WIXLIB

데이터 시트비즈니스 인프라 보호를 위한 새로운 혁신:CiscoWorks Security Information Management Solution 3.1기업 보안의 가장 어려운 문제 중 하나는 수회사는 늘어나는 자체 보안 인프라를 관리할많은 멀티벤더 보안 장치 및 시스템에서 발수 있으며 직원을 추가하지 않고도 수백 만생하는 대량의 경보를 관리하는 것입니다.개의 이벤트 메시지를 효과적으로 모니터링실제적인 보안 위협을 나타내는 몇 가지 메할 수 있습니다. CiscoWorks SIMS 3.1은시지를 구분하고 이 메시지에 우선 순위를다음과 같은 기능의 솔루션을 사용자에게 제부여하기 위해서는 자동화가 필요합니다.공합니다.효과적인 보안 자동화를 위한 핵심은 이라고 불리는 소프트웨어 기술입니다. Solution)3.1은 모든 수준의 보안 작업을 위한 광범위한보고 및 분석이터를 수집하고 분석하는 강력한 기능을 제공합니다.조직 내 특정 자산의 전반적인 취약성을파악하기 위한 통합 위험 평가netForensics의 기술을 기반으로 하며 회사에서 발생하는 엄청난 양의 보안 이벤트 데빠르고 직관적인 보안 모니터링을 위한 고급 시각화CiscoWorks SIMS(Security InformationManagementSAFE 및 모든 멀티벤더 보안 환경을 위한완벽한 이벤트 모니터링SIM(Security Information Management) 생산성 향상 및 비용 절감CiscoWorks SIMS 3.1은 이러한 기능을 제공하기 위해 이 솔루션의 핵심 구성요소인netForensics 소프트웨어를 사용합니다.CiscoWorks SIMS 3.1은정 규 화(normalization), 집합(aggregation), 상호연 관 성 분 석 (correlation) 및 시 각 화(visualization)라는 일련의 4단계로 기업의보안 이벤트 정보를 수집, 분석 및 상호연관성 분석을 수행합니다.1

정규화 및 집합정규화 및 집합 단계에서는 거의 대부분의 침입 탐지 시스템, 방화벽, 운영 체제, 애플리케이션 및 안티바이러스 시스템에서 보안 이벤트가 수집되어 이해가 쉬운 XML 형식으로 변환됩니다. 그런 다음 이 이벤트를 집합하여 중복된 보안 이벤트 데이터를 삭제합니다. 보안 운영자(Security Operator)에게는 하나의 PIX 방화벽에 대한 포트 스캔을 위해 6,000개의 메시지가 아닌 하나의 메시지가 표시됩니다.상호연관성 분석통계적 상호연관성 분석을 사용하면, 정규화된 보안 이벤트가 자산 또는 자산 그룹별로 보안 사고 유형에 따라 분류됩니다. 사고 유형의 범위는 백도어 찾는 시도에서부터 바이러스 공격 및 서비스 거부 공격에 이르기까지 다양합니다. 이벤트 심각도와 자산 가치를 결합하여 각 자산의 위협 스코어를 지속적으로 계산함으로써 보안 사고가 일어날 전반적인 가능성을 결정합니다. 중요한 이점은 규칙 기반의 상호연관성 분석에서는 탐지되지 않을 수 있는 비정상적인 내용을 찾아낼 수 있다는 점입니다.시각화CiscoWorks SIMS 3.1은 강력하고 직관적이며 사용자에게 친숙한 Java 기반 그래픽 인터페이스가 있는 실시간콘솔에 상호연관성 분석 결과를 표시합니다. Executive Dashboard는 보안 현황에 대한 엔터프라이즈 수준의 실시간 뷰를 제공하며, Real-Time Console은 실시간 상호연관성 분석 및 기타 분석 기능을 사용하여 보안 공격을 신속하게 격리시켜줍니다.2

