Cisco + Sourcefire = Next Generation Security Ács György Consulting Systems Engineer, EMEAR CEE
2014. február 27.
Tartalom •
Új biztonsági kihívások
•
Ki az a Sourcefire?
•
Az új biztonsági modell
•
Sourcefire Appliance és főbb szolgáltatásai
•
Advanced Malware Protection, FireAMP
•
Integráció
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
2
Új biztonsági kihívások
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
3
A hackelés iparosodása
VIRUSES
1985
1995
2000
2005
2010
A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Icons: attack vectors
Cisco Public
4
A hackelés iparosodása Cél: hírnév, mód: zaj
MACRO VIRUSES
VIRUSES
1985
1995
Cél: profit, mód: lopás
WORMS HACKERS
2000
SPYWARE / ROOTKITS
2005
APTs MALWARE
2010
A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására -> fenyegetés ciklusok © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Icons: attack vectors
Cisco Public
5
Hirdetési sáv : selling Iframe traffic .
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
6
A mi biztonsági megközelítésünk
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
7
A probléma a fenyegetés (security threat)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
8
Ki az a Sourcefire?
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
9
Ki az a Sourcefire? •
2001-ben Martin Roesch alapította, Columbia, MD
•
Új biztonsági megoldások • • •
•
piacvezető (NG) IPS új belépő a NGFW piacra új megközelítésű Advanced Malware Protection megoldás
Innovatív – 52+ szabadalom •
IPS, kontextus alapú biztonság, advanced malware
•
Biztonsági kutatás
•
Open Source security projektek : •
•
Snort, ClamAV, Razorback
2013 október 7.: A Cisco befejezte a Sourcefire akvizícióját, 2.7 milliárd
USD befektetés © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
10
IPS – Gartner elemzés
A Sourcefire “leader” az IPS Gartner Magic Quadrant-ban 2006 óta.
December 2013, forrás: Gartner © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
11
Az Új biztonsági modell
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
12
Mit csinálnál másképp, ha tudnád, hogy meghackelnek?
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
13
Az új biztonsági modell •
Fókuszban a fenyegetés
•
Alapok: vizibilitás / “rálátás” és kontextus
•
Integrált platform sokféle támadási vektor ellen – bárhol jelenik meg a fenyegetés
•
Online támadás kutatás és open source
•
Azonnali (point-in-time) és folyamatos képességek
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
14
Az új biztonsági model Támadási momentum
Network
ELŐTTE
ALATT
UTÁNA
Control Enforce Harden
Detect Block Defend
Scope Contain Remediate
Endpoint
Mobile
Point in time © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Virtual
Cloud
Continuous Cisco Public
15
Sourcefire megoldások
NGFW / App Control Gain visibility and control applications and users © 2013-2014 Cisco and/or its affiliates. All rights reserved.
NGIPS Stop exploits, hackers, and other intrusions and attacks
Advanced Malware Protection Find malware missed by other security layers Cisco Public
16
Hálózati védelem kiterjesztése : FirePOWER és Advanced Malware Protection, AMP Eszköz alapú:
Hálózat alapú: Reputáció és Collective Security Intelligence
Desktop
Vizibilitás és kontroll: Detektálás Analízis Blokkolás Javítás (remediation) © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Mobile (Android)
Virtual
• Az AMP kiterjesztése minden végpontra, desktop (Windows, MAC), mobil (Android), VMware vSphere • A teljes támadási életciklusban Cisco Public
17
Collective Security Intelligence Reputation Feeds
Malware Protection
Sourcefire VRT®
IPS Rules
Vulnerability Database Updates
(Vulnerability Research Team)
Sandboxing Machine Learning Big Data Infrastructure Private and Public Threat Feeds
Sandnets
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
File Samples (>180,000 per Day)
Advanced Microsoft and Industry Disclosures
FireAMP™ Community
SPARK Program
Honeypots
Snort and ClamAV Open Source Communities
Awareness, Education, Guidance, and Intelligence Sharing (AEGIS)
Sourcefire AEGIS™ Program
Cisco Public
18
Sourcefire Appliances
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
19
IPS Performance and Scalability
Platformok és hálózati alkalmazásaik
