sourcefire简介.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Sourcefire,全方位的网络安全防护,侯彦青Airain hou csohou,13,916483807.,Agenda,Sourcefire,公司简介,Sourcefire,企业威胁管理,(ETM),Sourcefire,方案概览,Questions,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,.,Who Is Sourcefire?,在,2001,年由,Snort,的创造者,Martin Roesch,组建,总部,:,美国哥伦比亚,马里兰州,雇员,:,大于,200,人,拥有超过,1,500,个的企业和政府用户,用户包括财富,100,强中的,25,个以上,销售与服务网络遍布全球,纳斯达克上市代号,:FIRE,开源代码开发者支持,+,正规公司运作的,技术创新与服务支持,世界最佳的技术力量组合,Mission,:,提供高效率的网络智能技术，帮助用户有效的应对日益增长的风险,Sourcefire,的技术发展历程,2002,2003,2005,2006,2007,2004,Target-Based Intrusion Prevention,User Identity-Based Security,Security Compliance Automation,Network Behavior Analysis,Unified Intrusionand Vulnerability Management,Automated Policy and Response,Multi-Gigabit IPS(Up to 8 Gigabit Line Rate),Automated Intrusion Threat Analysis,Real-Time Network Awareness,Inline Intrusion Prevention,Gigabit Intrusion Detection,Scalable Intrusion Management,2001,Snort-Based IDS Appliance,1,ST,1,ST,1,ST,1,ST,1,ST,24,项专利技术,著名的漏洞分析团队,在行业中获得一致认可,获得多个行业认证,可度量入侵管理,自动策略与响应,实时网络感知,统一入侵和漏洞管理,安全策略自动遵从,基于目标的入侵保护,IDS,产品发布,千兆入侵检测,高性能,IPS,产品,自动入侵威胁分析,网络行为分析,用户关联安全分析,在线入侵防护,分析和评测机构的一致认可,Gartner,评测报告,3Q05 Through 2Q06,McAfee,Cisco,Symantec,Source:Infonetics Research,Network Security Appliances and Software,August 2006,WW Network-Based IDS/IPS Market Share Growth,Infonetics,市场研究报告,Source:Gartner,Greg Young and John Pescatore,Magic Quadrant for Network Intrusion Prevention System Appliances,2H06,December 2006,Note:Magic Quadrant Research is a qualitative evaluation of a set of vendors in a specific market;it is NOT a stack ranking.Gartner will decline the use of any Magic Quadrant research to endorse the position of one vendor over another or to negatively endorse competitors positions.,Sourcefire,得到的行业认证,Agenda,Sourcefire,公司简介,Sourcefire,企业威胁管理,(ETM),Sourcefire,方案概览,Questions,X,X,X,X,X,X,X,X,X,来自内部的意外攻击,在,FBI 2007,年公布的电脑犯罪调查中，,44,的用户遭到了来自内部的攻击。,外部攻击,2006,年的研究数据表明,富有经验的黑客 消耗了企业,$660,000,经费，这些经费被用来保护用户、商业伙伴。,企业安全策略的强制执行,市场研究机构,AMR Research,的研究员,John Hagerty,说：企业安全策略自动遵从归根结底是一个可视化问题网络安全哪里存在问题？哪里暴露出了漏洞？由于管理者需要一个统观企业网络安全全局的视角，企业安全策略自动遵从开始变成一个战略问题,来自内部的恶意攻击,根据美国情报科学学会,ASIS,和美国商会的联合调查，仅,138,个财富排名,1000,强的公司，每年就因为内部攻击损失了,53,亿以上,未被检测到的攻击,根据美联社报道,全球最大的零售商之一,TJX,公司近日披露的数据泄密问题要比最初报道的情况严重得多。