Cisco + Sourcefire = Next Generation Security Ács György Consulting Systems Engineer, EMEAR CEE 2014. február 27.
Tartalom Új biztonsági kihívások Ki az a Sourcefire? Az új biztonsági modell Sourcefire Appliance és főbb szolgáltatásai Advanced Malware Protection, FireAMP Integráció Cisco Public 2
Új biztonsági kihívások Cisco Public 3
A hackelés iparosodása VIRUSES 1985 1995 2000 2005 2010 A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására Icons: attack vectors Cisco Public 4
A hackelés iparosodása Cél: hírnév, mód: zaj Cél: profit, mód: lopás VIRUSES MACRO VIRUSES WORMS HACKERS SPYWARE / ROOTKITS APTs MALWARE 1985 1995 2000 2005 2010 A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására -> fenyegetés ciklusok Icons: attack vectors Cisco Public 5
Hirdetési sáv : selling Iframe traffic. Cisco Public 6
A mi biztonsági megközelítésünk Cisco Public 7
A probléma a fenyegetés (security threat) Cisco Public 8
Ki az a Sourcefire? Cisco Public 9
Ki az a Sourcefire? 2001-ben Martin Roesch alapította, Columbia, MD Új biztonsági megoldások piacvezető (NG) IPS új belépő a NGFW piacra új megközelítésű Advanced Malware Protection megoldás Innovatív 52+ szabadalom IPS, kontextus alapú biztonság, advanced malware Biztonsági kutatás Open Source security projektek : Snort, ClamAV, Razorback 2013 október 7.: A Cisco befejezte a Sourcefire akvizícióját, 2.7 milliárd USD befektetés Cisco Public 10
IPS Gartner elemzés A Sourcefire leader az IPS Gartner Magic Quadrant-ban 2006 óta. December 2013, forrás: Gartner Cisco Public 11
Az Új biztonsági modell Cisco Public 12
Mit csinálnál másképp, ha tudnád, hogy meghackelnek? Cisco Public 13
Az új biztonsági modell Fókuszban a fenyegetés Alapok: vizibilitás / rálátás és kontextus Integrált platform sokféle támadási vektor ellen bárhol jelenik meg a fenyegetés Online támadás kutatás és open source Azonnali (point-in-time) és folyamatos képességek Cisco Public 14
Az új biztonsági model Támadási momentum ELŐTTE Control Enforce Harden ALATT Detect Block Defend UTÁNA Scope Contain Remediate Network Endpoint Mobile Virtual Cloud Point in time Continuous Cisco Public 15
Sourcefire megoldások NGFW / App Control Gain visibility and control applications and users NGIPS Stop exploits, hackers, and other intrusions and attacks Advanced Malware Protection Find malware missed by other security layers Cisco Public 16
Hálózati védelem kiterjesztése : FirePOWER és Advanced Malware Protection, AMP Hálózat alapú: Reputáció és Collective Security Intelligence Eszköz alapú: Vizibilitás és kontroll: Detektálás Analízis Blokkolás Javítás (remediation) Desktop Mobile (Android) Virtual Az AMP kiterjesztése minden végpontra, desktop (Windows, MAC), mobil (Android), VMware vsphere A teljes támadási életciklusban Cisco Public 17
Collective Security Intelligence Malware Protection IPS Rules Sourcefire VRT (Vulnerability Research Team) Sandboxing Machine Learning Big Data Infrastructure Reputation Feeds Vulnerability Database Updates Private and Public Threat Feeds Sandnets Advanced Microsoft and Industry Disclosures File Samples (>180,000 per Day) SPARK Program FireAMP Community Snort and ClamAV Open Source Communities Honeypots Awareness, Education, Guidance, and Intelligence Sharing (AEGIS) Sourcefire AEGIS Program Cisco Public 18
Sourcefire Appliances Cisco Public 19
IPS Performance and Scalability Platformok és hálózati alkalmazásaik FirePOWER 8200 Series 10 Gbps 40 Gbps FirePOWER 8100/8200 2 Gbps - 10 Gbps FirePOWER 7120/7125/8120 1 Gbps - 2 Gbps FirePOWER 7000 Series 50 Mbps 250 Mbps SOHO FirePOWER 7100 Series 500 Mbps 1 Gbps Branch Office Internet Edge Campus Data Center Cisco Public 20
