Обзор cisco asa с firepower сервисами
TRANSCRIPT
© 2014-2015 Elcore | Elko.by. All rights reserved.
Обзор Сisco ASA c FirePower сервисами
Максим Порицкий
инженер по направлению Сisco, ССIE R&S
2015
© 2014-2015 Elcore | Elko.by. All rights reserved. 2
Содержание
Что такое ASA c FirePOWER сервисами FireSIGHT Next Generation IPS Next Generation Firewall + AVC + URL фильтрация Advanced Malware Protection Cisco FireSIGHT Management Center Портфолио ASA с сервисами FirePower Лицензирование Заключение
© 2014-2015 Elcore | Elko.by. All rights reserved. 3
Что представляет собой ASA c FirePOWER сервисами?
Industry’s First Threat-Focused
Next-Generation Firewall (NGFW)
#1 Cisco® security announcement of the year
Интеграция нескольких уровней защиты в одном устройстве позволяет:
обеспечить лучшую видимость и распознавание атак
динамическая защита и адаптация под изменения окружения
защиту от “сложных/многовекторных” атак
Cisco ASA Firewall (лидирующий в отрасли NGFW)
Лидирующий в отрасли NGIPS и AMP
Cisco ASA with FirePOWER™ Services
© 2014-2015 Elcore | Elko.by. All rights reserved. 4
Фокусируются на приложениях …
101 010011101 1100001110001110 1001 1101 1110011 0110011
01 1100001 1100 0111010011101 1100001110001110 1001 1101 11
Проблема многих Next-Generation МСЭ
…Но пропускают атаки
Прежние МСЭ нового поколения могли уменьшить область атаки, но усовершенствованный вредоносный код часто обходил защитные механизмы
© 2014-2015 Elcore | Elko.by. All rights reserved. 5
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство
Виртуальная машина
Облако
Исследование Внедрение
политик Укрепление
Обнаружение Блокирование
Защита
Локализация Изолирование Восстановлени
е
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
Комплексная система безопасности Как это в исполнении ASA
© 2014-2015 Elcore | Elko.by. All rights reserved. 6
Сервисы FirePower
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты Cisco ASA
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и
автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль
приложений
Межсетевой экран Маршрутизация и
коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
© 2014-2015 Elcore | Elko.by. All rights reserved. 7
FireSIGHT
Понимание сети
© 2014-2015 Elcore | Elko.by. All rights reserved. 8
Важность контекста
Event: Attempted Privilege Gain Target: 96.16.242.135
Event: Attempted Privilege Gain Target: 96.16.242.135 (vulnerable) Host OS: Blackberry Apps: Mail, Browser, Twitte Location: Whitehouse, US
Event: Attempted Privilege Gain
Target: 96.16.242.135 (vulnerable) Host OS: Blackberry Apps: Mail, Browswer, Twitter Location: Whitehouse, US User ID: bobama Full Name: Barack Obama Department: Executive Office
Контекст имеет способность фундаментально изменить
интерпретацию событий безопасности
Событие одно и тоже – реакция разная ;)
Какой системой Вы предпочтете управлять? ;)
© 2014-2015 Elcore | Elko.by. All rights reserved. 9
Сенсоры - ASA Пассивное
обнаружение
Hosts Services Applications Users Communications
Vulnerabilities
FireSIGHT -
система осведомления,
в режиме реального времени,
информации об инфраструктуре
Важность контекста Понимание своей инфраструктуры
The FireSIGHT использует функционал network discovery для мониторинга сетевого трафика и построения карты сети
Управляемые устройства пассивно собирают информацию, распознавая типы узлов, ОC, ПО, открытые порты и т.д. и информируют об этом FireSIGHT
User Agents на Microsoft Active Directory пересылают информацию об LDAP аутентификации пользователей
Информация по сбору может быть расширена за счет NetFlow, сканирования и др. методов
© 2014-2015 Elcore | Elko.by. All rights reserved. 10
Беспрецедентная прозрачность сетевой активности
Категории FirePOWER сервисы Типовые IPS Типовые МСЭ нового
поколения
Угрозы Пользователи Веб-приложения Протоколы приложений Передача файлов Вредоносный код Серверы управления и контроля
ботнета
Клиентские приложения Сетевые серверы Операционные системы Маршрутизаторы и коммутаторы Мобильные устройства Принтеры VoIP-телефония Виртуальные машины
© 2014-2015 Elcore | Elko.by. All rights reserved. 11
Индикатор компрометации Indications of Compromise (IoCs)
IPS Events
Malware Backdoors
