在网络行业拥有25年以上的经验,已经审查,部署和测试了网络安全产品近十年。

本文最初于2011年4月13日发布
通过网络更新新闻获取最新消息