위험 평가보안 측면에서 위험 평가에는 조직 내 특정 자산의 전반적인 취약성을 파악하는 것이 포함됩니다. 일반적으로 위험이란 위협, 취약성 및 가치가 조합되어 정의됩니다. 여기서 위협, 취약성 및 가치는 다음과 같이 정의됩니다. 위협이란 시스템 또는 자산으로 향하는 비정상적인 트래픽 또는 활동를 말합니다. netForensics는 포트 스캔이나 로그인 실패와 같은 각 위협 유형에 스코어를 매깁니다. 이 스코어는 전반적인 위험 계산 시에 고려됩니다. 가치란 특정 시스템 또는 자산의 중요한 정도(달러 단위)를 말합니다. 가치는 기업의 각 자산에 대해 사용자가 정의하는 변수입니다. 취약성이란 특정 시스템이나 자산에 대해 위협이 성공할 가능성을 말합니다.이 솔루션에서는 이 세 가지를 각각 조합하여 기업 내 각 자산의 전반적인 위험 스코어를 산출하며, 스코어가 높을수록 자산의 취약성이 높다는 것을 의미합니다. 솔루션에서는 각 자산의 필수 정보와 관련 위험을 제공하는 위험평가 리포트(Risk Assessment Report)를 작성합니다. 기업 내 특정 자산의 취약성을 이해하면 회사에서는 적절한 보안 정책을 강화할 수 있습니다.요약엔터프라이즈 IT 인프라를 보호하는 것이 갈수록 어려워짐에 따라 회사는 수많은 보안 장치와 시스템에서 유입되는 상당한 양의 보안 이벤트 정보를 받아들일 수 있는 기술을 필요로 합니다. 또한, 조직의 공격 위험을 줄일 뿐만아니라 공격이 발생했을 때 신속하게 대처할 수 있는 기술도 필요합니다. CiscoWorks SIMS 3.1은 기존 보안 팀의효율성을 향상시키고 이를 통해 실질적이고 상당한 ROI를 달성하도록 도와줍니다.유연한 배치 옵션CiscoWorks SIMS 3.1은 다음과 같은 옵션으로 주문이 가능합니다.1. 소프트웨어 전용 옵션. 다중 계층 서버 아키텍처를 유연하게 구현할 수 있으며, 대규모 배치에 적합합니다.2. 어플라이언스 옵션. CiscoWorks SIMS 3.1이 Cisco 1160 하드웨어 솔루션 플랫폼에 미리 설치되어 제공되며,고객이 쉽게 배치할 수 있습니다.어플라이언스 옵션의 기능은 소프트웨어 전용 스타터 팩(Starter Pack)의 기능과 동일합니다. 어플라이언스에는최대 30대의 장치를 모니터링할 수 있는 라이센스가 포함됩니다. 하지만 네트워크의 전반적인 이벤트 볼륨이 높은경우, 어플라이언스가 30대 미만의 장치를 지원할 수도 있습니다.이벤트 볼륨이 낮은 경우 사용자가 추가 라이센스를 구입하여 30대 이상의 장치를 모니터링할 수 있습니다. 어플라이언스가 지원할 수 있는 실제 장치의 수는 메시지 속도, 보유 정책 및 장치 유형을 비롯한 여러 변수에 따라 다릅니다. 어플라이언스에는 메시지 속도 및 소프트웨어 성능을 측정하기 위한 여러 툴(예: System Health Monitor)이 있습니다.소프트웨어 전용 옵션어플라이언스 옵션분산 아키텍처단일 서버글로벌 확장성지역 확장성1 - 4일 설치 서비스최소한의 설정 시간중간 규모 이상의 배치에 사용중소 규모 배치에 사용3