CnC Connections
Exploit Kits Admin Privilege
Escalations
Web App Attacks
SI Events
Connections to Known CnC IPs
Malware Events
Malware Detections
Malware Executions
Office/PDF/Java Compromises
Dropper Infections
Узлы, которые подверглись атакам, система помечает indications of compromise (IOC) tags, для визуализации возможного распространения атак
© 2014-2015 Elcore | Elko.by. All rights reserved. 12
Оценка вредоносного воздействия
1
2
3
4
0
УРОВЕНЬ
ВОЗДЕЙСТВИЯ
ДЕЙСТВИЯ
АДМИНИСТРАТОРА ПРИЧИНЫ
Немедленно принять
меры, опасность
Событие соответствует
уязвимости,
существующей на данном
узле
Провести расследование,
потенциальная опасность
Открыт соответствующий
порт или используется
соответствующий
протокол, но уязвимости
отсутствуют
Принять к сведению,
опасности пока нет
Соответствующий порт
закрыт, протокол не
используется
Принять к сведению,
неизвестный объект
Неизвестный узел в
наблюдаемой сети
Принять к сведению,
неизвестная сеть
Сеть, за которой не
ведется наблюдение
Каждому событию вторжения присваивается уровень воздействия атаки на объект
Устранить шум
Выявить реальные угрозы
Приоритетность действий администраторов
© 2014-2015 Elcore | Elko.by. All rights reserved. 13
Next Generation IPS
Во время атаки
© 2014-2015 Elcore | Elko.by. All rights reserved. 14
За основу взята сетевая система предотвращения вторжений (IPS) с открытым кодом SNORT Архитектурно состоит из:
Sniffer – захватывает проходящие в сети пакеты (IPv4/v6)
Preprocessors – собирает пакеты в сессии, проверяет корректность протоколов и заголовков, информирует об аномалиях
detection engine – анализ соответствия “собранного” трафика правилам безопасности
output and alerting module – вывод уведомлений
Next Generation IPS
© 2014-2015 Elcore | Elko.by. All rights reserved. 15
Next Generation Firewall
Перед атакой
© 2014-2015 Elcore | Elko.by. All rights reserved. 16
Важность понимания приложений (AVC)
Недостаточно традиционного Firewall
Атаки осуществляются через разрешенные политики безопасности
Application Visibility and Control (AVC) – технология обнаружения и идентификации приложений (DPI + NBAR2)
Политики безопасности на основе приложений
Распознав приложение, в работу подключается NGIPS
© 2014-2015 Elcore | Elko.by. All rights reserved. 17
Распознавание приложений
Анализ сетевого трафика позволяет распознавать широкий спектр различных приложений, которые затем можно использовать в правилах политики безопасности
© 2014-2015 Elcore | Elko.by. All rights reserved. 18
Система предотвращения вторжений нового поколения – проверка содержимого
Учет контекста
Интеллектуальная система безопасности – управление черными списками
Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу
И все эти компоненты прекрасно интегрируются друг с другом
Используются политики системы предотвращения вторжений
Политики контроля файлов
Политика межсетевого экрана
Политика в отношении системы предотвращения вторжений
нового поколения
Политика в отношении файлов
Политика в отношении вредоносных программ
Контролируемый
трафик
Коммутация, маршрутизация, VPN, высокая доступность
(кластеризация)
URL-фильтрация
Интеллектуальная система безопасности
Определение местоположения по IP-адресу
Интеграция всех сервисов
© 2014-2015 Elcore | Elko.by. All rights reserved. 19
Фильтрация URL
Фильтрация URL-адресов по репутации и категориям обеспечивает комплексное оповещение и контроль над подозрительным веб-трафиком, а также применение политик для сотен миллионов URL-адресов в более чем 80 категориях
© 2014-2015 Elcore | Elko.by. All rights reserved. 20
Контроль по типам файлов и направлению передачи
© 2014-2015 Elcore | Elko.by. All rights reserved. 21
Гео-локация и визуализация местонахождения атакующих
Учет гео-локационной информации в политиках безопасности
Визуализация карт, стран и городов для событий и узлов
© 2014-2015 Elcore | Elko.by. All rights reserved. 22
«Черные списки»: свои или централизованные
© 2014-2015 Elcore | Elko.by. All rights reserved. 23
Создание «белых списков» / «списков соответствия»
Разрешенные типы и версии ОС
Разрешенные клиентские
приложения
Разрешенные Web-приложения
Разрешенные протоколы
транспортного и сетевого уровней
Разрешенные адреса / диапазоны
адресов
И т.д.
