《sourcefire簡(jiǎn)介》PPT課件.ppt

Sourcefire 全方位的網(wǎng)絡(luò)安全防護(hù),侯彥青 Airain hou ,Agenda,Sourcefire 公司簡(jiǎn)介 Sourcefire 企業(yè)威脅管理 (ETM) Sourcefire方案概覽 Questions,Who Is Sourcefire?,在2001年由Snort的創(chuàng)造者M(jìn)artin Roesch組建, 總部: 美國(guó)哥倫比亞, 馬里蘭州 雇員: 大于 200人 擁有超過(guò)1,500個(gè)的企業(yè)和政府用戶 用戶包括財(cái)富100強(qiáng)中的25個(gè)以上 銷售與服務(wù)網(wǎng)絡(luò)遍布全球 納斯達(dá)克上市代號(hào): FIRE,Sourcefire 的技術(shù)發(fā)展歷程,2002,2003,2005,2006,2007,2004,Target-Based Intrusion Prevention,User Identity-Based Security,Security Compliance Automation,Network Behavior Analysis,Unified Intrusion and Vulnerability Management,Automated Policy and Response,Multi-Gigabit IPS (Up to 8 Gigabit Line Rate),Automated Intrusion Threat Analysis,Real-Time Network Awareness,Inline Intrusion Prevention,Gigabit Intrusion Detection,Scalable Intrusion Management,2001,Snort-Based IDS Appliance,24項(xiàng)專利技術(shù),著名的漏洞分析團(tuán)隊(duì),在行業(yè)中獲得一致認(rèn)可,獲得多個(gè)行業(yè)認(rèn)證,可度量入侵管理,自動(dòng)策略與響應(yīng),實(shí)時(shí)網(wǎng)絡(luò)感知,統(tǒng)一入侵和漏洞管理,安全策略自動(dòng)遵從,基于目標(biāo)的入侵保護(hù),IDS產(chǎn)品發(fā)布,千兆入侵檢測(cè),高性能IPS產(chǎn)品,自動(dòng)入侵威脅分析,網(wǎng)絡(luò)行為分析,用戶關(guān)聯(lián)安全分析,在線入侵防護(hù),分析和評(píng)測(cè)機(jī)構(gòu)的一致認(rèn)可,Gartner評(píng)測(cè)報(bào)告,Source: Gartner, Greg Young and John Pescatore Magic Quadrant for Network Intrusion Prevention System Appliances, 2H06, December 2006,Note: Magic Quadrant Research is a qualitative evaluation of a set of vendors in a specific market; it is NOT a stack ranking. Gartner will decline the use of any Magic Quadrant research to endorse the position of one vendor over another or to negatively endorse competitors positions.,Sourcefire得到的行業(yè)認(rèn)證,Sourcefire為何不同用戶基礎(chǔ)和技術(shù)儲(chǔ)備,受益于擁有大批開源愛好者，漏洞研究團(tuán)隊(duì)得到持續(xù)加強(qiáng)。用戶擁有了全世界最大的威脅響應(yīng)團(tuán)隊(duì),Snort Rules 業(yè)界的標(biāo)準(zhǔn),Snort Open Source Model,Proprietary Models,Agenda,Sourcefire 公司簡(jiǎn)介 Sourcefire 企業(yè)威脅管理 (ETM) Sourcefire方案概覽 Questions,來(lái)自內(nèi)部的意外攻擊 在FBI 2007年公布的電腦犯罪調(diào)查中，44的用戶遭到了來(lái)自內(nèi)部的攻擊。