Cisco + Sourcefire = Next Generation Security

Cisco + Sourcefire = Next Generation Security Ács György Consulting Systems Engineer, EMEAR CEE 2014. február 27.

Tartalom Új biztonsági kihívások Ki az a Sourcefire? Az új biztonsági modell Sourcefire Appliance és főbb szolgáltatásai Advanced Malware Protection, FireAMP Integráció Cisco Public 2

Új biztonsági kihívások Cisco Public 3

A hackelés iparosodása VIRUSES 1985 1995 2000 2005 2010 A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására Icons: attack vectors Cisco Public 4

A hackelés iparosodása Cél: hírnév, mód: zaj Cél: profit, mód: lopás VIRUSES MACRO VIRUSES WORMS HACKERS SPYWARE / ROOTKITS APTs MALWARE 1985 1995 2000 2005 2010 A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására -> fenyegetés ciklusok Icons: attack vectors Cisco Public 5

Hirdetési sáv : selling Iframe traffic. Cisco Public 6

A mi biztonsági megközelítésünk Cisco Public 7

A probléma a fenyegetés (security threat) Cisco Public 8

Ki az a Sourcefire? Cisco Public 9

Ki az a Sourcefire? 2001-ben Martin Roesch alapította, Columbia, MD Új biztonsági megoldások piacvezető (NG) IPS új belépő a NGFW piacra új megközelítésű Advanced Malware Protection megoldás Innovatív 52+ szabadalom IPS, kontextus alapú biztonság, advanced malware Biztonsági kutatás Open Source security projektek : Snort, ClamAV, Razorback 2013 október 7.: A Cisco befejezte a Sourcefire akvizícióját, 2.7 milliárd USD befektetés Cisco Public 10

IPS Gartner elemzés A Sourcefire leader az IPS Gartner Magic Quadrant-ban 2006 óta. December 2013, forrás: Gartner Cisco Public 11

Az Új biztonsági modell Cisco Public 12

Mit csinálnál másképp, ha tudnád, hogy meghackelnek? Cisco Public 13

Az új biztonsági modell Fókuszban a fenyegetés Alapok: vizibilitás / rálátás és kontextus Integrált platform sokféle támadási vektor ellen bárhol jelenik meg a fenyegetés Online támadás kutatás és open source Azonnali (point-in-time) és folyamatos képességek Cisco Public 14

Az új biztonsági model Támadási momentum ELŐTTE Control Enforce Harden ALATT Detect Block Defend UTÁNA Scope Contain Remediate Network Endpoint Mobile Virtual Cloud Point in time Continuous Cisco Public 15

Sourcefire megoldások NGFW / App Control Gain visibility and control applications and users NGIPS Stop exploits, hackers, and other intrusions and attacks Advanced Malware Protection Find malware missed by other security layers Cisco Public 16

Hálózati védelem kiterjesztése : FirePOWER és Advanced Malware Protection, AMP Hálózat alapú: Reputáció és Collective Security Intelligence Eszköz alapú: Vizibilitás és kontroll: Detektálás Analízis Blokkolás Javítás (remediation) Desktop Mobile (Android) Virtual Az AMP kiterjesztése minden végpontra, desktop (Windows, MAC), mobil (Android), VMware vsphere A teljes támadási életciklusban Cisco Public 17

Collective Security Intelligence Malware Protection IPS Rules Sourcefire VRT (Vulnerability Research Team) Sandboxing Machine Learning Big Data Infrastructure Reputation Feeds Vulnerability Database Updates Private and Public Threat Feeds Sandnets Advanced Microsoft and Industry Disclosures File Samples (>180,000 per Day) SPARK Program FireAMP Community Snort and ClamAV Open Source Communities Honeypots Awareness, Education, Guidance, and Intelligence Sharing (AEGIS) Sourcefire AEGIS Program Cisco Public 18

Sourcefire Appliances Cisco Public 19

IPS Performance and Scalability Platformok és hálózati alkalmazásaik FirePOWER 8200 Series 10 Gbps 40 Gbps FirePOWER 8100/8200 2 Gbps - 10 Gbps FirePOWER 7120/7125/8120 1 Gbps - 2 Gbps FirePOWER 7000 Series 50 Mbps 250 Mbps SOHO FirePOWER 7100 Series 500 Mbps 1 Gbps Branch Office Internet Edge Campus Data Center Cisco Public 20