FirePOWER LCD Display Quick and easy headless configuration Connectivity Choice Change and add connectivity inline with network requirements Configurable Bypass or Fail Closed Interfaces For IDS, IPS or Firewall deployments Device Stacking Scale monitoring capacity through stacking Lights Out Management Minimal operational impact SSD Solid State Drive for increased reliability Hardware Acceleration For best in class throughput, security, Rack size/mbps, and price/mbps Cisco Public 21
FirePOWER 8200 sorozat 8250 8260 8270 8290 2U 4U 6U 8U 10Gbps IPS 20Gbps IPS 30Gbps IPS 40Gbps IPS 7 slots 6 slots 5 slots 4 slots Up to 28 ports Up to 24 ports Up to 20 ports Up to 16 ports All 8000 series appliances support interchangeable network modules, lights-out management, solid state drives, AC/DC power options, redundant power, and an LCD interface. 8270 and 8290 are 40G connectivity ready, simply purchase 40G netmods 8250 and 8260 require the 40G switch module to enable 40G connectivity, then add 40G netmods Note: 40G network module (netmod) requires 2 slots Cisco Public 22
8000 Series Network Modules: Configurable-Bypass Cluster Module 40G Switch Module Used to connect an 3D8140, 3D8250, 8260, 8270, and 8290 to one or more stacking kits. Included in stacking kits. Switch module for 8250/8260 that supports the 40G Fiber network module. Comes standard on 8270/8290. 1G Copper 1G Fiber 10G Fiber 40G Fiber 1 slot 1 slot 1 slot 2 slots 4 Port 1Gbps Copper 4 Port 1Gbps SX Fiber 2 Port SR or LR Fiber 2 Port 40GBASE-SR4 All interfaces are programmable bypass/fail-open and field replaceable. Cisco Public 23
FirePOWER 8300 sorozat 50%-al több teljesítmény Adatközpontok, hálózati gerincek számára 30Gbps NGIPS 45Gbps NGIPS 60Gbps NGIPS Sourcefire NGIPS, NGFW és AMP futtatására 2U chassis és úgy stackelhető, mint a 8200 sorozat 15Gbps NGIPS FP8350 FP8360 FP8370 FP8390 Cisco Public 24
Sourcefire Defense Center Centralized Command & Control Customizable dashboard Comprehensive reports & alerts Centralized policy administration Hierarchical management High availability Cisco Public 25
Virtuális eszközök DC Virtuális szenzor Inline vagy passzív kialakítás Teljes NGIPS képesség Virtuális appliance-ként telepített Virtuális Defense Center Max 25 szenzorig Fizikai vagy virtuális Egységes GUI felület NOTE: Supports ESX(i) 4.x and 5.x on Sourcefire 5.x platforms. Supports RHEV 3.0 and Xen 3.3.2/3.4.2 on Soucefire 4.x platforms only. Cisco Public 26
Virtual Defense Center (DC), Virtual 3D Sensor Cisco Public 27
Fejlett High-Availability Állapot szinkronizáció a HA klaszterben: TCP Strict State Enforcement a TCP session folytatódni tud, újrakapcsolódás nélkül. Unidirectional Rules lehetővé teszi, hogy az egyirányú szabály folytatódjon átkapcsolás esetén is Blocking Persistence állapot és döntés (engedélyezett vagy blokkolt) is szinkronizált Dynamic Network Address Translation (NAT) az IP és port bejegyzések megmaradnak átkapcsolás esetén is Klaszteres appliance stack-ek támogatása (8250, 8260, 8270 és 8290) Cisco Public 28
Fejlett High-Availability Az eszközök közvetlenül a HA Linken keresztül vannak összekötve A klaszterezett eszközöknek meg kell egyezniük és azonos NetMod-okkal kell ellátni őket HA Link interface depends upon the potential throughput of each cluster member Cisco Public 29
FireSIGTH Cisco Public 30
A kontextus egységes rálátást biztosít End-point Infrastructure Boundary Mit? Kit? Honnan? Az esemény helyes kontextusba helyezése lerövidíti az analízis idejét
A kontextus a legfontosabb - Context is everything Event: Attempted Privilege Gain Target: 96.16.242.135 (vulnerable) Host OS: Blackberry Apps: Mail, Browswer, Twitter Location: Whitehouse, US User ID: bobama Full Name: Barack Obama Department: Executive Office Event: Target: Host OS: Apps: Location: Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browser, Twitter Whitehouse, US Event: Attempted Privilege Gain Target: 96.16.242.135 A kontextus az eseményeknek egészen más jelentést ad Cisco Public 32
