nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh...

McAfee Confidential—Internal Use Only

Nền tảng bảo mật tối ưu phòng chống cácnguy cơ an ninh mạng

Chau LeTechnical Manager, Vietnam


Agenda

Giới thiệu McAfee

Tối ưu hóa bảo mật

Mô hình bảo mật và thách thức kinh doanh

Giải pháp thu thập và phân tích thông tin SIEM

SIEM truyền thống và SIEM thế hệ mới

McAfee SIEM

Tóm tắt


Giới thiệu McAfee

3

• Một công ty bảo mật hàng đầu thế giới chuyên tập trung100% về giải pháp an ninh hệ thống gồm các sản phẩm chocá nhân cũng như doanh nghiệp trên toàn cầu

• Được INTEL mua lại vào 28/2/2011• Liên tiếp 19 năm đạt giải thưởng giải pháp bảo mật.• 20 quý liên tiếp đạt tăng trưởng gấp đôi cùng kỳ năm trước• Đội ngũ quản lý vững mạnh và 6.380 nhân viên chuyên

nghiệp.

• Nghiên cứu toàn cầu- có mặt tại 120 quốc gia (R & D ở26 quốc gia)

• 480 bằng sáng chế, và nhiều sáng chế khác đang tiếnhành.

• 9 giải pháp nằm trong top đánh giá của Gartner

• 300 triệu người tin tưởng sử dụng McAfee• 94% trong 500 công ty lớn mạnh tin tưởng sử dụng

McAfee.• 10 nhà cung cấp viễn thông lớn nhất tin tưởng sử

dụng McAfee.• Các bộ phận quốc phòng lớn nhất tin tưởng sử dụng

McAfee

McAfee Confidential—Internal Use Only4 Security Connected

Enterprise Security

CAN?How?


Đạt đến tối ưu hóa: Mô hình tiêu chuẩnMaturity cho bảo mật doanh nghiệp

TỐI ƯU HÓA BẢO MẬT

OPTIMIZED(~4% chi phí đầu tư cho bảo mật )(~4% chi phí đầu tư cho bảo mật )

REACTIVE(~3% chi phí đầu tư cho bảo mật )(~3% chi phí đầu tư cho bảo mật )

COMPLIANT/PROACTIVE(~8% chi phí đầu tư cho bảo mật )(~8% chi phí đầu tư cho bảo mật )

TCO(CapEx + OpEx)

SecurityPosture


Kiến trúc công nghệ cho an ninh

Làm thế nào kết nối các giải pháp bảo mật với nhau?

Host IPSAgent

SystemsManagement

AgentAudit

Agent

AntivirusAgent

Encryption

NAC

DLPAgent

Mỗi giải pháp đềucần có mộtAGENT

Mỗi AGENTđều có mộtgiao diệnđiều khiển

Mỗi giao diện điềukhiển cần phải có mộtmáy chủ

Mỗi máy chủ đều cầnphải có hệ điềuhành/cơ sở dữ liệu

Nhân lực quản trị , bảo trì,vá lỗi

IT dừng lại ởđâu?

6


Kiến trúc công nghệ cho an ninh

Kết nối an toàn máy tính của bạn thế nào?

Giao diệnquản trịduy nhất

Agentcài đặt

duy nhất

McAfee ePO Server(AV, DLP, NAC,

Encryption,PA, Site Advisor)

7 Security Connected


McAfee Security ConnectedNền tảng giải pháp bảo mật tối ưu

SECURITY MANAGEMENT

Security Operations MgmtPolicy Auditing & ManagementVulnerability ManagementRisk ManagementCompliance Management

PARTNER COMMUNITY

McAfee ConnectedGlobal Strategic Alliance Partners

Security Innovation Alliance

High Assurance FirewallNetwork Intrusion PreventionNetwork Access ControlNetwork Behavior Analysis

NETWORK SECURITY

INFORMATION SECURITYEmail SecurityWeb SecurityData Loss PreventionEncryptionIdentity & Access ManagementAPI and Web Services Security

Server & Database Protection

Smartphone and Tablet ProtectionVirtual Machine and VDI Protection

Hardware Assisted Security

Embedded Device Protection

ENDPOINT SECURITYMalware ProtectionDevice EncryptionApplication WhitelistingDesktop FirewallDevice ControlEmail ProtectionNetwork Access ControlEndpoint Web ProtectionHost Intrusion ProtectionMobile Device Management



Kiến trúc mở cho giải pháp McAfee vàliên minh bảo mật CNTT (SIA partners)

SIA Associate PartnerSIA Technology Partner(McAfee Compatible)

Note: Partner listgrowing rapidly –inquire for current list



.

Kho chứa thông nguy cơan ninh từ cloud

Làm thế nào để tổ chức của bạn an toàn?McAfee Global Threat Intelligence (GTI)

NetworkIPS Firewall Web

Gateway Host AVMailGateway Host IPS 3rd Party

Feed

300M IPSattacks/mo.

300M IPSattacks/mo.

2B BotnetC&C IP

ReputationQueries/mo.

20B MessageReputation

Queries/mo.