FirePOWER LCD Display Quick and easy headless configuration Connectivity Choice Change and add connectivity inline with network requirements Configurable Bypass or Fail Closed Interfaces For IDS, IPS or Firewall deployments Device Stacking Scale monitoring capacity through stacking Lights Out Management Minimal operational impact SSD Solid State Drive for increased reliability Hardware Acceleration For best in class throughput, security, Rack size/mbps, and price/mbps Cisco Public 21

FirePOWER 8200 sorozat 8250 8260 8270 8290 2U 4U 6U 8U 10Gbps IPS 20Gbps IPS 30Gbps IPS 40Gbps IPS 7 slots 6 slots 5 slots 4 slots Up to 28 ports Up to 24 ports Up to 20 ports Up to 16 ports All 8000 series appliances support interchangeable network modules, lights-out management, solid state drives, AC/DC power options, redundant power, and an LCD interface. 8270 and 8290 are 40G connectivity ready, simply purchase 40G netmods 8250 and 8260 require the 40G switch module to enable 40G connectivity, then add 40G netmods Note: 40G network module (netmod) requires 2 slots Cisco Public 22

8000 Series Network Modules: Configurable-Bypass Cluster Module 40G Switch Module Used to connect an 3D8140, 3D8250, 8260, 8270, and 8290 to one or more stacking kits. Included in stacking kits. Switch module for 8250/8260 that supports the 40G Fiber network module. Comes standard on 8270/8290. 1G Copper 1G Fiber 10G Fiber 40G Fiber 1 slot 1 slot 1 slot 2 slots 4 Port 1Gbps Copper 4 Port 1Gbps SX Fiber 2 Port SR or LR Fiber 2 Port 40GBASE-SR4 All interfaces are programmable bypass/fail-open and field replaceable. Cisco Public 23

FirePOWER 8300 sorozat 50%-al több teljesítmény Adatközpontok, hálózati gerincek számára 30Gbps NGIPS 45Gbps NGIPS 60Gbps NGIPS Sourcefire NGIPS, NGFW és AMP futtatására 2U chassis és úgy stackelhető, mint a 8200 sorozat 15Gbps NGIPS FP8350 FP8360 FP8370 FP8390 Cisco Public 24

Sourcefire Defense Center Centralized Command & Control Customizable dashboard Comprehensive reports & alerts Centralized policy administration Hierarchical management High availability Cisco Public 25

Virtuális eszközök DC Virtuális szenzor Inline vagy passzív kialakítás Teljes NGIPS képesség Virtuális appliance-ként telepített Virtuális Defense Center Max 25 szenzorig Fizikai vagy virtuális Egységes GUI felület NOTE: Supports ESX(i) 4.x and 5.x on Sourcefire 5.x platforms. Supports RHEV 3.0 and Xen 3.3.2/3.4.2 on Soucefire 4.x platforms only. Cisco Public 26

Virtual Defense Center (DC), Virtual 3D Sensor Cisco Public 27

Fejlett High-Availability Állapot szinkronizáció a HA klaszterben: TCP Strict State Enforcement a TCP session folytatódni tud, újrakapcsolódás nélkül. Unidirectional Rules lehetővé teszi, hogy az egyirányú szabály folytatódjon átkapcsolás esetén is Blocking Persistence állapot és döntés (engedélyezett vagy blokkolt) is szinkronizált Dynamic Network Address Translation (NAT) az IP és port bejegyzések megmaradnak átkapcsolás esetén is Klaszteres appliance stack-ek támogatása (8250, 8260, 8270 és 8290) Cisco Public 28

Fejlett High-Availability Az eszközök közvetlenül a HA Linken keresztül vannak összekötve A klaszterezett eszközöknek meg kell egyezniük és azonos NetMod-okkal kell ellátni őket HA Link interface depends upon the potential throughput of each cluster member Cisco Public 29

FireSIGTH Cisco Public 30

A kontextus egységes rálátást biztosít End-point Infrastructure Boundary Mit? Kit? Honnan? Az esemény helyes kontextusba helyezése lerövidíti az analízis idejét

