Next Generation IPS. SourceFire alapokon. Kis-Szabó András IT Biztonsági tanácsadó, CISA, CRISC, ISO27001LA. 2014. április 22.

Next Generation IPS SourceFire alapokon Kis-Szabó András IT Biztonsági tanácsadó, CISA, CRISC, ISO27001LA 2014. április 22.

Tartalom Kontextusba helyezés Hardver kontextus Menedzsment kontextus NG IPS kontextus NG FW kontextus Demo kontextus S&T Public 2

Új biztonsági kihívások S&T Public 3

S&T Public 4

A hackelés iparosodása Cél: hírnév, mód: zaj Cél: profit, mód: lopás VIRUSES MACRO VIRUSES WORMS HACKERS SPYWARE / ROOTKITS APTs MALWARE 1985 1995 2000 2005 2010 A hackerek és a védelmi technikák egymást sarkallják új technológiák alkalmazására -> fenyegetés ciklusok Icons: attack vectors S&T Public 5

Izolált védekezés sose lehet 100%-os Mélységi védekezés ellenére is 78% 2 héten túli felfedezés 70% Külső fél felfedezése S&T Public 6

IPS Gartner elemzés A Sourcefire leader az IPS Gartner Magic Quadrant-ban 2006 óta. Product Mért Gbps Adatlap Gbps 3D8260 34 20 3D8250 17 10 3D8120 3,4 2 December 2013, forrás: Gartner S&T Public 7

Az új biztonsági modell Támadási momentum ELŐTTE Control Enforce Harden ALATT Detect Block Defend UTÁNA Scope Contain Remediate Network Endpoint Mobile Virtual Cloud Point in time Continuous S&T Public 8

Az új biztonsági modell Támadási momentum ELŐTTE Control Enforce Harden ALATT Detect Block Defend UTÁNA Scope Contain Remediate Firewall VPN NGIPS Advanced Malware Protection NGFW UTM Web Security Network Behavior Analysis Secure Access + Identity Services Email Security Point in time Continuous S&T Public 9

Sourcefire megoldások NGFW / App Control Gain visibility and control applications and users NGIPS Stop exploits, hackers, and other intrusions and attacks Advanced Malware Protection Find malware missed by other security layers S&T Public 10

Collective Security Intelligence Malware Protection IPS Rules Sourcefire VRT (Vulnerability Research Team) Sandboxing Machine Learning Big Data Infrastructure Reputation Feeds Vulnerability Database Updates Private and Public Threat Feeds Sandnets Advanced Microsoft and Industry Disclosures File Samples (>180,000 per Day) SPARK Program FireAMP Community Snort and ClamAV Open Source Communities Honeypots Awareness, Education, Guidance, and Intelligence Sharing (AEGIS) Sourcefire AEGIS Program S&T Public 11

Sourcefire Appliances S&T Public 12

IPS Performance and Scalability Platformok és hálózati alkalmazásaik FirePOWER 8200 Series 10 Gbps 40 Gbps FirePOWER 8100/8200 2 Gbps - 10 Gbps FirePOWER 7120/7125/8120 1 Gbps - 2 Gbps FirePOWER 7000 Series 50 Mbps 250 Mbps SOHO FirePOWER 7100 Series 500 Mbps 1 Gbps Branch Office Internet Edge Campus Data Center S&T Public 13

FirePOWER 8300 sorozat 50%-al több teljesítmény Adatközpontok, hálózati gerincek számára 30Gbps NGIPS 45Gbps NGIPS 60Gbps NGIPS Sourcefire NGIPS, NGFW és AMP futtatására 15Gbps NGIPS FP8390 2U chassis és úgy stackelhető, mint a 8200 sorozat FP8350 FP8360 FP8370 S&T Public 15

Virtuális eszközök DC Virtuális szenzor Inline vagy passzív kialakítás Teljes NGIPS/NGFW/AMP képesség Virtuális appliance-ként telepített Virtuális Defense Center Max 25 szenzorig Fizikai vagy virtuális Egységes GUI felület S&T Public 16