,对这次事件的内部调查表明，有人早在,2005,年,7,月就闯入了,TJX,的系统，这比最初认为的差不多早了一年。,今日网络面临的威胁,未知的连接,在,CSI,和,FBI,最近接到的电脑犯罪和安全事件报告中，超过,66,的事件是由未经授权的接入引起的数据盗窃。,Sourcefire,的企业威胁管理,(ETM),入侵防护,弱点评估,网络行为分析,网络使用控制,网络威胁,智能分析,ETM,在攻击发生前后的工作,攻击发生之前,所有的一切,都在网络上运行,存在违反规章的行为,和未被修复的漏洞,加强,资产管理,攻击发生期间,攻击在网络中,传播,对网络的运行,造成影响,及时,阻止和报警,攻击发生之后,攻击行为,产生自哪里,我们需要,采取什么行动,最小化影响,Sourcefire 3D System,INTELLIGENCE LAYER,ETM and the Sourcefire 3D System,攻击发生之前,所有的一切,都在网络上运行,存在违反规章的行为,和未被修复的漏洞,加强,资产管理,攻击发生期间,攻击在网络中,传播,对网络的运行,造成影响,及时,阻止和报警,攻击发生之后,攻击行为,产生自哪里,我们需要,采取什么行动,最小化影响,发 现,DISCOVER,确 定,DETERMINE,防 御,DEFEND,“倘若网络安全设备能够提供网络以及端点的智能，那就意味着它们能力的提升,.”,Use Endpoint Intelligence to Improve Security Defenses,Report,ETM,带来的优势,企业威胁控制（,ETM,）综合控制平台,监视发生在网络内外的全部安全事件,快捷方便的操作界面,由入侵防护、弱点评估、网络行为分析和网络使用控制四大功能组成,将威胁、终端和智能分析有机关联起来：,威胁控制智能来自,IPS,终端智能来自漏洞评估（,VA,）和网络行为分析（,NBA,）,网络智能来自（,NBA,）,与其他,IPS,相比较，明显的减少了错误判断,监视企业、行业或政府的,IT,规章遵从情况,蠕虫,木马,端口扫描,缓冲溢出攻击,间谍软件,协议异常,畸形流量,错误数据包头,零日攻击,应对如下威胁,入侵防御,（,Intrusion Prevention,）,针对系统漏洞的入侵防御,企业威胁管理方案中的第一道防线,作为,SNORT,的缔造者，系统表现更优秀、精准,IPS,规则将更加关注网络中的“弱点”，而不是“功绩”,防御零日攻击,IPS,事件将会与网络威胁智能分析关联起来,IPS,仅仅是企业威胁管理方案的一个部分,弱点评估,（,Vulnerability Assessment,）,“主动”发起对弱点的扫描并进行评估,采用被广泛接受的获取终端资产信息与安全漏洞信息的方法,提供内容丰富的终端资产与安全漏洞的快照信息,在每次主动扫描之间，精确性在降低,主动扫描有可能对某些主机产生不良影响,Scan occurs,Accuracy decay,Time,Quality,t,-Coherence time,t,网络行为分析,Network Behavior Analysis(NBA),“被动”的智能分析,充实“主动”扫描得到的信息,24x7,小时监控终端资产和漏洞情况,类似被动声纳的运作机理,通过“听”来分析网络,避免了延迟或者性能的瓶颈,能够使用,NetFlow,记录,通常连接到局域网分接头或者交换机镜像端口,网络异常探测,创建一个“正常”网络行为的参考线（,Base line,）,鉴别正在网络中传播的攻击行为,网络使用控制,(NAC),在用户接入网络之前,可以与思科的,Cisco Network Admission Control(CNAC),或者微软的,Microsoft Network Access Protection(MNAP),联动,能够帮助我们确定谁能够接入网络,在接入网络之后,分析并记录用户在接入网络后的行为,可根据服务、应用等，设置遵守,IT,法规策略,生成遵守,IT,法规的报告,在路由器或防火墙增加临时的访问控制列表,ETM,：一个更好、更加有效的处理机制,使用者需要一个能够,自动,并且从,全局,视角进行网络安全信息,关联,分析的系统。不幸的是，大部分系统还只是自成体系，它们的视角局限在小范围中。,你知道什么时候更新你的访问控制配置么,?,你知道什么时候你的网络中出现了新的漏洞么,?,你知道什么时候你的网络中出现了一个高优先级的安全事件么,?,你知道什么时候你的补丁管理系统需要添加一个新的主机么,?,所有以上这些信息需要手动进行响应！