Cisco + Sourcefire = Next Generation Security

Cisco + Sourcefire = Next Generation Security Ács György Consulting Systems Engineer, EMEAR CEE

2014. február 27.

Tartalom •

Új biztonsági kihívások

•

Ki az a Sourcefire?

•

Az új biztonsági modell

•

Sourcefire Appliance és főbb szolgáltatásai

•

Advanced Malware Protection, FireAMP

•

Integráció

© 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

2

Új biztonsági kihívások


Cisco Public

3

A hackelés iparosodása

VIRUSES

1985

1995

2000

2005

2010

A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Icons: attack vectors

Cisco Public

4

A hackelés iparosodása Cél: hírnév, mód: zaj

MACRO VIRUSES

VIRUSES

1985

1995

Cél: profit, mód: lopás

WORMS HACKERS

2000

SPYWARE / ROOTKITS

2005

APTs MALWARE

2010

A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására -> fenyegetés ciklusok © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Icons: attack vectors

Cisco Public

5

Hirdetési sáv : selling Iframe traffic .


Cisco Public

6

A mi biztonsági megközelítésünk


Cisco Public

7

A probléma a fenyegetés (security threat)


Cisco Public

8

Ki az a Sourcefire?


Cisco Public

9

Ki az a Sourcefire? •

2001-ben Martin Roesch alapította, Columbia, MD

•

Új biztonsági megoldások • • •

•

piacvezető (NG) IPS új belépő a NGFW piacra új megközelítésű Advanced Malware Protection megoldás

Innovatív – 52+ szabadalom •

IPS, kontextus alapú biztonság, advanced malware

•

Biztonsági kutatás

•

Open Source security projektek : •

•

Snort, ClamAV, Razorback

2013 október 7.: A Cisco befejezte a Sourcefire akvizícióját, 2.7 milliárd

USD befektetés © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

10

IPS – Gartner elemzés

A Sourcefire “leader” az IPS Gartner Magic Quadrant-ban 2006 óta.

December 2013, forrás: Gartner © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

11

Az Új biztonsági modell


Cisco Public

12

Mit csinálnál másképp, ha tudnád, hogy meghackelnek?


Cisco Public

13

Az új biztonsági modell •

Fókuszban a fenyegetés

•

Alapok: vizibilitás / “rálátás” és kontextus

•

Integrált platform sokféle támadási vektor ellen – bárhol jelenik meg a fenyegetés

•

Online támadás kutatás és open source

•

Azonnali (point-in-time) és folyamatos képességek


Cisco Public

14

Az új biztonsági model Támadási momentum

Network

ELŐTTE

ALATT

UTÁNA

Control Enforce Harden

Detect Block Defend

Scope Contain Remediate

Endpoint

Mobile

Point in time © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Virtual

Cloud

Continuous Cisco Public

15

Sourcefire megoldások

NGFW / App Control Gain visibility and control applications and users © 2013-2014 Cisco and/or its affiliates. All rights reserved.

NGIPS Stop exploits, hackers, and other intrusions and attacks

Advanced Malware Protection Find malware missed by other security layers Cisco Public

16

Hálózati védelem kiterjesztése : FirePOWER és Advanced Malware Protection, AMP Eszköz alapú:

Hálózat alapú: Reputáció és Collective Security Intelligence

Desktop

Vizibilitás és kontroll:  Detektálás  Analízis  Blokkolás  Javítás (remediation) © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Mobile (Android)

Virtual

• Az AMP kiterjesztése minden végpontra, desktop (Windows, MAC), mobil (Android), VMware vSphere • A teljes támadási életciklusban Cisco Public

17

Collective Security Intelligence Reputation Feeds

Malware Protection

Sourcefire VRT®

IPS Rules

Vulnerability Database Updates

(Vulnerability Research Team)

Sandboxing Machine Learning Big Data Infrastructure Private and Public Threat Feeds

Sandnets


File Samples (>180,000 per Day)

Advanced Microsoft and Industry Disclosures

FireAMP™ Community

SPARK Program

Honeypots

Snort and ClamAV Open Source Communities

Awareness, Education, Guidance, and Intelligence Sharing (AEGIS)

Sourcefire AEGIS™ Program

Cisco Public

18

Sourcefire Appliances


Cisco Public

19

IPS Performance and Scalability

Platformok és hálózati alkalmazásaik

FirePOWER 8200 Series 10 Gbps – 40 Gbps

FirePOWER 8100/8200 2 Gbps - 10 Gbps FirePOWER 7120/7125/8120 1 Gbps - 2 Gbps FirePOWER 7000 Series 50 Mbps – 250 Mbps