FireSIGHT Context Explorer App Visibility Felhasználó OS Sérülékenység View all application traffic Look for risky applications What else have these users been up to? Who is using them? On what operating systems? What does their traffic look like over time? Cisco Public 33
Awareness Who is at the host OS & version Identified What other systems / IPs did user have, when? Server applications and version Client Applications Client Version Application Only Sourcefire delivers complete network visibility Cisco Public 34
Felhasználók azonosítása LDAP és AD Agent Monitorozott csoportok AD Agent Cisco Public 35
OpenAppID RSA bejelentés OpenAppID, alkalmazás fókuszú detekciós nyelv Snort felhasználók az OpenAppID detektorokkal azonosíthatják az alkalmazásokat használatukat riportolni tudják tudnak készíteni és megosztani OpenAppID-t A Cisco több, mint 1000 mintát adott már hozzá Lua : ingyenes, portolható scripting nyelv (hatékony, de egyszerű) OpenAppID : gyorsabb és egyszerűbb szabályalkamazás Cisco Public 36
A FireSIGHT segít az automatizálásban IT Insight Hamis host-ok, anomáliák, policy sértések, Impact Assessment A fenyegetés korreláció 99%-al csökkenti figyelemre méltó eseményeket Automated Tuning Az IPS szabályok automatikus hangolása a hálózatnak megfelelően User Identification A felhasználókat kapcsolja össze a biztonsági (és compliance) eseményekkel Cisco Public 37
A FireSIGHT leegyszerűsíti a szabályrendszert Cisco Public 38
Technológiák összehasonlítása Categories Examples Sourcefire NGIPS & NGFW Typical IPS Threats Attacks, Anomalies Users AD, LDAP, POP3 Web Applications Facebook Chat, Ebay Application Protocols HTTP, SMTP, SSH File Transfers PDF, Office, EXE, JAR Malware Conficker, Flame Command & Control Servers C&C Security Intelligence Client Applications Firefox, IE6, BitTorrent Network Servers Apache 2.3.1, IIS4 Operating Systems Windows, Linux Routers & Switches Cisco, Nortel, Wireless Mobile Devices iphone, Android, Jail Printers HP, Xerox, Canon VoIP Phones Avaya, Polycom Virtual Machines VMware, Xen, RHEV Information Superiority Contextual Awareness Typical NGFW Cisco Public 39
FireSIGHT Demonstráció Cisco Public 40
Next Generation Firewall BEFORE Cisco Public 41
Next Generation Firewalling Definition? Next Generation Firewalls (NGFWs) blend the features of a standard firewall with quality of service (QoS) functionalities in order to provide smarter and deeper inspection. In many ways a Next Generation Firewall combines the capabilities of first-generation network firewalls and network intrusion prevention systems (IPS), while also offering additional features such as SSL and SSH inspection, reputation-based malware filtering and Active Directory integration support. Source: http://www.webopedia.com/term/n/next_generation_firewall_ngfw.html Cisco Public 42
Sourcefire NGFW fenyegetés alapján NGIPS Snort technológia alapján NGFW zóna, VLAN, IP, port, protokoll, alkalmazás, felhasználó, URL (5.3 Geo IP alapján) Controlled traffic Security Intelligence URL awareness IP Geo-location IPS Policy FireSIGHT Teljes kontextus Security Intelligence Dinamikus szabályok a VRT-től Teljesen integrált szabályrendszer (IPv6 teljes) IPS szabályok File vezérlési szabályok Firewall Policy Switching, Routing VPN, High Availability File policy Malware policy Cisco Public 43
ity Effectiveness Enterprise Management & Security Effectiveness NSS elemzés Check Point 12600 100% Dell SonicWALL SuperMassive E10800 Sourcefire 8290 Juniper SRX3600 Stonesoft 3202 Sourcefire 8250 FirePOWER appliances achieve best combination of security effectiveness, TCO and performance for overall NGFW leadership Juniper SRX3600 Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202 Palo Alto Networks PA-5020 Sourcefire 8290 Sourcefire 8250 Fortinet Fortigate-3600C 100% 90% 80% 70% 60% Palo Alto Networks PA-5020 Fortinet Fortigate-3600C 50% 90% 40% WatchGuard XTM 2050 30% 80% $140 $120 $100 $80 $60 TCO per Protected-Mbps $40 $20 $0 20% NSS Labs 2013 Next-Generation Firewall Security Value Map 70% Cisco Public 44
