Какими функциями должен обладать современный NGFW?
- 1. Межсетевые экраны нового поколения В чем отличия? Алексей Лукацкий Бизнес-консультант, Cisco © 2017 Cisco and/or its affiliates. All rights reserved.
- 2. 3 поколения МСЭ 2 • 1988 год • Пакетный фильтр • Функционирование на 3-м уровне OSI 1-е поколение • 1989-1990 годы • Stateful фильтры • Функционирование на 4-м уровне OSI 2-е поколение • 1994 год • Контроль приложений • Функционирование на 7-м уровне OSI 3-е поколение
- 3. Термин NGFW появился в 2012 году
- 4. CX vs NGFW
- 5. От МСЭ к NGFW IP Fragmentation IP Option Inspection TCP Intercept TCP Normalization ACL NAT VPN Termination Routing Botnet Traffic Filter Защита от вредоносного кода Фильтрация файловКонтроль приложений NGIPS Категоризация URL / репутация Захват файлов Firewall NGFW Сканер безопасности Identity Firewall
- 6. Более 4 из 10 предупреждений систем безопасности так и остаются нерасследованными. Почему? 44 %предупреждений НЕ были изучены 2016 (n = 5000) Нерасследованные предупреждения представляют собой огромный риск для бизнеса 7 % не сталкивались с предупреждениями систем безопасности 54 % обоснованных преду- преждений НЕ устранены 56 % предупреждений были изучены 28 % исследован- ных преду- преждений оказались обоснован- ными 46 % обоснованных предупреждений устранены 93 % сталкивались с предупреждениями систем безопасности
- 7. • Полная видимость и прозрачность сети • Учет контекста (пользователи, устройства…) • Полная автоматизация • Оценка ущерба • Независимость от производителя в части получения сигнатур атак • Работа с индикаторами компрометации • Обнаружение аномалий Отличия МСЭ следующего поколения 7
- 8. • Интеграция с средствами предотвращения вторжений на оконечных устройствах • Интеграция с иными средствами защиты в сети • Ретроспективная безопасность • Встроенная корреляция событий • Отсутствие снижение производительности при включении нескольких защитных модулей Отличия МСЭ следующего поколения 8
- 9. Невозможно контролировать то, чего вы не видите Категории Примеры Правильный NGFW Типичные IPS Типичные NGFW Угрозы Attacks, Anomalies ✔ ✔ ✔ Пользователи AD, LDAP, POP3 ✔ ✗ ✔ Web приложения Facebook Chat, Ebay ✔ ✗ ✔ Прикладные протоколы HTTP, SMTP, SSH ✔ ✗ ✔ Передачи файлов PDF, Office, EXE, JAR ✔ ✗ ✔ Вредоносный код Conficker, Flame, WannaCry ✔ ✗ ✗ Конмандные сервера (CnC) C&C Security Intelligence ✔ ✗ ✗ Клиентские приложение Firefox, IE6, BitTorrent ✔ ✗ ✗ Сетевые сервисы Apache 2.3.1, IIS4 ✔ ✗ ✗ Операционные системы Windows, Linux ✔ ✗ ✗ Роутеры & Коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗ Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗ Принтеры HP, Xerox, Canon ✔ ✗ ✗ VoIP-устройства Avaya, Polycom ✔ ✗ ✗ Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
- 10. 3D SENSOR 3D SENSOR 3D SENSOR DEFENSE CENTER 3D SENSOR P2P запрещенное приложение обнаружено Событие нарушения зафиксировано, пользователь идентифицирован Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены. IT & HR провели с пользователем работу Идентификация приложений «на лету»
- 12. Описание собственных приложений • Приложения могут быть описаны шаблонами ASCII HEX PCAP-файл LUA OpenAppID
- 13. Контроль зашифрованного трафика Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13 Поддержка различных вариантов расшифровки Анализ сертификата при установлении соединения SSL TLS и расшифровка TLS Журналирование Ядро расшифровки SSL Обеспечение политики Зашифрованный трафик AVC http://www.%$&^*#$@#$.com http://www.%$&^*#$@#$.com Анализ расшифрованных пакетов Контроль и журналирование всех SSL-сеансов NGIPS gambling elicit http://www.%$*#$@#$.com http://www.%$*#$@#$.com http://www.%$*#$@#$.com http://www.%$*#$@#$.com http://www.%$*#$@#$.com http://www.%$*#$@#$.com http://www.%$*#$@#$.com http://www.%$*#$@#$.com http://www.%$*#$@#$.com http://www.%$*#$@#$.com û ü û ü ü ü û ü û û
- 15. • Профиль хоста включает всю необходимую для анализа информацию • IP-, NetBIOS-, MAC-адреса • Операционная система • Используемые приложения • Зарегистрированные пользователи • И т.д. • Идентификация и профилирование мобильных устройств Инвентаризация и профилирование узлов
- 16. Автоматизация: учет контекста Идентифицированная операционная система и ее версия Серверные приложения и их версия Клиентские приложения Кто на хосте Версия клиентского приложения Приложение Какие еще системы / IP-адреса использует пользователь? Когда?
