Дмитрий КазаковСистемный инженерCCIE Security #29472

Комплексная система предотвращениявторжений нового поколенияSourceFire FirePower

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

План презентации

• Новая модель безопасности, место в ней FirePower.• Преимущества МСЭ нового поколения FirePower• Платформы и варианты развертывания• Система управления, мониторинга и отчетности FireSight Manager• Заключение

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2

Новая модель безопасности, место в ней FirePower.

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3

ГОДЫМЕСЯЦЫ

Урон от вторжений

ЧАСЫ

Вторжение произошло

данных из-за взлома украдено за

взломов остаются не обнаруженными

Информация о почти

частных лиц находится в “темном интернете” за последние три года

СТАРТ

Source: Verizon Data Breach Report 2014

Взлом/Обнаружение – Дельта не растет

Source: Verizon 2014 Data Breach Investigations Report

5

Два типа интеграции

Фронтэнд интеграция– Большинство технологий безопасности имеют информацию о защищаемом

окружении, но не делятся ей.– Строим архитектуру прозрачности и видимости о состоянии, конфигурации и

изменениях в защищаемом окруженииБэкэенд интеграция

– Собираем и централизуем информацию о том что происходит в окружении и пытаемся понять что же происходит

– Традиционная интеграционная модель

6

Зачем?– Автоматизация– Контекст– Обнаружение аномалий– Безопасность по событиям

Какая прозрачность и видимость необходима?

7

Мод

уль

посл

едов

ател

ьнос

ти в

ыпо

лняе

мы

х де

йств

ий (а

втом

атиз

ации

)

Инт

ерф

ейсы

API

Понимание масштабов, изоляция и восстановление

Широкий мониторинг для понимания контекста

Внедрение политики безопасности для сокращения области атаки

Фокус на угрозе — безопасность подразумевает обнаружение, понимание и нейтрализацию угроз

Компрометация

Прозрачность

Контроль

Угроза

Работа на платформе: главное — прозрачность и учет контекста

Мод

уль

посл

едов

ател

ьнос

ти в

ыпо

лняе

мы

х де

йств

ий (а

втом

атиз

ации

)

ЛокализацияИзолированиеВосстановление

ОбнаружениеБлокированиеЗащита

КонтрольВнедрение политикУкрепление

ИсследованиеМониторингУчетСопоставление

Network / Devices

Users / Applications

Files / Data

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

IPS

AV

anti-malware

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM

ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ

Компрометация

Прозрачность

Контроль

Угроза

Инт

ерф

ейсы

API

Прозрачность должна быть всесторонней

Преимущества МСЭ нового поколения FirePower

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 10

Подход SourceFire: … непрерывный процесс до, во время и после атаки

Вы не можете защитить то, что не видите

Автоматическая настройка системы безопасности

…в режиме реального времени, в любой момент времени

Преобразование данныхв информацию

УВИДЕТЬАДАПТИ-РОВАТЬ

УЧИТЬСЯДЕЙСТ-ВОВАТЬ

Контекст – это самое важное

Событие: Попытка получения преимуществаЦель: 96.16.242.135

Событие: Попытка получения преимуществаЦель: 96.16.242.135 (уязвимо)ОС хоста: BlackberryПриложения: электронная почта, браузер, TwitterМестоположение Белый дом, США

Событие: Попытка получения преимуществаЦель: 96.16.242.135 (уязвимо)ОС хоста: BlackberryПриложения: электронная почта, браузер, TwitterМестоположение Белый дом, СШАИдентификатор пользователя: bobamaФ. И. О. Барак ОбамаДепартамент: административный

Контекст способен фундаментально изменить интерпретацию данных события

Использование контекста

100 000 событий

5 000 событий

500 событий

20 событий

+10 событий

3 события

Пассивное обнаружение

В первую очередь необходимо знать, что у вас естьНевозможно обеспечить защиту того, о чем вы не знаете

Хосты

Сервисы

Приложения

Пользователи

Коммуникации

Уязвимости

Все времяв режиме

реального времени

Безопасность подразумевает обнаружение, пониманиеи блокирование угроз

Высокоскоростная проверка контента

123.45.67.89

Johnson-PC

Операционная система: Windows 7имя хоста: laptop1Пользователь: jsmithIP 12.134.56.78

12.122.13.62

SQL

Реальность: сегодня основой безопасности является предотвращение угроз

Реальность сегодня:612 нарушений безопасности в 2012 г.