2.5B MalwareReputation

Queries/mo.

300M IPSAttacks/mo.

Geo locationfeeds

10


Nguy cơ an ninh không ngừng thách thức

11

Tuân thủ PCI-DSS, HIPAA, NERC CIP,

SOX, GLBA, GPG-13

Mất dữ liệu• Các mối đe dọa nội bộ và

quản lý tài sản kỹ thuật sốcủa công ty

Virus tấn công• Tăng tính tinh vi và phổ biến

của các cuộc tấn côngmạng

Gian lận danh tính• Các vụ vi phạm dữ liệu công

ty tăng và trộm danh tính

Bảo mật doanh nghiệp• Dùng để quản lý và bảo vệ

các thông tin cho các nghànhcông nghiệp có các thông tinnhạy cảm.

Khối lượng lớn dữ liệu• Những khối lượng dữ liệu lớn

trình bày thu thập và phân tíchnhững thách thức


Giải pháp thu thập và phân tích thông tinSIEM

Security Information and Event Management (SIEM) được định nghĩa như một bộcông nghệ gồm:

• Thu thập log• Tương quan giữa các sự kiện• Nhóm các sự kiện giống nhau• Bình thường hóa• Duy trì• Phân tích và luồng thông tin

Ba yếu tố chính triển khai SIEM• Tầm nhìn trước mối đe dọa thời gian thực• Vận hành hiệu quả• Tính tuân thủ và các yêu cầu riêng cho hệ thống quản lý log

Device & ApplicationLog Files

ApplicationContent

DatabaseTransactions

Events fromSecurityDevices& Endpoints

VA ScanData

NetworkFlows

OS events

Authentication& IAM

Location


Giải pháp SIEM cổ điển

Device andApplication Log

Files

Authenticationand IAM

Events fromSecurity Devicesand Endpoints

UserIdentity Location

VA Scan Data Network Flows Time OS Events

DÒ TÌM DỰA TRÊN CÁC MẪU NGUY HIỂM ĐÃ BIẾT

Quản ly log

Hình dung, Điều traHình dung, Điều traHình dung, Điều tra

Bối cảnh truyền thống

• Xem tần số đăng nhập• Tìm kiếm các bản ghi• Tương quan sự kiện

13


Giải pháp SIEM thế hệ mới

Quản lý log


Nhận biết nội dung

VA Scan Data Network Flows Time OS Events

Ứng dụng Cơ sở dữ liệu

Các dòng chảy chỉ ra tần xuất nhưng bỏqua cái gì, ai và như thế nàoBức tranh tổng thể từ ứng dụng và cơ sởdữ liệuLog ứng dụng hạn chế do hiệu năng hệthống.Log cơ sở dữ liệu hạn chế do chính sách

• Xem tần số đăng nhập• Tìm kiếm các bản ghi• Tương quan sự kiện• Các dữ liệu liên quan• Ai là người làm việc đó

Visualize, Investigate, RespondVisualize, Investigate, RespondVisualize, Investigate, Respond

14

Hình dung , điều tra, ứng phóHình dung , điều tra, ứng phóHình dung , điều tra, ứng phó


Mcafee SIEM đáp ứng yêu cầu SIEM thếhệ mới

Quàn lý log


Nhận biết nội dung

Nội dung động

Hình dung, Điều tra, ứng phóHình dung, Điều tra, ứng phóHình dung, Điều tra, ứng phó

Mối đa dọa toàn cầu Mức độ an ninhdoanh nghiệp

ePolicyOrchestrator

RiskAdvisor

Công cụ nâng cao tương quanCông cụ nâng cao tương quanCông cụ nâng cao tương quan• Xem tần số đăng

nhập• Tìm kiếm các bản

ghi• Tương quan sự

kiện• Ai là người làm việc

đó?• Rủi ro hệ thống?

• Mối đe dọa tình báo• Báo động ngay lập tức• Phân tích lịch sử

• Lổ hổng• Số lượt truy cập• Cá nhân

15


Giới thiệu McAfee SIEM•An ninh và tuân thủ thời gian thực

– Tích hợp SIEM, giám sát cơ sở dữ liệu, ứng dụng, vàtương quan nâng cao (rủi ro và lịch sử).

– Chứng nhận dành cho quốc phòng, cơ sở hạ tầngquan trọng

Chỉ có SIEM FIPS-140-2 được xác nhận & tiêu chuẩnchung EAL 3+

• Tổng quan NitroSecurity– McAfee SIEM là NitroSecurity

• Được mua lại trong Q4 2011– Người sáng lập- một kiến trúc sư của cơ sở dữ liệu

SAGE tại phòng nghiên cứu quốc gia Idaho• Cơ sở dữ liệu SAGE được biết đến như EDB

(Embedded Database), tốc độ cao là mục tiêuchính để xây dựng cơ sở dữ liệu

• Điều này mang đến cho McAfee SIEM lợi thế tốcđộ hiệu suất với lượng lớn dữ liệu


Nhận biết từ làng công nghệ

• SIEM Leaders Quadrant– Gartner 2012 SIEM Magic Quadrant, May, 2012

• “Best log management solution”– InfoWorld 2011 Technology of the Year, January, 2011