,外部攻擊 2006年的研究數(shù)據(jù)表明, 富有經(jīng)驗(yàn)的黑客 消耗了企業(yè)$660,000經(jīng)費(fèi)，這些經(jīng)費(fèi)被用來(lái)保護(hù)用戶、商業(yè)伙伴。,企業(yè)安全策略的強(qiáng)制執(zhí)行 市場(chǎng)研究機(jī)構(gòu)AMR Research的研究員John Hagerty 說(shuō)：企業(yè)安全策略自動(dòng)遵從歸根結(jié)底是一個(gè)可視化問(wèn)題網(wǎng)絡(luò)安全哪里存在問(wèn)題？哪里暴露出了漏洞？由于管理者需要一個(gè)統(tǒng)觀企業(yè)網(wǎng)絡(luò)安全全局的視角，企業(yè)安全策略自動(dòng)遵從開始變成一個(gè)戰(zhàn)略問(wèn)題,來(lái)自內(nèi)部的惡意攻擊 根據(jù)美國(guó)情報(bào)科學(xué)學(xué)會(huì)ASIS 和美國(guó)商會(huì)的聯(lián)合調(diào)查，僅138個(gè)財(cái)富排名1000強(qiáng)的公司，每年就因?yàn)閮?nèi)部攻擊損失了53億以上,未被檢測(cè)到的攻擊 根據(jù)美聯(lián)社報(bào)道,全球最大的零售商之一TJX公司近日披露的數(shù)據(jù)泄密問(wèn)題要比最初報(bào)道的情況嚴(yán)重得多。 對(duì)這次事件的內(nèi)部調(diào)查表明，有人早在2005年7月就闖入了TJX的系統(tǒng)，這比最初認(rèn)為的差不多早了一年。,今日網(wǎng)絡(luò)面臨的威脅,未知的連接 在CSI和FBI最近接到的電腦犯罪和安全事件報(bào)告中，超過(guò)66的事件是由未經(jīng)授權(quán)的接入引起的數(shù)據(jù)盜竊。,Sourcefire的企業(yè)威脅管理 (ETM),ETM在攻擊發(fā)生前后的工作,INTELLIGENCE LAYER,ETM and the Sourcefire 3D System,發(fā) 現(xiàn) DISCOVER,確 定 DETERMINE,防 御 DEFEND,ETM帶來(lái)的優(yōu)勢(shì),企業(yè)威脅控制（ETM）綜合控制平臺(tái) 監(jiān)視發(fā)生在網(wǎng)絡(luò)內(nèi)外的全部安全事件 快捷方便的操作界面 由入侵防護(hù)、弱點(diǎn)評(píng)估、網(wǎng)絡(luò)行為分析和網(wǎng)絡(luò)使用控制四大功能組成 將威脅、終端和智能分析有機(jī)關(guān)聯(lián)起來(lái)： 威脅控制智能來(lái)自IPS 終端智能來(lái)自漏洞評(píng)估（VA）和網(wǎng)絡(luò)行為分析（NBA） 網(wǎng)絡(luò)智能來(lái)自（NBA） 與其他IPS相比較，明顯的減少了錯(cuò)誤判斷 監(jiān)視企業(yè)、行業(yè)或政府的IT規(guī)章遵從情況,蠕蟲 木馬 端口掃描 緩沖溢出攻擊 間諜軟件 協(xié)議異常 畸形流量 錯(cuò)誤數(shù)據(jù)包頭 零日攻擊,應(yīng)對(duì)如下威脅,入侵防御（Intrusion Prevention）,針對(duì)系統(tǒng)漏洞的入侵防御 企業(yè)威脅管理方案中的第一道防線 作為SNORT的締造者，系統(tǒng)表現(xiàn)更優(yōu)秀、精準(zhǔn) IPS規(guī)則將更加關(guān)注網(wǎng)絡(luò)中的“弱點(diǎn)”，而不是 “功績(jī)” 防御零日攻擊 IPS事件將會(huì)與網(wǎng)絡(luò)威脅智能分析關(guān)聯(lián)起來(lái) IPS僅僅是企業(yè)威脅管理方案的一個(gè)部分,弱點(diǎn)評(píng)估（ Vulnerability Assessment）,“主動(dòng)” 發(fā)起對(duì)弱點(diǎn)的掃描并進(jìn)行評(píng)估 采用被廣泛接受的獲取終端資產(chǎn)信息與安全漏洞信息的方法 提供內(nèi)容豐富的終端資產(chǎn)與安全漏洞的快照信息 