《sourcefire簡介》PPT課件.ppt

Sourcefire 全方位的網(wǎng)絡(luò)安全防護(hù),侯彥青 Airain hou ,Agenda,Sourcefire 公司簡介 Sourcefire 企業(yè)威脅管理 (ETM) Sourcefire方案概覽 Questions,Who Is Sourcefire?,在2001年由Snort的創(chuàng)造者M(jìn)artin Roesch組建, 總部: 美國哥倫比亞, 馬里蘭州 雇員: 大于 200人 擁有超過1,500個的企業(yè)和政府用戶 用戶包括財富100強(qiáng)中的25個以上 銷售與服務(wù)網(wǎng)絡(luò)遍布全球 納斯達(dá)克上市代號: FIRE,Sourcefire 的技術(shù)發(fā)展歷程,2002,2003,2005,2006,2007,2004,Target-Based Intrusion Prevention,User Identity-Based Security,Security Compliance Automation,Network Behavior Analysis,Unified Intrusion and Vulnerability Management,Automated Policy and Response,Multi-Gigabit IPS (Up to 8 Gigabit Line Rate),Automated Intrusion Threat Analysis,Real-Time Network Awareness,Inline Intrusion Prevention,Gigabit Intrusion Detection,Scalable Intrusion Management,2001,Snort-Based IDS Appliance,24項專利技術(shù),著名的漏洞分析團(tuán)隊,在行業(yè)中獲得一致認(rèn)可,獲得多個行業(yè)認(rèn)證,可度量入侵管理,自動策略與響應(yīng),實時網(wǎng)絡(luò)感知,統(tǒng)一入侵和漏洞管理,安全策略自動遵從,基于目標(biāo)的入侵保護(hù),IDS產(chǎn)品發(fā)布,千兆入侵檢測,高性能IPS產(chǎn)品,自動入侵威脅分析,網(wǎng)絡(luò)行為分析,用戶關(guān)聯(lián)安全分析,在線入侵防護(hù),分析和評測機(jī)構(gòu)的一致認(rèn)可,Gartner評測報告,Source: Gartner, Greg Young and John Pescatore Magic Quadrant for Network Intrusion Prevention System Appliances, 2H06, December 2006,Note: Magic Quadrant Research is a qualitative evaluation of a set of vendors in a specific market; it is NOT a stack ranking. Gartner will decline the use of any Magic Quadrant research to endorse the position of one vendor over another or to negatively endorse competitors positions.,Sourcefire得到的行業(yè)認(rèn)證,Sourcefire為何不同用戶基礎(chǔ)和技術(shù)儲備,受益于擁有大批開源愛好者，漏洞研究團(tuán)隊得到持續(xù)加強(qiáng)。用戶擁有了全世界最大的威脅響應(yīng)團(tuán)隊,Snort Rules 業(yè)界的標(biāo)準(zhǔn),Snort Open Source Model,Proprietary Models,Agenda,Sourcefire 公司簡介 Sourcefire 企業(yè)威脅管理 (ETM) Sourcefire方案概覽 Questions,來自內(nèi)部的意外攻擊 在FBI 2007年公布的電腦犯罪調(diào)查中，44的用戶遭到了來自內(nèi)部的攻擊。,外部攻擊 2006年的研究數(shù)據(jù)表明, 富有經(jīng)驗的黑客 消耗了企業(yè)$660,000經(jīng)費(fèi)，這些經(jīng)費(fèi)被用來保護(hù)用戶、商業(yè)伙伴。,企業(yè)安全策略的強(qiáng)制執(zhí)行 市場研究機(jī)構(gòu)AMR Research的研究員John Hagerty 說：企業(yè)安全策略自動遵從歸根結(jié)底是一個可視化問題網(wǎng)絡(luò)安全哪里存在問題？哪里暴露出了漏洞？