,稳固、自动、智能的新一代网络安全技术应该包括如下特性：实时、互相关联以及主动防御,Agenda,Sourcefire,公司简介,Sourcefire,企业威胁管理,(ETM),Sourcefire,方案概览,Questions,Sourcefire 3D,系统的组成,Email,SNMP,Syslog,SSL,Firewall,IPS,Switchers,Routers,Configuration and Compliance Mgmt.,IPS,RNA,DC,D,efend,D,iscover,D,etermine,IDS,SSL-encrypted,VPN(Port 8305),G/bit copper or fiber,G/bit copper,Passive,Passive,In-line,Typically.100b/event,Typically.1Kb/event,监听网络,Management Network,发现,确定,防御,警告,阻断,纠正,Sourcefire 3D,系列产品构成,Core Products,Sourcefire IPS,Sourcefire RNA,Sourcefire Defense Center,利用网络智能可关联的分析网络攻击,利用触发或自动响应机制应对网络事件,在网络安全、策略制定和规章遵从方面可以做到,集中控制,强制执行并生成报表,提供符合行业标准的,基于,Snort,的在线,IPS,或被动,IDS,功能,提供,3,种初始配置模板，方便配置,凭借着,Snort rules,提供广泛检测能力,使用强大并可伸缩的引擎,提供网络和终端的智能检测能力,通过,网络行为分析,(NBA),确定网络中的行为和流量成分,可识别,NetFlow,（,v5,），提供更广的安全可视覆盖能力,使用“无间隔”的被动网络分析方式,Product Highlights,对邮件和,IP,地址提供,24x7,的被动身份信息关联,使用,LDAP and Active Directory domains,作为数据源,让,Sourcefire IPS,和,RNA,分析的数据关联到具体的用户而不是,IP,Sourcefire RUA,Sourcefire,入侵传感器管理网络威胁,Sourcefire,入侵传感器,（,IPS/IDS,）,是开源技术,Snort,的商业化产品，它毫无疑问是业界最快并且最全面的入侵传感器。,入侵传感器,运行在,IDS,模式时,被动的监听网络中的流量，并根据,IT,规章和策略的遵守情况发出警告,运行在,IPS,模式时,被动的监听网络中的流量，并根据,IT,规章和策略的遵守情况阻断流量或发出警告,无论运行在何种模式,它们都能够提供合格的性能，不会错过任何网络事件或减慢网络速度,Sourcefire IPS,关键特性,威胁防御方面,全面的、基于弱点的,Snort,规则,Inline(IPS)and/or passive(IDS),部署,内置了多个厂家推荐的,IPS,规则集,可对,TCP,和,IP,碎片进行重组,开放、标准的规则,（,Rule,）,语言,可查看、编辑、创建,rules,拥有,10,万个以上用户,规则基于行业标准的格式,取证,能看到数据包级别的攻击数据,成熟的可定制的工作流来显示数据,性能,5 Mbps to 10 Gbps,检测方法,:,Rules,针对目标,:,漏洞（,Vulnerability,）,结果,:,规则更加优化，数量更少,覆盖面更大,性能更高（,10G,）,精确度更高,误判更少,检测方法,:,Signatures,针对目标,:,攻击方法（,Exploit,）,结果,:,Signatures,阻止攻击要求收集所有的变量,针对同一漏洞的攻击有很多变量,误判较多,Threat Detection:Fundamental Differences,应对“零日攻击”的实例,一月,2005,一月,2005,十一月,2006,三月,2007,四月,2007,Sourcefire,在,Windows,操作系统中发现一个指针漏洞（,animated cursor vulnerability,）,Sourcefire,发布,Snort rule SID-3079,利用这个漏洞的病毒,Malware,被开发并传播出来,Microsoft,发布关于此漏洞的安全警告，代码,935423,Microsoft,发布补丁,“面向系统弱点创建规则比面向攻击方式编写,Signature,更加有效，使用这种方法，我们能够在微软发布安全警告前,2,年就已经开始保护企业，使其免受“零日攻击”的威胁,Matt Watchinksi,Sourcefire VRT,威胁研究中心主管,Microsoft Animated Cursor Vulnerability(MS07-17),使用,Snort,技术的优势,开源技术，在行业中应用广泛,所有版本都基于“,GPL,”,开放协议,开放系统更加安全可靠，无后门,被多家第三方公司集成使用,UTMs,firewalls,MSSP,（,安全托管,）,所有规则（,Rule,）全部开放,可根据自身情况编辑,可自己创建新规则,丰富的,Rules Language,高可调的包一级分析,PCRE option,数千的,Rules,由,Sourcefire,和 其他,Snort,使用者提供,“故障开放”保证线路不中断,IPS,设备具有“故障开放”功能，功能在网络接口上实现。