在每次主動(dòng)掃描之間，精確性在降低 主動(dòng)掃描有可能對(duì)某些主機(jī)產(chǎn)生不良影響,網(wǎng)絡(luò)行為分析 Network Behavior Analysis (NBA),“被動(dòng)” 的智能分析 充實(shí)“主動(dòng)”掃描得到的信息 24x7小時(shí)監(jiān)控終端資產(chǎn)和漏洞情況 類似被動(dòng)聲納的運(yùn)作機(jī)理 通過(guò)“聽”來(lái)分析網(wǎng)絡(luò) 避免了延遲或者性能的瓶頸 能夠使用NetFlow記錄 通常連接到局域網(wǎng)分接頭或者交換機(jī)鏡像端口 網(wǎng)絡(luò)異常探測(cè) 創(chuàng)建一個(gè)“正?！本W(wǎng)絡(luò)行為的參考線（Base line） 鑒別正在網(wǎng)絡(luò)中傳播的攻擊行為,網(wǎng)絡(luò)使用控制 (NAC),在用戶接入網(wǎng)絡(luò)之前 可以與思科的 Cisco Network Admission Control (CNAC) 或者微軟的 Microsoft Network Access Protection (MNAP) 聯(lián)動(dòng) 能夠幫助我們確定誰(shuí)能夠接入網(wǎng)絡(luò) 在接入網(wǎng)絡(luò)之后 分析并記錄用戶在接入網(wǎng)絡(luò)后的行為 可根據(jù)服務(wù)、應(yīng)用等，設(shè)置遵守IT法規(guī)策略 生成遵守IT法規(guī)的報(bào)告 在路由器或防火墻增加臨時(shí)的訪問(wèn)控制列表,ETM：一個(gè)更好、更加有效的處理機(jī)制,使用者需要一個(gè)能夠自動(dòng)并且從全局視角進(jìn)行網(wǎng)絡(luò)安全信息關(guān)聯(lián)分析的系統(tǒng)。不幸的是，大部分系統(tǒng)還只是自成體系，它們的視角局限在小范圍中。 你知道什么時(shí)候更新你的訪問(wèn)控制配置么? 你知道什么時(shí)候你的網(wǎng)絡(luò)中出現(xiàn)了新的漏洞么? 你知道什么時(shí)候你的網(wǎng)絡(luò)中出現(xiàn)了一個(gè)高優(yōu)先級(jí)的安全事件么? 你知道什么時(shí)候你的補(bǔ)丁管理系統(tǒng)需要添加一個(gè)新的主機(jī)么? 所有以上這些信息需要手動(dòng)進(jìn)行響應(yīng)！ 穩(wěn)固、自動(dòng)、智能的新一代網(wǎng)絡(luò)安全技術(shù)應(yīng)該包括如下特性：實(shí)時(shí)、互相關(guān)聯(lián)以及主動(dòng)防御,Agenda,Sourcefire 公司簡(jiǎn)介 Sourcefire 企業(yè)威脅管理 (ETM) Sourcefire方案概覽 Questions,Sourcefire 3D系統(tǒng)的組成,Email, SNMP, Syslog,SSL,Firewall, IPS, Switchers, Routers,Configuration and Compliance Mgmt.,IPS,RNA,DC,Defend,Discover,Determine,IDS,SSL-encrypted VPN (Port 8305),G/bit copper or fiber,G/bit copper,Passive,Passive,In-line,Typically. 100b / event,Typically. 1Kb / event,監(jiān)聽網(wǎng)絡(luò),Management Network,發(fā)現(xiàn),確定,防御,警告,阻斷,糾正,Sourcefire 3D 系列產(chǎn)品構(gòu)成,Core Products,Sourcefire IPS,Sourcefire RNA,Sourcefire Defense Center,Sourcefire RUA,Sourcefire 入侵傳感器管理網(wǎng)絡(luò)威脅,Sourcefire入侵傳感器（IPS/IDS）是開源技術(shù)Snort 的商業(yè)化產(chǎn)品，它毫無(wú)疑問(wèn)是業(yè)界最快并且最全面的入侵傳感器。