Martin Roesch, il creatore di Snort, ha fondato Sourcefire e insieme ai suoi dirigenti la guida seguendo l'Agile Security Manifesto, secondo il quale bisogna smettere di considerare la sicurezza un problema da risolvere. È una realtà con cui confrontarsi se si vuole sfruttare la tecnologia e l'innovazione per il business.
Poiché gli ambienti e gli scenari in cui sono calati sono troppo mutevoli, l'unico approccio valido è quello appunto "agile".
Il primo principio dell'Agile Manifesto, non a caso recita: "Essere più adattativo dei tuoi avversari".
Facile a dirsi e a farsi secondo Sourcefire, grazie soprattutto a FireSight, una tecnologia di passive scanning, che consente di ottenere una vista accurata, fino a livello utente, dell'intero ambiente aziendale, aggiornata in tempo reale.
Tre le aree in cui si concentrano le soluzioni di Sourcefire, che sfruttano appunto la potenza di FireSight e del sistema di gestione FireSight Defence Center, grazie ai quali si ottiene una piena contestualizzazione dei dati di sicurezza e si può applicare l'approccio "See Learn Adapt Act".
La visibilità completa dello stato architetturale e di quello che avviene sulla rete e alle applicazioni è la base per poter prendere decisioni e agire. Learn, imparare, significa comprendere e valutare i rischi applicando la security intelligence ai dati. Visibilità e comprensione permettono quindi di "adattare" le difese automaticamente e di "agire" in tempo reale.
Pure importanti per l'architettura della sicurezza targata Sourcefire è il supporto del team VRT (Vulnerability Research Team), che contribuisce allo sviluppo delle regole di Snort, ma non solo. Snort è ancora il motore alla base dell'IPS di Sourcefire, che ne sfrutta l'apertura al mondo open source.
Next Generation Intrusion Prevention Systems
Integrando l'attenzione al contesto con l'automazione guidata dalla security intelligence, i NGIPS di Sourcefire sfruttano le prestazioni delle appliance per fornire protezione efficace dalle minacce.
La funzionalità di application control e di URL filtering permette di mitigare i rischi legati a questo mezzo di penetrazione sempre più utilizzato per evitare i sistemi IPS tradizionali.
Il NGIPS è inoltre sempre attento al contesto, grazie a FireSight e può immediatamente rilevare discrepanze rispetto a valori di riferimento. Al verificarsi di un'anomalia intervengono le regole che sono molto flessibili per incontrare le specificità di ciascun ambiente, come evidenziano presso Sourcefire.
Next Generation Firewall
Il controllo applicativo, nel caso di Sourcefire, è una funzionalità realizzata sia dal Next Generation Firewall sia dal NGIPS, che possono essere eventualmente anche integrati.
Secondo i casi, però, potrebbe essere sufficiente acquistare solo il NGIPS, mantenendo il firewall tradizionale a realizzare le funzioni tradizionali di gateway e affidando al NGIPS il controllo applicativo.
Advanced Malware Protection: FireAMP
La soluzione FireAMP, disponibile su appliance, sfrutta il cloud computing e i Big Data forniti e integrati dai sistemi Sourcefire, grazie ai quali classifica i file in ingresso sul sistema aziendale.
È disponibile anche una versione per la protezione dai malware sviluppati per dispositivi mobili (Android) o specifici per virtual machine (solo in ambienti VMware).
È possibile configurare FireAMP affinché effettui una selezione dei file da esaminare in dettaglio oppure si può decidere di analizzarli tutti.
Per garantire le prestazioni, Sourcefire ha realizzato la linea di applianceSourcePower.