Cisco Firepower

Продукт
Название базовой системы (платформы): Cisco Adaptive Security Appliance (ASA)
Разработчики: Cisco Systems
Дата премьеры системы: 2016/02/18
Дата последнего релиза: 2021/03/31
Технологии: ИБ - Межсетевые экраны

Содержание

Cisco Firepower - интегрированный угрозоориентированный межсетевой экран (МСЭ).

2024: В продукте Cisco обнаружена уязвимость, позволяющая обмануть систему аутентификации и выполнить любую команду

В своём сообщении от 28 октября ФСТЭК предупредила об обнаружении критической уязвимости BDU:2024-08598[1], которая присутствует в веб-интерфейсе управления сетью устройств компании Cisco Firepower Management Center (FMC). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды в базовой операционной системе с привилегиями суперпользователя с помощью отправки специально сформированных HTTP-запросов. Уровень опасности уязвимости по CVSSv3 составляет 9.9 из 10.

Компания Cisco уже выпустила для неё исправления. Уязвимость была закрыта в октябрьском наборе исправлений. Связана она с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Злоумышленник с помощью этой уязвимости может обмануть систему аутентификации Cisco FMC и выполнить любую команду.

«
Как правило, такие системы не выставляют на периметр, — пояснил TAdviser Алексей Леднев, руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies. — К тому же для ее эксплуатации требуется валидная учетная запись в системе. Плюс в публичном доступе эксплойта нет. Всё это говорит о том, что ждать массовой атаки не стоит. Но APT-группировка вполне может использовать данную уязвимость, так как сетевые устройства являются достаточно лакомой целью для злоумышленников.
»

Хотя уязвимость имеет уровень опасности по CVSS 9.9, что подразумевает, в том числе, и лёгкую ее эксплуатацию, однако на самом деле для успешного использования этой ошибки злоумышленнику нужно угадать учётные данные пользователя с ролью как минимум аналитика безопасности.

«
Эта уязвимость связана с недостаточной проверкой ввода некоторых HTTP-запросов, и для её эксплуатации злоумышленнику потребуются действительные учетные данные для учетной записи пользователя как минимум с ролью аналитика безопасности, — заявил TAdviser Алексей Рябинин, ведущий специалист отдела технической защиты конфиденциальной информации Cloud Networks. — Затем ею можно будет воспользоваться, пройдя аутентификацию в веб-интерфейсе управления уязвимого устройства, а затем отправив на устройство созданный HTTP-запрос.
»

Получить же данные учётной записи пользователя непросто. Для этого, вполне возможно, придётся прибегнуть к фишингу.

«
Для использования уязвимости хакеру требуется получить учетные данные пользователя, которые можно добыть с помощью фишинговой атаки, — объяснил читателям TAdviser цепочку атаки Андрей Яшинин, инженер-аналитик по выявлению уязвимостей R-Vision. — Фишинг — распространенный метод получения информации, и его часто сложно минимизировать из-за невысокой информированности сотрудников предприятий. В результате уязвимость может привести к утечке конфиденциальных данных, хранящихся в системе, изменениям данных, внедрению вредоносных команд и нарушению нормальной работы системы. А также атакующий может полностью ограничить доступ к управлению сети.
»

Следует отметить, что сам по себе продукт в России когда-то был популярен.

«
Продукт Cisco Firepower Management Center достаточно популярен на российском рынке, и многие компании продолжают его использовать, — поделился с TAdviser Александр Шилов, руководитель направления сетевой безопасности в «К2 Кибербезопасность». — Процесс импортозамещения идет полным ходом и российские аналоги продукта активно развиваются. Но не все пользователи готовы быстро отказаться от привычных и проверенных западных решений в пользу отечественных.
»

Специалисты ФСТЭК для защиты от эксплуатации этой уязвимости предлагают принять следующие меры:

  • Отключить или полностью удалить неиспользуемые учётные записи пользователей;
  • Использовать системы обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости;
  • Сегментировать сеть для ограничения доступа к уязвимому программному продукту.

Хотя нет традиционного для предлагаемых ФСТЭК мер совета закрыть к уязвимому продукту прямой доступ из интернета и организовать для удалённого администрирования защищённое VPN-подключение, но именно такая рекомендация здесь была бы вполне уместна. Обычно такие системы управления устанавливаются внутри корпоративной сети, и прямого доступа к ним хакеры получить не могут. Михаил Садиров, SMART technologies: На тестирование мультивендорных решений есть спрос

Александр Шилов также рекомендует использовать на внутреннем межсетевом экране правило типа Stealth, которое поможет предупредить атаки, исключив возможность несанкционированного доступа к веб-интерфейсу управления. Впрочем, все специалисты сходятся во мнении, что для исправления уязвимости нужно установить обновления производителя, но для российских компаний сделать это непросто.