SOHO

FirePOWER 7100 Series 500 Mbps – 1 Gbps

Branch Office


Internet Edge

Campus

Data Center Cisco Public

20

FirePOWER LCD Display

Connectivity Choice

Quick and easy headless configuration

Change and add connectivity inline with network requirements

Configurable Bypass or Fail Closed Interfaces For IDS, IPS or Firewall deployments

Device Stacking Scale monitoring capacity through stacking

Hardware Acceleration For best in class throughput, security, Rack size/Mbps, and price/Mbps

Lights Out Management Minimal operational impact

SSD Solid State Drive for increased reliability


Cisco Public

21

FirePOWER 8200 sorozat

8250

8260

8270

8290

2U

4U

6U

8U

10Gbps IPS

20Gbps IPS

30Gbps IPS

40Gbps IPS

7 slots

6 slots

5 slots

4 slots

Up to 28 ports

Up to 24 ports

Up to 20 ports

Up to 16 ports

All 8000 series appliances support interchangeable network modules, lights-out management, solid state drives, AC/DC power options, redundant power, and an LCD interface. ____ 8270 and 8290 are 40G connectivity ready, simply purchase 40G netmods 8250 and 8260 require the 40G switch module to enable 40G connectivity, then add 40G netmods Note: 40G network module (netmod) requires 2 slots © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

22

8000 Series Network Modules: Configurable-Bypass Cluster Module 40G Switch Module

Used to connect an 3D8140, 3D8250, 8260, 8270, and 8290 to one or more stacking kits. Included in stacking kits. Switch module for 8250/8260 that supports the 40G Fiber network module. Comes standard on 8270/8290.

1G Copper

1G Fiber

10G Fiber

40G Fiber

1 slot

1 slot

1 slot

2 slots

4 Port 1Gbps Copper

4 Port 1Gbps SX Fiber

2 Port SR or LR Fiber

2 Port 40GBASE-SR4

All interfaces are programmable bypass/fail-open and field replaceable. © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

23

FirePOWER 8300 sorozat 

50%-al több teljesítmény 60Gbps NGIPS

• Adatközpontok,

hálózati gerincek számára • Sourcefire NGIPS,

NGFW és AMP futtatására

45Gbps NGIPS 30Gbps NGIPS

15Gbps NGIPS FP8390

FP8370

• 2U chassis és úgy

stackelhető, mint a 8200 sorozat © 2013-2014 Cisco and/or its affiliates. All rights reserved.

FP8360 FP8350

Cisco Public

24

Sourcefire Defense Center® Centralized Command & Control

    

Customizable dashboard Comprehensive reports & alerts Centralized policy administration Hierarchical management High availability


Cisco Public

25

Virtuális eszközök

DC

• Virtuális szenzor 

Inline vagy passzív kialakítás



Teljes NGIPS képesség



Virtuális appliance-ként telepített

• Virtuális Defense Center • Max 25 szenzorig • Fizikai vagy virtuális • Egységes GUI felület

NOTE: Supports ESX(i) 4.x and 5.x on Sourcefire 5.x platforms.

Supports RHEV 3.0 and Xen 3.3.2/3.4.2 on Soucefire 4.x platforms only. © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

26

Virtual Defense Center (DC), Virtual 3D Sensor


Cisco Public

27

Fejlett High-Availability 

Állapot szinkronizáció a HA klaszterben:  

 



TCP Strict State Enforcement – a TCP session folytatódni tud, újrakapcsolódás nélkül. Unidirectional Rules – lehetővé teszi, hogy az egyirányú szabály folytatódjon átkapcsolás esetén is Blocking Persistence – állapot és döntés (engedélyezett vagy blokkolt) is szinkronizált Dynamic Network Address Translation (NAT) – az IP és port bejegyzések megmaradnak átkapcsolás esetén is

Klaszteres appliance stack-ek támogatása (8250, 8260, 8270 és 8290)


Cisco Public

28

Fejlett High-Availability •

Az eszközök közvetlenül a HA Linken keresztül vannak összekötve

•

A klaszterezett eszközöknek meg kell egyezniük és azonos NetMod-okkal kell ellátni őket

HA Link interface depends upon the potential throughput of each cluster member © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

29

FireSIGTH


Cisco Public

30

A kontextus egységes rálátást biztosít End-point

Infrastructure

Kit? Boundary

Mit?

Honnan?

