《sourcefire简介资料讲解》由会员分享,可在线阅读,更多相关《sourcefire简介资料讲解(52页珍藏版)》请在金锄头文库上搜索。
1、Sourcefire 全方位的网络安全防护,侯彦青Airain hou 13916483807.,Agenda,Sourcefire 公司简介 Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览 Questions,Who Is Sourcefire?,在2001年由Snort的创造者Martin Roesch组建, 总部: 美国哥伦比亚, 马里兰州 雇员: 大于 200人 拥有超过1,500个的企业和政府用户 用户包括财富100强中的25个以上 销售与服务网络遍布全球 纳斯达克上市代号: FIRE,分析和评测机构的一致认可,Gartner评测报告,Source: G
2、artner, Greg Young and John Pescatore Magic Quadrant for Network Intrusion Prevention System Appliances, 2H06, December 2006,Note: Magic Quadrant Research is a qualitative evaluation of a set of vendors in a specific market; it is NOT a stack ranking. Gartner will decline the use of any Magic Quadra
3、nt research to endorse the position of one vendor over another or to negatively endorse competitors positions.,Sourcefire得到的行业认证,Sourcefire为何不同用户基础和技术储备,受益于拥有大批开源爱好者,漏洞研究团队得到持续加强。用户拥有了全世界最大的威胁响应团队,Snort Rules 业界的标准,Snort Open Source Model,Proprietary Models,Agenda,Sourcefire 公司简介 Sourcefire 企业威胁管理 (
4、ETM) Sourcefire方案概览 Questions,来自内部的意外攻击 在FBI 2007年公布的电脑犯罪调查中,44的用户遭到了来自内部的攻击。,外部攻击 2006年的研究数据表明, 富有经验的黑客 消耗了企业$660,000经费,这些经费被用来保护用户、商业伙伴。,企业安全策略的强制执行 市场研究机构AMR Research的研究员John Hagerty 说:企业安全策略自动遵从归根结底是一个可视化问题网络安全哪里存在问题?哪里暴露出了漏洞?由于管理者需要一个统观企业网络安全全局的视角,企业安全策略自动遵从开始变成一个战略问题,来自内部的恶意攻击 根据美国情报科学学会ASIS 和
5、美国商会的联合调查,仅138个财富排名1000强的公司,每年就因为内部攻击损失了53亿以上,未被检测到的攻击 根据美联社报道,全球最大的零售商之一TJX公司近日披露的数据泄密问题要比最初报道的情况严重得多。 对这次事件的内部调查表明,有人早在2005年7月就闯入了TJX的系统,这比最初认为的差不多早了一年。,今日网络面临的威胁,未知的连接 在CSI和FBI最近接到的电脑犯罪和安全事件报告中,超过66的事件是由未经授权的接入引起的数据盗窃。,Sourcefire的企业威胁管理 (ETM),ETM在攻击发生前后的工作,INTELLIGENCE LAYER,ETM and the Sourcefir
6、e 3D System,发 现 DISCOVER,确 定 DETERMINE,防 御 DEFEND,ETM带来的优势,企业威胁控制(ETM)综合控制平台 监视发生在网络内外的全部安全事件 快捷方便的操作界面 由入侵防护、弱点评估、网络行为分析和网络使用控制四大功能组成 将威胁、终端和智能分析有机关联起来: 威胁控制智能来自IPS 终端智能来自漏洞评估(VA)和网络行为分析(NBA) 网络智能来自(NBA) 与其他IPS相比较,明显的减少了错误判断 监视企业、行业或政府的IT规章遵从情况,蠕虫 木马 端口扫描 缓冲溢出攻击 间谍软件 协议异常 畸形流量 错误数据包头 零日攻击,应对如下威胁,入侵
7、防御(Intrusion Prevention),针对系统漏洞的入侵防御 企业威胁管理方案中的第一道防线 作为SNORT的缔造者,系统表现更优秀、精准 IPS规则将更加关注网络中的“弱点”,而不是 “功绩” 防御零日攻击 IPS事件将会与网络威胁智能分析关联起来 IPS仅仅是企业威胁管理方案的一个部分,弱点评估( Vulnerability Assessment),“主动” 发起对弱点的扫描并进行评估 采用被广泛接受的获取终端资产信息与安全漏洞信息的方法 提供内容丰富的终端资产与安全漏洞的快照信息 在每次主动扫描之间,精确性在降低 主动扫描有可能对某些主机产生不良影响,网络行为分析 Netwo
8、rk Behavior Analysis (NBA),“被动” 的智能分析 充实“主动”扫描得到的信息 24x7小时监控终端资产和漏洞情况 类似被动声纳的运作机理 通过“听”来分析网络 避免了延迟或者性能的瓶颈 能够使用NetFlow记录 通常连接到局域网分接头或者交换机镜像端口 网络异常探测 创建一个“正常”网络行为的参考线(Base line) 鉴别正在网络中传播的攻击行为,网络使用控制 (NAC),在用户接入网络之前 可以与思科的 Cisco Network Admission Control (CNAC) 或者微软的 Microsoft Network Access Protectio
