전상준 차장sanjeon@cisco.com

Agenda

보안이란

NGFW의기능과특징

차세대통합보안플랫폼 (NGFW)

시스코보안의차별화

Summary

보안이란저희에게 보안이란?

Viruses1990-2000

Worms2000-2005

Spyware and Rootkits2005-Today

APTs CyberwareToday +

1990 1995 2000 2005 2010 2015 2020

피싱 공격, 단순한 구조의 공격

해킹의 산업화 시작

지능화된 공격, 복잡한단계를 거치는 공격

모든기업들이악성코드의감염경험100%

보안위협의 변화컴퓨터 도입시점 부터 오늘날

단순한 방화벽과 IPS는현재의 공격을 막을 수 있나?

고속의 컨텐츠 인스펙션

123.45.67.89

Johnson-PC

OS: Windows 7hostname: laptop1User: jsmithIP: 12.134.56.78

12.122.13.62

SQL

Today’s Reality:

621 breaches

92% stemmed from external agents

52% utilized hacking

40% incorporated malware

78% of attacks labeled low difficulty

19% attributed tocyberespionage

2013 Verizon Data Breach Investigation Report

방화벽의한계

단순 IP/Port 기반 ACL

N x N x N 식의관리불가한정책

사용자/어플리케이션인식불가

IPS의한계

단순패턴매칭, 오탐, 무의미한대량이벤트

동적인어플리케이션인지불가

사용자식별불가

위협을 얼마나 들여다 보고 있나요?그것이 무엇인지 알아야 방어 할 수 있습니다

시스코 차세대 IPS or 방화벽

Malware

Client applications

Operating systems

Mobile devices

VoIP phones

Routers and switches

Printers

Command

and control

servers

Network servers

일반 NGFW

Users

File transfers

Web

applications

Application

protocols

일반 IPS

Threats

시스코 차세대 보안 플랫폼?하나의 장비에서 모든 기능을 한번에

NGIPS자동 취약점 분석

취약성방어, 해킹외의

침입공격방지기능

NGFW 어플리케이션 제어

가시성및 어플리케이션, 사용자제어기능

AMP진화된 악성코드 차단

보안시스템에서방어하지못한 Malware 탐지및 방어

Cisco 차세대 통합보안 플랫폼 기능소개

사전방어 사후대응실시간조치

보안장비 다양한 역할1. 방화벽

Internet

ISP B

Outside

Inside

DMZ

Internet

Intranet

Failover

B group C group

Outside

Inside

DMZ

Internet

ISP A

A group

Failover

보안장비 다양한 역할2. VPN

남이 보지 않았는지- 기밀성 (Confidentiality)

내용이 변경되지 않았는지- 무결성 (integrity) 또는 메시지 인증(authentication)

수신자가 누구인지- 사용자 인증 (user authentication or Identification)

보안장비 다양한 역할3. IPS

비정상패킷

Attack

Attacker

DURING

Detect

Block

Defend

보안장비 다양한 역할4. URL 필터링

Marketin

g

Legal Finance

게임성인

포털

P2P

보안장비 다양한 역할4. URL 필터링

정보

게임성인

포털

P2P

알려지지 않은 신규 Web page 제어 카테고리를 이용하여 비즈니스 관련 없는 사이트 차단 평판 기반 + 사용자 및 사용자 그룹 기반

보안장비 다양한 역할5. AMP

Malware변조된파일

NGFW는 통합화된 보안장비보안 취약점을 다양한 각도로 분석 및 파악

Retrospective Security

Shrink Time Between Detection and Cure

PDFMail

Admin

Request

PDF

Mail

Admin

Request

Multivector Correlation

Early Warning for Advanced Threats

Host A

Host B

Host C

3 IoCs

Adapt Policy to Risks

WWWWWWWWW

Dynamic Security Control

http://http://WWWWEB

Context and Threat Correlation

Priority 1

Priority 2

Priority 3

Impact Assessment

5 IoCs

Cisco 차세대 통합보안 플랫폼 장비와 특징

BEFORE AFTERDURING

Sourcefire란현존 하는 대부분 IPS의 원천소스

업계 최고의 침입탐지 시스템

실시간 상황인식

네트워크 전체 가시성 확보

FireSIGHT 를 통한 인텔리전트 시큐리티

High Performance 그리고 확장성

애플리케이션 제어, URL 필터링 그리고 AMP 기능

을 손쉽게 라이센스 추가로 사용

시스코 차세대 통합 보안 플랫폼Cisco NGFW Platforms

Cisco Firepower Threat

Defense on ASA 5500-X

Cisco FirePOWER Services

on ASA 5585-X

Cisco Firepower Threat

Defense on Firepower™

4100 Series and 9300

방화벽 ASA 플랫폼에 소스파이어 차세대 위협 차단 솔루션을 서비스 모듈 형태로 통합 또는 Firepower Threat Defense 플랫폼 새로운 지능적인 보안위협에 대응하는 통합 보안 플랫폼

*5585-X management in the near future

FMC (Firepower Management Center)를통해관리가능 *

New

하드웨어

DDoS

시스코 차세대 통합 보안 플랫폼이제는 관리도 한번에

ASA Rule Table Firepower Rule Table

Unified Policy and Objects

관리통합하나의설정

Rule

Firepower 6 Deployment 옵션? 이제는 관리도 한번에

• Firepower Appliances • Firepower Threat Defense (Unified Software Image)