• 92% происходит от внешний агентов

• 52% используют какую-либо из форм хакерства

• 40% приходится на долювредоносных программ

• 78% атак не отличаются высокой сложностью

Утечка данных Verizon в 2013 г. Отчет о расследовании

Решения безопасности Sourcefire

ИНТЕЛЛЕКТУ-АЛЬНАЯ СИСТЕМАКОЛЛЕКТИВНОЙБЕЗОПАСНОСТИ

Центр управленияУСТРОЙСТВА | ВИРТУАЛЬНЫЕ

МЕЖСЕТЕВОЙ ЭКРАН НОВОГО

ПОКОЛЕНИЯ

ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ

НОВОГО ПОКОЛЕНИЯ

РАСШИРЕННАЯ ЗАЩИТА ОТ

ВРЕДОНОСНЫХ ПРОГРАММ

ЗАВИСИМОСТЬ ОТ КОНТЕКСТА ХОСТЫ | ВИРТУАЛЬНЫЕ МОБИЛЬНЫЕ

УСТРОЙСТВА | ВИРТУАЛЬНЫЕ

Платформы и варианты развертывания

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17

FirePOWER™: single-pass, высокопроизводительное, с низкой задержкой

Гибкая интеграция в программное обеспечение

NGIPS,NGFW, AMP Все вышеперечисленные

(просто выбрать соответствующий размер)

Гибкая интеграция в аппаратное обеспечение

Масштабируемость: 50 Мбит/с ->60 Гбит/с Стекирование для масштабирования,

кластеризация для отказоустойчивости

Экономичность Лучшие в своем классе для систем

предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs

До 320 ядер RISCДо 60 Гбит/с (система предотвращения вторжений)

• Все устройства включают:

Интегрированное дистанционное управлениеТехнологию ускорения SourcefireЖК-дисплей

SSL2000

SSL1500

SSL8200

Устройства FirePOWER

Про

изво

дите

льно

сть

и м

асш

таби

руем

ость

сис

тем

ы п

редо

твра

щен

ия в

торж

ений

Центр обработки

данныхКомплекс зданий

ФилиалМалый/домашний

офисИнтернет-периметр

FirePOWER 7100 Series500 Мбит/с – 1 Гбит/с

FirePOWER 7120/7125/81201 - 2 Гбит/с

FirePOWER 8100/82002 - 10 Гбит/с

FirePOWER серии 8300

15 – 60 Гбит/с

Платформы и размещение в сети

FirePOWER 7000 Series50 – 250 Мбит/с

7010 7020 7030

1U, половинная ширина 1U, половинная ширина 1U, половинная ширина

50 Мбит/с 100 Мбит/с 250 Мбит/с

8 портов 1 Гбит/с, медь

8 портов 1 Гбит/с, медь

8 портов 1 Гбит/с, медь

Один источник питания пер. тока

Мощность

Один источник питания пер. тока

Мощность

Один источник питания пер. тока

Мощность

Все устройства серии 7000 поддерживают стационарные конфигурации сетевых портов, дистанционное управление, твердотельные диски и ЖК-интерфейс.

Устройства 7000 Series FirePOWER

7110 7120 7115 7125

1U 1U 1U 1U

500 Мбит/с 1 Гбит/с 750 Мбит/с 1,25 Гбит/с

8 портов 1 Гбит/с, медь

или оптоволокно

8 портов 1 Гбит/с, медь

или оптоволокно

4 стационар., 1 Гбит/с, медь8 SFP

4 стационар., 1 Гбит/с, медь8 SFP

Резервныйисточник питания пер.

