Безопасность периметра: МЭ и ips cisco и sourcefire. Сетевой fireamp
TRANSCRIPT
![Page 1: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/1.jpg)
Безопасность периметра: МЭ и IPS Cisco и Sourcefire Сетевой FireAMP
Андрей Москвитин
Специалист по решениям ИБ
![Page 2: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/2.jpg)
NGFW & NGIPS – что это?
![Page 3: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/3.jpg)
3 C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
“NGIPS в будущем войдёт в NGFW, но сейчас большинство существующих NGFW обладают только базовым функционалом IPS”
Стандартные возможности «предыдущего поколения»
Понимание приложений и их компонентов
Встроенный сетевой IPS
Интеграция с внешними сервисами, пример:
• Каталоги пользователей
• «Репутационные» сервисы
Стандартные возможности «предыдущего поколения»
Понимание приложений
Понимание контекста и контента
Гибкий движок, оперативные обновления сигнатур
Источник:“Defining Next-Generation Network Intrusion Prevention,” Gartner, October 7, 2011. “Defining the Next-Generation Firewall,” Gartner, October 12, 2009
![Page 4: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/4.jpg)
C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 4
АЛЬТЕРНАТИВА
ASA 5500-X с
межсетевым экраном
нового поколения
Межсетевой экран ASA +
межсетевой экран и система
предотвращения вторжений
нового поколения
FirePOWER
Межсетевой экран ASA +
FirePOWER
Межсетевой экран ASA
5585 с системой
предотвращения
вторжений
Межсетевой экран ASA
55х5 с системой
предотвращения
вторжений
Межсетевой экран
нового поколения
ASA 5500-X
Межсетевой экран ASA + межсетевой экран и
система предотвращения вторжений нового
поколения FirePOWER
Межсетевой экран ASA +
межсетевой экран и система
предотвращения вторжений
нового поколения FirePOWER
АЛЬТЕРНАТИВА
ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ
Межсетевой экран ASA
5585 с системой
предотвращения
вторжений
Операции безопасности
Покупатели для центров обработки данных
{Комплексная
безопасность является
основным критерием
при покупке}
Операции безопасности
Покупатели граничных устройств
{Комплексная безопасность является
основным критерием при покупке}
Сетевые операции
Покупатели для центров
обработки данных
{Консолидация устройств
является основным
критерием при покупке}
Сетевые операции
Покупатели граничных устройств
{Консолидация
устройств
является основным
критерием при покупке}
![Page 5: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/5.jpg)
Cisco IPS
![Page 6: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/6.jpg)
C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6
Низкий уровень
Средний уровень Высокий уровень
Пропускная способность
ISR
Cisco
Catalyst® 6500
Cisco IPS серии
4500, 4300,
и 4200
Cisco ASA
серии 5500
Cisco® ASA
серии 5500-X
Cisco ASA 5515-X IPS
Cisco ASA 5525-X IPS
Cisco ASA 5545-X IPS
Cisco ASA 5555-X IPS
Cisco IPS 4510
и 4520
Cisco ASA 5512-X IPS
Cisco ASA 5585-P10S1 Cisco ASA
5585-P20S20
Cisco ASA 5585-P40S40
Cisco ASA 5585-P60S60
Cisco ASA 5510-AIP10
Cisco ASA 5510-AIP20
Cisco ASA 5520-AIP10
Cisco ASA 5520-AIP20
Cisco ASA 5520-AIP40
Cisco ASA 5540-AIP20
Cisco ASA 5540-AIP40
Cisco IPS 4270
Cisco IPS 4360
Cisco IPS 4345
Cisco IPS 4240 Cisco IPS 4255
Cisco IPS 4260
IDSM2
Комплект Cisco Catalyst® 6500 IDSM2
Cisco IOS® IPS
Cisco IPS NME
![Page 7: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/7.jpg)
Cisco Next-Generation Firewall (ASA-CX)
