4. ГОДЫ
МЕСЯЦЫ
Урон от вторжений
ЧАСЫ
Вторжение произошлоданных из-за взлома украдено за взломов остаются не обнаруженными
Информация о почти частных лиц находится в “темном интернете” за последние три года
СТАРТ
Source: Verizon Data Breach Report 2014
6. Два типа интеграции
Фронтэндинтеграция
–
Большинство технологий безопасности имеют информацию о защищаемом окружении, но не делятся ей.
–
Строим архитектуру прозрачности и видимости о состоянии, конфигурации и изменениях в защищаемом окружении
Бэкэендинтеграция
–
Собираем и централизуем информацию о том что происходит в окружении и пытаемся понять что же происходит
–
Традиционная интеграционная модель
6
8. Модуль последовательности выполняемых действий (автоматизации)
Интерфейсы API
Понимание масштабов, изоляция и восстановление
Широкий мониторинг для понимания контекста
Внедрение политики безопасности для сокращения
области атаки
Фокус на угрозе —безопасность подразумевает обнаружение, понимание и нейтрализацию угроз
Компрометация
Прозрачность
Контроль
Угроза
Работа на платформе: главное —прозрачность
и учет контекста
9. Модуль последовательности выполняемых действий (автоматизации)
Локализация
Изолирование
Восстановление
Обнаружение
Блокирование
Защита
Контроль
Внедрение
политик
Укрепление
Исследование
Мониторинг
Учет
Сопоставление
Network / Devices
Users / Applications
Files / Data
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM
ДО АТАКИ
ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
Компрометация
Прозрачность
Контроль
Угроза
Интерфейсы API
Прозрачность должна быть всесторонней
11. Подход SourceFire:
… непрерывный процесс до, во время и после атаки
Вы не можете защитить то, что не видите
Автоматическая настройка системы безопасности
…в режиме реального времени, в любой момент времени
Преобразование данныхв информацию
УВИДЕТЬ
АДАПТИ- РОВАТЬ
УЧИТЬСЯ
ДЕЙСТ- ВОВАТЬ
12. Контекст –это самое важное
Событие: Попытка получения преимущества
Цель: 96.16.242.135
Событие: Попытка получения преимущества
Цель: 96.16.242.135(уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта, браузер, Twitter
МестоположениеБелый дом, США
Событие: Попытка получения преимущества
Цель: 96.16.242.135(уязвимо)
ОС хоста: Blackberry
Приложения:электронная почта, браузер, Twitter
МестоположениеБелый дом, США
Идентификатор пользователя: bobama
Ф. И. О.Барак Обама
Департамент: административный
Контекст способен фундаментально изменить интерпретацию данных события
14. Пассивное
обнаружение
В первую очередь необходимо знать, что у вас естьНевозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время
в режиме реального времени
15. Безопасность подразумевает обнаружение, пониманиеи блокирование угроз
Высокоскоростная проверка контента
123.45.67.89
Johnson-PC
Операционная система: Windows 7имя хоста: laptop1
Пользователь: jsmith
IP 12.134.56.78
12.122.13.62
SQL
Реальность: сегодня основой безопасности является предотвращение угроз
Реальность сегодня:
612 нарушений безопасности в 2012 г.