© 2014-2015 Elcore | Elko.by. All rights reserved. 24
Advanced Malware Protection AMP
© 2014-2015 Elcore | Elko.by. All rights reserved. 25
Обнаружение вредоносного кода с помощью AMP
Фильтрация по репутации Поведенческое обнаружение
Динамический анализ
(песочница)
Машинное обучение (атрибуты
файла – 400 шт)
Нечеткие отпечатки
(похожие элементы файла)
Расширенная аналитика (от разных устройств
безопасности)
Точная сигнатура
Признаки вторжения
(поведение в сети)
Корреляция потоков
Усовершенствованная система защиты от вредоносного ПО обеспечивает высокую
эффективность обнаружения вторжений, низкую стоимость владения и оптимальный уровень
защиты, позволяя быстро выявлять, анализировать и предотвращать распространение
вредоносного ПО и возникающих угроз, которые могут быть пропущены на других уровнях защиты
© 2014-2015 Elcore | Elko.by. All rights reserved. 26
Траектория Поведенческий анализ
компрометации
Охота на бреши
Ретроспектива Составление Attack Chain
Cisco AMP защита с помощью ретроспективной безопасности
© 2014-2015 Elcore | Elko.by. All rights reserved. 27
Анализ траектории движения вредоносных программ
Сетевая платформа использует индикаторы компрометации, анализ файлов и траекторию движения файла для того, чтобы показать, как вредоносный файл перемещается по сети, откуда он появился, что стало причиной его появления и кто еще пострадал от него
Сеть
Endpoint
Контент
© 2014-2015 Elcore | Elko.by. All rights reserved. 28
Cisco FireSIGHT Management Center AFTER
© 2014-2015 Elcore | Elko.by. All rights reserved. 29
Системы управления
© 2014-2015 Elcore | Elko.by. All rights reserved. 30
Cisco FireSIGHT Management Center
© 2014-2015 Elcore | Elko.by. All rights reserved. 31
Cisco FireSIGHT Management Center
750 2000 4000 Virtual
Max. Devices
Managed* 10 70 300
Virtual FireSIGHT Management Center
Up to 25 Managed Devices
Event Storage 100 GB 1.8 TB 4.8/6.3 TB
Max. Network
Map (hosts /
users)
2K/2K 150K/150K 600K/600K Virtual FireSIGHT
Management Center
Up to 2 or 10 Managed Devices - Promotional PID
NOTE: For FirePOWER on ASA only Events per
Sec (EPS) 2000 12000 20000
© 2014-2015 Elcore | Elko.by. All rights reserved. 32
Портфолио ASA с сервисами FirePower ASA
© 2014-2015 Elcore | Elko.by. All rights reserved. 33
ASA 5585-X
ASA 5512-X
ASA 5515-X
ASA 5525-X
ASA 5545-X
ASA 5555-X
FirePOWER Hardware module
Портфолио ASA с сервисами FirePower
ASA 5516-X
SMB, Филиалы
ASA 5506-X
ASA 5508-X
FirePOWER Software module – requires SSD disc
Филиалы, центральный сайт, Интернет DC
© 2014-2015 Elcore | Elko.by. All rights reserved. 34
Category Features ASA 5506-X/5506H-X/5506W-X ASA 5508-X
Performance
Multiprotocol stateful firewall 300 Mbps 500 Mbps
VPN throughput 100 Mbps 175 Mbps