FirePOWER 8200 Series 10 Gbps – 40 Gbps
FirePOWER 8100/8200 2 Gbps - 10 Gbps FirePOWER 7120/7125/8120 1 Gbps - 2 Gbps FirePOWER 7000 Series 50 Mbps – 250 Mbps
SOHO
FirePOWER 7100 Series 500 Mbps – 1 Gbps
Branch Office
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Internet Edge
Campus
Data Center Cisco Public
20
FirePOWER LCD Display
Connectivity Choice
Quick and easy headless configuration
Change and add connectivity inline with network requirements
Configurable Bypass or Fail Closed Interfaces For IDS, IPS or Firewall deployments
Device Stacking Scale monitoring capacity through stacking
Hardware Acceleration For best in class throughput, security, Rack size/Mbps, and price/Mbps
Lights Out Management Minimal operational impact
SSD Solid State Drive for increased reliability
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
21
FirePOWER 8200 sorozat
8250
8260
8270
8290
2U
4U
6U
8U
10Gbps IPS
20Gbps IPS
30Gbps IPS
40Gbps IPS
7 slots
6 slots
5 slots
4 slots
Up to 28 ports
Up to 24 ports
Up to 20 ports
Up to 16 ports
All 8000 series appliances support interchangeable network modules, lights-out management, solid state drives, AC/DC power options, redundant power, and an LCD interface. ____ 8270 and 8290 are 40G connectivity ready, simply purchase 40G netmods 8250 and 8260 require the 40G switch module to enable 40G connectivity, then add 40G netmods Note: 40G network module (netmod) requires 2 slots © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
22
8000 Series Network Modules: Configurable-Bypass Cluster Module 40G Switch Module
Used to connect an 3D8140, 3D8250, 8260, 8270, and 8290 to one or more stacking kits. Included in stacking kits. Switch module for 8250/8260 that supports the 40G Fiber network module. Comes standard on 8270/8290.
1G Copper
1G Fiber
10G Fiber
40G Fiber
1 slot
1 slot
1 slot
2 slots
4 Port 1Gbps Copper
4 Port 1Gbps SX Fiber
2 Port SR or LR Fiber
2 Port 40GBASE-SR4
All interfaces are programmable bypass/fail-open and field replaceable. © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
23
FirePOWER 8300 sorozat
50%-al több teljesítmény 60Gbps NGIPS
• Adatközpontok,
hálózati gerincek számára • Sourcefire NGIPS,
NGFW és AMP futtatására
45Gbps NGIPS 30Gbps NGIPS
15Gbps NGIPS FP8390
FP8370
• 2U chassis és úgy
stackelhető, mint a 8200 sorozat © 2013-2014 Cisco and/or its affiliates. All rights reserved.
FP8360 FP8350
Cisco Public
24
Sourcefire Defense Center® Centralized Command & Control
Customizable dashboard Comprehensive reports & alerts Centralized policy administration Hierarchical management High availability
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
25
Virtuális eszközök
DC
• Virtuális szenzor
Inline vagy passzív kialakítás
Teljes NGIPS képesség
Virtuális appliance-ként telepített
• Virtuális Defense Center • Max 25 szenzorig • Fizikai vagy virtuális • Egységes GUI felület
NOTE: Supports ESX(i) 4.x and 5.x on Sourcefire 5.x platforms.
Supports RHEV 3.0 and Xen 3.3.2/3.4.2 on Soucefire 4.x platforms only. © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
26
Virtual Defense Center (DC), Virtual 3D Sensor
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
27
Fejlett High-Availability
Állapot szinkronizáció a HA klaszterben:
TCP Strict State Enforcement – a TCP session folytatódni tud, újrakapcsolódás nélkül. Unidirectional Rules – lehetővé teszi, hogy az egyirányú szabály folytatódjon átkapcsolás esetén is Blocking Persistence – állapot és döntés (engedélyezett vagy blokkolt) is szinkronizált Dynamic Network Address Translation (NAT) – az IP és port bejegyzések megmaradnak átkapcsolás esetén is
Klaszteres appliance stack-ek támogatása (8250, 8260, 8270 és 8290)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
28
Fejlett High-Availability •
Az eszközök közvetlenül a HA Linken keresztül vannak összekötve
•
A klaszterezett eszközöknek meg kell egyezniük és azonos NetMod-okkal kell ellátni őket
HA Link interface depends upon the potential throughput of each cluster member © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
29
FireSIGTH
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
30
A kontextus egységes rálátást biztosít End-point
Infrastructure
Kit? Boundary
Mit?
Honnan?