•
92% происходит от внешний агентов
•
52% используют какую-либо из форм хакерства
•
40% приходится на долювредоносных программ
•
78% атак не отличаются высокой сложностью
Утечка данных Verizon в 2013 г. Отчет о расследовании
16. Решения безопасности Sourcefire
ИНТЕЛЛЕКТУ-АЛЬНАЯ СИСТЕМАКОЛЛЕКТИВНОЙБЕЗОПАСНОСТИ
Центр управления
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ
ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ НОВОГО ПОКОЛЕНИЯ
РАСШИРЕННАЯ ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ
ЗАВИСИМОСТЬ ОТ КОНТЕКСТА
ХОСТЫ | ВИРТУАЛЬНЫЕ МОБИЛЬНЫЕ
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
18. FirePOWER™: single-pass, высокопроизводительное, с низкой задержкой
Гибкая интеграция в программное обеспечение
NGIPS,NGFW, AMP
Все вышеперечисленные (просто выбрать соответствующий размер)
Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с ->60 Гбит/с
Стекирование для масштабирования, кластеризация для отказоустойчивости
Экономичность
Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISC
До 60 Гбит/с (система предотвращения вторжений)
19. •
Все устройства включают:
Интегрированное дистанционное управление
Технологию ускорения Sourcefire
ЖК-дисплей
SSL2000
SSL1500
SSL8200
Устройства FirePOWER
20. Производительность и масштабируемость системы предотвращения вторжений
Центр обработки данных
Комплекс зданий
Филиал
Малый/домашний офис
Интернет- периметр
FirePOWER 7100 Series
500 Мбит/с –1 Гбит/с
FirePOWER 7120/7125/8120
1 -2 Гбит/с
FirePOWER 8100/8200
2 -10 Гбит/с
FirePOWER серии 8300
15–60 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series
50 –250 Мбит/с
21. 7010
7020
7030
1U, половинная ширина
1U, половинная ширина
1U, половинная ширина
50 Мбит/с
100 Мбит/с
250 Мбит/с
8 портов
1 Гбит/с, медь
8 портов
1 Гбит/с, медь
8 портов
1 Гбит/с, медь
Один источник питания пер. тока
Мощность
Один источник питания пер. тока
Мощность
Один источник питания пер. тока
Мощность
Все устройства серии 7000 поддерживают стационарные конфигурации сетевых портов, дистанционное управление, твердотельные диски и ЖК-интерфейс.
Устройства 7000 Series FirePOWER
22. 7110
7120
7115
7125
1U
1U
1U
1U
500 Мбит/с
1Гбит/с
750 Мбит/с
1,25Гбит/с
8 портов
1 Гбит/с, медь
или оптоволокно
8 портов
1 Гбит/с, медь
или оптоволокно
4 стационар., 1 Гбит/с, медь
8 SFP
4 стационар., 1 Гбит/с, медь
8 SFP
Резервныйисточник питания пер. тока
Резервныйисточник питания пер. тока
Резервныйисточник питания пер. тока
Резервныйисточник питания пер. тока
Все устройства 7100 поддерживают дистанционное управление,
твердотельные диски и ЖК-интерфейс.
Устройства 7100 Series FirePOWER
____
* SFP НЕ поддерживают настраиваемый обход; они относятся к типу «закрыть при отказе».
23. 8120
8130
8140
1U
1U
1U
2Гбит/с
4Гбит/с
6Гбит/с
3 слота
3 слота
3 слота
До 12 портов
До 12 портов
До 12 портов
1U
Комплект для стекирования
В устройство8140можно добавить один дополнительный стекирующий модуль для повышения общей производительности системы.
Устройства 8100 Series FirePOWER
Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-интерфейс.
24. Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-интерфейс.
8250
8260
8270
8290
2U
4U
6U
8U
10Гбит/с
20Гбит/с
30Гбит/с
40Гбит/с
7 слотов
6 слотов
5 слотов
4 слота
До 28 портов
До 24 портов
До 20 портов
До 16 портов
____
Устройства 8270 и 8290 поддерживают соединения 40G. Для этого необходимо приобрести сетевые модули 40G
Для устройств 8250 и 8260 требуется модуль коммутации 40G, обеспечивающий поддержку соединений 40G, после чего необходимо установить сетевые модули 40G
Примечание. Для сетевого модуля 40G требуется 2 слота
Устройства 8200 SeriesFirePOWER
25. Новые устройства серии FirePOWER8300
•
Та же платформа, что и серия 8200
•
Та же стекируемаяархитектура, что и серия 8200
•
~50% больше вычислительных ядерvs. серии 8200
8370
8360
8350
30 Gbps
15Gbps
IPS Throughput
60Gbps
45Gbps
8390
26. Виртуальный сенсор
Виртуальные сенсоры
Виртуальный центр защиты
Встроенное или пассивное развертывание
Полный набор функциональных возможностей системы предотвращения вторжений нового поколения
Развертывается как виртуальное устройство
Сценарии использования
Преобразование SNORT
Небольшие / удаленные площадки
Виртуализированные рабочие нагрузки (PCI)
Управляет до 25 сенсорами
физические и виртуальные
одно окно
Сценарии использования
Быстрая оценка
Предварительное тестирование перед производством
Операторы связи
ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.xна платформах Sourcefire 5.x. Поддерживает RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.