- 17. • Разрешенные типы и версии ОС • Разрешенные клиентские приложения • Разрешенные Web-приложения • Разрешенные протоколы транспортного и сетевого уровней • Разрешенные адреса / диапазоны адресов • И т.д. Обнаружение аномалий
- 18. Обнаружение плохих парней с учетом контекста и специфики приложения (NGIPS) Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18 Коммуникации Приложение/устройство 010111010010 10 010001101 010010 10 10 Пакеты данных Приоритезация реакции Смешанные угрозы • Разведка сети • Фишинг • «Невинные» нагрузки • Редкие обращения 3 1 2 Accept Block Автомати- зация ISE Анализ сетевого трафика Корреляция данных Обнаружение скрытных угроз Отклик на основе приоритетов
- 19. • Заваливают нерелевантными событиями • Не дают информации для продолжения расследования • Требуют месяцев на тюнинг • “Черный ящик” – сложно определить, работает ли он • Результат: • IPS минимально эффективны или не используются • Много времени и ресурсов тратится на то, чтобы заставить IPS работать • Организации все равно ломают Проблемы с традиционными IPS 19
- 20. • Уязвимости: слабости системы, которые позволяют хакерам эксплуатировать их • Пример: Microsoft Tuesday – каждый второй вторник каждого месяца Microsoft анонсирует уязвимости и выпускат патчи для них • Эксплойт: специфическая атака на уязвимость • На каждую уязвимость существует множество потенциальных эксплойтов • Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а не условия эксплуатации уязвимостей Уязвимости vs. Эксплойты 20
- 21. Автоматизация Понимание инфраструктуры «Левые» узлы, аномалии, нарушения политики идр. Оценка ущерба Снижение числа событий, с которыми предстоит иметь дело Автоматизация тюнинга «Подкрутка» политик IPS, базируясь на изменениях в сети Идентификация пользователя Ассоциация пользователей с событиями безопасности для снижения времени расследования Индикаторы компрометации Идентификация узлов, которые были взломаны 21
- 22. • Принудительная аутентификация на уровне устройства • Множество методов аутентификации(Passive, Active, Passive с активным Fallback) • Различные поддерживаемые типы аутентификации (пример. Basic, NTLM, Advanced, Form) • Поддержка гостевого доступа • Поддержка различных доменов Captive портал / Активная аутентификация Метод Источник LDAP/AD Доверенный? Active Принудительная аутентификация на устройстве LDAP и AD Да Passive Identity and IP mapping from AD Agent AD Да User Discovery Имя пользователя получено из трафика пассивно. LDAP и AD, пассивно по трафику Нет
- 23. Автоматизация: снижение времени реагирования 23 Привязка пользователей к событиям безопасности (атакам)
- 24. Встроенная корреляция событий vs SIEM Ретроспективная защита Сокращение времени между обнаружением и нейтрализацией PDFПочта Админ. запрос PDF Почта Админ. запрос Корреляция между векторами атаки Раннее предупреждение о современных типах угроз Узел A Узел B Узел C 3 ИК Адаптация политик к рискам WWWWWW WWW Динамические механизмы безопасности http:// http://WWWВЕБ Корреляция между контекстом и угрозами Приоритет 1 Приоритет 2 Приоритет 3 Оценка вредоносного воздействия 5 ИК
- 25. 3D SENSOR 3D SENSOR 3D SENSOR DEFENSE CENTER 3D SENSOR Событие сохранено LINUX SERVER WINDOWS SERVER Linux не уязвим Windows server уязвим Атака блокирована Атака скоррелирована с целью Новая Windows-атака направлена на Windows и Linux сервера. Атаки скоррелированы с профилем цели. Событие об атаке сгенерировано. Не только простая корреляция событий ИБ
- 26. • Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных • Приложения • Уязвимости • Протоколы • Пользователи • Операционные системы • Производитель ОС • Адреса • Место в иерархии компании • Статус узла и т.п. Встроенная система корреляции событий
- 27. • Различные типы события для системы корреляции • Атаки / вторжение • Активность пользователя • Установлено соединение • Изменение профиля трафика • Вредоносный код • Изменение инвентаризационных данных (например, появление нового узла в сети или ОС на узле) • Изменение профиля узла • Появление новой уязвимости Встроенная система корреляции событий
- 28. • В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции • Возможность создания динамических политик безопасности Встроенная система корреляции событий
- 29. • Распознавание узлов, приложений и пользователей в реальном времени, пассивно и непрерывно • Использование карты уязвимостей на контролируемой сети • Корреляция всех событий для оценки ущерба для цели • Фокус на событиях, которые действительно имеют значение Оценка ущерба