9、n (MNAP) 联动 能够帮助我们确定谁能够接入网络 在接入网络之后 分析并记录用户在接入网络后的行为 可根据服务、应用等,设置遵守IT法规策略 生成遵守IT法规的报告 在路由器或防火墙增加临时的访问控制列表,ETM:一个更好、更加有效的处理机制,使用者需要一个能够自动并且从全局视角进行网络安全信息关联分析的系统。不幸的是,大部分系统还只是自成体系,它们的视角局限在小范围中。 你知道什么时候更新你的访问控制配置么? 你知道什么时候你的网络中出现了新的漏洞么? 你知道什么时候你的网络中出现了一个高优先级的安全事件么? 你知道什么时候你的补丁管理系统需要添加一个新的主机么? 所有以上这些信息需要
10、手动进行响应! 稳固、自动、智能的新一代网络安全技术应该包括如下特性:实时、互相关联以及主动防御,Agenda,Sourcefire 公司简介 Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览 Questions,Sourcefire 3D系统的组成,Email, SNMP, Syslog,SSL,Firewall, IPS, Switchers, Routers,Configuration and Compliance Mgmt.,IPS,RNA,DC,Defend,Discover,Determine,IDS,SSL-encrypted VPN (Port 83
11、05),G/bit copper or fiber,G/bit copper,Passive,Passive,In-line,Typically. 100b / event,Typically. 1Kb / event,监听网络,Management Network,发现,确定,防御,警告,阻断,纠正,Sourcefire 3D 系列产品构成,Core Products,Sourcefire IPS,Sourcefire RNA,Sourcefire Defense Center,Sourcefire RUA,Sourcefire 入侵传感器管理网络威胁,Sourcefire入侵传感器(IPS
12、/IDS)是开源技术Snort 的商业化产品,它毫无疑问是业界最快并且最全面的入侵传感器。,入侵传感器,运行在IDS模式时 被动的监听网络中的流量,并根据IT规章和策略的遵守情况发出警告 运行在IPS模式时 被动的监听网络中的流量,并根据IT规章和策略的遵守情况阻断流量或发出警告 无论运行在何种模式 它们都能够提供合格的性能,不会错过任何网络事件或减慢网络速度,Sourcefire IPS 关键特性,威胁防御方面 全面的、基于弱点的Snort规则 Inline (IPS) and/or passive (IDS) 部署 内置了多个厂家推荐的IPS规则集 可对TCP和IP碎片进行重组 开放、标准
13、的规则(Rule)语言 可查看、编辑、创建rules 拥有10万个以上用户 规则基于行业标准的格式 取证 能看到数据包级别的攻击数据 成熟的可定制的工作流来显示数据 性能 5 Mbps to 10 Gbps,检测方法: Rules 针对目标: 漏洞 (Vulnerability) 结果: 规则更加优化,数量更少 覆盖面更大 性能更高(10G) 精确度更高 误判更少,检测方法: Signatures 针对目标: 攻击方法 (Exploit) 结果: Signatures阻止攻击要求收集所有的变量 针对同一漏洞的攻击有很多变量 误判较多,Threat Detection: Fundamental
14、Differences,应对“零日攻击”的实例,一月 2005 一月 2005 十一月 2006 三月 2007 四月 2007,Sourcefire在 Windows 操作系统中发现一个指针漏洞(animated cursor vulnerability) Sourcefire 发布 Snort rule SID-3079 利用这个漏洞的病毒Malware 被开发并传播出来 Microsoft 发布关于此漏洞的安全警告,代码935423 Microsoft发布补丁,“面向系统弱点创建规则比面向攻击方式编写Signature更加有效,使用这种方法,我们能够在微软发布安全警告前2年就已经开始保护
15、企业,使其免受“零日攻击”的威胁 Matt Watchinksi Sourcefire VRT威胁研究中心主管,Microsoft Animated Cursor Vulnerability (MS07-17),使用Snort技术的优势,开源技术,在行业中应用广泛 所有版本都基于“GPL”开放协议 开放系统更加安全可靠,无后门 被多家第三方公司集成使用 UTMs, firewalls, MSSP(安全托管 ) 所有规则(Rule)全部开放 可根据自身情况编辑 可自己创建新规则 丰富的Rules Language 高可调的包一级分析 PCRE option 数千的 Rules 由Sourcefi
16、re 和 其他Snort使用者提供,“故障开放”保证线路不中断,IPS 设备具有“故障开放”功能,功能在网络接口上实现。 网络接口的“故障开放” 功能启动,将线路桥接成导线状态的情况如下: 设备断电 设备遇到软件故障 设备重启过程中 Snort处理引擎重启,Vulnerability Research Team (VRT) 简介,一千万美元的投资 200 server regression test facility 发布规则(rule)而不是攻击特征(signatures) 7X24小时提供服务的团队: 分析弱点与漏洞 Reverse-engineer patches 定期的rules升级,VRT Regression Facility, Columbia MD,通过VRT架构,确保Rules质量,Sourcefire传感器一览表,Sourcefire传感器一览表,Sourcefire RNA 提供网络终端智能,实时网络感知是唯一能够在不影响网络性能前提下,提供主机信息收集、流量记录、日志服务的产品,RNA可以捕获
