معرفی سیسکو Firepower Threat Defence یا FTD

Firepower Threat Defense

شرکت Sourcefire در سال 2001 توسط Martin Rosech سازنده Snort تاسیس و در سال 2013 به مبلغ 2.7 بیلیون دلار توسط شرکت سیسکو خریداری شد. بیشترین شهرت این شرکت دز زمان خریدش توسط سیسکو به بدلیل داشتن سیستم تشخیص و جلوگیری از نفوذ(IPS) و راهکار فایروال نسل جدیدش بود. طبق گزارشات موجود از گارتنر این شرکت تا سال ۲۰۱۳ یکی از پرچمداران حوزه امنیت بود.

شرکت سیسکو بعد از خرید شرکت Sourcefire از تکنولوژی‌های امنیتی آن در اکثر محصولات خود از جمله ASA سری 5500-x و روترهای ASR استفاده کرد. شرکت سیسکو چندین سال بعد پلتفرم‌های سخت افزاری جدید خود مانند محصول Firepower را در مدل‌های 2100، 4100 و 9300 به همراه تکنولوژی قبلی Sourcefire به بازار عرضه کرد.

در حال حاضر شرکت سیسکو با ادغام تکنولوژی‌های قبلی Sourcefire با محصولات خود ازجمله FTD، به یکی از پرچمداران IPS در ارزیابی‌های Gartner تبدیل شده است.

سیر تکاملی Firepower

از نظر راه اندازی، سیستم Firepower شامل تنظیم و راه اندازی تجهیز مدیریتی و تجهیز سنسور شبکه می‌باشد. هر کدام از این دو تجهیز وظیفه خاص به خود را دارند. وظیفه سنسور شبکه بررسی و آنالیز ترافیک‌های شبکه و ارسال Eventهای ایجاد شده به تجهیز مدیریتی می‌باشد. وظیفه اصلی تجهیز مدیریتی نیز مدیریت سیاست‌های امنیتی برای یک یا چندین سنسور می‌باشد.

با توجه به تاریخچه شرکت Sourcefire قبل از خرید توسط سیسکو، این شرکت دو نسخه کاملا متفاوت از نرم افزار خود را با ورژن ‌های ۴ (اساسا برای IPS) و ۵ (با قابلیت NGFW) به بازار عرضه کرده بود. همچنین در آن زمان بسته به نسخه ارایه شده، نرم افزار مدیریتی در دو نسخه متفاوت یعنی نسخه ۴ با اسم Sourcefire Defence Center و نسخه ۵ با اسم FireSIGHT system یا FireSIGHT Management Center ارایه شده بود. علاوه بر این تجهیز سنسور نیز در ورژن ۴ و ۵ به ترتیب با نام‌های 3D Sensor و FirePOWER Apliance نامگذاری شده بود .

FirePOWER در برابر Firepower

در سال 2013 شرکت سیسکو بعد از خرید Sourcefire برای ساده سازی ولی حفظ برند و شهرت قبلی محصول، اسم تکنولوژی‌‌های Sourcefire را با یک کلمه ساده یعنی Firepower و بدون هیچ حرف بزرگی در قسمت power جایگزین کرد.

در این تغییر برند شرکت سیسکو برای حفظ شهرت قبلی محصول علاوه بر اینکه از ابتدا نام همه محصولات قدیمی Sourcefire را از حروف بزرگ FirePOWER به حروف کوچک Firepower تغییر نداد بلکه در محصولات جدید خود نیز ازاین نامگذاری استفاده کرد. دستگاه 9300 یکی از محصولات جدید شرکت سیسکو با نرم افزار Firepower Threat Defense می‌باشد که برخلاف مدل‌های قبلی خود، از نامگذاری جدید در آن استفاده شده است.

Firepower Threat Defense

در محصولات سیسکو سرویس FirePOWER بیشتر به قابلیت‌های Sourcefire قبل از خرید توسط شرکت سیسکو مانند NGFWv اشاره دارد. شرکت سیسکو در محصول جدید FTD خود علاوه بر پوشش کلیه قابلیت‌های Firepower، قابلیت‌های مربوط به فایروال ASA و چندین سرویس جدید خود از جمله AMP را نیز به محصول اضافه کرده است. بنابراین با توجه به پوشش همه جانبه کلیه سرویس‌ها در یک محصول دیگر نیازی به اجرای FirePOWER به صورت ماژول و سرویس مجزا نمی‌باشد. شرکت سیسکو در واقع با این کار در محصول جدیدش علاوه بر کاهش سربار، بهره ‌وری را افزایش داده است.