,入侵傳感器,運(yùn)行在IDS模式時(shí) 被動(dòng)的監(jiān)聽網(wǎng)絡(luò)中的流量，并根據(jù)IT規(guī)章和策略的遵守情況發(fā)出警告 運(yùn)行在IPS模式時(shí) 被動(dòng)的監(jiān)聽網(wǎng)絡(luò)中的流量，并根據(jù)IT規(guī)章和策略的遵守情況阻斷流量或發(fā)出警告 無(wú)論運(yùn)行在何種模式 它們都能夠提供合格的性能，不會(huì)錯(cuò)過(guò)任何網(wǎng)絡(luò)事件或減慢網(wǎng)絡(luò)速度,Sourcefire IPS 關(guān)鍵特性,威脅防御方面 全面的、基于弱點(diǎn)的Snort規(guī)則 Inline (IPS) and/or passive (IDS) 部署 內(nèi)置了多個(gè)廠家推薦的IPS規(guī)則集 可對(duì)TCP和IP碎片進(jìn)行重組 開放、標(biāo)準(zhǔn)的規(guī)則（Rule）語(yǔ)言 可查看、編輯、創(chuàng)建rules 擁有10萬(wàn)個(gè)以上用戶 規(guī)則基于行業(yè)標(biāo)準(zhǔn)的格式 取證 能看到數(shù)據(jù)包級(jí)別的攻擊數(shù)據(jù) 成熟的可定制的工作流來(lái)顯示數(shù)據(jù) 性能 5 Mbps to 10 Gbps,檢測(cè)方法: Rules 針對(duì)目標(biāo): 漏洞 （Vulnerability） 結(jié)果: 規(guī)則更加優(yōu)化，數(shù)量更少 覆蓋面更大 性能更高（10G） 精確度更高 誤判更少,檢測(cè)方法: Signatures 針對(duì)目標(biāo): 攻擊方法 （Exploit） 結(jié)果: Signatures阻止攻擊要求收集所有的變量 針對(duì)同一漏洞的攻擊有很多變量 誤判較多,Threat Detection: Fundamental Differences,應(yīng)對(duì)“零日攻擊”的實(shí)例,一月 2005 一月 2005 十一月 2006 三月 2007 四月 2007,Sourcefire在 Windows 操作系統(tǒng)中發(fā)現(xiàn)一個(gè)指針漏洞（animated cursor vulnerability） Sourcefire 發(fā)布 Snort rule SID-3079 利用這個(gè)漏洞的病毒Malware 被開發(fā)并傳播出來(lái) Microsoft 發(fā)布關(guān)于此漏洞的安全警告，代碼935423 Microsoft發(fā)布補(bǔ)丁,“面向系統(tǒng)弱點(diǎn)創(chuàng)建規(guī)則比面向攻擊方式編寫Signature更加有效，使用這種方法，我們能夠在微軟發(fā)布安全警告前2年就已經(jīng)開始保護(hù)企業(yè)，使其免受“零日攻擊”的威脅 Matt Watchinksi Sourcefire VRT威脅研究中心主管,Microsoft Animated Cursor Vulnerability (MS07-17),使用Snort技術(shù)的優(yōu)勢(shì),開源技術(shù)，在行業(yè)中應(yīng)用廣泛 所有版本都基于“GPL”開放協(xié)議 開放系統(tǒng)更加安全可靠，無(wú)后門 被多家第三方公司集成使用 UTMs, firewalls, MSSP（安全托管 ） 所有規(guī)則（Rule）全部開放 可根據(jù)自身情況編輯 可自己創(chuàng)建新規(guī)則 豐富的Rules Language 高可調(diào)的包一級(jí)分析 PCRE option 數(shù)千的 Rules 由Sourcefire 和 其他Snort使用者提供,“故障開放”保證線路不中斷,IPS 設(shè)備具有“故障開放”功能，功能在網(wǎng)絡(luò)接口上實(shí)現(xiàn)。 