Компания Cisco открыла OpenAppID, систему выявления трафика приложений

Компания Cisco представила новую открытую платформу для разработки межсетевых экранов уровня приложений — OpenAppID, позволяющую определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Открытие OpenAppID подтверждает обещание Cisco о намерении усилить участие в открытых проектах и сохранить налаженные каналы взаимодействия с сообществом после поглощения компании Sourcefire и получения контроля над свободными продуктами ClamAV и Snort. Основу OpenAppID составляет специальный предметно-ориентированный язык, предназначенный для описания признаков использования протоколов или приложений. Язык даёт возможность создавать детекторы, которые на основании имеющихся правил сопоставляют трафик с идентификаторами приложений. Для создания и публикации детекторов проектом предоставляется набор инструментов. Для анализа трафика применяется специальный препроцессор. Компания Cisco приветствует участие сообщества в развитии технологии OpenAppID, расширении базы детекторов и интеграции в сторонние открытые проекты функций фильтрации трафика уровня приложений.

Связанный с OpenAppID код открыт под лицензией GPLv2+ и уже включен в альфа-выпуск системы обнаружения атак Snort 2.9.7.0. На сайте Snort размещена библиотека, содержащая более тысячи детекторов OpenAppID. Добавленный в Snort препроцессор OpenAppID позволяет выявлять активность приложения в сети, накапливать статистику об использовании приложений и связанного с ними трафика, блокировать обращение к приложениям на основе правил доступа, создавать расширения для учёта параметров приложений в правилах Snort, сообщать название программы наряду с IPS-событиями в логах и отчётах Snort.

В качестве практического применения OpenAppID отмечается реализация и внедрение межсетевых экранов, позволяющих контролировать обращения к приложениям по сети и оперативно блокировать угрозы, связанные с задержкой выпуска для приложений обновлений с устранением уже эксплуатируемых уязвимостей. OpenAppID также может использоваться для построения отчётов об используемых в сети предприятия приложениях, для блокирования нежелательных приложений, для выявления нецелевого использования программ, для раннего выявления попыток взлома приложений, для определения скрытого обращения к web-сервисам и т.п.

©  OpenNet