Microsoft готовит Stirling

Microsoft готовит Stirling

Компания Microsoft готовится выпустить в ноябре новую версию своих продуктов для защиты корпоративных систем, объединенных торговой маркой Forefront. Она будет объединена кодовым именем Stirling, которое по сути своей означает Forefront 2.0.

Цель этого кодового названия - сообщить клиенту, что все продукты с этим именем смогут работать в единой взаимосвязанной системе, отражая нападения комплексно. По сути своей Stirling является централизованной системой управления безопасностью корпоративной системы, которая с помощью нескольких API взаимодействует с остальными инструментами защиты. Основная идея Stirling в том, что бы обеспечить согласованную реакцию различных систем защиты на нападения.

Базовым элементом Stirling является сервер, на который собираются сообщения от всех защитных механизмов, поддерживающих спецификации API, входящие в комплект Stirling. Технология, получившая название Security Assessment Sharing (SAS), обеспечивает взаимодействие различных инструментов защиты и корреляционный анализ событий, происходящих в корпоративной сети. Центральный сервер обрабатывает события и в соответствии с заранее определенным набором правил может перенастроить защиту, обеспечивая максимально высокую скорость реакции. Например, если межсетевой экран обнаружил подозрительную сетевую активность какой-либо машины, которая очень похожа на работу червя, то сервер, обработав это сообщение, может дать команду на отключение этого компьютера из общей сети и запуск на нем антивирусного сканирования. То есть Stirling является системой защиты, которая управляется событиями информационной безопасности и может автоматически реагировать на нападения без вмешательства человека.

Под управлением центрального сервера Stirling находится три основных группы защитных механизмов: клиентские и серверные инструменты защиты (у Microsoft эти элементы входят в состав Forefront Client Security); различные компоненты защиты приложений, куда входят продукты Forefront для защиты Exchange и SharePoint; шлюзовые продукты, в качестве которых выступает разрабатываемый Microsoft Threat Management Gateway. Кроме того, предусмотрена интеграция с другими продуктами Microsoft и с разработками сторонних компаний. В частности, вполне возможна интеграция с другими производителями антивирусных продуктов для обеспечения эшелонированной защиты. Причем здесь используются разработки для многоядерных антивирусов.

 

Архитектура Stirling

 

 

На момент выпуска Stirling в нем уже будет реализована интеграция с System Center Operations Manager, Windows Server Update Services, System Center Configuration Manager, Active Directory и Microsoft Network Access Protection. Соответственно, для всех этих продуктов будут выпущены модули расширения, которые позволят взаимодействовать с механизмами Stirling. В результате, продукт можно будет быстро интегрировать в инфраструктуру, построенную на продуктах Microsoft.

Впрочем разработчики в Microsoft понимают, что сами не в состоянии защитить все программные продукты и системы, работающее на текущий момент в компаниях. Поэтому Microsoft старается привлечь на свою сторону партнеров, которые реализовали бы интеграцию с защитными механизмами других фирм. Для этого и опубликован набор API, с помощью которого независимые разработчики могут писать модули для двунаправленного взаимодействия со Stirling.

В частности, такую интеграцию провела "Лаборатория Касперского", которая интегрировала со Stirling свой продукт "Антивирус для Lotus Domino". Понятно, что сама Microsoft ни когда не напишет антивируса для этой платформы приложений, однако она заинтересована в том, чтобы клиенты с Lotus могли бы взаимодействовать со Stirling. При этом Stirling получает возможность в случае необходимости проверить в том числе и базу Lotus для очистки ее от заражения вредоносными программами.

Одной из функций Stirling является сбор статистики по вредоносными программа, разбор инцидентов и дальнейшее совершенствование правил автоматической реакции на нападения. Сотрудники отдела информационной безопасности получат в лице Stirling возможность видеть на одном экране все наиболее важные для безопасности сети события и оперативно реагировать на них.

 

Интерфейс управления

Выпуская подобный продукт Microsoft выходит на новый рынок систем управления информационной безопасностью, который является логическим продолжением рынка систем управления инфраструктурой, на котором уже присутствуют продукты серии System Center.

 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru