Next Generation IPS SourceFire alapokon
Kis-Szabó András IT Biztonsági tanácsadó, CISA, CRISC, ISO27001LA
2014. április 22.
Tartalom •
Kontextusba helyezés
•
Hardver kontextus
•
Menedzsment kontextus
•
NG IPS kontextus
•
NG FW kontextus
•
Demo kontextus
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
2
Új biztonsági kihívások
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
3
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
4
A hackelés iparosodása Cél: hírnév, mód: zaj
MACRO VIRUSES
VIRUSES
1985
1995
Cél: profit, mód: lopás
WORMS HACKERS
2000
SPYWARE / ROOTKITS
2005
APTs MALWARE
2010
A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására -> fenyegetés ciklusok © 2013-2014 Cisco and S&T. All rights reserved.
Icons: attack vectors
S&T Public
5
Izolált védekezés sose lehet 100%-os Mélységi védekezés ellenére is
© 2013-2014 Cisco and S&T. All rights reserved.
78%
70%
2 héten túli felfedezés
Külső fél felfedezése
S&T Public
6
IPS – Gartner elemzés A Sourcefire “leader” az IPS Gartner Magic Quadrant-ban 2006 óta.
Product
Adatlap Gbps
3D8260
34
20
3D8250
17
10
3,4
2
3D8120 © 2013-2014 Cisco and S&T. All rights reserved.
Mért Gbps
December 2013, forrás: Gartner
S&T Public
7
Az új biztonsági modell Támadási momentum
Network
ELŐTTE
ALATT
UTÁNA
Control Enforce Harden
Detect Block Defend
Scope Contain Remediate
Endpoint
Mobile
Point in time © 2013-2014 Cisco and S&T. All rights reserved.
Virtual
Cloud
Continuous S&T Public
8
Az új biztonsági modell Támadási momentum
ELŐTTE
ALATT
UTÁNA
Control Enforce Harden
Detect Block Defend
Scope Contain Remediate
Firewall
VPN
NGIPS
Advanced Malware Protection
NGFW
UTM
Web Security
Network Behavior Analysis
Secure Access + Identity Services
Email Security
Point in time © 2013-2014 Cisco and S&T. All rights reserved.
Continuous S&T Public
9
Sourcefire megoldások
NGFW / App Control Gain visibility and control applications and users © 2013-2014 Cisco and S&T. All rights reserved.
NGIPS Stop exploits, hackers, and other intrusions and attacks
Advanced Malware Protection Find malware missed by other security layers S&T Public
10
Collective Security Intelligence Reputation Feeds Sourcefire VRT®
Malware Protection IPS Rules
(Vulnerability Research Team)
Vulnerability Database Updates
Sandboxing Machine Learning Big Data Infrastructure Private and Public Threat Feeds
© 2013-2014 Cisco and S&T. All rights reserved.
Sandnets
File Samples (>180,000 per Day)
Advanced Microsoft and Industry Disclosures
FireAMP™ Community
SPARK Program
Honeypots
Snort and ClamAV Open Source Communities
Awareness, Education, Guidance, and Intelligence Sharing (AEGIS)
Sourcefire AEGIS™ Program
S&T Public
11
Sourcefire Appliances
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
12
IPS Performance and Scalability
Platformok és hálózati alkalmazásaik
FirePOWER 8200 Series 10 Gbps – 40 Gbps
FirePOWER 8100/8200 2 Gbps - 10 Gbps FirePOWER 7120/7125/8120 1 Gbps - 2 Gbps FirePOWER 7000 Series 50 Mbps – 250 Mbps
SOHO © 2013-2014 Cisco and S&T. All rights reserved.
FirePOWER 7100 Series 500 Mbps – 1 Gbps
Branch Office
Internet Edge
Campus
Data Center S&T Public
13
FirePOWER 8300 sorozat
50%-al több teljesítmény
• Adatközpontok,
60Gbps NGIPS
hálózati gerincek számára • Sourcefire NGIPS,
NGFW és AMP futtatására
45Gbps NGIPS 30Gbps NGIPS
15Gbps NGIPS FP8390
FP8370
• 2U chassis és úgy
stackelhető, mint a 8200 sorozat © 2013-2014 Cisco and S&T. All rights reserved.
FP8360 FP8350
S&T Public
15
Virtuális eszközök
DC
• Virtuális szenzor
Inline vagy passzív kialakítás
Teljes NGIPS/NGFW/AMP képesség
Virtuális appliance-ként telepített
© 2013-2014 Cisco and S&T. All rights reserved.
• Virtuális Defense Center • Max 25 szenzorig • Fizikai vagy virtuális • Egységes GUI felület
S&T Public
16
Next Generation IPS DURING
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
17
Snort architektúra
Packet Decoder
network DAQ libraries Packet Decoder
Packets are read using the Data AcQuisition library (DAQ) (e.g. afpacket) Decodes datalink protocols Decodes network protocols Decodes transport protocols
Preprocessors
Preprocessors
Detection Engine
Examine packets Modify packets Normalize traffic
Detection Engine
Uses Snort rules to create signatures for threats Wide range of detection capabilities Modular detection elements © 2013-2014 Cisco and S&T. All rights reserved.
Logging and Alerting System ---------------------Output Modules
Alert and log files
S&T Public
18
Pontosság • TCP / IP reassembly – átverés megelőzés
• Többféle detekciós technika
• egyszerű szignatúrák több ismert exploit-ra • Komplex szignatúrák exploit-ra (layer 7-ig ) ismert sérülékenységekre (állapotkövetéssel) • Anomália detekció - day 0 ellen. • A megfelelő szabályokat kell alkalmazni
• A menedzsment rendszer javasol szabályrendszert
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
19
Sebesség
Szenzor → →
Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) • Nagy számítási kapacitás • Flow processzorok
→
Analízis → → →
log n szerinti skála Impact analysis Contextual data at source Correlation Rules
Javító - Remediation Services
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
20
Sebesség
Szenzor → →
Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) • Nagy számítási kapacitás • Flow processzorok
→
5,000 events 500 events
log n szerinti skála
Analízis → → →
100,000 events
Impact analysis Contextual data at source Correlation Rules
20 events +10 events
Javító - Remediation Services
© 2013-2014 Cisco and S&T. All rights reserved.
Public 3S&Tevents
21
NGIPS value architecture User Interface Presentation engine Remediation services
Rules engine
Reputation services
Correlation engine
Reporting engine
Geolocation services
Anomaly Detection
Detection Engines Network Awareness
© 2013-2014 Cisco and S&T. All rights reserved.
Threat awareness
DAQ
Directory mapping
Directory Services
User Awareness
S&T Public
22
Rugalmasság • Snort szabályok :
szöveg alapúak & univerzálisak
• “Lingua franca” az IPS iparban • Több, mint 20,000 szabályt tartalmazó könyvtár
• Rugalmasan
szerkeszthető
• Szabály szerkesztő • Alkalmazás default-ok © 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
23
2012 NSS Labs SVM
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
24
Next Generation Firewall BEFORE
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
25
Next Generation Firewalling
Definition?
“Next Generation Firewalls (NGFWs) blend the features of a standard firewall with quality of service (QoS) functionalities in order to provide smarter and deeper inspection. In many ways a Next Generation Firewall combines the capabilities of first-generation network firewalls and network intrusion prevention systems (IPS), while also offering additional features such as SSL and SSH inspection, reputation-based malware filtering and Active Directory integration support.”
Source: http://www.webopedia.com/TERM/N/next_generation_firewall_ngfw.html © 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
26
Sourcefire NGFW – fenyegetés alapján
Security Intelligence
• NGIPS
URL awareness
• Snort technológia alapján
IP Geo-location
• NGFW
• zóna, VLAN, IP, port, protokoll, alkalmazás, felhasználó, URL
Controlled traffic
IPS Policy
• (5.3 Geo IP alapján) • FireSIGHT
Firewall Policy
File policy
• Teljes kontextus • Security Intelligence
• Dinamikus szabályok a VRT-től • Teljesen integrált szabályrendszer (IPv6 teljes)
Switching, Routing VPN, High Availability
Malware policy
• IPS szabályok • File vezérlési szabályok © 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
27
NSS elemzés 100% Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202
Sourcefire 8290 Sourcefire 8250
Juniper SRX3600 Fortinet Fortigate-3600C
Palo Alto Networks PA-5020
FirePOWER appliances achieve best combination of security effectiveness, TCO and performance for overall NGFW leadership
90%
70%
100% Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202
Sourcefire 8290 60%
Sourcefire 8250
Juniper SRX3600 Fortinet Fortigate-3600C
Palo Alto Networks PA-5020
50%
90%
Enterprise Management & Security Effectiveness
80%
40%
30% WatchGuard XTM 2050
$140
$120
$100
$80
$60
$40
$20
20%
$0
TCO per Protected-Mbps
NSS Labs 2013 Next-Generation Firewall Security Value Map © 2013-2014 Cisco and S&T. All rights reserved.
ity Effectiveness
80%
70%
S&T Public
28
FireSIGHT
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
29
Ami talán a legfontosabb
One of the world’s 3 largest credit reporting agencies: - 20,000 nodes - 7,500 employees Generic Work Rate: $75/hour Source: SANS "Calculating TCO on Intrusion Prevention Technology“ whitepaper, March 2010 © 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
30
A kontextus egységes rálátást biztosít End-point
Infrastructure
Kit? Boundary
Mit?
© 2013-2014 Cisco and S&T. All rights reserved.
Honnan?
Az esemény helyes kontextusba helyezése lerövidíti az analízis idejét S&T Public
31
A kontextus a legfontosabb - Context is everything Event: Target: Host OS: Apps: Location: User ID: Full Name: Department:
Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browswer, Twitter Whitehouse, US bobama Barack Obama Executive Office
Event: Target: Host OS: Apps: Location:
Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browser, Twitter Whitehouse, US
Event: Target:
Attempted Privilege Gain 96.16.242.135
A kontextus az eseményeknek egészen más jelentést ad © 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
32
A FireSIGHT segít az automatizálásban
IT Insight
Impact Assessment
“Hamis” host-ok, anomáliák, policy sértések,…
A fenyegetés korreláció 99%-al csökkenti figyelemre méltó eseményeket
Automated Tuning
User Identification
Az IPS szabályok automatikus “hangolása” a hálózatnak megfelelően
A felhasználókat kapcsolja össze a biztonsági (és compliance) eseményekkel
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
33
A FireSIGHT™ leegyszerűsíti a szabályrendszert
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
34
Technológiák összehasonlítása Categories
Examples
Sourcefire NGIPS & NGFW
Typical IPS
Typical NGFW
Threats
Attacks, Anomalies
✔
✔
✔
Users
AD, LDAP, POP3
✔
✗
✔
Web Applications
Facebook Chat, Ebay
✔
✗
✔
Application Protocols
HTTP, SMTP, SSH
✔
✗
✔
File Transfers
PDF, Office, EXE, JAR
✔
✗
✔
Malware
Conficker, Flame
✔
✗
✗
Command & Control Servers
C&C Security Intelligence
✔
✗
✗
Client Applications
Firefox, IE6, BitTorrent
✔
✗
✗
Network Servers
Apache 2.3.1, IIS4
✔
✗
✗
Operating Systems
Windows, Linux
✔
✗
✗
Routers & Switches
Cisco, Nortel, Wireless
✔
✗
✗
Mobile Devices
iPhone, Android, Jail
✔
✗
✗
Printers
HP, Xerox, Canon
✔
✗
✗
VoIP Phones
Avaya, Polycom
✔
✗
✗
Virtual Machines
VMware, Xen, RHEV
✔
✗
✗
Information Superiority
© 2013-2014 Cisco and S&T. All rights reserved.
Contextual Awareness
S&T Public
35
FireSIGHT Demonstráció
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
36
Kérdés?
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
37
Köszönöm.
FireSIGHT Context Explorer
App Visibility
Felhasználó
OS
Sérülékenység
Look for risky applications…
Who is using them?
What else have these users been up to? On what operating systems?
View all application traffic…
What does their traffic look like over time? © 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
39
Awareness Who is at the host OS & version Identified Server applications and version What other systems / IPs did user have, when?
Client Applications Client Version
Application
© 2013-2014 Cisco and S&T. All rights reserved.
Only Sourcefire delivers complete network visibility
S&T Public
40
Felhasználók azonosítása
LDAP és AD Agent
Monitorozott csoportok
AD Agent
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
41
OpenAppID – RSA bejelentés
OpenAppID, alkalmazás fókuszú detekciós nyelv
Snort felhasználók az OpenAppID detektorokkal azonosíthatják az alkalmazásokat használatukat riportolni tudják tudnak készíteni és megosztani OpenAppID-t
A Cisco több, mint 1000 mintát adott már hozzá
Lua : ingyenes, portolható scripting nyelv (hatékony, de egyszerű)
OpenAppID : gyorsabb és egyszerűbb szabályalkamazás
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
42
Context Explorer
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
43
Filter – Web application
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
44
File information
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
45
Drill down
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
46
Security Events
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
47
Threat Awareness
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
48
Threat Awareness
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
49
Threat Awareness
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
50
Threat Awareness
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
51
Threat Awareness
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
52
Threat Awareness
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
53
Threat Awareness
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
54
Definitions
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
55
Malware
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
56
Malware – meglepetésekkel
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
57
NGIPS: Intrusion Policy
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
58
NGFW: Access Control
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
59
NGFW: Access Control
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
60
NGFW: Access Control
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
61
NGFW: Access Control
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
62
NGFW: Access Control
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
63
NGFW: Access Control
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
64
NGFW: Access Control
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
65
Reputation at Firewall
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
66
File policy
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
67
© 2013-2014 Cisco and S&T. All rights reserved.
S&T Public
68