由于管理者需要一個統(tǒng)觀企業(yè)網(wǎng)絡(luò)安全全局的視角，企業(yè)安全策略自動遵從開始變成一個戰(zhàn)略問題,來自內(nèi)部的惡意攻擊 根據(jù)美國情報科學(xué)學(xué)會ASIS 和美國商會的聯(lián)合調(diào)查，僅138個財富排名1000強(qiáng)的公司，每年就因為內(nèi)部攻擊損失了53億以上,未被檢測到的攻擊 根據(jù)美聯(lián)社報道,全球最大的零售商之一TJX公司近日披露的數(shù)據(jù)泄密問題要比最初報道的情況嚴(yán)重得多。 對這次事件的內(nèi)部調(diào)查表明，有人早在2005年7月就闖入了TJX的系統(tǒng)，這比最初認(rèn)為的差不多早了一年。,今日網(wǎng)絡(luò)面臨的威脅,未知的連接 在CSI和FBI最近接到的電腦犯罪和安全事件報告中，超過66的事件是由未經(jīng)授權(quán)的接入引起的數(shù)據(jù)盜竊。,Sourcefire的企業(yè)威脅管理 (ETM),ETM在攻擊發(fā)生前后的工作,INTELLIGENCE LAYER,ETM and the Sourcefire 3D System,發(fā) 現(xiàn) DISCOVER,確 定 DETERMINE,防 御 DEFEND,ETM帶來的優(yōu)勢,企業(yè)威脅控制（ETM）綜合控制平臺 監(jiān)視發(fā)生在網(wǎng)絡(luò)內(nèi)外的全部安全事件 快捷方便的操作界面 由入侵防護(hù)、弱點評估、網(wǎng)絡(luò)行為分析和網(wǎng)絡(luò)使用控制四大功能組成 將威脅、終端和智能分析有機(jī)關(guān)聯(lián)起來： 威脅控制智能來自IPS 終端智能來自漏洞評估（VA）和網(wǎng)絡(luò)行為分析（NBA） 網(wǎng)絡(luò)智能來自（NBA） 與其他IPS相比較，明顯的減少了錯誤判斷 監(jiān)視企業(yè)、行業(yè)或政府的IT規(guī)章遵從情況,蠕蟲 木馬 端口掃描 緩沖溢出攻擊 間諜軟件 協(xié)議異常 畸形流量 錯誤數(shù)據(jù)包頭 零日攻擊,應(yīng)對如下威脅,入侵防御（Intrusion Prevention）,針對系統(tǒng)漏洞的入侵防御 企業(yè)威脅管理方案中的第一道防線 作為SNORT的締造者，系統(tǒng)表現(xiàn)更優(yōu)秀、精準(zhǔn) IPS規(guī)則將更加關(guān)注網(wǎng)絡(luò)中的“弱點”，而不是 “功績” 防御零日攻擊 IPS事件將會與網(wǎng)絡(luò)威脅智能分析關(guān)聯(lián)起來 IPS僅僅是企業(yè)威脅管理方案的一個部分,弱點評估（ Vulnerability Assessment）,“主動” 發(fā)起對弱點的掃描并進(jìn)行評估 采用被廣泛接受的獲取終端資產(chǎn)信息與安全漏洞信息的方法 提供內(nèi)容豐富的終端資產(chǎn)與安全漏洞的快照信息 在每次主動掃描之間，精確性在降低 主動掃描有可能對某些主機(jī)產(chǎn)生不良影響,網(wǎng)絡(luò)行為分析 Network Behavior Analysis (NBA),“被動” 的智能分析 充實“主動”掃描得到的信息 24x7小時監(jiān)控終端資產(chǎn)和漏洞情況 類似被動聲納的運(yùn)作機(jī)理 通過“聽”來分析網(wǎng)絡(luò) 避免了延遲或者性能的瓶頸 能夠使用NetFlow記錄 通常連接到局域網(wǎng)分接頭或者交換機(jī)鏡像端口 網(wǎng)絡(luò)異常探測 創(chuàng)建一個“正?！本W(wǎng)絡(luò)行為的參考線（Base line） 鑒別正在網(wǎng)絡(luò)中傳播的攻擊行為,網(wǎng)絡(luò)使用控制 (NAC),在用戶接入網(wǎng)絡(luò)之前 可以與思科的 Cisco Network Admission Control (CNAC) 或者微軟的 Microsoft Network Access Protection (MNAP) 聯(lián)動 能夠幫助我們確定誰能夠接入網(wǎng)絡(luò) 在接入網(wǎng)絡(luò)之后 分析并記錄用戶在接入網(wǎng)絡(luò)后的行為 可根據(jù)服務(wù)、應(yīng)用等，設(shè)置遵守IT法規(guī)策略 生成遵守IT法規(guī)的報告 在路由器或防火墻增加臨時的訪問控制列表,ETM：一個更好、更加有效的處理機(jī)制,使用者需要一個能夠自動并且從全局視角進(jìn)行網(wǎng)絡(luò)安全信息關(guān)聯(lián)分析的系統(tǒng)。不幸的是，大部分系統(tǒng)還只是自成體系，它們的視角局限在小范圍中。 你知道什么時候更新你的訪問控制配置么? 你知道什么時候你的網(wǎng)絡(luò)中出現(xiàn)了新的漏洞么? 