![Page 8: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/8.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
• Использует в качестве основы ASA stateful inspection
firewall;
• Предоставляет следующие продвинутые (NGFW)
сервисы:
Репутационная фильтрация веб трафика для защиты от
вредоносного ПО;
URL-фильтрация доступа к разным категориям сайтов на
основе заданной политики;
Контроль использования приложений Application visibility and
control (AVC)
Защита от угроз (NGFW IPS)
![Page 9: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/9.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
200 Mbps NGFW
60 Mbps NGFW + IPS
100K Connections
10,000 CPS
Защита филиалов Защита доступа в Интернет/границы сети
ASA 5512-X
350 Mbps NGFW
90 Mbps NGFW + IPS
250K Connections
15,000 CPS
ASA 5515-X
650 Mbps NGFW
300 Mbps NGFW + IPS
500K Connections
20,000 CPS
1 Gbps NGFW
450 Mbps NGFW + IPS
750K Connections
30,000 CPS
1.4 Gbps NGFW
600 Mbps NGFW + IPS
1M Connections
50,000 CPS
ASA 5525-X
ASA 5545-X
ASA 5555-X
![Page 10: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/10.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Защита доступа в Интернет/границы сети
2 Gbps NGFW
1 Gbps NGFW + IPS
500K Connections
40,000 CPS
ASA 5585-SSP10
Защита доступа в Интернет/границы сети
5 Gbps NGFW
1.5 Gbps NGFW + IPS
1 Million Connections
75,000 CPS
ASA 5585-SSP20
9 Gbps NGFW
2.5 Gbps NGFW + IPS
1.8 Million Connections
120,000 CPS
ASA 5585-SSP40 13 Gbps NGFW
4 Gbps NGFW + IPS
4 Million Connections
160,000 CPS
ASA 5585-SSP60
New
with 9.2
New
with 9.2
![Page 11: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/11.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Требования к
оборудованию Требования к ПО
• Для платформ 5512-X, 5515-X, 5525-X,
5545-X, 5555-X требуется SSD диск.
• Для 5585-X SSP10, 20, 40, 60
для функционала NGFW необходим
отдельный аппаратный модуль.
• ASA должна использовать код не ниже
версии 9.1.3
• NGFW должен использовать 9.2
• Сервер PRSM должен использовать 9.2
Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса.
![Page 12: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/12.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
VPN Termination
Routing
Botnet Traffic Filter
TCP Proxy
TLS Proxy
AVC Multiple Policy Decision
Points
HTTP Inspection
URL Category/Reputation
NGFW IPS
NGFW
ASA
![Page 13: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/13.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
ASA L3 / L4
NGFW L3 / L4
NGFW – WSE
NGFW –
Broad AVC
NGFW –
Web AVC
IPS
![Page 14: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/14.jpg)
Sourcefire NGFW, NGIPS, network AMP
![Page 15: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/15.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Sourcefire – эксперты в области ИБ
• Гениальная команда
• Больше 10 лет на рынке
• 6 лет подряд лидирует в квадратах Gartner
• Защищает компании в более чем 180 странах
• Инновации: 41+ патент получен или в разработке
• Open source проекты - Snort, ClamAV, Razorback, OpenAppID
IPS MQ Leader America’s Fastest-Growing Tech Companies 2011
![Page 16: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/16.jpg)
16
Gartner – MQ for Intrusion Prevention, декабрь 2013
Лидер Gartner
Magic Quadrant for
IPS с 2006
![Page 17: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/17.jpg)
17
Sourcefire FireSIGHT видит «все» КАТЕГОРИИ
ПРИМЕРЫ
SOURCEFIRE