Next Generation IPS DURING S&T Public 17

Snort architektúra Packet Decoder Packets are read using the Data AcQuisition library (DAQ) (e.g. afpacket) Decodes datalink protocols Decodes network protocols Decodes transport protocols Preprocessors Examine packets Modify packets Normalize traffic Detection Engine Uses Snort rules to create signatures for threats Wide range of detection capabilities Modular detection elements DAQ libraries network Packet Decoder Preprocessors Detection Engine Logging and Alerting System ---------------------- Output Modules Alert and log files S&T Public 18

Pontosság TCP / IP reassembly átverés megelőzés Többféle detekciós technika egyszerű szignatúrák több ismert exploit-ra Komplex szignatúrák exploit-ra (layer 7-ig ) ismert sérülékenységekre (állapotkövetéssel) Anomália detekció - day 0 ellen. A megfelelő szabályokat kell alkalmazni A menedzsment rendszer javasol szabályrendszert S&T Public 19

Sebesség Szenzor Analízis Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) Nagy számítási kapacitás Flow processzorok log n szerinti skála Impact analysis Contextual data at source Correlation Rules Javító - Remediation Services S&T Public 20

Sebesség Szenzor Analízis Közös csomag feldolgozási lánc (DAQ) Skálázható hardware (terheléselosztó, klaszter) Nagy számítási kapacitás Flow processzorok log n szerinti skála Impact analysis Contextual data at source Correlation Rules Javító - Remediation Services 100,000 events 5,000 events 500 events 20 events +10 events 3 events S&T Public 21

NGIPS value architecture User Interface Presentation engine Reporting engine Remediation services Reputation services Rules engine Correlation engine Geolocation services Anomaly Detection Detection Engines Directory mapping Directory Services Network Awareness Threat awareness User Awareness DAQ S&T Public 22

Rugalmasság Snort szabályok : szöveg alapúak & univerzálisak Lingua franca az IPS iparban Több, mint 20,000 szabályt tartalmazó könyvtár Rugalmasan szerkeszthető Szabály szerkesztő Alkalmazás default-ok S&T Public 23

2012 NSS Labs SVM S&T Public 24

Next Generation Firewall BEFORE S&T Public 25

Next Generation Firewalling Definition? Next Generation Firewalls (NGFWs) blend the features of a standard firewall with quality of service (QoS) functionalities in order to provide smarter and deeper inspection. In many ways a Next Generation Firewall combines the capabilities of first-generation network firewalls and network intrusion prevention systems (IPS), while also offering additional features such as SSL and SSH inspection, reputation-based malware filtering and Active Directory integration support. Source: http://www.webopedia.com/term/n/next_generation_firewall_ngfw.html S&T Public 26

Sourcefire NGFW fenyegetés alapján NGIPS Snort technológia alapján NGFW zóna, VLAN, IP, port, protokoll, alkalmazás, felhasználó, URL (5.3 Geo IP alapján) Controlled traffic Security Intelligence URL awareness IP Geo-location IPS Policy FireSIGHT Teljes kontextus Security Intelligence Dinamikus szabályok a VRT-től Teljesen integrált szabályrendszer (IPv6 teljes) IPS szabályok File vezérlési szabályok Firewall Policy Switching, Routing VPN, High Availability File policy Malware policy S&T Public 27

NSS elemzés Check Point 12600 100% Dell SonicWALL SuperMassive E10800 Sourcefire 8290 Juniper SRX3600 Stonesoft 3202 Sourcefire 8250 FirePOWER appliances achieve best combination of security effectiveness, TCO and performance for overall NGFW leadership Juniper SRX3600 Check Point 12600 Dell SonicWALL SuperMassive E10800 Stonesoft 3202 Palo Alto Networks PA-5020 Palo Alto Networks PA-5020 Sourcefire 8290 Sourcefire 8250 Fortinet Fortigate-3600C Fortinet Fortigate-3600C 100% 90% 90% 80% 70% 60% 50% Enterprise Management & Security Effectiveness 40% WatchGuard XTM 2050 30% 80% $140 $120 $100 $80 $60 TCO per Protected-Mbps NSS Labs 2013 Next-Generation Firewall Security Value Map $40 $20 70% ity Effectiveness $0 20% S&T Public 28