網(wǎng)絡(luò)接口的“故障開放” 功能啟動(dòng)，將線路橋接成導(dǎo)線狀態(tài)的情況如下： 設(shè)備斷電 設(shè)備遇到軟件故障 設(shè)備重啟過(guò)程中 Snort處理引擎重啟,Vulnerability Research Team (VRT) 簡(jiǎn)介,一千萬(wàn)美元的投資 200 server regression test facility 發(fā)布規(guī)則（rule）而不是攻擊特征（signatures） 7X24小時(shí)提供服務(wù)的團(tuán)隊(duì): 分析弱點(diǎn)與漏洞 Reverse-engineer patches 定期的rules升級(jí),VRT Regression Facility, Columbia MD,通過(guò)VRT架構(gòu)，確保Rules質(zhì)量,Sourcefire傳感器一覽表,Sourcefire傳感器一覽表,Sourcefire RNA 提供網(wǎng)絡(luò)終端智能,實(shí)時(shí)網(wǎng)絡(luò)感知是唯一能夠在不影響網(wǎng)絡(luò)性能前提下，提供主機(jī)信息收集、流量記錄、日志服務(wù)的產(chǎn)品,RNA可以捕獲什么信息?,主機(jī)信息 Client/server/bridge 網(wǎng)絡(luò)服務(wù)信息 ftp, telnet, ssh 網(wǎng)絡(luò)流量信息 誰(shuí)和誰(shuí)建立通訊 使用什么協(xié)議、什么端口 RNA 在隱蔽的狀態(tài)下工作，不斷統(tǒng)計(jì)網(wǎng)絡(luò)中的錯(cuò)誤和細(xì)節(jié) 根據(jù)記錄，RNA計(jì)算出網(wǎng)絡(luò)圖和弱點(diǎn)列表,24%,49%,59%,82%,12%,77%,100%,RNA vs. 主動(dòng)掃描類技術(shù),使用主動(dòng)掃描技術(shù)就像為網(wǎng)絡(luò)照了一張照片 通過(guò)主動(dòng)掃描獲得的信息會(huì)因?yàn)闀r(shí)間的推移而逐漸變的不準(zhǔn)確 RNA就像一個(gè)在網(wǎng)絡(luò)里面全天工作的閉路監(jiān)控系統(tǒng) RNA分析的準(zhǔn)確性不會(huì)隨著時(shí)間推移而有任何變化,被動(dòng)感知技術(shù),被動(dòng)感知技術(shù)能夠收集如下信息： 通訊主機(jī)屬性信息（用戶名等） 操作系統(tǒng)信息 操作系統(tǒng)類型 (router, switch, host etc.) 主機(jī)使用的網(wǎng)絡(luò)應(yīng)用 與傳感器的距離 根據(jù)主機(jī)以及運(yùn)行在主機(jī)上的應(yīng)用綜合分析它們的漏洞 網(wǎng)絡(luò)流的流動(dòng)方向（起點(diǎn)、終點(diǎn)）,RNA 網(wǎng)絡(luò)圖 主機(jī)與關(guān)聯(lián)性可視,RNA 網(wǎng)絡(luò)圖 主機(jī),RNA 網(wǎng)絡(luò)圖 服務(wù),RNA 應(yīng)用,RNA 弱點(diǎn)分析,RNA 行動(dòng)方案推薦,Security 警告旗,安全事件會(huì)以警告旗的方式表示出來(lái)，它們是聯(lián)動(dòng)分析RNA和入侵檢測(cè)設(shè)備提供的信息后計(jì)算出來(lái)的。,Defense Center提供完整的網(wǎng)絡(luò)防御智能,所有傳感器負(fù)責(zé)收集數(shù)據(jù)或者阻斷惡意流量，而智能的實(shí)時(shí)分析和響應(yīng)是由Defense Center完成的。,The “nerve center” of the Sourcefire 3D System,Sourcefire Defense Center,事件關(guān)聯(lián) 將終端、智能分析、威脅 有機(jī)的關(guān)聯(lián)起來(lái)并進(jìn)行優(yōu) 先級(jí)排序 規(guī)章強(qiáng)制遵從 定義基線并強(qiáng)制用戶遵從 指令發(fā)布和控制 集中管理所有設(shè)備 3D 可視化呈現(xiàn) 實(shí)時(shí)生成清晰的網(wǎng)絡(luò)攻擊 報(bào)表和圖形 降低總體擁有成本 部署方便 內(nèi)置高性能數(shù)據(jù)庫(kù) 性能穩(wěn)定,靈活的報(bào)表系統(tǒng),可為重要應(yīng)用定制報(bào)表 自動(dòng)定期生成報(bào)表 報(bào)表格式可以支持： PDF, HTML or Excel 可將報(bào)表發(fā)送到第三方設(shè)