Az esemény helyes kontextusba helyezése lerövidíti az analízis idejét
A kontextus a legfontosabb - Context is everything Event: Target: Host OS: Apps: Location: User ID: Full Name: Department:
Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browswer, Twitter Whitehouse, US bobama Barack Obama Executive Office
Event: Target: Host OS: Apps: Location:
Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browser, Twitter Whitehouse, US
Event: Target:
Attempted Privilege Gain 96.16.242.135
A kontextus az eseményeknek egészen más jelentést ad © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
32
FireSIGHT Context Explorer
App Visibility
Felhasználó
OS
Sérülékenység
Look for risky applications…
Who is using them?
What else have these users been up to? On what operating systems?
View all application traffic…
What does their traffic look like over time? © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
33
Awareness Who is at the host OS & version Identified Server applications and version What other systems / IPs did user have, when?
Client Applications Client Version
Application
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Only Sourcefire delivers complete network visibility
Cisco Public
34
Felhasználók azonosítása
LDAP és AD Agent
Monitorozott csoportok
AD Agent
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
35
OpenAppID – RSA bejelentés
OpenAppID, alkalmazás fókuszú detekciós nyelv
Snort felhasználók az OpenAppID detektorokkal
azonosíthatják az alkalmazásokat használatukat riportolni tudják tudnak készíteni és megosztani OpenAppID-t
A Cisco több, mint 1000 mintát adott már hozzá
Lua : ingyenes, portolható scripting nyelv (hatékony, de egyszerű)
OpenAppID : gyorsabb és egyszerűbb szabályalkamazás
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
36
A FireSIGHT segít az automatizálásban
IT Insight
Impact Assessment
“Hamis” host-ok, anomáliák, policy sértések,…
A fenyegetés korreláció 99%-al csökkenti figyelemre méltó eseményeket
Automated Tuning
User Identification
Az IPS szabályok automatikus “hangolása” a hálózatnak megfelelően
A felhasználókat kapcsolja össze a biztonsági (és compliance) eseményekkel
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
37
A FireSIGHT™ leegyszerűsíti a szabályrendszert
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
38
Technológiák összehasonlítása Categories
Examples
Sourcefire NGIPS & NGFW
Typical IPS
Typical NGFW
Threats
Attacks, Anomalies
✔
✔
✔
Users
AD, LDAP, POP3
✔
✗
✔
Web Applications
Facebook Chat, Ebay
✔
✗
✔
Application Protocols
HTTP, SMTP, SSH
✔
✗
✔
File Transfers
PDF, Office, EXE, JAR
✔
✗
✔
Malware
Conficker, Flame
✔
✗
✗
Command & Control Servers
C&C Security Intelligence
✔
✗
✗
Client Applications
Firefox, IE6, BitTorrent
✔
✗
✗
Network Servers
Apache 2.3.1, IIS4
✔
✗
✗
Operating Systems
Windows, Linux
✔
✗
✗
Routers & Switches
Cisco, Nortel, Wireless
✔
✗
✗
Mobile Devices
iPhone, Android, Jail
✔
✗
✗
Printers
HP, Xerox, Canon
✔
✗
✗
VoIP Phones
Avaya, Polycom
✔
✗
✗
Virtual Machines
VMware, Xen, RHEV
✔
✗
✗
Information Superiority
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Contextual Awareness
Cisco Public
39
FireSIGHT Demonstráció
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
40
Next Generation Firewall BEFORE
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
41
Next Generation Firewalling
Definition?