Policy-Driven Visibility and Control Filter Access and Apply Protection by Application, User, and Traffic Path Cisco Public 45
Next Gen Firewall Demonstráció Cisco Public 46
Next Generation IPS DURING Cisco Public 47
Snort architektúra Packet Decoder Packets are read using the Data AcQuisition library (DAQ) (e.g. afpacket) Decodes datalink protocols Decodes network protocols Decodes transport protocols Preprocessors Examine packets Modify packets Normalize traffic Detection Engine Uses Snort rules to create signatures for threats Wide range of detection capabilities Modular detection elements DAQ libraries network Packet Decoder Preprocessors Detection Engine Logging and Alerting System ---------------------- Output Modules Alert and log files Cisco Public 48
Pontosság TCP / IP reassembly átverés megelőzés Többféle detekciós technika egyszerű szignatúrák több ismert exploit-ra Komplex szignatúrák exploit-ra (layer 7-ig ) ismert sérülékenységekre (állapotkövetéssel) Anomália detekció - day 0 ellen. A megfelelő szabályokat kell alkalmazni A menedzsment rendszer javasol szabályrendszert Cisco Public 49
Sebesség Szenzor Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) Nagy számítási kapacitás Flow processzorok log n szerinti skála Analízis Impact analysis Contextual data at source Correlation Rules Javító - Remediation Services 100,000 events 5,000 events 500 events 20 events +10 events 3 events Cisco Public 50
NGIPS value architecture Alerting Correlation User Interface Presentation engine Reporting engine SMS me only if a valid attack Remediation Rules engine services gets through to one of our Reputation Geolocation services Correlation engine services executives Anomaly Android Detection phones. Detection Engines Directory mapping Directory Services Identity Network Awareness Threat awareness User Awareness Awareness DAQ Cisco Public 51
Rugalmasság Snort szabályok : szöveg alapúak & univerzálisak Lingua franca az IPS iparban Több, mint 20,000 szabályt tartalmazó könyvtár Rugalmasan szerkezthető Szabály szerkesztő Alkalmazás default-ok Cisco Public 52
2012 NSS Labs SVM Cisco Public 53
Next Gen IPS Demonstráció Cisco Public 54
De mi van, ha a forgalom titkosított? Cisco Public 55
Az alkalmazások gyakran titkosítottak A és a SSL-t használ default-ként Jelenleg külön detitkosító eszköz, előnye : Nagy teljesítmény acceleration and policy Központi kulcs menedzsment Együttműködés 3 rd party termékekkel SSL1500 SSL2000 SSL8200 1.5Gbps 2.5 Gbps 3.5 Gbps Cisco Public 56
A SSL detitkosítható vonalsebességgel Known-server key for SSL v2 Requires access to the server key Decrypts inbound SSL communication Certificate resign for SSL v3 Requires Intermediate certificate in browsers Decrypts outbound SSL communication Known server key method Certificate resign method Cisco Public 57
Advanced Malware Protection AFTER Cisco Public 58
A mi megközelítésünk az Advanced Malware Protection-ra Network-based AMP Detection Services & Big Data analytics AMP for hosts, virtual and mobile devices AMP Malware license FireSIGHT Management Center Sourcefire Sensor No agent required # # SaaS Manager Host-based AMP Small (Size of a print driver) Watches for move/copy/execute Traps fingerprint & attributes Queries cloud for file deposition
