Next Generation IPS SourceFire alapokon Kis-Szabó András IT Biztonsági tanácsadó, CISA, CRISC, ISO27001LA 2014. április 22.
Tartalom Kontextusba helyezés Hardver kontextus Menedzsment kontextus NG IPS kontextus NG FW kontextus Demo kontextus S&T Public 2
Új biztonsági kihívások S&T Public 3
S&T Public 4
A hackelés iparosodása Cél: hírnév, mód: zaj Cél: profit, mód: lopás VIRUSES MACRO VIRUSES WORMS HACKERS SPYWARE / ROOTKITS APTs MALWARE 1985 1995 2000 2005 2010 A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására -> fenyegetés ciklusok Icons: attack vectors S&T Public 5
Izolált védekezés sose lehet 100%-os Mélységi védekezés ellenére is 78% 2 héten túli felfedezés 70% Külső fél felfedezése S&T Public 6
IPS Gartner elemzés A Sourcefire leader az IPS Gartner Magic Quadrant-ban 2006 óta. Product Mért Gbps Adatlap Gbps 3D8260 34 20 3D8250 17 10 3D8120 3,4 2 December 2013, forrás: Gartner S&T Public 7
Az új biztonsági modell Támadási momentum ELŐTTE Control Enforce Harden ALATT Detect Block Defend UTÁNA Scope Contain Remediate Network Endpoint Mobile Virtual Cloud Point in time Continuous S&T Public 8
Az új biztonsági modell Támadási momentum ELŐTTE Control Enforce Harden ALATT Detect Block Defend UTÁNA Scope Contain Remediate Firewall VPN NGIPS Advanced Malware Protection NGFW UTM Web Security Network Behavior Analysis Secure Access + Identity Services Email Security Point in time Continuous S&T Public 9
Sourcefire megoldások NGFW / App Control Gain visibility and control applications and users NGIPS Stop exploits, hackers, and other intrusions and attacks Advanced Malware Protection Find malware missed by other security layers S&T Public 10
Collective Security Intelligence Malware Protection IPS Rules Sourcefire VRT (Vulnerability Research Team) Sandboxing Machine Learning Big Data Infrastructure Reputation Feeds Vulnerability Database Updates Private and Public Threat Feeds Sandnets Advanced Microsoft and Industry Disclosures File Samples (>180,000 per Day) SPARK Program FireAMP Community Snort and ClamAV Open Source Communities Honeypots Awareness, Education, Guidance, and Intelligence Sharing (AEGIS) Sourcefire AEGIS Program S&T Public 11
Sourcefire Appliances S&T Public 12
IPS Performance and Scalability Platformok és hálózati alkalmazásaik FirePOWER 8200 Series 10 Gbps 40 Gbps FirePOWER 8100/8200 2 Gbps - 10 Gbps FirePOWER 7120/7125/8120 1 Gbps - 2 Gbps FirePOWER 7000 Series 50 Mbps 250 Mbps SOHO FirePOWER 7100 Series 500 Mbps 1 Gbps Branch Office Internet Edge Campus Data Center S&T Public 13
FirePOWER 8300 sorozat 50%-al több teljesítmény Adatközpontok, hálózati gerincek számára 30Gbps NGIPS 45Gbps NGIPS 60Gbps NGIPS Sourcefire NGIPS, NGFW és AMP futtatására 15Gbps NGIPS FP8390 2U chassis és úgy stackelhető, mint a 8200 sorozat FP8350 FP8360 FP8370 S&T Public 15
Virtuális eszközök DC Virtuális szenzor Inline vagy passzív kialakítás Teljes NGIPS/NGFW/AMP képesség Virtuális appliance-ként telepített Virtuális Defense Center Max 25 szenzorig Fizikai vagy virtuális Egységes GUI felület S&T Public 16
Next Generation IPS DURING S&T Public 17
Snort architektúra Packet Decoder Packets are read using the Data AcQuisition library (DAQ) (e.g. afpacket) Decodes datalink protocols Decodes network protocols Decodes transport protocols Preprocessors Examine packets Modify packets Normalize traffic Detection Engine Uses Snort rules to create signatures for threats Wide range of detection capabilities Modular detection elements DAQ libraries network Packet Decoder Preprocessors Detection Engine Logging and Alerting System ---------------------- Output Modules Alert and log files S&T Public 18