- 36. Признаки (индикаторы) компрометации События СОВ Бэкдоры Подключения к серверам управления и контроля ботнетов Наборы эксплойтов Получение администраторски х полномочий Атаки на веб- приложения События анализа ИБ Подключения к известным IP серверов управления и контроля ботнетов События, связанные с вредоносным кодом Обнаружение вредоносного кода Выполнение вредоносного кода Компрометация Office/PDF/Java Обнаружение дроппера
- 37. Threat Intelligence от производителя
- 38. • Не только URL-фильтрация, но и DNS- фильтрация • Проблемы с адресов fast-flux доменах • Предлагаемые производителем и настраиваемые пользователем DNS списки: CnC, Spam, Malware, Phishing • Множество действий: Block, Domain Not Found, Sinkhole, Monitor • Индикаторы компрометации дополнены поддержкой DNS Security Intelligence DNS Инспекция DNS List Action
- 39. Management Center Сбор данных об угрозах Генерация обогащенных отчетов об инцидентах Корреляция с данными от сенсоров Уточнение состояния безопасности Ingest Данные Сенсоры безопасности • NGFW • NGIPS • EDR Threat Intelligence Не зависеть от производителя CSV
- 40. Отраслевые организации Еще больше данных об угрозах и IOC Источники данных об угрозах Платформы Threat Intelligence
- 41. Обнаружение вредоносного ПО Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41 c Репутация файла (EDR/NTA и песочница) • Известные сигнатуры • Нечеткие отпечатки • Индикаторы компрометации û Блокирование известного вредоносного ПО Анализ файлов в безопасной среде Обнаружение новых угроз Реакция на тревоги Траектории в сети и на устройстве Журнал NDR for Network ü Песочница • Расширенная аналитика • Динамический анализ • Аналитика угроз ? Журнал EDR for Endpoint Диспозиция Обеспечение во всей инфраструктуре RiskySafeUncertain Анализ в песочнице
- 42. EDR защищает с помощью репутационной фильтрации и поведенческого анализа файлов Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
- 43. EDR обеспечивает ретроспективную защиту ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак
- 44. Конечное устройство Не забываем про интеграцию с системой защиты конечных устройств ПесочницаThreat Intel Облако Другие решения по ИБ
- 45. Самообучение 45
- 46. Автоматизация создания и тюнинга политик 46
- 47. Визуальная схема источников событий Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47 Аналитика ИБ Аналитика ИБ Ядро IPS Нормализация трафика DNS Sinkhole Расш. SSL Обнар. файлов Обнаруж. прилож. Контроль сети AMPURL Identity События Intrusion События File События Malware Действия пользоват. Профили хостов Приложения Детали приложений Атрибуты хостов Серверы Траектория файлов File AMP 4 Endpoints События Discovery События Connection Индикаторы компрометации Доп. данные • Данные Geo IP • Данные CVE / Vuln • Данные IP- репутации • Данные о URL TI
- 48. Автоматизация нейтрализации Примеры модулей нейтрализации • Интеграция с сетевым оборудованием • Установка атрибута хоста • Скан Nmap • Скрипты • F5 iRules • Netscaler • … События Intrusion События Discovery Действия пользователей События хостов События Connection Профили трафика Событие Malware Правила корреляции Условия Политики корреляции Правила корреляции События корреляции Действия (API, Email, SNMP)
- 49. Архитектура с двойным многоядерным CPU обеспечивает: Защита от угроз без компромиссов с производительностью Уровень 7 & Advanced Threat Engine I/O Многоядерный CPU x86 Внутренний свитч Ускорение на уровнях 2-3 & SSL Многоядерный CPU NPU Сохранение производительность, когда включаются дополнительные сервисы инспекции угроз Гибкость и будущее развитие vs. построенных на ASIC платформах, мешающих добавлению новых функций ИБ Умная обработка трафика проверяет потоки, не требуя ИБ-инспекции, тем самым повышая производительность Сохранение производительности
- 50. Сравнение производительность на больших пакетах* Масштабируемая производительность Сервисы FW+AVC Снижение производи- тельность (vs. FW+AVC) FW+AVC+IPS Производитель А 1.9 - 8.5 Гбит/с ~ 0% 1.9 – 8.5 Гбит/с Производитель Б 2.0 – 4.0 Гбит/с < 50% > 1.0 – 2.0 Гбит/с Производитель В 2.0 – 3.0 Гбит/с < 50% > 1.0 – 1.5 Гбит/с Производитель Г 2.5 – 7.0 Гбит/с < ~ 50% > 1.7 – 3.5 Гбит/с Конкурентные решения не могут обеспечить такие же показатели Сохранение производительности *Источник: 1024 байта или выше для TCP из материалов каждого производителя
- 51. Цена автоматизации 51 $144 000 $72 000 $59 400 $24 300 $18 000 $3 000 Оценка ущерба Автоматизация тюнинга Ассоциация атак с пользователями Типичный МСЭ NGFW Источник: SANS "Calculating TCO on Intrusion Prevention Technology” whitepaper, December 2013 Одно из трех крупнейших мировых кредитных бюро: • 20,000 узлов • 7,500 сотрудников Часовая ставка сотрудника: $75/час Правильный NGFW сохраняет заказчику $230,100 в год.