Upload
cisco-russia
View
213
Download
1
Tags:
Embed Size (px)
Citation preview
Дмитрий КазаковСистемный инженерCCIE Security #29472
Комплексная система предотвращениявторжений нового поколенияSourceFire FirePower
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
План презентации
• Новая модель безопасности, место в ней FirePower.• Преимущества МСЭ нового поколения FirePower• Платформы и варианты развертывания• Система управления, мониторинга и отчетности FireSight Manager• Заключение
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
Новая модель безопасности, место в ней FirePower.
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3
ГОДЫМЕСЯЦЫ
Урон от вторжений
ЧАСЫ
Вторжение произошло
данных из-за взлома украдено за
взломов остаются не обнаруженными
Информация о почти
частных лиц находится в “темном интернете” за последние три года
СТАРТ
Source: Verizon Data Breach Report 2014
Два типа интеграции
Фронтэнд интеграция– Большинство технологий безопасности имеют информацию о защищаемом
окружении, но не делятся ей.– Строим архитектуру прозрачности и видимости о состоянии, конфигурации и
изменениях в защищаемом окруженииБэкэенд интеграция
– Собираем и централизуем информацию о том что происходит в окружении и пытаемся понять что же происходит
– Традиционная интеграционная модель
6
Зачем?– Автоматизация– Контекст– Обнаружение аномалий– Безопасность по событиям
Какая прозрачность и видимость необходима?
7
Мод
уль
посл
едов
ател
ьнос
ти в
ыпо
лняе
мы
х де
йств
ий (а
втом
атиз
ации
)
Инт
ерф
ейсы
API
Понимание масштабов, изоляция и восстановление
Широкий мониторинг для понимания контекста
Внедрение политики безопасности для сокращения области атаки
Фокус на угрозе — безопасность подразумевает обнаружение, понимание и нейтрализацию угроз
Компрометация
Прозрачность
Контроль
Угроза
Работа на платформе: главное — прозрачность и учет контекста
Мод
уль
посл
едов
ател
ьнос
ти в
ыпо
лняе
мы
х де
йств
ий (а
втом
атиз
ации
)
ЛокализацияИзолированиеВосстановление
ОбнаружениеБлокированиеЗащита
КонтрольВнедрение политикУкрепление
ИсследованиеМониторингУчетСопоставление
Network / Devices
Users / Applications
Files / Data
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM
ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
Компрометация
Прозрачность
Контроль
Угроза
Инт
ерф
ейсы
API
Прозрачность должна быть всесторонней
Преимущества МСЭ нового поколения FirePower
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 10
Подход SourceFire: … непрерывный процесс до, во время и после атаки
Вы не можете защитить то, что не видите
Автоматическая настройка системы безопасности
…в режиме реального времени, в любой момент времени
Преобразование данныхв информацию
УВИДЕТЬАДАПТИ-РОВАТЬ
УЧИТЬСЯДЕЙСТ-ВОВАТЬ
Контекст – это самое важное
Событие: Попытка получения преимуществаЦель: 96.16.242.135
Событие: Попытка получения преимуществаЦель: 96.16.242.135 (уязвимо)ОС хоста: BlackberryПриложения: электронная почта, браузер, TwitterМестоположение Белый дом, США
Событие: Попытка получения преимуществаЦель: 96.16.242.135 (уязвимо)ОС хоста: BlackberryПриложения: электронная почта, браузер, TwitterМестоположение Белый дом, СШАИдентификатор пользователя: bobamaФ. И. О. Барак ОбамаДепартамент: административный
Контекст способен фундаментально изменить интерпретацию данных события
Пассивное обнаружение
В первую очередь необходимо знать, что у вас естьНевозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все времяв режиме
реального времени
Безопасность подразумевает обнаружение, пониманиеи блокирование угроз
Высокоскоростная проверка контента
123.45.67.89
Johnson-PC
Операционная система: Windows 7имя хоста: laptop1Пользователь: jsmithIP 12.134.56.78
12.122.13.62
SQL
Реальность: сегодня основой безопасности является предотвращение угроз
Реальность сегодня:612 нарушений безопасности в 2012 г.