你知道什么時候你的網(wǎng)絡(luò)中出現(xiàn)了一個高優(yōu)先級的安全事件么? 你知道什么時候你的補(bǔ)丁管理系統(tǒng)需要添加一個新的主機(jī)么? 所有以上這些信息需要手動進(jìn)行響應(yīng)！ 穩(wěn)固、自動、智能的新一代網(wǎng)絡(luò)安全技術(shù)應(yīng)該包括如下特性：實時、互相關(guān)聯(lián)以及主動防御,Agenda,Sourcefire 公司簡介 Sourcefire 企業(yè)威脅管理 (ETM) Sourcefire方案概覽 Questions,Sourcefire 3D系統(tǒng)的組成,Email, SNMP, Syslog,SSL,Firewall, IPS, Switchers, Routers,Configuration and Compliance Mgmt.,IPS,RNA,DC,Defend,Discover,Determine,IDS,SSL-encrypted VPN (Port 8305),G/bit copper or fiber,G/bit copper,Passive,Passive,In-line,Typically. 100b / event,Typically. 1Kb / event,監(jiān)聽網(wǎng)絡(luò),Management Network,發(fā)現(xiàn),確定,防御,警告,阻斷,糾正,Sourcefire 3D 系列產(chǎn)品構(gòu)成,Core Products,Sourcefire IPS,Sourcefire RNA,Sourcefire Defense Center,Sourcefire RUA,Sourcefire 入侵傳感器管理網(wǎng)絡(luò)威脅,Sourcefire入侵傳感器（IPS/IDS）是開源技術(shù)Snort 的商業(yè)化產(chǎn)品，它毫無疑問是業(yè)界最快并且最全面的入侵傳感器。,入侵傳感器,運(yùn)行在IDS模式時 被動的監(jiān)聽網(wǎng)絡(luò)中的流量，并根據(jù)IT規(guī)章和策略的遵守情況發(fā)出警告 運(yùn)行在IPS模式時 被動的監(jiān)聽網(wǎng)絡(luò)中的流量，并根據(jù)IT規(guī)章和策略的遵守情況阻斷流量或發(fā)出警告 無論運(yùn)行在何種模式 它們都能夠提供合格的性能，不會錯過任何網(wǎng)絡(luò)事件或減慢網(wǎng)絡(luò)速度,Sourcefire IPS 關(guān)鍵特性,威脅防御方面 全面的、基于弱點的Snort規(guī)則 Inline (IPS) and/or passive (IDS) 部署 內(nèi)置了多個廠家推薦的IPS規(guī)則集 可對TCP和IP碎片進(jìn)行重組 開放、標(biāo)準(zhǔn)的規(guī)則（Rule）語言 可查看、編輯、創(chuàng)建rules 擁有10萬個以上用戶 規(guī)則基于行業(yè)標(biāo)準(zhǔn)的格式 取證 能看到數(shù)據(jù)包級別的攻擊數(shù)據(jù) 成熟的可定制的工作流來顯示數(shù)據(jù) 性能 5 Mbps to 10 Gbps,檢測方法: Rules 針對目標(biāo): 漏洞 （Vulnerability） 結(jié)果: 規(guī)則更加優(yōu)化，數(shù)量更少 覆蓋面更大 性能更高（10G） 精確度更高 誤判更少,檢測方法: Signatures 針對目標(biāo): 攻擊方法 （Exploit） 結(jié)果: Signatures阻止攻擊要求收集所有的變量 針對同一漏洞的攻擊有很多變量 誤判較多,Threat Detection: Fundamental Differences,應(yīng)對“零日攻擊”的實例,一月 2005 一月 2005 十一月 2006 三月 2007 四月 2007,Sourcefire在 Windows 操作系統(tǒng)中發(fā)現(xiàn)一個指針漏洞（animated cursor vulnerability） Sourcefire 發(fā)布 Snort rule SID-3079 利用這個漏洞的病毒Malware 被開發(fā)并傳播出來 Microsoft 發(fā)布關(guān)于此漏洞的安全警告，代碼935423 Microsoft發(fā)布補(bǔ)丁,“面向系統(tǒng)弱點創(chuàng)建規(guī)則比面向攻擊方式編寫Signature更加有效，使用這種方法，我們能夠在微軟發(fā)布安全警告前2年就已經(jīng)開始保護(hù)企業(yè)，使其免受“零日攻擊”的威脅 Matt Watchinksi Sourcefire VRT威脅研究中心主管,Microsoft Animated Cursor Vulnerability (MS07-17),使用Snort技術(shù)的優(yōu)勢,開源技術(shù)，在行業(yè)中應(yīng)用廣泛 所有版本都基于“GPL”開放協(xié)議 開放系統(tǒng)更加安全可靠，無后門 被多家第三方公司集成使用 UTMs, firewalls, MSSP（安全托管 ） 所有規(guī)則（Rule）全部開放 可根據(jù)自身情況編輯 可自己創(chuàng)建新規(guī)則 豐富的Rules Language 高可調(diào)的包一級分析 PCRE option 數(shù)千的 Rules 由Sourcefire 和 其他Snort使用者提供,“故障開放”保證線路不中斷,IPS 設(shè)備具有“故障開放”功能，功能在網(wǎng)絡(luò)接口上實現(xiàn)。 