Cisco Security Agent (далее CSA) — это система предотвращения атак на уровне хоста (HIPS) для операционных систем Windows, Solaris и Linux.
Система
отслеживает поведение приложений, код, исполняемый на машине, локальные
сетевые соединения и выявляет аномалии в их работе, чтобы определить
следуют ли разрешать эту активность. Очевидным преимуществом таких
систем предотвращения атак является то, что им не требуются сигнатуры
атак.
Система имеет архитектуру агент-сервер.
Возможности CSA
После инсталляции на конечную систему CSA начинает следить за ресурсами
системы и составлять таблицы с информацией обо всем том, что происходит
в системе. Пользуясь этими таблицами, CSA следит, чтобы заданные
заранее правила поведения этой системы не нарушались. Агент следит за
всем что можно: за использованием и доступом к файлам и приложениям,
сетевыми транзакциями, доступом к реестру, использованию ядра, доступом
к COM объектам и другим компонентам системы. Цель всего этого:
гарантировать четкую работу системы согласно заданным правилам.
Благодаря таким глубоким знаниям обо всем том, что происходит в
системе в реальном времени CSA может контролировать то, нужно ли
разрешать затребованные действия или запрещать. Это происходит, когда
некоторые действия производятся пользователем, либо злонамеренный код
пытается выполниться сам. Когда CSA обнаруживает, что запрос не может
быть разрешен в соответствии с локальной политикой безопасности, то
агент блокирует это действие и посылает сообщение о неверном поведении
системы.
Располагаясь глубоко в системе и непосредственно контролируя ее и
любое ее поведение, агент выполняет множество ролей, предотвращая как
известные, так и неизвестные атаки, включая следующие функции:
• Глобальная автоматическая корреляция событий и реагирование.
• Распределенное управление защитой хостов.
• Контроль приложений, защита от переполнения буфера.
• Защита файлов и директорий.
• Контроль доступа к сети, персональный экран
• Исследование распространения в системе вновь устанавливаемых приложений и их поведения.
• Автоматическая смена политики контроля в зависимости от имени пользователя и его местоположения в сети.
• Аудит работы пользователей.
• Блокирует утечку информации через USB порты, DVD-RW, внешние устройства, КПК, через сеть, через буфер обмена.
• Блокирует клавиатурные перехватчики.
• Интегрируется с Network Admission Control (NAC).
• Контроль целостности.
• Защита от Spyware.
• Защита от rootkitов.
• Защита от скачивания запрещенного контента (например, MP3 файлов).
Или проще сказать, что агент контролирует некорректно работающие
приложения в операционных системах Windows, Solaris и Linux, таким
образом, запрещая эксплуатацию имеющихся в этих приложениях
уязвимостей, как удаленно по сети, так и локально при случайном запуске
злонамеренного кода. И, что самое важное, агент защищает от кражи
информации с хоста.
СтОит отметить, что продукт достаточно сложный и требует
квалификации при установке, настройке и эксплуатации. Неплохая, но уже
устаревшая статья на русском по возможностям CSA v4.5: тут.
Важно:
• Дистрибутив предназначен для Windows Server 2003 /R2 (SP2).
Фактически инсталляция системы происходит следующим образом: на сервер
устанавливается Management Center for CSA, который после развертывания
генерирует ссылки клиентской части для пользовательских хостов.
• Начиная с версии 5.0 CSA не требует предустановки Ciscoworks VMS.
• Данный дистрибутив содержит 2 файла лицензии на ваш выбор.
rapidshare.com
http://rapidshare.com/files/347105763/csa.v6.0.1.117.w2k3.k9.full.part1.rar
http://rapidshare.com/files/347105771/csa.v6.0.1.117.w2k3.k9.full.part2.rar
зеркало:
letitbit.net