Pontosság TCP / IP reassembly átverés megelőzés Többféle detekciós technika egyszerű szignatúrák több ismert exploit-ra Komplex szignatúrák exploit-ra (layer 7-ig ) ismert sérülékenységekre (állapotkövetéssel) Anomália detekció - day 0 ellen. A megfelelő szabályokat kell alkalmazni A menedzsment rendszer javasol szabályrendszert S&T Public 19
Sebesség Szenzor Analízis Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) Nagy számítási kapacitás Flow processzorok log n szerinti skála Impact analysis Contextual data at source Correlation Rules Javító - Remediation Services S&T Public 20
Sebesség Szenzor Analízis Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) Nagy számítási kapacitás Flow processzorok log n szerinti skála Impact analysis Contextual data at source Correlation Rules Javító - Remediation Services 100,000 events 5,000 events 500 events 20 events +10 events 3 events S&T Public 21
NGIPS value architecture User Interface Presentation engine Reporting engine Remediation services Reputation services Rules engine Correlation engine Geolocation services Anomaly Detection Detection Engines Directory mapping Directory Services Network Awareness Threat awareness User Awareness DAQ S&T Public 22
Rugalmasság Snort szabályok : szöveg alapúak & univerzálisak Lingua franca az IPS iparban Több, mint 20,000 szabályt tartalmazó könyvtár Rugalmasan szerkeszthető Szabály szerkesztő Alkalmazás default-ok S&T Public 23
2012 NSS Labs SVM S&T Public 24
Next Generation Firewall BEFORE S&T Public 25
Next Generation Firewalling Definition? Next Generation Firewalls (NGFWs) blend the features of a standard firewall with quality of service (QoS) functionalities in order to provide smarter and deeper inspection. In many ways a Next Generation Firewall combines the capabilities of first-generation network firewalls and network intrusion prevention systems (IPS), while also offering additional features such as SSL and SSH inspection, reputation-based malware filtering and Active Directory integration support. Source: http://www.webopedia.com/term/n/next_generation_firewall_ngfw.html S&T Public 26
Sourcefire NGFW fenyegetés alapján NGIPS Snort technológia alapján NGFW zóna, VLAN, IP, port, protokoll, alkalmazás, felhasználó, URL (5.3 Geo IP alapján) Controlled traffic Security Intelligence URL awareness IP Geo-location IPS Policy FireSIGHT Teljes kontextus Security Intelligence Dinamikus szabályok a VRT-től Teljesen integrált szabályrendszer (IPv6 teljes) IPS szabályok File vezérlési szabályok Firewall Policy Switching, Routing VPN, High Availability File policy Malware policy S&T Public 27
NSS elemzés Check Point 12600 100% Dell SonicWALL SuperMassive E10800 Sourcefire 8290 Juniper SRX3600 Stonesoft 3202 Sourcefire 8250 FirePOWER appliances achieve best combination of security effectiveness, TCO and performance for overall NGFW leadership Juniper SRX3600 Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202 Palo Alto Networks PA-5020 Palo Alto Networks PA-5020 Sourcefire 8290 Sourcefire 8250 Fortinet Fortigate-3600C Fortinet Fortigate-3600C 100% 90% 90% 80% 70% 60% 50% Enterprise Management & Security Effectiveness 40% WatchGuard XTM 2050 30% 80% $140 $120 $100 $80 $60 TCO per Protected-Mbps NSS Labs 2013 Next-Generation Firewall Security Value Map $40 $20 70% ity Effectiveness $0 20% S&T Public 28
FireSIGHT S&T Public 29
Ami talán a legfontosabb One of the world s 3 largest credit reporting agencies: - 20,000 nodes - 7,500 employees Generic Work Rate: $75/hour Source: SANS "Calculating TCO on Intrusion Prevention Technology whitepaper, March 2010 S&T Public 30
