У чому різниця між Snort та Cisco FirePOWER

Нерідко мені доводиться чути про те, що великого сенсу у придбанні Cisco FirePOWER немає, так це той самий Snort, тільки в апаратній оболонці. А після недавнього виходу Snort на маршрутизаторах серії Cisco ISR 4000 це питання знову зазвучало з новою силою. Тому мені хотілося б у цій статті коротко пройтися за ключовими відмінностями вільного поширення системи виявлення вторгнення Snort і сімейства рішень Cisco, об'єднаних під зонтичною назвою FirePOWER (не плутати з Firepower 9300, яке є новою апаратною високопродуктивною і модульною платформою безпеки від Cisco). Особливо актуальним це питання стало останнім часом, коли низка українських розробників стала використовувати Snort як основу для власних систем виявлення вторгнень після сертифікованих у ФСТЕК або ФСБ.Snort

Почнемо з короткої передісторії. Snort був створений Мартіном Решем в 1998-му році і дуже швидко завоював популярність як безкоштовна система виявлення вторгнень, що дозволяє самостійно і без особливих зусиль писати правила для виявлення атак. По суті, мова опису сигнатур Snort стала стандартом де-факто для багатьох систем виявлення вторгнень, які стали його використовувати у своїх двигунах.

чому

І до і після Snort з'являлися системи виявлення атак, але саме Snort заслужив славу стандарту де-факто, що підтверджує понад 4 мільйони завантажень даного ПЗ з сайту www.snort.org і понад 500 тисяч зареєстрованих в офіційній спільноті користувачів. Що спричинило таку любов до Snort? Його мова опису порушень політик мережевої безпеки. З одного боку ця мова дуже проста і правило для виявлення атаки або іншого порушення політикБезпека може бути написана всього за пару хвилин (а то й швидше). З іншого, фільтри, складні запити, комбінування правил, встановлення порогових значень, облік часових інтервалів дозволяють писати дійсно дуже складні обробники мережевих подій.

Наприкінці 2014-го року була анонсувала альфа-версія Snort 3.0 (він же Snort++), в якому було реалізовано багато задумів, що раніше припадали пилом “на полиці”. Зокрема, було перероблено дизайн систем, який став більш орієнтованим користувача. Також з'явився механізм автоматичної ідентифікації протоколів на всіх портах, підтримка паралельної обробки пакетів, а мова опису правил стала ще простішою.

Через 3 роки, в 2001-му році, Мартін Реш заснував комерційну компанію Sourcefire, в рамках якої була створена комерційна версія Snort, яка називається в різний час 3D Sensor, FirePOWER та ін. Основною метою Мартіна Реша було запропонувати замовникам готове та автоматизоване рішення, не вимагає великих зусиль з налаштування та впровадження. Другою метою було створення високопродуктивного рішення, здатного виявляти атаки на високих швидкостях десятки гігабіт на секунду. Таким було перше покоління пристроїв компанії Sourcefire. Потім з'явилася друга серія пристроїв, в якій з'явилася функція ідентифікації програм (у Snort вона з'явилася тільки торік), механізм виявлення шкідливого коду FireAMP, міжмережеве екранування та ряд інших функцій. У третьому поколінні виник повноцінний МСЕ наступного покоління (NGFW). У 2011 році компанія Cisco оголосила про намір придбати компанію Sourcefire (кількома роками раніше це не вдалося компанії Check Point) і з цього моменту у платформи FirePOWER почалося нове життя.

різниця

На даний момент дана платформапредставлена ​​у вигляді 6 варіантів реалізації:

  • Окремі високопродуктивні пристрої Cisco FirePOWER Appliance. По суті це ті ж пристрої, що випускала компанія Sourcefire.
  • Міжмережевий екран Cisco ASA with FirePOWER Services, який крім функціональності традиційного МСЕ та VPN (Site-to-Site та Remote Access) отримав можливості МСЕ наступного покоління (NGFW), системи запобігання вторгненням (NGIPS), системи контетної фільтрації, системи нейтралізації та шкоди інших функцій.
  • Маршрутизатор Cisco FirePOWER Threat Defense for ISR, що дозволяє запустити всі перераховані вище можливості на базі маршрутизатора.
  • Віртуальні версії всіх згаданих можливостей, які запускаються на базі VMware.
  • Нова апаратна платформа Firepower 9300, здатна виконувати безліч завдань мережної безпеки (від МСЕ та VPN до боротьби зі шкідливим кодом та відображенням DDoS) на швидкостях у сотні гігабіт
  • Промислові міжмережеві екрани та системи виявлення вторгнення Cisco ISA 3000 та Cisco ISA 4000.

Чим же комерційне програмне забезпечення цих шести платформ відрізняється від Snort, який можна вільно завантажити з Інтернету?

Спробую виділити ключові можливості, які є у технологіях FirePOWER:

  • Одна з серйозних змін, що з'явилися в 2007 році, стала технологія RNA (Real-Time Network Awareness), що дозволяє будувати активний профіль всього, що відбувається в контрольованій мережі, будує карту мережі, ідентифікує хости, протоколи та програми шляхом пасивного аналізу трафіку. Пізніше ця інформація зіставляється з даними про атаки та інші порушення політик безпеки.