FireSIGHT S&T Public 29

Ami talán a legfontosabb One of the world s 3 largest credit reporting agencies: - 20,000 nodes - 7,500 employees Generic Work Rate: $75/hour Source: SANS "Calculating TCO on Intrusion Prevention Technology whitepaper, March 2010 S&T Public 30

A kontextus egységes rálátást biztosít End-point Infrastructure Boundary Mit? Kit? Honnan? Az esemény helyes kontextusba helyezése lerövidíti az analízis idejét S&T Public 31

A kontextus a legfontosabb - Context is everything Event: Target: Host OS: Apps: Location: User ID: Full Name: Department: Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browswer, Twitter Whitehouse, US bobama Barack Obama Executive Office Event: Target: Host OS: Apps: Location: Attempted Privilege Gain 96.16.242.135 (vulnerable) Blackberry Mail, Browser, Twitter Whitehouse, US Event: Attempted Privilege Gain Target: 96.16.242.135 A kontextus az eseményeknek egészen más jelentést ad S&T Public 32

A FireSIGHT segít az automatizálásban IT Insight Hamis host-ok, anomáliák, policy sértések, Impact Assessment A fenyegetés korreláció 99%-al csökkenti figyelemre méltó eseményeket Automated Tuning Az IPS szabályok automatikus hangolása a hálózatnak megfelelően User Identification A felhasználókat kapcsolja össze a biztonsági (és compliance) eseményekkel S&T Public 33

A FireSIGHT leegyszerűsíti a szabályrendszert S&T Public 34

Technológiák összehasonlítása Categories Examples Sourcefire NGIPS & NGFW Typical IPS Threats Attacks, Anomalies Users AD, LDAP, POP3 Web Applications Facebook Chat, Ebay Application Protocols HTTP, SMTP, SSH File Transfers PDF, Office, EXE, JAR Malware Conficker, Flame Command & Control Servers C&C Security Intelligence Client Applications Firefox, IE6, BitTorrent Network Servers Apache 2.3.1, IIS4 Operating Systems Windows, Linux Routers & Switches Cisco, Nortel, Wireless Mobile Devices iphone, Android, Jail Printers HP, Xerox, Canon VoIP Phones Avaya, Polycom Virtual Machines VMware, Xen, RHEV Information Superiority Contextual Awareness Typical NGFW S&T Public 35

FireSIGHT Demonstráció S&T Public 36

Kérdés? S&T Public 37

Köszönöm.

FireSIGHT Context Explorer App Visibility Felhasználó OS Sérülékenység View all application traffic Look for risky applications What else have these users been up to? Who is using them? On what operating systems? What does their traffic look like over time? S&T Public 39

Awareness Who is at the host OS & version Identified What other systems / IPs did user have, when? Server applications and version Client Applications Client Version Application Only Sourcefire delivers complete network visibility S&T Public 40

Felhasználók azonosítása LDAP és AD Agent Monitorozott csoportok AD Agent S&T Public 41

OpenAppID RSA bejelentés OpenAppID, alkalmazás fókuszú detekciós nyelv Snort felhasználók az OpenAppID detektorokkal azonosíthatják az alkalmazásokat használatukat riportolni tudják tudnak készíteni és megosztani OpenAppID-t A Cisco több, mint 1000 mintát adott már hozzá Lua : ingyenes, portolható scripting nyelv (hatékony, de egyszerű) OpenAppID : gyorsabb és egyszerűbb szabályalkamazás S&T Public 42

Context Explorer S&T Public 43

Filter Web application S&T Public 44

File information S&T Public 45

Drill down S&T Public 46

Security Events S&T Public 47

Threat Awareness S&T Public 48

Definitions S&T Public 55

Malware S&T Public 56

Malware meglepetésekkel S&T Public 57

NGIPS: Intrusion Policy S&T Public 58

NGFW: Access Control S&T Public 59

Reputation at Firewall S&T Public 66

File policy S&T Public 67

S&T Public 68