모니터링에 지원되는 장치표 1 지원되는 이벤트 소스 및 버전애플리케이션/장치버전nF 구성요소Arbor Peakflow DoS2.1Agent for Arbor PeakflowCheck Point FireWall-1NG, 4.1Agent for Check PointCisco IOS ACL, FW, IDS12.2, 12.0Syslog File AgentCisco Secure ACS3.1,3.0Agent for CSACSCisco Firewall Switch Module1.1.2Syslog File AgentCisco Secure IDS4.1,4.0, 3.1, 2.5, 2.2CSIDS AgentCisco Secure PIX6.3, 6.2, 6.1, 6.0, 5.3, 5.2, 5.1, 5.0Syslog File AgentCisco Secure PIX IDS6.3, 6.2, 6.1, 6.0, 5.3, 5.2Syslog File AgentCisco Security Agent4.0(Cisco Security Agent가 이벤트를전송하기 위해 Management Center 필요)Cisco VPN Concentrator3.1, 2.5.2Syslog File AgentCyberGuard Firewall5.1Agent for CyberGuardDragon Sensor/Squire6.1 / 1.3.1Agent for DragonEntercept HIDS4.0, 2.5, 2.0Agent for EnterceptIntruvert1.2Agent for IntruvertISS RealSecure HIDS / NIDS6.5, 6.0, 5.5 / 7.0, 6.5, 6.0Agent for ISS RealSecureISS SiteProtector2.0Agent for ISS SiteProtectorNetScreen4.0Agent for NetScreenNetwork Flight Recorder3.0Agent for NFRSecure Computing Sidewinder5.2Agent for SidewinderSourcefire2.0Agent for SourcefireSnort NIDS1.8Agent for SnortSymantec Enterprise FW/VPN7.0, 6.5Agent for SymantecSymantec ManHunt NIDS2.2Enterprise Firewall/VPNSymantec ITA3.6Agent for SymantecTripwire NIDS3.0Agent for ManHuntUNIX OS EventsSolaris 8/7/6, Linux 7.2/7.1Agent for TripwireWeb ServersApache, IIS, iPlanetAgent for Web ServersWindows EventsWin 2000 Server / Adv. ServerUNIX OS File Agent지원되는 이벤트 소스와 버전의 목록은 주기적으로 빈번하게 업데이트됩니다. 이 데이터 시트의 정보는 최신 정보가 아닐 수 있습니다.4

소프트웨어 전용 옵션의 시스템 요구사항지원되는 운영 체제표 2는 다양한 netForensics 구성요소에 대해 지원되는 운영 체제를 나타냅니다.표 2 지원되는 운영 체제구성요소지원되는 운영 체제nF EngineRed Hat Linux, Solaris 8nF MasterRed Hat Linux, Solaris 8nF Provider/Oracle 9i DatabaseRed Hat Linux, Solaris 8nF Web ServerRed Hat Linux, Solaris 8nF Agent for Arbor PeakflowRed Hat Linux, Solaris 8, WindowsnF Agent for Check PointRed Hat Linux, Solaris 8, WindowsnF Agent for CSACSWindows 2000nF Agent for CSIDSRed Hat Linux, Solaris 8nF Agent for CSIDS 4.0Red Hat Linux, Solaris 8, WindowsnF Agent for CyberGuardRed Hat Linux, Solaris 8, WindowsnF Agent for DragonRed Hat Linux, Solaris 8nF Agent for EnterceptWindows 2000nF Agent for ISS RealSecureWindows 2000nF Agent for ManHuntRed Hat Linux, Solaris 8, WindowsnF Agent for RaptorSolaris 8, Windows 2000nF Agent for SidewinderRed Hat Linux, Solaris 8, WindowsnF Agent for SnortRed Hat Linux, Solaris 8nF Agent for TripwireRed Hat Linux, Solaris 8, WindowsnF Agent for WindowsWindows 2000nF Batch AgentRed Hat Linux, Solaris 8nF Batch Agent for Check PointRed Hat Linux, Solaris 8, WindowsnF Syslog File AgentRed Hat Linux, Solaris 8, WindowsnF Universal AgentsRed Hat Linux, Solaris 8, WindowsnF UNIX File AgentRed Hat Linux, Solaris 8참고: Red Hat Linux 7.1(Kernel 2.4.9) 또는 Advanced Server 전용, Windows 2000 Server/AdvancedServer(SP2) 전용, Solaris on SPARC 전용5