A kontextus a legfontosabb - Context is everything Event: Attempted Privilege Gain Target: 96.16.242.135 (vulnerable) Host OS: Blackberry Apps: Mail, Browswer, Twitter Location: Whitehouse, US User ID: bobama Full Name: Barack Obama Department: Executive Office Event: Target: Host OS: Apps: Location: Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browser, Twitter Whitehouse, US Event: Attempted Privilege Gain Target: 96.16.242.135 A kontextus az eseményeknek egészen más jelentést ad Cisco Public 32

FireSIGHT Context Explorer App Visibility Felhasználó OS Sérülékenység View all application traffic Look for risky applications What else have these users been up to? Who is using them? On what operating systems? What does their traffic look like over time? Cisco Public 33

Awareness Who is at the host OS & version Identified What other systems / IPs did user have, when? Server applications and version Client Applications Client Version Application Only Sourcefire delivers complete network visibility Cisco Public 34

Felhasználók azonosítása LDAP és AD Agent Monitorozott csoportok AD Agent Cisco Public 35

OpenAppID RSA bejelentés OpenAppID, alkalmazás fókuszú detekciós nyelv Snort felhasználók az OpenAppID detektorokkal azonosíthatják az alkalmazásokat használatukat riportolni tudják tudnak készíteni és megosztani OpenAppID-t A Cisco több, mint 1000 mintát adott már hozzá Lua : ingyenes, portolható scripting nyelv (hatékony, de egyszerű) OpenAppID : gyorsabb és egyszerűbb szabályalkamazás Cisco Public 36

A FireSIGHT segít az automatizálásban IT Insight Hamis host-ok, anomáliák, policy sértések, Impact Assessment A fenyegetés korreláció 99%-al csökkenti figyelemre méltó eseményeket Automated Tuning Az IPS szabályok automatikus hangolása a hálózatnak megfelelően User Identification A felhasználókat kapcsolja össze a biztonsági (és compliance) eseményekkel Cisco Public 37

A FireSIGHT leegyszerűsíti a szabályrendszert Cisco Public 38

Technológiák összehasonlítása Categories Examples Sourcefire NGIPS & NGFW Typical IPS Threats Attacks, Anomalies Users AD, LDAP, POP3 Web Applications Facebook Chat, Ebay Application Protocols HTTP, SMTP, SSH File Transfers PDF, Office, EXE, JAR Malware Conficker, Flame Command & Control Servers C&C Security Intelligence Client Applications Firefox, IE6, BitTorrent Network Servers Apache 2.3.1, IIS4 Operating Systems Windows, Linux Routers & Switches Cisco, Nortel, Wireless Mobile Devices iphone, Android, Jail Printers HP, Xerox, Canon VoIP Phones Avaya, Polycom Virtual Machines VMware, Xen, RHEV Information Superiority Contextual Awareness Typical NGFW Cisco Public 39

FireSIGHT Demonstráció Cisco Public 40

Next Generation Firewall BEFORE Cisco Public 41

Next Generation Firewalling Definition? Next Generation Firewalls (NGFWs) blend the features of a standard firewall with quality of service (QoS) functionalities in order to provide smarter and deeper inspection. In many ways a Next Generation Firewall combines the capabilities of first-generation network firewalls and network intrusion prevention systems (IPS), while also offering additional features such as SSL and SSH inspection, reputation-based malware filtering and Active Directory integration support. Source: http://www.webopedia.com/term/n/next_generation_firewall_ngfw.html Cisco Public 42

Sourcefire NGFW fenyegetés alapján NGIPS Snort technológia alapján NGFW zóna, VLAN, IP, port, protokoll, alkalmazás, felhasználó, URL (5.3 Geo IP alapján) Controlled traffic Security Intelligence URL awareness IP Geo-location IPS Policy FireSIGHT Teljes kontextus Security Intelligence Dinamikus szabályok a VRT-től Teljesen integrált szabályrendszer (IPv6 teljes) IPS szabályok File vezérlési szabályok Firewall Policy Switching, Routing VPN, High Availability File policy Malware policy Cisco Public 43