2021: Сертификация ФСТЭК России межсетевого экрана

Компания САТЕЛ 31 марта 2021 года сообщила о получении сертификата соответствия на средство защиты информации - межсетевой экран, реализованный в устройствах сетевой безопасности серии Cisco Firepower 2100. Сертификат был выдан Федеральной службой по техническому и экспортному контролю РФ (ФСТЭК России).

Сертификация соответствующего оборудования была произведена компанией САТЕЛ по схеме «серия», что предоставляет заказчикам возможность получения неограниченного количества сертифицированных межсетевых экранов Cisco Firepower 2100.

Cisco Firepower 2100 - межсетевой экран типов «А» и «Б», применяемый на физической и логической границе информационной системы или между физическими и логическими границами сегментов информационной системы. Межсетевой экран предназначен для интеграции локальных вычислительных сетей в сеть масштаба предприятия (Intranet) и в глобальные сети типа Интернет. Интеграция реализуется на основе задаваемых администратором правил фильтрации потоков информации по заданным направлениям, обеспечивающих разграничение доступа субъектов одной сети к объектам другой. Интерпретация набора правил осуществляется последовательностью команд программного обеспечения межсетевого экрана, которые разрешают или запрещают передачу пакетов данных в том или ином направлении.

Межсетевой экран серии Cisco Firepower 2100 сертифицирован в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 и имеет сертификат соответствия требованиям по безопасности информации № 4373. Согласно сертификату данное оборудование соответствует требованиям документов:

  • Требования к межсетевым экранам (ФСТЭК России, 2016);
  • Профиль защиты межсетевых экранов типа «А» шестого класса защиты. ИТ.МЭ.А6.ПЗ (ФСТЭК России, 2016);
  • Профиль защиты межсетевых экранов типа «Б» шестого класса защиты. ИТ.МЭ.Б6.ПЗ (ФСТЭК России, 2016);
  • Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (утвержден приказом ФСТЭК России от 2 июня 2020 г. № 76) по 6 уровню доверия.

«
Соответствие российским нормативным требованиям является неотъемлемой частью стратегии Cisco. Мы рады, что смогли сделать очередной шаг в этом направлении совместно с нашим многолетним технологическим партнером - компанией САТЕЛ, - прокомментировал Михаил Кадер, заслуженный системный инженер Cisco.
»

2017: Cisco Firepower серии 2100

В феврале 2017 года Cisco представила семейство межсетевых экранов следующего поколения для интернет-периметра — Cisco Firepower серии 2100. Эти межсетевые экраны характеризуются практически неизменной пропускной способностью при включении дополнительных сервисов безопасности, а также отвечают потребностям современных организаций в обеспечении безотказной работы и защите критически важных бизнес-функций и данных.

Модели данной серии

  • Firepower 2110 Security Appliance
  • Firepower 2120 Security Appliance
  • Firepower 2130 Security Appliance
  • Firepower 2140 Security Appliance

При переходе к цифровым бизнес-моделям решения кибербезопасности должны поддерживать масштабирование для добавления новых функций и противостояния новым угрозам и уязвимостям без ухудшения производительности сети и приложений. В реальности это, к сожалению, не так. Включение функции обнаружения вторжений на межсетевом экране может привести к снижению пропускной способности вдвое и даже больше. Как следствие, существенно страдают такие веб-приложения взаимодействия с заказчиками, как интернет-банк и электронная коммерция, которым необходима максимальная производительность и которые чаще других становятся мишенью для злоумышленников. Некоторые предприятия для повышения производительности отключают функционал обеспечения информационной безопасности, подвергая риску как себя, так и своих заказчиков.

Межсетевые экраны серии 2100, в которых применяется впервые реализованная в отрасли архитектура с двумя многоядерными ЦПУ, позволяет ускорить ключевые функции шифрования, экранирования и защиты. Это модели специально разработаны для удовлетворения потребностей заказчиков в постоянном поддержании надлежащего уровня безопасности и производительности. По сравнению с продуктами аналогичной ценовой категории, Cisco Firepower 2100 обеспечивает более высокую производительность даже при задействованном функционале анализа угроз.

2016

18 февраля 2016 года компания Cisco анонсировала выпуск полностью интегрированного угрозоориентированного межсетевого экрана Cisco Firepower.