• ASA with Firepower Services

FirePOWER

Services 6.0

ASA 9.5.x

Firepower

Threat Defense 6.0

Firepower

Appliaces

6.0

• 7000/7100/8000/Virtual • ASA 5500X (all models) • ASA 5500X / New Models vSphere / AWS

All Managed by Firepower Management Center 6.0

New

소프트웨어

다양한 기능을 설정 및 분석전체 트래픽에 대한 세부 분석

다양한 기능을 설정 및 분석전체 트래픽에 대한 세부 분석

다양한 기능을 설정 및 분석전체 트래픽에 대한 세부 분석

Top 공격자 Top 타켓 애플리케이션 총 이벤트

등급별 위협 이벤트 Top 악성코드 카테코리별 트래픽

다양한 각도로 분석관리 Tool을 통한 다양한 뷰

모든 애플리케이션 트래픽 뷰… 위험성 있는 애플리케이션 뷰… 누가 그것을 사용하지 있는지?

그들은 어떤한 OS를 사용하고 있는지?그들은 어떠한 위험 요소가 있는지?

그들의 이벤트 트래픽은 어떠한지?

다양한 각도로 분석트래픽 분석을 통한 실시간 자산 인식

OS & 버전

서버 애플리케이션및 버전 정보

클라이언트

애플리케이션

누가 이 호스트를사용하나 ?

클라이언트 버전

애플리케이션

어떤 사용자가 언제사용했나 ?

가시성 확보위협중심의 방어를 위한 기반

네트워크 기반의 경로악성코드의 근원지부터 경로 파악

Outside inside

네트워크 기반의 경로악성코드의 근원지부터 경로 파악

위협의 근본적인 원인과 흐름을 가시성을 가지고 추적하다

Unknown 파일이 IP 주소10.4.10.183 번에서 Firefox 인터넷 브라우저를 통해 다운로드 받음10:57, Unknown 파일이10.4.10.183 에서 10.5.11.8로 전송됨

7시간 후 파일은 SMB를 통해 세번째 디바이스(10.3.4.51)로 전송됨

30분 후,파일이 4번째 디바이스(10.5.60.66) 에 같은SMB를 통해 파일을 복사

시스코 인텔리젼스 클라우드는해당 파일을 악의적파일로 학습하고 4대의 디바이스에 대해 모두 회귀적 이벤트를 발생시킴

같은 시간, FireAMP 가 설치된디바이스에서 회귀적 이벤트를발생시키고 즉시 해당 파일을 격리하고 새롭게 악성코드로 판단

첫 공격후 8시간이 지난 시점에 악성코드는 초기 진입하였던 지점을 통해 재시도하려고하나 악성코드로 인지되어 차단됨

SAMPLE

시스코 보안 솔루션만의 차별화무엇이 있을까요?

시스코 Talos 조직세계 최고의 엘리트 보안분석 팀

10I000 0II0 00 0III000 II1010011 101 1100001 110

110000III000III0 I00I II0I III0011 0110011 101000 0110 00

I00I III0I III00II 0II00II I0I000 0110 00

101000 0II0 00 0III000 III0I00II II II0000I II0

1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00

100I II0I III00II 0II00II I0I000 0II0 00

Cisco Talos 위협인텔리전스

Email AMP Web Network NGIPS NGFW

WWW

Sourcefire

VRT®

Pervasive across Portfolio

Cisco®

SIO

SandboxingMachine Learning

Big Data Infrastructure

• 매일 수신하는 110만 개의 악성코드샘플

• Cisco AMP 커뮤니티• 비공개/공개 위협 정보 피드• AMP Threat Grid Intelligence• Cisco AMP Threat Grid Dynamic

Analysis에서매월 생성되는 1천만 개 파일

• Microsoft 및 업계보다 먼저 공개• Snort & ClamAV 오픈소스 커뮤니티• AEGIS™ Program

• 전 세계 160만 개의센서 매일 수신되는 100TB의 데이터

• 1억 5천만 개 이상 구축된 엔드포인트

• 600명의 엔지니어, 기술자, 연구원• 35% 전 세계 이메일 트래픽 처리• 130억 개의 웹 요청• 24시간x7일x365일 운영• 매일 4.3억 회의 웹 필터링 차단• 40가지 이상의 언어

시스코 Talos 조직세계 최고의 엘리트 보안분석 팀

Talos Cloud

Discovery Events – Hosts, Users, OS,

Services, Vulnerabilities

File Types, File Transfers

Connection Logs, Flows

IDS/IPS Events – Snort Rule IDs

FireSIGHT

Files

L2/L3

Snort

AppID Server, Client and Web AppsApplication Definitions, App Detectors

Vulnerability Updates, OS Definitions

Malware Cloud Lookups (AMP),

Sandbox, Trajectories

Security Intelligence IP Reputation,

URL Category Updates

Snort Rule Updates

Why Cisco궁금하신 사항은 언제든지 Cisco로 연락주세요. Demo도 가능합니다

Cisco

Email AMP Web Network NGIPS NGFW

WWW

SandboxingMachine Learning

Big Data Infrastructure

Firewall

AVC

NGFW

NGIPS

Malware Protection

Web Security

Content

Access

Network

2016년 베스트 Security company 지정 - SC 매거진2016년 베스트 NGFW 선정 - INTEROP

No. 1Security

32%

# 기준: Q2 CY2015

No. 1

IPS

No. 1

FW

No. 1

이메일보안