,网络接口的“故障开放”功能启动，将线路桥接成导线状态的情况如下：,设备断电,设备遇到软件故障,设备重启过程中,Snort,处理引擎重启,Vulnerability Research Team(VRT),简介,一千万美元的投资,200 server regression test facility,发布规则（,rule,）而不是攻击特征（,signatures,）,7X24,小时提供服务的团队,:,分析弱点与漏洞,Reverse-engineer patches,定期的,rules,升级,VRT Regression Facility,Columbia MD,通过,VRT,架构，确保,Rules,质量,Sourcefire VRT,Rulesets,Private,feeds,Public,feeds,Snort,使用者团体,收费,研究机构,蜜罐,VRT Research&Analysis,VRT LAB,16 million,performance&,regression tests,1000s of,software,packages,100s of,hardware,platforms,Sourcefire,传感器一览表,Sourcefire,传感器一览表,Sourcefire RNA,提供网络终端智能,实时网络感知是唯一能够在不影响网络性能前提下，提供主机信息收集、流量记录、日志服务的产品,RNA,可以捕获什么信息,?,主机信息,Client/server/bridge,网络服务信息,ftp,telnet,ssh,网络流量信息,谁和谁建立通讯,使用什么协议、什么端口,RNA,在隐蔽的状态下工作，不断统计网络中的错误和细节,根据记录，,RNA,计算出网络图和弱点列表,24%,49%,59%,82%,12%,77%,100%,RNA vs.,主动扫描类技术,使用主动扫描技术就像为网络照了一张照片,通过主动扫描获得的信息会因为时间的推移而逐渐变的不准确,RNA,就像一个在网络里面全天工作的闭路监控系统,RNA,分析的准确性不会随着时间推移而有任何变化,Scan occurs,Accuracy decay,Time,Quality,t,-Coherence time,t,被动感知技术,被动感知技术能够收集如下信息：,通讯主机属性信息（用户名等）,操作系统信息,操作系统类型,(router,switch,host etc.),主机使用的网络应用,与传感器的距离,根据主机以及运行在主机上的应用综合分析它们的漏洞,网络流的流动方向（起点、终点）,RNA,网络图,主机与关联性可视,RNA,网络图,主机,RNA,网络图,服务,RNA,应用,RNA,弱点分析,RNA,行动方案推荐,Security,警告旗,安全事件会以警告旗的方式表示出来，它们是联动分析,RNA,和入侵检测设备提供的信息后计算出来的。,Defense Center,提供完整的网络防御智能,所有传感器负责收集数据或者阻断恶意流量，而智能的实时分析和响应是由,Defense Center,完成的。,The“nerve center”of the Sourcefire 3D System,Sourcefire Defense Center,事件关联,将终端、智能分析、威胁,有机的关联起来并进行优,先级排序,规章强制遵从,定义基线并强制用户遵从,指令发布和控制,集中管理所有设备,3D,可视化呈现,实时生成清晰的网络攻击,报表和图形,降低总体拥有成本,部署方便,内置高性能数据库,性能稳定,灵活的报表系统,可为重要应用定制报表,自动定期生成报表,报表格式可以支持：,PDF,HTML or Excel,可将报表发送到第三方设备,Search Filter,Time Window,Workflow Selection,Summary selection,Query Engine,Report Formatter,Output Spooler(disk,email),Report Profile,使用,DC,发现网络中有问题的事件,Defense Center,能够提供强大的网络数据优化和关联功能,控制界面基于,Web,或可以选择使用有,3D,显示效果的客户端,包含管理子系统，可以统一管理传感器,简单的人机操作界面，更加容易上手,End-point Intelligence,Intrusion Events,Vulnerability database,数据,优化,事件,处理,数据,中心,Network Intelligence,Attacks,(1000s/hr),Hosts&,Services,Anomalies,3,rd,party event managers,Alerts,(10s/hr),生成,报表,Flows,CVE,Bugtraq,Sourcefire,Arachnids,Nessus,Cisco,DC,在超大型企业中的部署,DC3000,支持,100,个传感器,400GB,100 million events,DC,支持双机热备,Master Defense Center,Cascade events from 10 DCs for global overview,1.100 sensors,Mirrored DCs,1.10 DCs,MDC,Defence Centre,性能更好、需要人工干预更少,Sourcefire 3D System,Traditional IPS,需要人工判断的次数,高度自动,依赖人工,错误阻断的数量,LOWER,HIGHER,造成网络中断的潜在可能,LOWER,HIGHER,花费在操作上的精力,LOWER,HIGHER,错误放行的数量,LOWER,HIGHER,Questions?,