Az esemény helyes kontextusba helyezése lerövidíti az analízis idejét

A kontextus a legfontosabb - Context is everything Event: Target: Host OS: Apps: Location: User ID: Full Name: Department:

Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browswer, Twitter Whitehouse, US bobama Barack Obama Executive Office

Event: Target: Host OS: Apps: Location:

Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browser, Twitter Whitehouse, US

Event: Target:

Attempted Privilege Gain 96.16.242.135

A kontextus az eseményeknek egészen más jelentést ad © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

32

FireSIGHT Context Explorer 

App Visibility



Felhasználó



OS



Sérülékenység

Look for risky applications…

Who is using them?

What else have these users been up to? On what operating systems?

View all application traffic…

What does their traffic look like over time? © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

33

Awareness Who is at the host OS & version Identified Server applications and version What other systems / IPs did user have, when?

Client Applications Client Version

Application


Only Sourcefire delivers complete network visibility

Cisco Public

34

Felhasználók azonosítása 

LDAP és AD Agent



Monitorozott csoportok



AD Agent


Cisco Public

35

OpenAppID – RSA bejelentés 

OpenAppID, alkalmazás fókuszú detekciós nyelv



Snort felhasználók az OpenAppID detektorokkal 

azonosíthatják az alkalmazásokat  használatukat riportolni tudják  tudnak készíteni és  megosztani OpenAppID-t 

A Cisco több, mint 1000 mintát adott már hozzá



Lua : ingyenes, portolható scripting nyelv (hatékony, de egyszerű)



OpenAppID : gyorsabb és egyszerűbb szabályalkamazás


Cisco Public

36

A FireSIGHT segít az automatizálásban

IT Insight

Impact Assessment

“Hamis” host-ok, anomáliák, policy sértések,…

A fenyegetés korreláció 99%-al csökkenti figyelemre méltó eseményeket

Automated Tuning

User Identification

Az IPS szabályok automatikus “hangolása” a hálózatnak megfelelően

A felhasználókat kapcsolja össze a biztonsági (és compliance) eseményekkel


Cisco Public

37

A FireSIGHT™ leegyszerűsíti a szabályrendszert


Cisco Public

38

Technológiák összehasonlítása Categories

Examples

Sourcefire NGIPS & NGFW

Typical IPS

Typical NGFW

Threats

Attacks, Anomalies

✔

✔

✔

Users

AD, LDAP, POP3

✔

✗

✔

Web Applications

Facebook Chat, Ebay

✔

✗

✔

Application Protocols

HTTP, SMTP, SSH

✔

✗

✔

File Transfers

PDF, Office, EXE, JAR

✔

✗

✔

Malware

Conficker, Flame

✔

✗

✗

Command & Control Servers

C&C Security Intelligence

✔

✗

✗

Client Applications

Firefox, IE6, BitTorrent

✔

✗

✗

Network Servers

Apache 2.3.1, IIS4

✔

✗

✗

Operating Systems

Windows, Linux

✔

✗

✗

Routers & Switches

Cisco, Nortel, Wireless

✔

✗

✗

Mobile Devices

iPhone, Android, Jail

✔

✗

✗

Printers

HP, Xerox, Canon

✔

✗

✗

VoIP Phones

Avaya, Polycom

✔

✗

✗

Virtual Machines

VMware, Xen, RHEV

✔

✗

✗

Information Superiority


Contextual Awareness

Cisco Public

39

FireSIGHT Demonstráció


Cisco Public

40

Next Generation Firewall BEFORE


Cisco Public

41

Next Generation Firewalling 

Definition?

“Next Generation Firewalls (NGFWs) blend the features of a standard firewall with quality of service (QoS) functionalities in order to provide smarter and deeper inspection. In many ways a Next Generation Firewall combines the capabilities of first-generation network firewalls and network intrusion prevention systems (IPS), while also offering additional features such as SSL and SSH inspection, reputation-based malware filtering and Active Directory integration support.” Source: http://www.webopedia.com/TERM/N/next_generation_firewall_ngfw.html © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

42

Sourcefire NGFW – fenyegetés alapján

Security Intelligence

• NGIPS

URL awareness

• Snort technológia alapján

IP Geo-location

• NGFW

• zóna, VLAN, IP, port, protokoll, alkalmazás, felhasználó, URL

Controlled traffic

IPS Policy

• (5.3 Geo IP alapján) • FireSIGHT

Firewall Policy

File policy

• Teljes kontextus • Security Intelligence

• Dinamikus szabályok a VRT-től • Teljesen integrált szabályrendszer (IPv6 teljes)

Switching, Routing VPN, High Availability

Malware policy

• IPS szabályok • File vezérlési szabályok © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

43

NSS elemzés 100% Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202

Sourcefire 8290 Sourcefire 8250

Juniper SRX3600 Fortinet Fortigate-3600C

Palo Alto Networks PA-5020

FirePOWER appliances achieve best combination of security effectiveness, TCO and performance for overall NGFW leadership