СИСТЕМЫ
ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ И
МЕЖСЕТВЫЕ
ЭКРАНЫ НОВОГО
ПОКОЛЕНИЯ
СТАНДАРТНА
Я
СИСТЕМА
ПРЕДОТВРА
ЩЕНИЯ
ВТОРЖЕНИЙ
СТАНДАРТН
ЫЙ
МЕЖСЕТЕВ
ОЙ ЭКРАН
НОВОГО
ПОКОЛЕНИ
Я
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Веб-серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
![Page 18: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/18.jpg)
18
УСТРОЙСТВА | ВМ
NGFW NGIPS AMP
Sourcefire – решения по обеспечению безопасности
ДО
Вы видите,
вы контролируете
ВО ВРЕМЯ
Интеллектуальное
противодействие
и с учетом контекста
ПОСЛЕ
Ретроспективные
средства безопасности
ЦЕНТР УПРАВЛЕНИЯ
![Page 19: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/19.jpg)
19
FirePOWER™: single-pass, высокопроизводительная, с низкой задержкой аппаратная платформа
• Гибкая интеграция в программное обеспечение
NGIPS,NGFW, AMP
Все вышеперечисленные (просто выбрать соответствующий размер)
• Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с ->60 Гбит/с
Стекирование для масштабирования, кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISC
До 60 Гбит/с
(система предотвращения вторжений)
![Page 20: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/20.jpg)
20
Про
изв
од
ите
льно
сть
и м
асш
таб
ир
уе
мо
сть
систе
мы
пр
ед
отв
ра
ще
ния в
торж
ений
Центр
обработки
данных Комплекс
зданий Филиал Малый или
домашний офис
Интернет-
периметр
FirePOWER 7100
500 Мбит/с – 1 Гбит/с
FirePOWER
7120/7125/8120
1 - 2 Гбит/с
FirePOWER
8100/8200
2 - 10 Гбит/с
FirePOWER серии
8200 и 8300
10 – 60 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series
50 – 250 Мбит/с
+ Сенсоры и консоль
управления в виде ВМ
![Page 21: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/21.jpg)
21
Объединенная партнерская программа Sourcefire и Cisco
Объединенная ИНФРАСТРУКТУРА API
![Page 22: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/22.jpg)
22
Подход Sourcefire: … непрерывный процесс до, во время и после атаки
Вы не можете
защитить то, что
не видите
Автоматическая
настройка системы
безопасности
…в режиме реального
времени,
в любой момент
времени
Преобразование
данных
в информацию
ВИДЕТЬ АДАПТИ-
РОВАТЬ
УЧИТЬСЯ ДЕЙСТ-
ВОВАТЬ
![Page 23: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/23.jpg)
23
Пассивное
обнаружение
В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время
в режиме
реального времени
![Page 24: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/24.jpg)
24
Cisco действует также: добавляет контекст и понимание
C I2 I4 A
ЛОКАЛЬНО Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действие
APP Приложения
URL Сайты
Реализация безопасности
и глобальным контекстом
![Page 25: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/25.jpg)
25
Контекст – это самое важное
Событие: Попытка получения
доступа
Цель: 96.16.242.135
Событие: Попытка получения
доступа
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта,
браузер, Twitter
Местоположение Белый дом, США
Событие: Попытка получения
доступа
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта,
браузер, Twitter
Местоположение Белый дом, США
Идентификатор пользователя: bobama
Ф. И. О. Барак Обама
Департамент: административный
Контекст способен фундаментально изменить
интерпретацию данных события
![Page 26: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/26.jpg)
26
Какие системы были заражены?
Почему это произошло?
Где источник заражения?
За что еще он отвечает?
С кем он еще взаимодействовал?