“Next Generation Firewalls (NGFWs) blend the features of a standard firewall with quality of service (QoS) functionalities in order to provide smarter and deeper inspection. In many ways a Next Generation Firewall combines the capabilities of first-generation network firewalls and network intrusion prevention systems (IPS), while also offering additional features such as SSL and SSH inspection, reputation-based malware filtering and Active Directory integration support.” Source: http://www.webopedia.com/TERM/N/next_generation_firewall_ngfw.html © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
42
Sourcefire NGFW – fenyegetés alapján
Security Intelligence
• NGIPS
URL awareness
• Snort technológia alapján
IP Geo-location
• NGFW
• zóna, VLAN, IP, port, protokoll, alkalmazás, felhasználó, URL
Controlled traffic
IPS Policy
• (5.3 Geo IP alapján) • FireSIGHT
Firewall Policy
File policy
• Teljes kontextus • Security Intelligence
• Dinamikus szabályok a VRT-től • Teljesen integrált szabályrendszer (IPv6 teljes)
Switching, Routing VPN, High Availability
Malware policy
• IPS szabályok • File vezérlési szabályok © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
43
NSS elemzés 100% Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202
Sourcefire 8290 Sourcefire 8250
Juniper SRX3600 Fortinet Fortigate-3600C
Palo Alto Networks PA-5020
FirePOWER appliances achieve best combination of security effectiveness, TCO and performance for overall NGFW leadership
90%
70%
100% Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202
Sourcefire 8290 60%
Sourcefire 8250
Juniper SRX3600 Fortinet Fortigate-3600C
Palo Alto Networks PA-5020
50%
90%
Enterprise Management & Security Effectiveness
80%
40%
30% WatchGuard XTM 2050
$140
$120
$100
$80
$60
$40
$20
20%
$0
TCO per Protected-Mbps
NSS Labs 2013 Next-Generation Firewall Security Value Map © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ity Effectiveness
80%
70%
Cisco Public
44
Policy-Driven Visibility and Control Filter Access and Apply Protection by Application, User, and Traffic Path
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
45
Next Gen Firewall Demonstráció
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
46
Next Generation IPS DURING
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
47
network
Snort architektúra
Packet Decoder
Preprocessors
Packets are read using the Data AcQuisition library (DAQ) (e.g. afpacket) Decodes datalink protocols Decodes network protocols Decodes transport protocols Examine packets Modify packets Normalize traffic
Detection Engine
Uses Snort rules to create signatures for threats Wide range of detection capabilities Modular detection elements
DAQ libraries Packet Decoder
Preprocessors
Detection Engine
Logging and Alerting System ---------------------Output Modules
Alert and log files © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
48
Pontosság • TCP / IP reassembly – átverés megelőzés • Többféle detekciós technika
• egyszerű szignatúrák több ismert exploit-ra • Komplex szignatúrák exploit-ra (layer 7-ig ) ismert sérülékenységekre (állapotkövetéssel) • Anomália detekció - day 0 ellen. • A megfelelő szabályokat kell alkalmazni
• A menedzsment rendszer javasol szabályrendszert
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
49
Sebesség
Szenzor → →
Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) • Nagy számítási kapacitás • Flow processzorok
→
5,000 events 500 events
log n szerinti skála
Analízis → → →
100,000 events
Impact analysis Contextual data at source Correlation Rules
20 events +10 events
Javító - Remediation Services
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
3 events
50
NGIPS value architecture Alerting
User Interface Correlation
Presentation engine
Reporting engine
“SMS me only if a valid attack gets through to one of our executives’ Android phones.” Remediation services
Rules engine
Reputation services
Correlation engine
Geolocation services
Anomaly Detection
Detection Engines
Identity
Network Awareness
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Threat awareness
DAQ
Directory mapping
Directory Services
User Awareness Awareness
Cisco Public
51
Rugalmasság • Snort szabályok :
szöveg alapúak & univerzálisak
• “Lingua franca” az IPS iparban • Több, mint 20,000 szabályt tartalmazó könyvtár
• Rugalmasan
szerkezthető
• Szabály szerkesztő • Alkalmazás default-ok © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
52
2012 NSS Labs SVM
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
53
Next Gen IPS Demonstráció
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
54
De mi van, ha a forgalom titkosított?
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
55
Az alkalmazások gyakran titkosítottak …
A
és a
SSL-t használ default-ként
Jelenleg külön detitkosító eszköz, előnye : Nagy teljesítmény – acceleration and policy Központi kulcs menedzsment Együttműködés 3rd party termékekkel
SSL1500
SSL2000
SSL8200
1.5Gbps
2.5 Gbps
3.5 Gbps
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
56
A SSL detitkosítható “vonalsebességgel”
“Known-server key” for SSL v2
Requires access to the server key Decrypts inbound SSL communication
“Certificate resign” for SSL v3
Known server key method
Requires Intermediate certificate in browsers Decrypts outbound SSL communication
Certificate resign method
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
57
Advanced Malware Protection AFTER
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
58
A mi megközelítésünk az Advanced Malware Protection-ra Network-based AMP
Detection Services & Big Data analytics
✖
AMP for hosts, virtual and mobile devices
✔
FireSIGHT Management Center
SaaS Manager
# Sourcefire Sensor
# Host-based AMP
AMP Malware license
No agent required
• • • •
Small (Size of a print driver) Watches for move/copy/execute Traps fingerprint & attributes Queries cloud for file deposition
Hogyan működik a FireAMP?