90%

70%

100% Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202

Sourcefire 8290 60%

Sourcefire 8250

Juniper SRX3600 Fortinet Fortigate-3600C

Palo Alto Networks PA-5020

50%

90%

Enterprise Management & Security Effectiveness

80%

40%

30% WatchGuard XTM 2050

$140

$120

$100

$80

$60

$40

$20

20%

$0

TCO per Protected-Mbps

NSS Labs 2013 Next-Generation Firewall Security Value Map © 2013-2014 Cisco and/or its affiliates. All rights reserved.

ity Effectiveness

80%

70%

Cisco Public

44

Policy-Driven Visibility and Control Filter Access and Apply Protection by Application, User, and Traffic Path


Cisco Public

45

Next Gen Firewall Demonstráció


Cisco Public

46

Next Generation IPS DURING


Cisco Public

47

network

Snort architektúra 

Packet Decoder 

  



Preprocessors   



Packets are read using the Data AcQuisition library (DAQ) (e.g. afpacket) Decodes datalink protocols Decodes network protocols Decodes transport protocols Examine packets Modify packets Normalize traffic

Detection Engine   

Uses Snort rules to create signatures for threats Wide range of detection capabilities Modular detection elements

DAQ libraries Packet Decoder

Preprocessors

Detection Engine

Logging and Alerting System ---------------------Output Modules

Alert and log files © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

48

Pontosság • TCP / IP reassembly – átverés megelőzés • Többféle detekciós technika

• egyszerű szignatúrák több ismert exploit-ra • Komplex szignatúrák exploit-ra (layer 7-ig ) ismert sérülékenységekre (állapotkövetéssel) • Anomália detekció - day 0 ellen. • A megfelelő szabályokat kell alkalmazni

• A menedzsment rendszer javasol szabályrendszert


Cisco Public

49

Sebesség 

Szenzor → →

Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) • Nagy számítási kapacitás • Flow processzorok

→



5,000 events 500 events

log n szerinti skála

Analízis → → →



100,000 events

Impact analysis Contextual data at source Correlation Rules

20 events +10 events

Javító - Remediation Services


Cisco Public

3 events

50

NGIPS value architecture Alerting

User Interface Correlation

Presentation engine

Reporting engine

“SMS me only if a valid attack gets through to one of our executives’ Android phones.” Remediation services

Rules engine

Reputation services

Correlation engine

Geolocation services

Anomaly Detection

Detection Engines

Identity

Network Awareness


Threat awareness

DAQ

Directory mapping

Directory Services

User Awareness Awareness

Cisco Public

51

Rugalmasság • Snort szabályok :

szöveg alapúak & univerzálisak

• “Lingua franca” az IPS iparban • Több, mint 20,000 szabályt tartalmazó könyvtár

• Rugalmasan

szerkezthető

• Szabály szerkesztő • Alkalmazás default-ok © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

52

2012 NSS Labs SVM


Cisco Public

53

Next Gen IPS Demonstráció


Cisco Public

54

De mi van, ha a forgalom titkosított?


Cisco Public

55

Az alkalmazások gyakran titkosítottak … 

A

és a

SSL-t használ default-ként



Jelenleg külön detitkosító eszköz, előnye : Nagy teljesítmény – acceleration and policy  Központi kulcs menedzsment  Együttműködés 3rd party termékekkel 

SSL1500

SSL2000

SSL8200

1.5Gbps

2.5 Gbps

3.5 Gbps


Cisco Public

56

A SSL detitkosítható “vonalsebességgel” 

“Known-server key” for SSL v2  



Requires access to the server key Decrypts inbound SSL communication

“Certificate resign” for SSL v3  

Known server key method

Requires Intermediate certificate in browsers Decrypts outbound SSL communication

Certificate resign method


Cisco Public

57

Advanced Malware Protection AFTER


Cisco Public

58

A mi megközelítésünk az Advanced Malware Protection-ra Network-based AMP

Detection Services & Big Data analytics

✖

AMP for hosts, virtual and mobile devices

✔

FireSIGHT Management Center

SaaS Manager

# Sourcefire Sensor

# Host-based AMP

AMP Malware license

No agent required

• • • •

Small (Size of a print driver) Watches for move/copy/execute Traps fingerprint & attributes Queries cloud for file deposition

Hogyan működik a FireAMP? 