См
отр
ите
в с
уть
: тра
екто
ри
я у
стр
ой
ств
а
Смотрите широко: траектория сети
Анализ траектории файла и устройства – поиск источника заражения
![Page 27: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/27.jpg)
27
Лицензирование Sourcefire Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование
Асимметричная
многопроцессорная
обработка
Система предотвращения
вторжений нового
поколения
Межсетевой экран нового
поколения
Стандартные
функции
устройства
Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓
Регистрация подключений / потока ✓ ✓ ✓ ✓
Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓
Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓
Защита
Ведущая система предотвращения вторжений NSS
Расширенная
лицензия
* ✓ ✓
Комплексное предотвращение угроз * ✓ ✓
Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓
Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓
Базовое предотвращение потери данных в правилах IPS (SSN, кредитные
карты и пр.) * ✓ ✓
Контроль
[1]
Контроль доступа: применение по приложению
Расширенная
лицензия
Расширенная
лицензия Расширенная лицензия
✓
Контроль доступа: применение по пользователю ✓
Коммутация, маршрутизация и возможности NAT [3] ✓
VPN Сеть VPN «узел-узел» IPSec [2] Расширенная
лицензия
Расширенная
лицензия Расширенная лицензия ✓
Фильтрация
URL-адресов Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год
Защита от
вредоносных
программ
Подписка на блокирование вредоносных программ, непрерывный анализ
файлов, отслеживание траектории движения вредоносных программ в сети Стоимость на год Стоимость на год Стоимость на год Стоимость на год
[1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT
“*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок
![Page 28: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/28.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
• Настраиваемая инструментальная панель
• Комплексные отчеты и оповещения
• Централизованное управление политиками
• Иерархическое управление
• Обеспечение высокой доступности
• Интеграция с существующими системами безопасности
![Page 29: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/29.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
DC750 DC1500 DC3500
Макс. число управляемых
устройств* 10 35 150
Макс. число событий
системы предотвращения
вторжений 20 млн. 30 млн. 150 млн.
Система хранения
событий 100 Гб 125 Гб 400 Гб
Макс. сетевая карта
(хосты | пользователи) 2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.
Макс. кол-во Netflow
(потоков/с) 2000 потоков/с 6000 потоков/с 10000 потоков/с
Возможности
высокой доступности
Дистанционное управление
(LOM)
RAID 1, LOM,
High Availability
pairing (HA)
RAID 5, LOM,
HA, резервный
источник питания пер. тока
* Макс. число устройств зависит от типа сенсора и частоты событий
![Page 30: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/30.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
![Page 31: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/31.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
![Page 32: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/32.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
![Page 33: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/33.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
![Page 34: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/34.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
Просмотр всего трафика приложения...
Поиск приложений с высокой степенью риска... Кто их использует?
Какие использовались операционные системы?
Чем еще занимались эти пользователи?
Как выглядит их трафик за период времени?
![Page 35: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/35.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Идентифицированная операционная система
и ее версия
Серверные приложения и их версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует
пользователь? Когда?
![Page 36: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/36.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
![Page 37: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/37.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Различные категории URL
URLs категорированы по уровню рисков
![Page 38: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/38.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
![Page 39: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/39.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
![Page 40: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/40.jpg)
C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40
Что это?
Сигналы тревоги и правила блокирования:
Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи
Источники вредоносного ПО, фишинга и спама
Возможно создание пользовательских списков
Загрузка списков от Sourcefire или иных источников
Как это может помочь?
Блокировать каналы вредоносных коммуникаций
Непрерывно отслеживать любые несанкционированные и новые изменения
![Page 41: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/41.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
• Визуализация карт, стран и городов для событий и узлов
![Page 42: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/42.jpg)
C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 42
• IP –адреса должны быть маршрутизируемыми
• Два типа геолокационных данных
Страна – включено по умолчаниюt
Full – Может быть загружено после
Установки:
Почтовый индекс, координаты, TZ, ASN, ISP,
организация, доменное имя и т.д.
Ссылки на карты (Google, Bing и другие)
• Страна сохраняется в запись о событии
Для источника & получателя
![Page 43: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/43.jpg)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
![Page 44: Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP](https://reader031.vdocuments.net/reader031/viewer/2022020116/55780027d8b42aa5488b47eb/html5/thumbnails/44.jpg)
© 2013 Cisco and/or its affiliates. All rights reserved.
Спасибо!
CiscoRu Cisco CiscoRussia