тока

Резервныйисточник питания

пер. тока

Резервныйисточник питания пер. тока

Резервныйисточник питания пер. тока

Все устройства 7100 поддерживают дистанционное управление, твердотельные диски и ЖК-интерфейс.

Устройства 7100 Series FirePOWER

____* SFP НЕ поддерживают настраиваемый обход; они относятся к типу «закрыть при отказе».

8120 8130 81401U 1U 1U

2 Гбит/с 4 Гбит/с 6 Гбит/с3 слота 3 слота 3 слота

До 12 портов До 12 портов До 12 портов

1U Комплект для стекирования

В устройство 8140 можно добавить один дополнительный стекирующий модуль для повышения общей производительности системы.

Устройства 8100 Series FirePOWER

Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-интерфейс.

Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-интерфейс.

8250 8260 8270 82902U 4U 6U 8U

10 Гбит/с 20 Гбит/с 30 Гбит/с 40 Гбит/с

7 слотов 6 слотов 5 слотов 4 слота

До 28 портов До 24 портов До 20 портов До 16 портов

____Устройства 8270 и 8290 поддерживают соединения 40G. Для этого необходимо приобрести сетевые модули 40GДля устройств 8250 и 8260 требуется модуль коммутации 40G, обеспечивающий поддержку соединений 40G, после чего необходимо установить сетевые модули 40GПримечание. Для сетевого модуля 40G требуется 2 слота

Устройства 8200 Series FirePOWER

Новые устройства серии FirePOWER 8300

• Та же платформа, что и серия 8200

• Та же стекируемая архитектура, что и серия 8200

• ~50% больше вычислительных ядер vs. серии 8200

8370

8360

8350

30 Gbps

15 Gbps

IPS Throughput

60 Gbps

45 Gbps

8390

Виртуальный сенсор

Виртуальные сенсоры

Виртуальный центр защитыВстроенное или пассивное развертываниеПолный набор функциональных возможностей системы

предотвращения вторжений нового поколенияРазвертывается как виртуальное устройствоСценарии использования

Преобразование SNORT Небольшие / удаленные площадки Виртуализированные рабочие нагрузки (PCI)

Управляет до 25 сенсорами физические и виртуальные одно окно

Сценарии использования Быстрая оценка Предварительное тестирование перед производством Операторы связи

ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.

DC

Межсетевой экран нового поколения SourcefireОриентирован на угрозы

• Система предотвращения вторжений нового поколения – проверка содержимого

• FireSIGHT – учет контекста• Интеллектуальная система безопасности

– управление черным списком• Полный контроль доступа

По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу

• И все эти компоненты прекрасно интегрируются друг с другом Используются политики системы предотвращения

вторжений Политики контроля файлов

Политика межсетевого экрана

Политика в отношении системы предотвращения

вторжений нового поколения

Политика в отношении файлов

Политика в отношении вредоносных программ

Контролируемый трафик

Коммутация, маршрутизация, сеть

VPN, высокая доступность

Осведомленность об URL-адресах

Интеллектуальная система безопасности

Определение местоположения по IP-адресу

Обнаружение вредоносного кода с помощью AMP

Фильтрация по репутации Поведенческое обнаружение

Динамический анализ

Машинное обучение

Нечеткиеидентифицирующие

метки

Расширенная аналитика

Идентичнаясигнатура

Признакикомпрометации

Сопоставление потоков устройств

Система управления, мониторинга и отчетности FireSight Manager

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 29

Sourcefire Defense Center®

• Настраиваемая инструментальная панель

• Комплексные отчеты и оповещения• Централизованное управление

политиками• Иерархическое управление• Обеспечение высокой доступности • Интеграция с существующими

системами безопасности

Одна консоль – множество ролей

FireSIGHT Management Center Appliances

* Max number of devices is dependent upon sensor type and event rate

750 1500 3500 4000(ожидается) Виртуальный

Управляем-ых

устройств*10 35 150 300 Виртуальный FireSIGHT

Management CenterДо 25 управляемых устройств

Хранилище событий 100 GB 125 GB 400 GB 4.8/6.3 TB

Карта сети(хосты/ юзеры)

2K/2K 50K/50K 300K/300K

600K/600K Виртуальный FireSIGHT

Management CenterДо 2/10 управляемых устройств

*(для FirePower for ASA)Событий в секунду

(EPS)2000 6000 10000 20000

New

32

Управление политиками

Полный FireSIGHT

Идентифицированная операционная система

и ее версияСерверные приложения и их

версия

Клиентские приложения

Кто на хосте

Версия клиентского приложения

Приложение

Какие еще системы / IP-адреса использует

пользователь? Когда?

