《sourcefire简介课件》由会员分享,可在线阅读,更多相关《sourcefire简介课件(52页珍藏版)》请在金锄头文库上搜索。
1、Sourcefire 全方位的网络安全防护侯彦青侯彦青Airain hou 13916483807.2AgendaSourcefire 公司简介公司简介Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览Questions3. .Who Is Sourcefire?在2001年由Snort的创造者Martin Roesch组建,总部: 美国哥伦比亚, 马里兰州雇员: 大于 200人拥有超过1,500个的企业和政府用户用户包括财富100强中的25个以上销售与服务网络遍布全球纳斯达克上市代号: FIRE开源代码开发者支持开源代码开发者支持+正规公司运作的正规公司运作的技术创
2、新与服务支持技术创新与服务支持世界最佳的技术力量组合世界最佳的技术力量组合 Mission:提供高效率的网络智能技术,帮助用户有效的应对日益增长的风险4Sourcefire 的技术发展历程200220032005200620072004Target-Based Intrusion PreventionUser Identity-Based SecuritySecurity Compliance AutomationNetwork Behavior AnalysisUnified Intrusionand Vulnerability ManagementAutomated Policy and
3、ResponseMulti-Gigabit IPS (Up to 8 Gigabit Line Rate)Automated Intrusion Threat AnalysisReal-Time Network AwarenessInline Intrusion PreventionGigabit Intrusion DetectionScalable Intrusion Management2001Snort-Based IDS Appliance1ST1ST1ST1ST1ST24项专利技术项专利技术著名的漏洞分析团队著名的漏洞分析团队在行业中获得一致认可在行业中获得一致认可获得多个行业认证
4、获得多个行业认证可度量入侵管理可度量入侵管理自动策略与响应自动策略与响应实时网络感知实时网络感知统一入侵和漏洞管理统一入侵和漏洞管理安全策略自动遵从安全策略自动遵从基于目标的入侵保护基于目标的入侵保护IDS产品发布产品发布千兆入侵检测千兆入侵检测高性能高性能IPS产品产品自动入侵威胁分析自动入侵威胁分析网络行为分析网络行为分析用户关联安全分析用户关联安全分析在线入侵防护在线入侵防护5分析和评测机构的一致认可Gartner评测报告评测报告3Q05 Through 2Q06McAfeeCiscoSymantec Source: Infonetics Research, Network Securi
5、ty Appliances and Software, August 2006WW Network-Based IDS / IPS Market Share GrowthInfonetics市场研究报告市场研究报告Source: Gartner, Greg Young and John Pescatore Magic Quadrant for Network Intrusion Prevention System Appliances, 2H06, December 2006Note: Magic Quadrant Research is a qualitative evaluation of
6、 a set of vendors in a specific market; it is NOT a stack ranking. Gartner will decline the use of any Magic Quadrant research to endorse the position of one vendor over another or to negatively endorse competitors positions.6Sourcefire得到的行业认证7Sourcefire为何不同用户基础和技术储备Global base of skilled security p
7、rofessionals broad access to well-trained personnel在全球都拥有资深的技术在全球都拥有资深的技术专家和培训机构,保证用专家和培训机构,保证用户能够得到完美的技术支户能够得到完美的技术支持持受益于拥有大批开源爱好者,受益于拥有大批开源爱好者,漏洞研究团队得到持续加强。漏洞研究团队得到持续加强。用户拥有了全世界最大的用户拥有了全世界最大的威胁响应团队威胁响应团队8Snort Rules 业界的标准Snort Open Source ModelProprietary Models9AgendaSourcefire 公司简介Sourcefire 企业威
8、胁管理企业威胁管理 (ETM) Sourcefire方案概览Questions10XXXXXXXXX来自内部的意外攻击来自内部的意外攻击在FBI 2007年公布的电脑犯罪调查中,44的用户遭到了来自内部的攻击。外部攻击外部攻击2006年的研究数据表明, 富有经验的黑客 消耗了企业$660,000经费,这些经费被用来保护用户、商业伙伴。企业安全策略的强制执行企业安全策略的强制执行市场研究机构AMR Research的研究员John Hagerty 说:企业安全策略自动遵从归根结底是一个可视化问题网络安全哪里存在问题?哪里暴露出了漏洞?由于管理者需要一个统观企业网络安全全局的视角,企业安全策略自动