طبق شکل بالا سیستم Firepower ویژگی‌های امنیتی متنوعی ارایه می‌دهد. همچنین برخلاف نرم افزارهای قدیمی مانند فایروال ASA، این قابلیت‌های امنیتی در قالب چندین مولفه نرم افزاری ارایه می‌شود.

Firepower Core

هسته اصلی نرم افزار Firepower شامل موتور Snort برای تشخیص و جلوگیری از حملات، یک سرور وب برای ارایه رابط کاربری (UI)، یک دیتابیس برای ذخیره سازی Eventها و فریم‌ویر برای سخت افزار می‌باشد. بسته به نوع سخت افزار، ایمج مربوط به نرم افزار Core سیستم Firepower متفاوت می‌باشد.

Software Patch and Hotfix

سیسکو معمولا Patchهای نرم افزاری را به صورت دوره‌ای برای رفع آسیب پذیری‌ها و نقص‌ها ارایه می‌دهد. زمانی که برای حل یک مشکل نیازمند راه حل سریع تر از بروزرسانی باشد شرکت سیسکو برای آن Hotfix ارایه می‌دهد.

Snort Rules یا Sourcefire Rules

موتور Snort از مجموعه‌ای از سیاست‌ها برای جلوگیری از حملات استفاده می‌کند. هر سیاست شامل شروط مشخصی است و زمانی که بسته‌ای توسط سنسور بررسی می‌شود با شرطی در سیاست مطابق شود، موتور Snort عکس‌العملی متناسب با آن اتخاذ خواهد کرد.

Vulnerability Database

این مولفه، دیتابیسی از آسیب پذیری‌ها و نمونه اثر انگشت مربوط به سرویس‌ها و برنام‌های کاربردی و سیستم عامل‌های مختلف می‌باشد. Firepower با استفاده از این نمومه اثر انگشت‌ها، برنامه‌ها، سرویس‌ها و سیستم عامل‌های در حال اجرا را شناسایی و سپس داده‌های مربوط به شبکه و برنامه‌های کشف شده را با اطلاعات آسیب پذیری‌های موجود در دیتابیس VDB همبسته سازی می‌کند تا آسیب پذیری‌های موجود را شناسایی نماید.

Geolocation database

این دیتابیس اطلاعات موقعیت جغرافیایی متعلق به آدرس‌هایIP را ذخیره و در خود دارد. برای مثال زمانی که Firepower در رابط کاربری اطلاعات مربوط به یک حمله را نشان می‌دهد، شما می‌توانید پرچم کشوری که منشاء حمله می‌باشد را نیز ببینید. این قابلیت به شما اجازه می‌دهد به سرعت بدون اینکه با استفاده از Reverse lookup به دنبال منشاء حمله باشید، سریع تصمیم گیری نمایید.

URL Filtering Database

محصول Firepower قادر است سایت‌ها را براساس ویژگی‌هایی مانند مخاطب هدف و نوع کسب و کار دسته‌بندی نماید. علاوه براین برای داشتن کنترل دسترسی بیشتر این سیستم به شما این اجازه را می‌دهد که کنترل دسترسی‌هایی برمبنای شهرت و میزان ریسک داشته باشید. همه این اطلاعات در دیتابیس URL Filtering ذخیره می‌شود و برخلاف سایر اجرای نرم افزاری قابلیت بروزرسانی مستقیم از Cloud شرکت سیسکو نیز برایش وجود دارد.

Security Inteligence Feeds

تیم ارایه دهنده اطلاعات مربوط به تهدیدات شرکت سیسکو معروف به Talos، به طور مستمر اینترنت را برای شناسایی آدرس‌های IP، نام دامنه‌ها و آدرس‌های URL مخرب جستجو می‌کنند. شرکت سیسکو این اطلاعات را تحت عنوان Threat Inteligence Feeds با کاربران FTD از طریق تجهیز FMC خود به اشتراک می‌گذارد.

Local Malware Detection

با استفاده از این مولفه، FTD قادر است ویروس‌های موجود در فایل‌ها را شناسایی و از انتشار آنها در شبکه جلوگیری نماید. در حال حاضر Firepower از آنتی ویروس Clam-av برای این کار استفاده می‌کند که بروزرسانی signatureهای آن از طریق FMC امکان پذیر می‌باشد.

Integration

سیستم Firepower قادر است با انواع مختلفی از محصولات و تکنولوژی‌ها مانند محصول ISE سیسکو، Active directory مایکروسافت، سرویس Event Streamer و Syslog server ادغام شود. این موضوع قابلیت‌های بیشتری برای مانتورینگ و امن کردن شبکه فراهم می‌کند.