Hogyan működik a FireAMP? Gyanús file típusokat (pdf, exe, ) szkennel HASH értéket számol (ujjlenyomat) és felküldi a felhőbe analizálás céljából (SHA256 desktop-ra ) Ismert file: Visszaadja a státuszát (good, neutral, malware) Átengedi, monitorozza vagy blokkolja a file-t Eddig nem ismert file ellenőrzi a futtatható file paramétereit (PE-header) Feltölti a file-t a felhőbe és futtatja -> sandboxing Ellenőrzi a felhőben a futás eredményét (malware) és az eredményt közli Restrospektív (visszatekintő) analízist ad Teljes nyomkövetés (processzek, file létrehozása, végrehajtás) Cisco Public 60
Network File Trajectory nyomkövetés Belépési idő Fertőzött rendszerek Cisco Public 61
AV, mint malware ellenintézkedés Erősen korlátozott: A CPU 2-5%-át használja Korlátozott szabálykészlet Korlátozott áttekintés point in time azonnali működés Miért bízod a cég szellemi vagyonát egy 386-osra? To your AV, this looks like this. Cisco Public 62
Mi lenne, ha a malware felderítésnek ilyen erőforrása lenne? Petaflop processing Petabyte storage Big data analytics Continuous analysis State-of-the-art AI algorithms for continuous malware targeting Now, that s what I m talkin about! Cisco Public 63
Detekciós motorok a PowerAMP-ben SPERO ADVANCED Specific ANALYTICS Uses AI (ONE-TO-ONE) methods for real-time Integrates heuristics from the discovery of malware based on malware environment, the Big Generic environment and behavior. Data store, ETHOS and (ETHOS) Uses periodic review of Big SPERO to clarify the outcome Data store to implement of a marginal conviction retrospection Decision Tree (SPERO) ETHOS ONE-TO-ONE Catches families of malware Catches well known malware Integrative through use of fuzzy hashes through use of primary SHA (Adv. embedded Analytics) in the Feature Print. match. Equivalent to a Counters malware evasion by signature-based system. bit-twiddling. Primary Hash Feature Print ( ) { } 1 users, engines Detection torque Cisco Public 64
0-dik áldozat megtalálása, nyomkövetés Trajectory analysis széles elemzés (FirePOWER-en), mély elemzés (FireAMP) Melyik rendszer lett fertőzött? Mikor történt? Hol a 0-dik áldozat? Mit fertőzött még meg? Look Deep: Device trajectory Look wide: Network trajectory Cisco Public 67
Indicators of Compromise Megfertőzött gépek megtalálása Automated compromise analysis Prioritized list generation Quick links for root cause analysis and remediation Cisco Public 68
AMP ismeri a kontextust Data shows the bad and the good Context helps you decide about the rest Cisco Public 69
AMP Demonstráció Cisco Public 70
Integrációs Tervek Cisco Public 71
Sourcefire az ASA-n Trusted NG Security on a Trusted Firewall from 100Mbps to 640Gbps* Defense Center Comprehensive SECOPS Workflows Sourcefire Software - NGIPS, NGFW/AVC, AMP ASA Software Cisco Security Manager (CSM) or ASDM Comprehensive NETOPS Workflows *some integration being completed e.g. low-end devices 640 Gbps refers to the FW speed available with an ASA cluster Cisco Public 72
FireAMP Network: integráció a WSA, ESA és CWS termékekben Cisco Public 73
Eszköz és Policy Management Cisco Public 74
Összefoglalás Cisco Public 75
Mit jelent a Next Gen Security? Policy - Alkalmazások és ID alapján IPS és Tűzfal integrált -> minden a fenyegetés alapján Kontextus tudás AMP, Advanced Malware Protection Retrospektív biztonság Cisco Public 76
Cisco and Sourcefire Better Together Attack Continuum BEFORE Control Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate Firewall VPN NGIPS Advanced Malware Protection NGFW UTM Web Security Network Behavior Analysis NAC + Identity Services Email Security Retrospective Services Visibility and Context Cisco Public 77
Összefoglalás A Sourcefire adja a FirePOWER platformot a NGFW/NGIPS-hez FireAMP Advanced Malware Protection-t ad a végpontokra és a hálózatra Teljes rálátás (visibility) szükséges a biztonsági policyhoz Retrospektív biztonság meghatározza a fertőzés forrását Cisco Public 78
Kérdés? Cisco Public 79
Köszönöm.