ity Effectiveness Enterprise Management & Security Effectiveness NSS elemzés Check Point 12600 100% Dell SonicWALL SuperMassive E10800 Sourcefire 8290 Juniper SRX3600 Stonesoft 3202 Sourcefire 8250 FirePOWER appliances achieve best combination of security effectiveness, TCO and performance for overall NGFW leadership Juniper SRX3600 Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202 Palo Alto Networks PA-5020 Sourcefire 8290 Sourcefire 8250 Fortinet Fortigate-3600C 100% 90% 80% 70% 60% Palo Alto Networks PA-5020 Fortinet Fortigate-3600C 50% 90% 40% WatchGuard XTM 2050 30% 80% $140 $120 $100 $80 $60 TCO per Protected-Mbps $40 $20 $0 20% NSS Labs 2013 Next-Generation Firewall Security Value Map 70% Cisco Public 44

Policy-Driven Visibility and Control Filter Access and Apply Protection by Application, User, and Traffic Path Cisco Public 45

Next Gen Firewall Demonstráció Cisco Public 46

Next Generation IPS DURING Cisco Public 47

Snort architektúra Packet Decoder Packets are read using the Data AcQuisition library (DAQ) (e.g. afpacket) Decodes datalink protocols Decodes network protocols Decodes transport protocols Preprocessors Examine packets Modify packets Normalize traffic Detection Engine Uses Snort rules to create signatures for threats Wide range of detection capabilities Modular detection elements DAQ libraries network Packet Decoder Preprocessors Detection Engine Logging and Alerting System ---------------------- Output Modules Alert and log files Cisco Public 48

Pontosság TCP / IP reassembly átverés megelőzés Többféle detekciós technika egyszerű szignatúrák több ismert exploit-ra Komplex szignatúrák exploit-ra (layer 7-ig ) ismert sérülékenységekre (állapotkövetéssel) Anomália detekció - day 0 ellen. A megfelelő szabályokat kell alkalmazni A menedzsment rendszer javasol szabályrendszert Cisco Public 49

Sebesség Szenzor Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) Nagy számítási kapacitás Flow processzorok log n szerinti skála Analízis Impact analysis Contextual data at source Correlation Rules Javító - Remediation Services 100,000 events 5,000 events 500 events 20 events +10 events 3 events Cisco Public 50

NGIPS value architecture Alerting Correlation User Interface Presentation engine Reporting engine SMS me only if a valid attack Remediation Rules engine services gets through to one of our Reputation Geolocation services Correlation engine services executives Anomaly Android Detection phones. Detection Engines Directory mapping Directory Services Identity Network Awareness Threat awareness User Awareness Awareness DAQ Cisco Public 51

Rugalmasság Snort szabályok : szöveg alapúak & univerzálisak Lingua franca az IPS iparban Több, mint 20,000 szabályt tartalmazó könyvtár Rugalmasan szerkezthető Szabály szerkesztő Alkalmazás default-ok Cisco Public 52

2012 NSS Labs SVM Cisco Public 53

Next Gen IPS Demonstráció Cisco Public 54

De mi van, ha a forgalom titkosított? Cisco Public 55

Az alkalmazások gyakran titkosítottak A és a SSL-t használ default-ként Jelenleg külön detitkosító eszköz, előnye : Nagy teljesítmény acceleration and policy Központi kulcs menedzsment Együttműködés 3 rd party termékekkel SSL1500 SSL2000 SSL8200 1.5Gbps 2.5 Gbps 3.5 Gbps Cisco Public 56

A SSL detitkosítható vonalsebességgel Known-server key for SSL v2 Requires access to the server key Decrypts inbound SSL communication Certificate resign for SSL v3 Requires Intermediate certificate in browsers Decrypts outbound SSL communication Known server key method Certificate resign method Cisco Public 57

Advanced Malware Protection AFTER Cisco Public 58

A mi megközelítésünk az Advanced Malware Protection-ra Network-based AMP Detection Services & Big Data analytics AMP for hosts, virtual and mobile devices AMP Malware license FireSIGHT Management Center Sourcefire Sensor No agent required # # SaaS Manager Host-based AMP Small (Size of a print driver) Watches for move/copy/execute Traps fingerprint & attributes Queries cloud for file deposition