網(wǎng)絡(luò)接口的“故障開放” 功能啟動，將線路橋接成導(dǎo)線狀態(tài)的情況如下： 設(shè)備斷電 設(shè)備遇到軟件故障 設(shè)備重啟過程中 Snort處理引擎重啟,Vulnerability Research Team (VRT) 簡介,一千萬美元的投資 200 server regression test facility 發(fā)布規(guī)則（rule）而不是攻擊特征（signatures） 7X24小時提供服務(wù)的團(tuán)隊: 分析弱點與漏洞 Reverse-engineer patches 定期的rules升級,VRT Regression Facility, Columbia MD,通過VRT架構(gòu)，確保Rules質(zhì)量,Sourcefire傳感器一覽表,Sourcefire傳感器一覽表,Sourcefire RNA 提供網(wǎng)絡(luò)終端智能,實時網(wǎng)絡(luò)感知是唯一能夠在不影響網(wǎng)絡(luò)性能前提下，提供主機(jī)信息收集、流量記錄、日志服務(wù)的產(chǎn)品,RNA可以捕獲什么信息?,主機(jī)信息 Client/server/bridge 網(wǎng)絡(luò)服務(wù)信息 ftp, telnet, ssh 網(wǎng)絡(luò)流量信息 誰和誰建立通訊 使用什么協(xié)議、什么端口 RNA 在隱蔽的狀態(tài)下工作，不斷統(tǒng)計網(wǎng)絡(luò)中的錯誤和細(xì)節(jié) 根據(jù)記錄，RNA計算出網(wǎng)絡(luò)圖和弱點列表,24%,49%,59%,82%,12%,77%,100%,RNA vs. 主動掃描類技術(shù),使用主動掃描技術(shù)就像為網(wǎng)絡(luò)照了一張照片 通過主動掃描獲得的信息會因為時間的推移而逐漸變的不準(zhǔn)確 RNA就像一個在網(wǎng)絡(luò)里面全天工作的閉路監(jiān)控系統(tǒng) RNA分析的準(zhǔn)確性不會隨著時間推移而有任何變化,被動感知技術(shù),被動感知技術(shù)能夠收集如下信息： 通訊主機(jī)屬性信息（用戶名等） 操作系統(tǒng)信息 操作系統(tǒng)類型 (router, switch, host etc.) 主機(jī)使用的網(wǎng)絡(luò)應(yīng)用 與傳感器的距離 根據(jù)主機(jī)以及運(yùn)行在主機(jī)上的應(yīng)用綜合分析它們的漏洞 網(wǎng)絡(luò)流的流動方向（起點、終點）,RNA 網(wǎng)絡(luò)圖 主機(jī)與關(guān)聯(lián)性可視,RNA 網(wǎng)絡(luò)圖 主機(jī),RNA 網(wǎng)絡(luò)圖 服務(wù),RNA 應(yīng)用,RNA 弱點分析,RNA 行動方案推薦,Security 警告旗,安全事件會以警告旗的方式表示出來，它們是聯(lián)動分析RNA和入侵檢測設(shè)備提供的信息后計算出來的。,Defense Center提供完整的網(wǎng)絡(luò)防御智能,所有傳感器負(fù)責(zé)收集數(shù)據(jù)或者阻斷惡意流量，而智能的實時分析和響應(yīng)是由Defense Center完成的。,The “nerve center” of the Sourcefire 3D System,Sourcefire Defense Center,事件關(guān)聯(lián) 將終端、智能分析、威脅 有機(jī)的關(guān)聯(lián)起來并進(jìn)行優(yōu) 先級排序 規(guī)章強(qiáng)制遵從 定義基線并強(qiáng)制用戶遵從 指令發(fā)布和控制 集中管理所有設(shè)備 3D 可視化呈現(xiàn) 實時生成清晰的網(wǎng)絡(luò)攻擊 報表和圖形 降低總體擁有成本 部署方便 內(nèi)置高性能數(shù)據(jù)庫 性能穩(wěn)定,靈活的報表系統(tǒng),可為重要應(yīng)用定制報表 自動定期生成報表 報表格式可以支持： PDF, HTML or Excel 可將報表發(fā)送到第三方設(shè)