9、遵从开始变成一个战略问题来自内部的恶来自内部的恶意攻击意攻击根据美国情报科学学会ASIS 和美国商会的联合调查,仅138个财富排名1000强的公司,每年就因为内部攻击损失了53亿以上未被检测到的攻击未被检测到的攻击根据美联社报道,全球最大的零售商之一TJX公司近日披露的数据泄密问题要比最初报道的情况严重得多。 对这次事件的内部调查表明,有人早在2005年7月就闯入了TJX的系统,这比最初认为的差不多早了一年。今日网络面临的威胁 未知的连接未知的连接在CSI和FBI最近接到的电脑犯罪和安全事件报告中,超过66的事件是由未经授权的接入引起的数据盗窃。 11Sourcefire的企业威胁管理 (ET
10、M)入侵防护入侵防护入侵防护入侵防护弱点评估弱点评估弱点评估弱点评估网络行为分析网络行为分析网络行为分析网络行为分析网络使用控制网络使用控制网络使用控制网络使用控制网络威胁网络威胁网络威胁网络威胁智能分析智能分析智能分析智能分析12ETM在攻击发生前后的工作攻击发生之前所有的一切都在网络上运行存在违反规章的行为和未被修复的漏洞加强资产管理攻击发生期间攻击在网络中传播对网络的运行造成影响及时阻止和报警攻击发生之后攻击行为产生自哪里我们需要采取什么行动最小化影响13Sourcefire 3D SystemINTELLIGENCE LAYERETM and the Sourcefire 3D Sys
11、tem攻击发生之前所有的一切都在网络上运行存在违反规章的行为和未被修复的漏洞加强资产管理攻击发生期间攻击在网络中传播对网络的运行造成影响及时阻止和报警攻击发生之后攻击行为产生自哪里我们需要采取什么行动最小化影响发发 现现 DISCOVER 确确 定定 DETERMINE防防 御御 DEFEND “倘若网络安全设备能够提供网络以及端点的智能,那就意味着它们能力的提升倘若网络安全设备能够提供网络以及端点的智能,那就意味着它们能力的提升.”Use Endpoint Intelligence to Improve Security Defenses Report 14ETM带来的优势企业威胁控制(企业
12、威胁控制(ETM)综合控制平台)综合控制平台监视发生在网络内外的全部安全事件快捷方便的操作界面由入侵防护、弱点评估、网络行为分析和网络使用控制四大功能组成将威胁、终端和智能分析有机关联起来:威胁控制智能来自IPS终端智能来自漏洞评估(VA)和网络行为分析(NBA)网络智能来自(NBA)与其他IPS相比较,明显的减少了错误判断监视企业、行业或政府的IT规章遵从情况15蠕虫木马端口扫描缓冲溢出攻击间谍软件协议异常畸形流量错误数据包头零日攻击应对如下威胁应对如下威胁入侵防御(Intrusion Prevention)针对系统漏洞的入侵防御针对系统漏洞的入侵防御企业威胁管理方案中的第一道防线作为SNO
13、RT的缔造者,系统表现更优秀、精准IPS规则将更加关注网络中的“弱点”,而不是 “功绩” 防御零日攻击IPS事件将会与网络威胁智能分析关联起来IPS仅仅是企业威胁管理方案的一个部分16弱点评估( Vulnerability Assessment)“主动主动” 发起对弱点的扫描并进行评估发起对弱点的扫描并进行评估采用被广泛接受的获取终端资产信息与安全漏洞信息的方法提供内容丰富的终端资产与安全漏洞的快照信息在每次主动扫描之间,精确性在降低主动扫描有可能对某些主机产生不良影响Scan occursAccuracy decayTime Quality t - Coherence timet17网络行为
14、分析 Network Behavior Analysis (NBA) “被动被动” 的智能分析的智能分析充实“主动”扫描得到的信息24x7小时监控终端资产和漏洞情况类似被动声纳的运作机理通过“听”来分析网络避免了延迟或者性能的瓶颈 能够使用NetFlow记录 通常连接到局域网分接头或者交换机镜像端口 网络异常探测网络异常探测创建一个“正常”网络行为的参考线(Base line)鉴别正在网络中传播的攻击行为18网络使用控制 (NAC)在用户接入网络之前在用户接入网络之前可以与思科的 Cisco Network Admission Control (CNAC) 或者微软的 Microsoft Ne
15、twork Access Protection (MNAP) 联动能够帮助我们确定谁能够接入网络在接入网络之后在接入网络之后分析并记录用户在接入网络后的行为可根据服务、应用等,设置遵守IT法规策略生成遵守IT法规的报告在路由器或防火墙增加临时的访问控制列表 19ETM:一个更好、更加有效的处理机制使用者需要一个能够自动自动并且从全局全局视角进行网络安全信息关联关联分析的系统。不幸的是,大部分系统还只是自成体系,它们的视角局限在小范围中。你知道什么时候更新你的访问控制配置么? 你知道什么时候你的网络中出现了新的漏洞么?你知道什么时候你的网络中出现了一个高优先级的安全事件么?你知道什么时候你的补丁