Gyanús file típusokat (pdf, exe, …) szkennel
HASH értéket számol (ujjlenyomat) és felküldi a felhőbe analizálás céljából (SHA256 desktop-ra )
Ismert file:
Visszaadja a státuszát (good, neutral, malware)
Átengedi, monitorozza vagy blokkolja a file-t
Eddig nem ismert file
ellenőrzi a futtatható file paramétereit (PE-header)
Feltölti a file-t a felhőbe és “futtatja” -> sandboxing
Ellenőrzi a felhőben a futás eredményét (malware) és az eredményt közli
Restrospektív (visszatekintő) analízist ad
Teljes nyomkövetés (processzek, file létrehozása, végrehajtás)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
60
Network File Trajectory – nyomkövetés
Belépési idő
Fertőzött rendszerek
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
61
AV, mint malware ellenintézkedés
Erősen korlátozott:
A CPU 2-5%-át használja Korlátozott szabálykészlet Korlátozott áttekintés “point in time” azonnali működés
To your AV, this …
Miért bízod a cég szellemi vagyonát egy 386-osra? … looks like this.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
62
Mi lenne, ha a malware felderítésnek ilyen erőforrása lenne?
Petaflop processing
Petabyte storage
Big data analytics
Continuous analysis
State-of-the-art AI algorithms for continuous malware targeting “Now, that’s what I’m talkin’ about!”
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
63
Detekciós motorok a PowerAMP-ben SPERO Specific ADVANCED ANALYTICS Uses AI(ONE-TO-ONE) methods for real-time Integrates heuristics from the discovery of malware based on Generic malware environment, the Big environment and behavior.(ETHOS) Data store, ETHOS and Uses periodic review of Big SPERO to clarify the outcome Data store to implement of a marginal conviction retrospection
Decision Tree (SPERO)
ETHOS ONE-TO-ONE Catches families of malware Catches “well known” malware Integrative through use of “fuzzy hashes” through use of primary SHA embedded in the Feature Print. (Adv. Analytics) match. Equivalent to a Counters malware evasion by signature-based system. “bit-twiddling”.
Primary Hash
Detection torque
Feature Print
(•) © 2013-2014 Cisco and/or its affiliates. All rights reserved.
{•••}
∫
users, engines
1 Cisco Public
64
0-dik áldozat megtalálása, nyomkövetés Trajectory analysis széles elemzés (FirePOWER-en), mély elemzés (FireAMP)
Look Deep: Device trajectory
Look wide: Network trajectory
Melyik rendszer lett fertőzött? Mikor történt? Hol a 0-dik áldozat? Mit fertőzött még meg?
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
67
Indicators of Compromise
Megfertőzött gépek megtalálása Automated compromise analysis
Prioritized list generation Quick links for root cause analysis and remediation © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
68
AMP ismeri a kontextust
Data shows the bad and the good
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Context helps you
decide about the rest
Cisco Public
69
AMP Demonstráció
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
70
Integrációs Tervek
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
71
Sourcefire az ASA-n
Trusted NG Security on a Trusted Firewall – from 100Mbps to 640Gbps* Defense Center Comprehensive SECOPS Workflows Sourcefire Software - NGIPS, NGFW/AVC, AMP
ASA Software
Cisco Security Manager (CSM) or ASDM Comprehensive NETOPS Workflows *some integration being completed – e.g. low-end devices – 640 Gbps refers to the FW speed available with an ASA cluster © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
72
FireAMP Network: integráció a WSA, ESA és CWS termékekben
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
73
Eszköz és Policy Management
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
74
Összefoglalás
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
75
Mit jelent a Next Gen Security?
Policy - Alkalmazások és ID alapján
IPS és Tűzfal integrált -> minden a fenyegetés alapján
Kontextus tudás
AMP, Advanced Malware Protection
Retrospektív biztonság
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
76
Cisco and Sourcefire—Better Together Attack Continuum
BEFORE
DURING
AFTER
Control Enforce Harden
Detect Block Defend
Scope Contain Remediate
Firewall
VPN
NGIPS
Advanced Malware Protection
NGFW
UTM
Web Security
Network Behavior Analysis
Email Security
Retrospective Services
NAC + Identity Services
Visibility and Context © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
77
Összefoglalás • A Sourcefire adja a FirePOWER platformot a
NGFW/NGIPS-hez • FireAMP Advanced Malware Protection-t ad a
végpontokra és a hálózatra • Teljes rálátás (visibility) szükséges a biztonsági policy-
hoz • Retrospektív biztonság meghatározza a fertőzés forrását
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
78
Kérdés?
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public
79
Köszönöm.