Cisco Firepower-4100 (2016)

Решение, согласно заявлению вендора, значительно отличается от аналогов, ограничивающихся контролем над приложениями: решение Cisco обнаруживает и распознает потенциальных взломщиков, обеспечивая безопасность.

Вместе с анонсом МСЭ компания ввела в действие консалтинговую службу Cisco Security Segmentation Service.

Ее задача помочь:

  • улучшить совместимость;
  • локализовать источник атаки;
  • обнаруживать угрозы;
  • отслеживать безопасность контента;
  • предотвращать утечку данных по всей ИТ-инфраструктуре.

Оба новшества Cisco направлены на защиту от опасных и устойчивых угроз кибератак.

Защита от угроз — отличительная особенность МСЭ Cisco Firepower. Cisco Firepower объединяет аналитику угроз, соблюдение политик безопасности и информацию о том, как пользователи подключаются к приложениям. Такой уровень прозрачности во всей бизнес-среде усиливает защиту и сокращает время обнаружения угроз и реагирования на них. МСЭ позволяет автоматизировать и корректировать защитные меры и практически сразу усиливать систему защиты благодаря своей возможности учитывать текущие уязвимости, активы и угрозы в сети. Согласованные действия мер безопасности обеспечивают защиту, которую не в состоянии предоставить точечные решения.

Cisco Firepower увеличивает скорость, простоту и эффективность обнаружения атак и реагирования на них. Продукт объединяет в единое решение сервисы защиты от угроз и технологию динамической пакетной фильтрации Cisco.

Среди возможностей продукта:

  • система нового поколения для предотвращения вторжений (NGIPS);
  • система Advanced Malware Protection (AMP);
  • фильтрация URL-адресов на основе репутации.

Интегрированный МСЭ сочетает решения компании Cisco и сторонних производителей, позволяя распределить между ними аналитические возможности и контекст. Теперь предприятия могут устанавливать взаимосвязь между ранее разрозненными фрагментами данных, быстрее распознавать и отражать сложные атаки, где бы они ни происходили. Это повышает конкурентоспособность организаций, желающих воспользоваться новыми возможностями для бизнеса, начав работать с облаком, виртуальной средой, Интернетом вещей и мобильными устройствами.

Компания Cisco представила устройство Cisco Firepower серии 4100 для высокопроизводительных приложений, используемых средним и крупным бизнесом. Это высокопроизводительное устройство, в своем классе, с оптимальной плотностью вычислительных ресурсов, способно отслеживать угрозы при высокой пропускной способности и низкой задержке сети и пригодно для использования организациями высокочастотного трейдинга и развертывания ЦОД. Устройство оснащено встроенными портами 40 GbE, высота корпуса - одно стоечное место (1U).



ПРОЕКТЫ (5) ИНТЕГРАТОРЫ (7) СМ. ТАКЖЕ (16)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (41)
  Другие (1203)

  Смарт-Софт (Smart-Soft) (5)
  Национальный аттестационный центр (НАЦ) (4)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  TUV Austria (2)
  Сторм системс (StormWall) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (3)
  МСС Международная служба сертификации (3)
  Другие (55)

  Positive Technologies (Позитив Текнолоджиз) (5)
  Уральский центр систем безопасности (УЦСБ) (5)
  ИВК (4)
  Инфосистемы Джет (4)
  А-Реал Консалтинг (3)
  Другие (55)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 170)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (720, 500)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  Check Point Software Technologies (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  А-Реал Консалтинг (2, 3)
  Вебмониторэкс (ранее WebmonitorX) (1, 2)
  Другие (7, 8)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 82
  ESET NOD32 Business Edition - 51
  Dr.Web Enterprise Security Suite - 35
  Kaspersky Enterprise Space Security - 34
  MaxPatrol SIEM - 33
  Другие 673

  Смарт-софт: Traffic Inspector Next Generation - 5
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  Ngenix Облачная платформа - 2
  StormWall: Многоуровневая распределенная система фильтрации - 2
  Trend Micro: Deep Discovery - 2
  Другие 16

  Kaspersky Endpoint Security - 3
  Solar JSOC - 3
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Solar MSS - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 20

  UserGate UTM - 4
  UserGate C-серия Межсетевые экраны - 3
  Kaspersky Endpoint Security - 3
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 8

  ИВК Кольчуга - 4
  А-Реал Консалтинг: Межсетевой экран ИКС - 3
  UserGate UTM - 3
  UserGate E-серия Межсетевые экраны - 2
  StormWall: Многоуровневая распределенная система фильтрации - 2
  Другие 21