Hogyan működik a FireAMP? Gyanús file típusokat (pdf, exe, ) szkennel HASH értéket számol (ujjlenyomat) és felküldi a felhőbe analizálás céljából (SHA256 desktop-ra ) Ismert file: Visszaadja a státuszát (good, neutral, malware) Átengedi, monitorozza vagy blokkolja a file-t Eddig nem ismert file ellenőrzi a futtatható file paramétereit (PE-header) Feltölti a file-t a felhőbe és futtatja -> sandboxing Ellenőrzi a felhőben a futás eredményét (malware) és az eredményt közli Restrospektív (visszatekintő) analízist ad Teljes nyomkövetés (processzek, file létrehozása, végrehajtás) Cisco Public 60

Network File Trajectory nyomkövetés Belépési idő Fertőzött rendszerek Cisco Public 61

AV, mint malware ellenintézkedés Erősen korlátozott: A CPU 2-5%-át használja Korlátozott szabálykészlet Korlátozott áttekintés point in time azonnali működés Miért bízod a cég szellemi vagyonát egy 386-osra? To your AV, this looks like this. Cisco Public 62

Mi lenne, ha a malware felderítésnek ilyen erőforrása lenne? Petaflop processing Petabyte storage Big data analytics Continuous analysis State-of-the-art AI algorithms for continuous malware targeting Now, that s what I m talkin about! Cisco Public 63

Detekciós motorok a PowerAMP-ben SPERO ADVANCED Specific ANALYTICS Uses AI (ONE-TO-ONE) methods for real-time Integrates heuristics from the discovery of malware based on malware environment, the Big Generic environment and behavior. Data store, ETHOS and (ETHOS) Uses periodic review of Big SPERO to clarify the outcome Data store to implement of a marginal conviction retrospection Decision Tree (SPERO) ETHOS ONE-TO-ONE Catches families of malware Catches well known malware Integrative through use of fuzzy hashes through use of primary SHA (Adv. embedded Analytics) in the Feature Print. match. Equivalent to a Counters malware evasion by signature-based system. bit-twiddling. Primary Hash Feature Print ( ) { } 1 users, engines Detection torque Cisco Public 64

0-dik áldozat megtalálása, nyomkövetés Trajectory analysis széles elemzés (FirePOWER-en), mély elemzés (FireAMP) Melyik rendszer lett fertőzött? Mikor történt? Hol a 0-dik áldozat? Mit fertőzött még meg? Look Deep: Device trajectory Look wide: Network trajectory Cisco Public 67

Indicators of Compromise Megfertőzött gépek megtalálása Automated compromise analysis Prioritized list generation Quick links for root cause analysis and remediation Cisco Public 68

AMP ismeri a kontextust Data shows the bad and the good Context helps you decide about the rest Cisco Public 69

AMP Demonstráció Cisco Public 70

Integrációs Tervek Cisco Public 71

Sourcefire az ASA-n Trusted NG Security on a Trusted Firewall from 100Mbps to 640Gbps* Defense Center Comprehensive SECOPS Workflows Sourcefire Software - NGIPS, NGFW/AVC, AMP ASA Software Cisco Security Manager (CSM) or ASDM Comprehensive NETOPS Workflows *some integration being completed e.g. low-end devices 640 Gbps refers to the FW speed available with an ASA cluster Cisco Public 72

FireAMP Network: integráció a WSA, ESA és CWS termékekben Cisco Public 73

Eszköz és Policy Management Cisco Public 74

Összefoglalás Cisco Public 75

Mit jelent a Next Gen Security? Policy - Alkalmazások és ID alapján IPS és Tűzfal integrált -> minden a fenyegetés alapján Kontextus tudás AMP, Advanced Malware Protection Retrospektív biztonság Cisco Public 76

Cisco and Sourcefire Better Together Attack Continuum BEFORE Control Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate Firewall VPN NGIPS Advanced Malware Protection NGFW UTM Web Security Network Behavior Analysis NAC + Identity Services Email Security Retrospective Services Visibility and Context Cisco Public 77

Összefoglalás A Sourcefire adja a FirePOWER platformot a NGFW/NGIPS-hez FireAMP Advanced Malware Protection-t ad a végpontokra és a hálózatra Teljes rálátás (visibility) szükséges a biztonsági policyhoz Retrospektív biztonság meghatározza a fertőzés forrását Cisco Public 78

Kérdés? Cisco Public 79

Köszönöm.