• 92% происходит от внешний агентов
• 52% используют какую-либо из форм хакерства
• 40% приходится на долювредоносных программ
• 78% атак не отличаются высокой сложностью
Утечка данных Verizon в 2013 г. Отчет о расследовании
Решения безопасности Sourcefire
ИНТЕЛЛЕКТУ-АЛЬНАЯ СИСТЕМАКОЛЛЕКТИВНОЙБЕЗОПАСНОСТИ
Центр управленияУСТРОЙСТВА | ВИРТУАЛЬНЫЕ
МЕЖСЕТЕВОЙ ЭКРАН НОВОГО
ПОКОЛЕНИЯ
ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ
НОВОГО ПОКОЛЕНИЯ
РАСШИРЕННАЯ ЗАЩИТА ОТ
ВРЕДОНОСНЫХ ПРОГРАММ
ЗАВИСИМОСТЬ ОТ КОНТЕКСТА ХОСТЫ | ВИРТУАЛЬНЫЕ МОБИЛЬНЫЕ
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
Платформы и варианты развертывания
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17
FirePOWER™: single-pass, высокопроизводительное, с низкой задержкой
Гибкая интеграция в программное обеспечение
NGIPS,NGFW, AMP Все вышеперечисленные
(просто выбрать соответствующий размер)
Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с ->60 Гбит/с Стекирование для масштабирования,
кластеризация для отказоустойчивости
Экономичность Лучшие в своем классе для систем
предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISCДо 60 Гбит/с (система предотвращения вторжений)
• Все устройства включают:
Интегрированное дистанционное управлениеТехнологию ускорения SourcefireЖК-дисплей
SSL2000
SSL1500
SSL8200
Устройства FirePOWER
Про
изво
дите
льно
сть
и м
асш
таби
руем
ость
сис
тем
ы п
редо
твра
щен
ия в
торж
ений
Центр обработки
данныхКомплекс зданий
ФилиалМалый/домашний
офисИнтернет-периметр
FirePOWER 7100 Series500 Мбит/с – 1 Гбит/с
FirePOWER 7120/7125/81201 - 2 Гбит/с
FirePOWER 8100/82002 - 10 Гбит/с
FirePOWER серии 8300
15 – 60 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series50 – 250 Мбит/с
7010 7020 7030
1U, половинная ширина 1U, половинная ширина 1U, половинная ширина
50 Мбит/с 100 Мбит/с 250 Мбит/с
8 портов 1 Гбит/с, медь
8 портов 1 Гбит/с, медь
8 портов 1 Гбит/с, медь
Один источник питания пер. тока
Мощность
Один источник питания пер. тока
Мощность
Один источник питания пер. тока
Мощность
Все устройства серии 7000 поддерживают стационарные конфигурации сетевых портов, дистанционное управление, твердотельные диски и ЖК-интерфейс.
Устройства 7000 Series FirePOWER
7110 7120 7115 7125
1U 1U 1U 1U
500 Мбит/с 1 Гбит/с 750 Мбит/с 1,25 Гбит/с
8 портов 1 Гбит/с, медь
или оптоволокно
8 портов 1 Гбит/с, медь
или оптоволокно
4 стационар., 1 Гбит/с, медь8 SFP
4 стационар., 1 Гбит/с, медь8 SFP
Резервныйисточник питания пер.
тока
Резервныйисточник питания
пер. тока
Резервныйисточник питания пер. тока
Резервныйисточник питания пер. тока
Все устройства 7100 поддерживают дистанционное управление, твердотельные диски и ЖК-интерфейс.
Устройства 7100 Series FirePOWER
____* SFP НЕ поддерживают настраиваемый обход; они относятся к типу «закрыть при отказе».
8120 8130 81401U 1U 1U
2 Гбит/с 4 Гбит/с 6 Гбит/с3 слота 3 слота 3 слота
До 12 портов До 12 портов До 12 портов
1U Комплект для стекирования
В устройство 8140 можно добавить один дополнительный стекирующий модуль для повышения общей производительности системы.
Устройства 8100 Series FirePOWER
Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-интерфейс.
Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-интерфейс.
8250 8260 8270 82902U 4U 6U 8U
10 Гбит/с 20 Гбит/с 30 Гбит/с 40 Гбит/с
7 слотов 6 слотов 5 слотов 4 слота
До 28 портов До 24 портов До 20 портов До 16 портов
____Устройства 8270 и 8290 поддерживают соединения 40G. Для этого необходимо приобрести сетевые модули 40GДля устройств 8250 и 8260 требуется модуль коммутации 40G, обеспечивающий поддержку соединений 40G, после чего необходимо установить сетевые модули 40GПримечание. Для сетевого модуля 40G требуется 2 слота
Устройства 8200 Series FirePOWER
Новые устройства серии FirePOWER 8300
• Та же платформа, что и серия 8200
• Та же стекируемая архитектура, что и серия 8200
• ~50% больше вычислительных ядер vs. серии 8200
8370
8360
8350
30 Gbps
15 Gbps
IPS Throughput
60 Gbps
45 Gbps
8390
Виртуальный сенсор
Виртуальные сенсоры
Виртуальный центр защитыВстроенное или пассивное развертываниеПолный набор функциональных возможностей системы
предотвращения вторжений нового поколенияРазвертывается как виртуальное устройствоСценарии использования
Преобразование SNORT Небольшие / удаленные площадки Виртуализированные рабочие нагрузки (PCI)
Управляет до 25 сенсорами физические и виртуальные одно окно
Сценарии использования Быстрая оценка Предварительное тестирование перед производством Операторы связи
ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.