A kontextus egységes rálátást biztosít End-point Infrastructure Boundary Mit? Kit? Honnan? Az esemény helyes kontextusba helyezése lerövidíti az analízis idejét S&T Public 31
A kontextus a legfontosabb - Context is everything Event: Target: Host OS: Apps: Location: User ID: Full Name: Department: Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browswer, Twitter Whitehouse, US bobama Barack Obama Executive Office Event: Target: Host OS: Apps: Location: Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browser, Twitter Whitehouse, US Event: Attempted Privilege Gain Target: 96.16.242.135 A kontextus az eseményeknek egészen más jelentést ad S&T Public 32
A FireSIGHT segít az automatizálásban IT Insight Hamis host-ok, anomáliák, policy sértések, Impact Assessment A fenyegetés korreláció 99%-al csökkenti figyelemre méltó eseményeket Automated Tuning Az IPS szabályok automatikus hangolása a hálózatnak megfelelően User Identification A felhasználókat kapcsolja össze a biztonsági (és compliance) eseményekkel S&T Public 33
A FireSIGHT leegyszerűsíti a szabályrendszert S&T Public 34
Technológiák összehasonlítása Categories Examples Sourcefire NGIPS & NGFW Typical IPS Threats Attacks, Anomalies Users AD, LDAP, POP3 Web Applications Facebook Chat, Ebay Application Protocols HTTP, SMTP, SSH File Transfers PDF, Office, EXE, JAR Malware Conficker, Flame Command & Control Servers C&C Security Intelligence Client Applications Firefox, IE6, BitTorrent Network Servers Apache 2.3.1, IIS4 Operating Systems Windows, Linux Routers & Switches Cisco, Nortel, Wireless Mobile Devices iphone, Android, Jail Printers HP, Xerox, Canon VoIP Phones Avaya, Polycom Virtual Machines VMware, Xen, RHEV Information Superiority Contextual Awareness Typical NGFW S&T Public 35
FireSIGHT Demonstráció S&T Public 36
Kérdés? S&T Public 37
Köszönöm.
FireSIGHT Context Explorer App Visibility Felhasználó OS Sérülékenység View all application traffic Look for risky applications What else have these users been up to? Who is using them? On what operating systems? What does their traffic look like over time? S&T Public 39
Awareness Who is at the host OS & version Identified What other systems / IPs did user have, when? Server applications and version Client Applications Client Version Application Only Sourcefire delivers complete network visibility S&T Public 40
Felhasználók azonosítása LDAP és AD Agent Monitorozott csoportok AD Agent S&T Public 41
OpenAppID RSA bejelentés OpenAppID, alkalmazás fókuszú detekciós nyelv Snort felhasználók az OpenAppID detektorokkal azonosíthatják az alkalmazásokat használatukat riportolni tudják tudnak készíteni és megosztani OpenAppID-t A Cisco több, mint 1000 mintát adott már hozzá Lua : ingyenes, portolható scripting nyelv (hatékony, de egyszerű) OpenAppID : gyorsabb és egyszerűbb szabályalkamazás S&T Public 42
Context Explorer S&T Public 43
Filter Web application S&T Public 44
File information S&T Public 45
Drill down S&T Public 46
Security Events S&T Public 47
Threat Awareness S&T Public 48
Threat Awareness S&T Public 49
Threat Awareness S&T Public 50
Threat Awareness S&T Public 51
Threat Awareness S&T Public 52
Threat Awareness S&T Public 53
Threat Awareness S&T Public 54
Definitions S&T Public 55
Malware S&T Public 56
Malware meglepetésekkel S&T Public 57
NGIPS: Intrusion Policy S&T Public 58
NGFW: Access Control S&T Public 59
NGFW: Access Control S&T Public 60
NGFW: Access Control S&T Public 61
NGFW: Access Control S&T Public 62
NGFW: Access Control S&T Public 63
NGFW: Access Control S&T Public 64
NGFW: Access Control S&T Public 65
Reputation at Firewall S&T Public 66
File policy S&T Public 67
S&T Public 68