• “Fastest database in the business, truly creative front end”– SC Magazine, Innovators Hall of Fame, December, 2010

• “One of the most useful and seamless incidentresponse-focused SIEM products available today”

– The 451 Group, Impact Report, June, 2010• “Top performance, 2nd lowest price”

– Info-Tech Research Group Vendor Landscape, June, 2011• “Nitro has attained tier-one status alongside larger organizations”

– Ovum, Technology Audit, July, 2011


Khách hàng tiêu biểu


McAfee SIEM đáp ứng nhu cầu thị trường

Sản phẩm cáchãng khác

Chưa có khả năng phân tích dữ liệu mức sâu vàrộng

Chưa thể tập hợp và phân tích log trong môitrường dữ liệu rất lớn với thời gian truy vấnngắn

Ưu điểmNitroSecurity

Khách hàng từ SMB đến top Fortune 500 Tập hợp các log có mối tương quan Hiệu mức nội dung và ngữ cảnh

Nhanh hơn 100x to 1,000x các giải pháp khác Một thiết bị đơn lẻ có khả năng xử lý 300K EPS Giải pháp SIEM duy nhất vừa thêm và truy vấn

dữ liệu

Khả năng mở rộng Tốc độ

Sản phẩm cáchãng khác

Chủ yếu sử dụng các công cụ báo cáo cho tínhtuân thủ

Cần tinh chỉnh log và event để giảm đi dữ liệucần quản lý

Ưu điểmNitroSecurity

Giải pháp toàn diện bao gồm SIEM, giám sát ứngdụng, cơ sở dữ liệu và các giao thức an ninhmạng

Thật sự hiệu quả với cách quản lý “single pane-of-glass” Chức năng vượt bậc

Các tính năng cao cấp khác Linh hoạt và chi phí hợp lý


• Passive Event MonitoringEliminates performance overhead associated with DB logging

• Stores event activity as SessionsReconstruct and Examine activity from Login to Logoff

• Correlate Database activity to Security EventsCorrelate sensitive information access to users

SSL Connection

• Quantitative Risk Scoring CorrelationACE uses Rule-Less correlation to determine threat activity

• Enables Historical CorrelationMatch new rules against historic events in near Real-Time

• Combined Correlation Engines without overheadOperates independently of event collection.

• Stores Event & Flow data using McAfeeEDBPatented, high-performance, embedded data access engine

• Hosts browser-based, flash-enabled SIEM interfaceEasy to use. Highly customizable Views / Dashboards.

• Manages rules thru Policy Manager.Customizable Data Source and Correlation rules

• Configures Reports and AlarmsCustomizable Reporting and Flexible Alarm Management

• Redundant CapablePrimary and Secondary ESMs can be configured

• Designed to be ScalableDesigned to support 100,000’s events per second

• Collection point for Events and FlowsPassive and Active collection technologies

• Hosts Rules-based Correlation EngineCan be enterprise wide or specific to local receiver.

• Redundant CapableHigh Availability Receivers can be configured

• Designed to be ScalableDesigned to support up to 20,000’s eps per appliance

• Archive Management for Raw EventsReceiver forwards unaltered logs to ELM

• Maintains ELM Management databaseAbility to manage parsed and raw logs simultaneously

• Raw Log Integrity ManagementEnsures Forensic Integrity.

• Raw logs Compression Management (up to 20:1)Delivers Maximum Storage Efficiency

• Flexible StorageLocal, SAN (Fibre), CIFS, NFS, iSCSI, NAS and Combinations

Receiver

CIFSNFSSANiSCSI

Application Data MonitorContent VisibilityADM

Các thành phần trong giải pháp McAfeeSIEM

ReceiverReceiver

ELM

Receiver

AES Encrypted ChannelAES Encrypted Channel

Enterprise Security Managercontent aware SIEM

Advanced Correlation EngineDedicate Correlation Logic ApplianceACE

Database Event MonitorDatabase Transaction MonitoringDEM

Receiver

AES

Encr

ypte

d

ELMESM Enterprise Log Manager

Fully integrated Compliant Log Management

Event Receiver3rd Party Log/Event/Flow Collection

ReceiverELM

http://

eMail

P2P

chat

VoIP

Shell / FTP

LDP, PS

Span or Tap

Span or Tap

• Protocol & Application MonitoringFull inspection of application content

• Monitor Sensitive Data Transmitted via ApplicationsIdentify monitoring blind-spots


Tóm tắt về McAfee SIEM

XÁC ĐỊNH NGUY CƠAN NINH MẠNG CHÍNH XÁC BẬC NHẤT

THỜI GIAN TRẢ LỜI NHANH NHẤT

GIÁM SÁT SỰ TUÂN THỦ LIÊN TỤC

CHI PHÍ HỢP LÝ THÔNG QUAGIẢM CHI PHÍ TCO VÀ THỜI

GIAN ĐẦU TƯ

nền tảng bảo mật tối ưu phòng chống các nguy cơ an ninh...

Documents