16、管理系统需要添加一个新的主机么?所有以上这些信息需要手动进行响应!稳固、自动、智能的新一代网络安全技术应该包括如下特性:实时、互相关联以及主动防御20AgendaSourcefire 公司简介Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览方案概览Questions21Sourcefire 3D系统的组成Email, SNMP, Syslog,SSLFirewall, IPS, Switchers, RoutersConfiguration and Compliance Mgmt.IPSRNADCDefendDiscoverDetermineIDSSSL-encry
17、pted VPN (Port 8305)G/bit copper or fiberG/bit copperPassivePassiveIn-lineTypically. 100b / eventTypically. 1Kb / event监听网听网络Management Network发现发现确定确定防御防御警告阻断纠正22Sourcefire 3D 系列产品构成Core ProductsSourcefire IPSSourcefire RNASourcefire Defense Center利用网络智能可关联的分析网络攻击利用网络智能可关联的分析网络攻击利用触发或自动响应机制应对网络事件利用
18、触发或自动响应机制应对网络事件在网络安全、策略制定和规章遵从方面可以做到在网络安全、策略制定和规章遵从方面可以做到集中控制集中控制, 强制执行并生成强制执行并生成报表报表提供符合行业标准的提供符合行业标准的, 基于基于Snort 的在线的在线IPS或被动或被动IDS功能功能提供提供3种初始配置模板,方便配置种初始配置模板,方便配置凭借着凭借着Snort rules提供广泛检测能力提供广泛检测能力使用强大并可伸缩的引擎使用强大并可伸缩的引擎提供网络和终端的智能检测能力提供网络和终端的智能检测能力通过通过网络行为分析网络行为分析 (NBA)确定网络中的行为和流量成分确定网络中的行为和流量成分可识别
19、可识别NetFlow(v5),提供更广的安全可视覆盖能力),提供更广的安全可视覆盖能力使用使用“无间隔无间隔”的被动网络分析方式的被动网络分析方式Product Highlights对邮件和对邮件和IP地址提供地址提供 24x7 的被动身份信息关联的被动身份信息关联使用使用 LDAP and Active Directory domains 作为数据源作为数据源让让Sourcefire IPS 和和 RNA分析的数据关联到具体的用户而不是分析的数据关联到具体的用户而不是IPSourcefire RUA23Sourcefire 入侵传感器入侵传感器管理网络威胁管理网络威胁Sourcefire入侵
20、传感器(IPS/IDS)是开源技术Snort 的商业化产品,它毫无疑问是业界最快并且最全面的入侵传感器。24入侵传感器运行在IDS模式时被动的监听网络中的流量,并根据IT规章和策略的遵守情况发出警告运行在IPS模式时被动的监听网络中的流量,并根据IT规章和策略的遵守情况阻断流量或发出警告无论运行在何种模式它们都能够提供合格的性能,不会错过任何网络事件或减慢网络速度25Sourcefire IPS 关键特性威胁防御方面全面的、基于弱点的Snort规则Inline (IPS) and/or passive (IDS) 部署 内置了多个厂家推荐的IPS规则集可对TCP和IP碎片进行重组开放、标准的规
21、则(Rule)语言可查看、编辑、创建rules拥有10万个以上用户规则基于行业标准的格式取证能看到数据包级别的攻击数据成熟的可定制的工作流来显示数据性能5 Mbps to 10 Gbps26检测方法检测方法: Rules针对目标针对目标: 漏洞 (Vulnerability)结果结果: 规则更加优化,数量更少 覆盖面更大 性能更高(10G) 精确度更高 误判更少检测方法检测方法:Signatures针对目标针对目标:攻击方法 (Exploit)结果结果:Signatures阻止攻击要求收集所有的变量针对同一漏洞的攻击有很多变量误判较多Threat Detection: Fundamental
22、Differences27应对“零日攻击”的实例一月 2005一月 2005 十一月 2006三月 2007四月 2007Sourcefire在 Windows 操作系统中发现一个指针漏洞(animated cursor vulnerability) Sourcefire 发布 Snort rule SID-3079 利用这个漏洞的病毒Malware 被开发并传播出来 Microsoft 发布关于此漏洞的安全警告,代码935423 Microsoft发布补丁“面向系统弱点创建规则比面向攻击方式编写Signature更加有效,使用这种方法,我们能够在微软发布安全警告前2年就已经开始保护企业,使其
23、免受“零日攻击”的威胁Matt WatchinksiSourcefire VRT威胁研究中心主管威胁研究中心主管Microsoft Animated Cursor Vulnerability (MS07-17)28使用Snort技术的优势开源技术,在行业中应用广泛开源技术,在行业中应用广泛所有版本都基于所有版本都基于“GPL”开放协议开放协议开放系统更加安全可靠,无后门被多家第三方公司集成使用被多家第三方公司集成使用UTMs, firewalls, MSSP(安全托管 ) 所有规则(所有规则(Rule)全部开放)全部开放可根据自身情况编辑可自己创建新规则丰富的Rules Language高可调