Maximum AVC throughput 250 Mbps 450 Mbps
Maximum AVC and NGIPS throughput 125 Mbps 250 Mbps
AVC or IPS sizing throughput [440 B] 90 Mbps 180 Mbps
Maximum concurrent sessions 50,000 (SecPlus Lic) 100,000
Maximum CPS 5000 10000
Производительность ASA5506-5508
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html
© 2014-2015 Elcore | Elko.by. All rights reserved. 35
440 byte HTTP Transactional test in Mbps
IPS uses Balanced Profile, AVC uses Network Discovery: Applications
Model 5512-X 5515-X
5516-X
5525-X 5545-X 5555-X
FirePOWER
IPS or AVC (1 Service)
100 150 300 375 575 725
FirePOWER
IPS + AVC (2 Services)
75 100 150 255 360 450
FirePOWER
IPS+AVC+AMP (3 Services)
60 85 135 205 310 340
Производительность ASA5512X-5555X
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html
© 2014-2015 Elcore | Elko.by. All rights reserved. 36
440 byte HTTP Transactional test in Mbps
IPS uses Balanced Profile, AVC uses Network Discovery: Applications
Model 5585-10 5585-20 5585-40 5585-60
FirePOWER
IPS or AVC (1 Service)
1200 2000 3500 6000
FirePOWER
IPS + AVC (2 Services)
800 1200 2100 3500
FirePOWER
IPS+AVC+AMP (3 Services)
550 850 1500 2300
Производительность ASA5585
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html
© 2014-2015 Elcore | Elko.by. All rights reserved. 37
Лицензирование ASA
© 2014-2015 Elcore | Elko.by. All rights reserved. 38
Лицензирование
FirePower-бандлы (K8, K9)
5 вариантов заказа функций безопасности
Подписка на 1, 3, 5 (включая обновления)
Функция AVC и NGFW включена по умолчанию
Постоянная лиц., поставляется вместе с устройством
Обновления AVC включены в SMARTnet
Security Plus Lic (для ASA5506X) – HA, сессии, VLAN
Security Context Lic (c ASA5508X)
IPS
URL
URL
IPS
TAMC TAC TA
URL
URL
AMP
IPS
TAM
AMP
IPS
© 2014-2015 Elcore | Elko.by. All rights reserved. 39
Заключение ASA
© 2014-2015 Elcore | Elko.by. All rights reserved. 40
Это лучшие наработки по интеграции:
FireSIGHT – пассивное обнаружение сетевого окружения
NGIPS – контекстного IPS нового поколения
NGFW – МСЭ нового поколения с пониманием приложений
URL-фильтрации
AMP – защиты от вредоносного ПО
Что такое ASA c FirePower сервисами ?
© 2014-2015 Elcore | Elko.by. All rights reserved. 41
ASA with FirePOWER объединяет все вместе
Исследование Внедрение
политик Укрепление
Обнаружение Блокирование
Защита
Локализация Изолирование
Восстановление
Жизненный цикл атаки
ДО АТАКИ
ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
МСЭ/VPN NGIPS
Исследования ИБ
Защита Web
Advanced Malware Protection
Видимость и автоматизация
Контроль приложений
Контроль угроз
Ретроспективный анализ
IoCs/Реагирование на инциденты
© 2014-2015 Elcore | Elko.by. All rights reserved.
Cпасибо за внимание!
Максим Порицкий
инженер по направлению Сisco, ССIE R&S
2015