Автоматизация создания политик и правил

Настраиваемые информативные Dashboard

Инструментальная панель

Понимание контекста в FireSIGHTПросмотр всего трафика приложения...

Поиск приложений с высокой степенью риска... Кто их использует?

Какие использовались операционные системы?

Чем еще занимались эти пользователи?

Как выглядит их трафик за период времени?

Различные категории URL

URLs категорированы по уровню рисков

Фильтрация URL

Контроль по типам файлов

«Черные списки»

Что это?• Сигналы тревоги и правила блокирования:

• Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи

• Источники вредоносного ПО, фишинга и спама• Возможно создание пользовательских списков• Загрузка списков от Sourcefire или иных

источников

Как это может помочь?• Блокировать каналы вредоносных коммуникаций• Непрерывно отслеживать любые

несанкционированные и новые изменения

Визуализация карт, стран и городов для событий и узлов

Геолокация

IP –адреса должны быть маршрутизируемымиДва типа геолокационных данных

Страна – включено по умолчаниюt Full – Может быть загружено после

установки— Почтовый индекс, координаты, TZ, ASN, ISP,

организация, доменное имя и т.д.

— Ссылки на карты (Google, Bing и другие)

Страна сохраняется в запись о событии Для источника & получателя

Детали по геолокации

Индикаторы компрометации (ИК)

События СОПВ

БэкдорыПодключения к

серверам управления и

контроля ботнетов

Наборы эксплойтов

Получение администраторски

х полномочий

Атаки на веб-приложения

События анализа ИБ

Подключения к известным IP

серверов управления и

контроля ботнетов

События, связанные с вредоносным кодом

Обнаружение вредоносного

кода

Выполнение вредоносного

кода

Компрометация Office/PDF/Java

Обнаружение дроппера

Дизайнер пользовательских отчетов

Не забывайте: приложения зачастую используют шифрование

и по умолчанию используют SSLПреимущества решения внешнего дешифрования Sourcefire

Повышенная производительность – ускорение и политика Централизованное управление ключами Поддержка взаимодействия со сторонними продуктами

SSL1500 SSL2000 SSL82001,5 Гбит/с 2,5 Гбит/с 3,5 Гбит/с

4 Гбит/с 10 Гбит/с 20 Гбит/с

Заключение

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 60

Sourcefire FireSIGHT видит «все»

КАТЕГОРИИ ПРИМЕРЫSOURCEFIRE

СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ И МЕЖСЕТВЫЕ

ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ

СТАНДАРТНАЯ СИСТЕМА

ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ

СТАНДАРТНЫЙ МЕЖСЕТЕВОЙ

ЭКРАН НОВОГО ПОКОЛЕНИЯ

Угрозы Атаки, аномалии ✔ ✔ ✔

Пользователи AD, LDAP, POP3 ✔ ✗ ✔

Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔

Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔

Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔

Вредоносное ПО Conficker, Flame ✔ ✗ ✗

Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗

Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗

Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗

Операционные системы Windows, Linux ✔ ✗ ✗

Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗

Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗

Принтеры HP, Xerox, Canon ✔ ✗ ✗

VoIP-телефоны Avaya, Polycom ✔ ✗ ✗

Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗

Лучшая эффективность защиты

Security Value Map for Intrusion Prevention System (IPS)

Security Value Map forBreach Detection

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом#CiscoConnectRu

Пожалуйста, используйте код для оценки доклада5643Ваше мнение очень важно для нас.

Спасибо

КонтактыИмя: Дмитрий КазаковТелефон: +7 499 929 5237E-mail: dkazakov@cisco.com

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.