24、的包一级分析PCRE option数千的 Rules 由Sourcefire 和 其他Snort使用者提供29“故障开放”保证线路不中断IPS 设备具有“故障开放”功能,功能在网络接口上实现。网络接口的“故障开放” 功能启动,将线路桥接成导线状态的情况如下:设备断电设备遇到软件故障设备重启过程中Snort处理引擎重启30Vulnerability Research Team (VRT) 简介一千万美元的投资200 server regression test facility发布规则(rule)而不是攻击特征(signatures)7X24小时提供服务的团队:分析弱点与漏洞Reverse-en
25、gineer patches定期的rules升级VRT Regression Facility, Columbia MD31通过VRT架构,确保Rules质量Sourcefire VRTRulesetsPrivatefeedsPublicfeedsSnort使用者团体收费研究机构蜜罐VRT Research & AnalysisVRT LAB16 millionperformance ®ression tests1000s ofsoftwarepackages100s ofhardwareplatforms32Sourcefire传感器一览表33Sourcefire传感器一览表34Sou
26、rcefire RNA 提供网提供网络终端智能络终端智能实时网络感知是唯一能够在不影响网络性能前提下,提供主机信息收集、流量记录、日志服务的产品35RNA可以捕获什么信息?主机信息主机信息Client/server/bridge网络服务信息网络服务信息 ftp, telnet, ssh 网络流量信息网络流量信息 谁和谁建立通讯使用什么协议、什么端口RNA 在隐蔽的状态下工作,不断统计网络中的错误和细节 根据记录,RNA计算出网络图和弱点列表24%49%59%82%12%77%100%36RNA vs. 主动扫描类技术使用主动扫描技术就像为网络照了一张照片通过主动扫描获得的信息会因为时间的推移而
27、逐渐变的不准确RNA就像一个在网络里面全天工作的闭路监控系统RNA分析的准确性不会随着时间推移而有任何变化Scan occursAccuracy decayTime Quality t - Coherence timet37被动感知技术被动感知技术能够收集如下信息:被动感知技术能够收集如下信息:通讯主机属性信息(用户名等)操作系统信息操作系统类型 (router, switch, host etc.)主机使用的网络应用与传感器的距离根据主机以及运行在主机上的应用综合分析它们的漏洞网络流的流动方向(起点、终点)38RNA 网络图 主机与关联性可视39RNA 网络图 主机40RNA 网络图 服务4
28、1RNA 应用42RNA 弱点分析43 RNA 行动方案推荐44 Security 警告旗安全事件会以警告旗的方式表示出来,它们是联动分析RNA和入侵检测设备提供的信息后计算出来的。45Defense Center提供完提供完整的网络防御智能整的网络防御智能所有传感器负责收集数据或者阻断恶意流量,而智能的实时分析和响应是由Defense Center完成的。46The “nerve center” of the Sourcefire 3D SystemSourcefire Defense Center事件关联将终端、智能分析、威胁有机的关联起来并进行优先级排序规章强制遵从定义基线并强制用户遵从
29、指令发布和控制集中管理所有设备3D 可视化呈现实时生成清晰的网络攻击报表和图形降低总体拥有成本部署方便内置高性能数据库性能稳定47灵活的报表系统可为重要应用定制报表自动定期生成报表报表格式可以支持: PDF, HTML or Excel可将报表发送到第三方设备Search FilterTime WindowWorkflow SelectionSummary selectionQuery EngineReport FormatterOutput Spooler (disk, email)Report Profile48使用DC 发现网络中有问题的事件Defense Center能够提供强大的网络
30、数据优化和关联功能控制界面基于Web或可以选择使用有3D显示效果的客户端包含管理子系统,可以统一管理传感器简单的人机操作界面,更加容易上手End-point IntelligenceIntrusion EventsVulnerability database数据数据优化优化事件事件处理处理数据数据中心中心Network IntelligenceAttacks(1000s /hr)Hosts & ServicesAnomalies3rd party event managersAlerts(10s / hr)生成生成报表报表FlowsCVE, Bugtraq, Sourcefire, Arach
31、nids, Nessus, Cisco49DC在超大型企业中的部署DC3000支持100个传感器400GB, 100 million eventsDC 支持双机热备Master Defense CenterCascade events from 10 DCs for global overview1.100 sensorsMirrored DCs1.10 DCsMDC50Defence Centre51性能更好、需要人工干预更少Sourcefire 3D SystemTraditional IPS需要人工判断的次数高度自动高度自动依赖人工依赖人工错误阻断的数量LOWERHIGHER造成网络中断的潜在可能LOWERHIGHER花费在操作上的精力LOWERHIGHER错误放行的数量LOWERHIGHERQuestions?