чому

різниця

  • Мартін Реш скептично ставиться до ідеїміжмережевого екранування, вважаючи, що зловмисники користуються відкритими на МСЕ портами для інкапсуляції своїх несанкціонованих дій. Тому замість традиційного міжмережевого екрану в рішеннях Sourcefire був реалізований міжмережевий екран прикладного рівня, він же міжмережевий екран наступного покоління (NGFW), що дозволяє контролювати порушення використання додатків, інкапсуляцію в них забороненого трафіку і т.п. До речі, саме з цієї причини, NGFW практично неможливо сертифікувати за українськими вимогами до МСЕ — NGFW просто не мають такого функціоналу; це не їхнє завдання.
  • Для реалізації функції NGFW необхідно вміти ідентифікувати програми, що функціонують у мережі. Це робиться за допомогою технології AppID, яка, по суті, стала основою для розробки раніше згаданої технології OpenAppID. Крім визначених детекторів додатків можна описувати і свої додатки (про це написано вище).

FirePOWER

  • Але від реалізації функцій міжмережевого екрану в FirePOWER все ж таки не обійшлося. Зокрема у будь-якій із шести платформ, що використовують технології FirePOWER, при створенні політик безпеки можна використовувати зони, VLAN, IP, порти, а також користувачів та групи у правилах МСЕ.

різниця

cisco

  • Маючи на борту одного сенсора не тільки систему виявлення вторгнень, а й міжмережевий екран, систему боротьби зі шкідливим кодом, систему URL-фільтрації та низку інших захисних технологій, логічно було об'єднати їх можливості в рамках ідентифікації індикаторів компрометації (IOC), що було зроблено в одній із версій FirePOWER.

На цьому можна було б зупинитися, завершивши порівняння захисних сенсорів, побудованих на базі Snort і FirePOWER. Але ж це щене все, що потрібно для повноцінної системи захисту, особливо у корпоративному середовищі. Давайте подивимося, які функції управління, зокрема. та централізованого, пропонуються разом із Snort або FirePOWER.

Сам Snort жодної системи керування не має. Однак модуль виводу дозволяє віддавати результати роботи у зовнішні системи, чим не забули скористатися розробники, які запропонували ринку відразу кілька різних систем для управління, генерації звітів, аналізу та візуалізації подій безпеки Snort. Серед них ACID (дуже давно не оновлювався), BASE, Snorby, Sguil, Aanval (комерційне рішення). З ACID я працював дуже давно, коли писав книжку “Виявлення атак”. До того ж, як і BASE, ACID не має розширених аналітичних можливостей по роботі з даними. З Aanval я не працював, та й комерційні системи управління третіх фірм для безкоштовного Snort - це не зовсім те, що потрібно (хоча часом можливо). А ось що стосується Snorby та Sguil, то можу сказати, що другий є популярнішим. Спробуємо порівняти його з "рідною" системою управління сенсорами FirePOWER - FireSIGHT Management Center (колишня назва - Defense Center).

різниця

різниця

  • ELSA, система централізованого управління логами, такий собі полегшений SIEM.

різниця

  • NetworkMiner, засіб проведення мережевих розслідувань з урахуванням отриманого від Snort pcap-файла.
  • WireShark, який представлення не потребує.

В принципі, за наявності кваліфікації та часу, зі зв'язки Sguil та інших інструментів моніторингу (наприклад, що входять до Security Onion) можна створити непогану систему управління подіями, які віддає нам Snort. Але і тільки ... Управління правилами, конфігурація сенсорів,відстеження їхнього статусу, оновлення, бекапірування бази даних подій, рольове керування доступом, ієрархічна система керування, генерація звітів… Все це залишається недоступним для користувачів Sguil.

snort

"Рідний" FireSIGHT Management Center позбавлений цих недоліків. Серед його функцій:

  • Централізоване керування та конфігурація безліччю сенсорів FirePOWER.
  • Оновлення сенсорів без необхідності перекомпіляції коду (ще б і правильні параметри не забути вказати).
  • Кореляція подій не лише від кількох сенсорів IDS, а й від різнотипних засобів та технологій захисту – МСЕ, AMP, RNA, RUA та ін.

snort

FirePOWER

SGUIL має дві переваги перед “рідною” системою управління FireSIGHT Management Center. По-перше, вона безкоштовна. А по-друге, вона відображає дані від сенсорів у реальному часі; у FireSIGHT максимальна частота оновлення даних – раз на хвилину. Натомість FireSIGHT дозволяє інтегрувати сенсори FirePOWER з різними зовнішніми системами безпеки, що застосовуються в корпоративному сегменті – сканерами безпеки, міжмережевими екранами, маршрутизаторами та комутаторами, системами захоплення пакетів, системами візуалізації подій безпеки, SIEM тощо. Робиться це за рахунок спеціальних API, які також відсутні у того ж Snort (хоча за допомогою різних скриптів можна спробувати інтегрувати його з такими ж безкоштовними інструментами захисту).

Як висновок мені не хотілося робити жодних висновків крім одного. Заяви про те, що технології FirePOWER, які раніше належали компанії Sourcefire, а пізніше придбані компанією Cisco, і безкоштовна система виявлення атак Snort, що колись лежала в основі рішень Sourcefire, це не те саме. Ну, тобтозовсім не одне й теж. Так, Snort залишається стандартом де-факто для систем виявлення атак, але Cisco FirePOWER це набагато більше, ніж просто IDS. Тут вам і міжмережевий екран прикладного рівня, і фільтрація URL, і нейтралізація шкідливого коду, і вбудована кореляція подій, і розслідування інцидентів, і інтеграція зі сканерами безпеки, і багато інших функцій автоматизують рутинні завдання безпечника.