DC
27. Межсетевой экран нового поколения SourcefireОриентирован на угрозы
•
Система предотвращения вторжений нового поколения –проверка содержимого
•
FireSIGHT –учет контекста
•
Интеллектуальная система безопасности –управление черным списком
•
Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу
•
И все эти компоненты прекрасно интегрируются друг с другом
Используются политики системы предотвращения вторжений
Политики контроля файлов
Политика межсетевого экрана
Политика в отношении системы предотвращения вторжений нового поколения
Политика в отношении файлов
Политика в отношении вредоносных программ
Контролируемый трафик
Коммутация, маршрутизация, сеть VPN, высокая доступность
Осведомленность об URL- адресах
Интеллектуальная система безопасности
Определение местоположения по IP-адресу
28. Обнаружение вредоносного кода с помощью AMP
Фильтрацияпорепутации
Поведенческоеобнаружение
Динамический анализ
Машинное обучение
Нечеткиеидентифицирующиеметки
Расширенная аналитика
Идентичная
сигнатура
Признакикомпрометации
Сопоставление потоков устройств
32. FireSIGHTManagement Center Appliances
* Max number of devices is dependent upon sensor type and event rate
750
1500
3500
4000
(ожидается)
Виртуальный
Управляем-ыхустройств*
10
35
150
300
Виртуальный FireSIGHTManagement Center
До 25 управляемых устройств
Хранилище событий
100GB
125GB
400 GB
4.8/6.3TB
Карта сети
(хосты/ юзеры)
2K/2K
50K/50K
300K/300K
600K/600K
Виртуальный FireSIGHT
Management Center
До 2/10управляемых устройств
*(дляFirePowerfor ASA)
Событий в секунду
(EPS)
2000
6000
10000
20000
New
32
34. Полный FireSIGHT
Идентифицированная операционная системаи ее версия
Серверные приложения и их версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует пользователь? Когда?
38. Понимание контекста в FireSIGHT
Просмотр всего трафика приложения...
Поиск приложений с высокой степенью риска...
Кто их использует?
Какие использовались операционные системы?
Чем еще занимались эти пользователи?
Как выглядит их трафик за период времени?
41. «Черные списки»
Что это?
•
Сигналы тревоги и правила блокирования:
•
Трафик ботнетови C&C / Известные злоумышленники/ открытые прокси/релеи
•
Источники вредоносного ПО, фишингаи спама
•
Возможно создание пользовательских списков
•
Загрузка списков от Sourcefireили иных источников
Как это может помочь?
•
Блокировать каналы вредоносных коммуникаций
•
Непрерывно отслеживать любые несанкционированные и новые изменения
43. IP –адреса должны быть маршрутизируемыми
Два типа геолокационныхданных
Страна –включено по умолчаниюt
Full –Может быть загружено после установки
—
Почтовый индекс, координаты, TZ, ASN, ISP, организация, доменное имя и т.д.
—
Ссылки на карты (Google, Bingи другие)
Страна сохраняется в запись о событии
Для источника & получателя
Детали по геолокации
44. Индикаторы компрометации (ИК)
События СОПВ
Бэкдоры
Подключения к серверам управления и контроля ботнетов
Наборы эксплойтов
Получение администраторских полномочий
Атаки на веб- приложения
События анализа ИБ
Подключения к известным IP серверов управления и контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
46. Не забывайте: приложения зачастую используют шифрование
и по умолчанию используют SSL
Преимущества решения внешнего дешифрования Sourcefire
Повышенная производительность –ускорение и политика
Централизованное управление ключами
Поддержка взаимодействия со сторонними продуктами
SSL1500
SSL2000
SSL8200
1,5Гбит/с
2,5Гбит/с
3,5Гбит/с
4Гбит/с
10Гбит/с
20Гбит/с