SecUniversity – garść informacji o Snort / IPS od Cisco

Niedawno informowaliśmy o uruchomieniu nowego, ciekawego programu SecUniversity.

W kolejnym odcinku mowa będzie o systemach IPS (Intrusion Prevention Systems). Firma Cisco już wiele lat temu postawiła na lubianego, opensource-owego Snorta, którego uzupełnia o dodatkowe, przydatne komponenty.

No właśnie pamiętajcie, że kompletne rozwiązanie IPS (ewentualnie w pasywnym trybie – IDS) to poza samym silnikiem, analizującym ruch sieciowy:

• Przyjazna konsola do analizy alertów
• Odpowiednio mocny sprzęt do analizy całego ruchu sieciowego, który chcemy objąć ochroną
• Odpowiednie początkowe przygotowanie zestawu reguł, które chcemy aktywować
• Aktualizacje reguł (nowe zagrożenia!)
• Odpowiednie podejście do false positives
• Integracja z innymi elementami naszej infrastruktury bezpieczeństwa

Wszystko to możecie mieć na bazie sprawdzonego Snorta oraz urządzeń oferowanych przez Cisco.

Jak to wszystko działa? Jak mogę sam dodawać/zmieniać reguły? Co ciekawego w Snorcie 3? O czym warto pamiętać w trakcie wdrożenia, a co nie jest takie oczywiste? Tego właśnie będzie można się dowiedzieć w kolejnym, praktycznym wykładzie w ramach SecUniversity.

Oficjalna agenda:

• Wprowadzenie do SNORT
• Przykład własnej sygnatury IPS (demo)
• SNORT 3.0 – czego możemy się spodziewać?
• OpenAppID – język opisu aplikacji
• Przykład własnego opisu aplikacji (demo)

–ms