Gyanús file típusokat (pdf, exe, …) szkennel



HASH értéket számol (ujjlenyomat) és felküldi a felhőbe analizálás céljából (SHA256 desktop-ra ) 





Ismert file: 

Visszaadja a státuszát (good, neutral, malware)



Átengedi, monitorozza vagy blokkolja a file-t

Eddig nem ismert file 

ellenőrzi a futtatható file paramétereit (PE-header)



Feltölti a file-t a felhőbe és “futtatja” -> sandboxing



Ellenőrzi a felhőben a futás eredményét (malware) és az eredményt közli

Restrospektív (visszatekintő) analízist ad 

Teljes nyomkövetés (processzek, file létrehozása, végrehajtás)


Cisco Public

60

Network File Trajectory – nyomkövetés

Belépési idő

Fertőzött rendszerek


Cisco Public

61

AV, mint malware ellenintézkedés 

Erősen korlátozott: 

A CPU 2-5%-át használja  Korlátozott szabálykészlet  Korlátozott áttekintés  “point in time” azonnali működés 

To your AV, this …

Miért bízod a cég szellemi vagyonát egy 386-osra? … looks like this.


Cisco Public

62

Mi lenne, ha a malware felderítésnek ilyen erőforrása lenne? 

Petaflop processing



Petabyte storage



Big data analytics



Continuous analysis



State-of-the-art AI algorithms for continuous malware targeting “Now, that’s what I’m talkin’ about!”


Cisco Public

63

Detekciós motorok a PowerAMP-ben SPERO Specific ADVANCED ANALYTICS Uses AI(ONE-TO-ONE) methods for real-time Integrates heuristics from the discovery of malware based on Generic malware environment, the Big environment and behavior.(ETHOS) Data store, ETHOS and Uses periodic review of Big SPERO to clarify the outcome Data store to implement of a marginal conviction retrospection

Decision Tree (SPERO)

ETHOS ONE-TO-ONE Catches families of malware Catches “well known” malware Integrative through use of “fuzzy hashes” through use of primary SHA embedded in the Feature Print. (Adv. Analytics) match. Equivalent to a Counters malware evasion by signature-based system. “bit-twiddling”.

Primary Hash

Detection torque

Feature Print

(•) © 2013-2014 Cisco and/or its affiliates. All rights reserved.

{•••}

∫

users, engines

1 Cisco Public

64

0-dik áldozat megtalálása, nyomkövetés Trajectory analysis széles elemzés (FirePOWER-en), mély elemzés (FireAMP)

Look Deep: Device trajectory

Look wide: Network trajectory

   

Melyik rendszer lett fertőzött? Mikor történt? Hol a 0-dik áldozat? Mit fertőzött még meg?


Cisco Public

67

Indicators of Compromise

Megfertőzött gépek megtalálása  Automated compromise analysis

 Prioritized list generation  Quick links for root cause analysis and remediation © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

68

AMP ismeri a kontextust

Data shows the bad and the good


Context helps you

decide about the rest

Cisco Public

69

AMP Demonstráció


Cisco Public

70

Integrációs Tervek


Cisco Public

71

Sourcefire az ASA-n

Trusted NG Security on a Trusted Firewall – from 100Mbps to 640Gbps* Defense Center Comprehensive SECOPS Workflows Sourcefire Software - NGIPS, NGFW/AVC, AMP

ASA Software

Cisco Security Manager (CSM) or ASDM Comprehensive NETOPS Workflows *some integration being completed – e.g. low-end devices – 640 Gbps refers to the FW speed available with an ASA cluster © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

72

FireAMP Network: integráció a WSA, ESA és CWS termékekben


Cisco Public

73

Eszköz és Policy Management


Cisco Public

74

Összefoglalás


Cisco Public

75

Mit jelent a Next Gen Security? 

Policy - Alkalmazások és ID alapján



IPS és Tűzfal integrált -> minden a fenyegetés alapján



Kontextus tudás



AMP, Advanced Malware Protection



Retrospektív biztonság


Cisco Public

76

Cisco and Sourcefire—Better Together Attack Continuum

BEFORE

DURING

AFTER

Control Enforce Harden

Detect Block Defend

Scope Contain Remediate

Firewall

VPN

NGIPS

Advanced Malware Protection

NGFW

UTM

Web Security

Network Behavior Analysis

Email Security

Retrospective Services

NAC + Identity Services

Visibility and Context © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

77

Összefoglalás • A Sourcefire adja a FirePOWER platformot a

NGFW/NGIPS-hez • FireAMP Advanced Malware Protection-t ad a

végpontokra és a hálózatra • Teljes rálátás (visibility) szükséges a biztonsági policy-

hoz • Retrospektív biztonság meghatározza a fertőzés forrását


Cisco Public

78

Kérdés?


Cisco Public

79

Köszönöm.

Cisco + Sourcefire = Next Generation Security

Recommend Documents