DC
Межсетевой экран нового поколения SourcefireОриентирован на угрозы
• Система предотвращения вторжений нового поколения – проверка содержимого
• FireSIGHT – учет контекста• Интеллектуальная система безопасности
– управление черным списком• Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу
• И все эти компоненты прекрасно интегрируются друг с другом Используются политики системы предотвращения
вторжений Политики контроля файлов
Политика межсетевого экрана
Политика в отношении системы предотвращения
вторжений нового поколения
Политика в отношении файлов
Политика в отношении вредоносных программ
Контролируемый трафик
Коммутация, маршрутизация, сеть
VPN, высокая доступность
Осведомленность об URL-адресах
Интеллектуальная система безопасности
Определение местоположения по IP-адресу
Обнаружение вредоносного кода с помощью AMP
Фильтрация по репутации Поведенческое обнаружение
Динамический анализ
Машинное обучение
Нечеткиеидентифицирующие
метки
Расширенная аналитика
Идентичнаясигнатура
Признакикомпрометации
Сопоставление потоков устройств
Система управления, мониторинга и отчетности FireSight Manager
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 29
Sourcefire Defense Center®
• Настраиваемая инструментальная панель
• Комплексные отчеты и оповещения• Централизованное управление
политиками• Иерархическое управление• Обеспечение высокой доступности • Интеграция с существующими
системами безопасности
FireSIGHT Management Center Appliances
* Max number of devices is dependent upon sensor type and event rate
750 1500 3500 4000(ожидается) Виртуальный
Управляем-ых
устройств*10 35 150 300 Виртуальный FireSIGHT
Management CenterДо 25 управляемых устройств
Хранилище событий 100 GB 125 GB 400 GB 4.8/6.3 TB
Карта сети(хосты/ юзеры)
2K/2K 50K/50K 300K/300K
600K/600K Виртуальный FireSIGHT
Management CenterДо 2/10 управляемых устройств
*(для FirePower for ASA)Событий в секунду
(EPS)2000 6000 10000 20000
New
32
Полный FireSIGHT
Идентифицированная операционная система
и ее версияСерверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует
пользователь? Когда?
Понимание контекста в FireSIGHTПросмотр всего трафика приложения...
Поиск приложений с высокой степенью риска... Кто их использует?
Какие использовались операционные системы?
Чем еще занимались эти пользователи?
Как выглядит их трафик за период времени?
«Черные списки»
Что это?• Сигналы тревоги и правила блокирования:
• Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи
• Источники вредоносного ПО, фишинга и спама• Возможно создание пользовательских списков• Загрузка списков от Sourcefire или иных
источников
Как это может помочь?• Блокировать каналы вредоносных коммуникаций• Непрерывно отслеживать любые
несанкционированные и новые изменения
IP –адреса должны быть маршрутизируемымиДва типа геолокационных данных
Страна – включено по умолчаниюt Full – Может быть загружено после
установки— Почтовый индекс, координаты, TZ, ASN, ISP,
организация, доменное имя и т.д.
— Ссылки на карты (Google, Bing и другие)
Страна сохраняется в запись о событии Для источника & получателя
Детали по геолокации
Индикаторы компрометации (ИК)
События СОПВ
БэкдорыПодключения к
серверам управления и
контроля ботнетов
Наборы эксплойтов
Получение администраторски
х полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP
серверов управления и
контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного
кода
Выполнение вредоносного
кода
Компрометация Office/PDF/Java
Обнаружение дроппера
Не забывайте: приложения зачастую используют шифрование
и по умолчанию используют SSLПреимущества решения внешнего дешифрования Sourcefire
Повышенная производительность – ускорение и политика Централизованное управление ключами Поддержка взаимодействия со сторонними продуктами
SSL1500 SSL2000 SSL82001,5 Гбит/с 2,5 Гбит/с 3,5 Гбит/с
4 Гбит/с 10 Гбит/с 20 Гбит/с
Sourcefire FireSIGHT видит «все»
КАТЕГОРИИ ПРИМЕРЫSOURCEFIRE
СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ И МЕЖСЕТВЫЕ
ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ
СТАНДАРТНАЯ СИСТЕМА
ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ
СТАНДАРТНЫЙ МЕЖСЕТЕВОЙ
ЭКРАН НОВОГО ПОКОЛЕНИЯ
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
Лучшая эффективность защиты
Security Value Map for Intrusion Prevention System (IPS)
Security Value Map forBreach Detection
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом#CiscoConnectRu
Пожалуйста, используйте код для оценки доклада5643Ваше мнение очень важно для нас.
Спасибо
КонтактыИмя: Дмитрий КазаковТелефон: +7 499 929 5237E-mail: [email protected]
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.