Обзор Cisco ASA с FIREPOWER сервисами

© 2014-2015 Elcore | Elko.by. All rights reserved.

Обзор Сisco ASA c FirePower сервисами

Максим Порицкий

инженер по направлению Сisco, ССIE R&S

[email protected]

2015

© 2014-2015 Elcore | Elko.by. All rights reserved. 2

Содержание

Что такое ASA c FirePOWER сервисами FireSIGHT Next Generation IPS Next Generation Firewall + AVC + URL фильтрация Advanced Malware Protection Cisco FireSIGHT Management Center Портфолио ASA с сервисами FirePower Лицензирование Заключение


Что представляет собой ASA c FirePOWER сервисами?

Industry’s First Threat-Focused

Next-Generation Firewall (NGFW)

#1 Cisco® security announcement of the year

Интеграция нескольких уровней защиты в одном устройстве позволяет:

обеспечить лучшую видимость и распознавание атак

динамическая защита и адаптация под изменения окружения

защиту от “сложных/многовекторных” атак

Cisco ASA Firewall (лидирующий в отрасли NGFW)

Лидирующий в отрасли NGIPS и AMP

Cisco ASA with FirePOWER™ Services


Фокусируются на приложениях …

101 010011101 1100001110001110 1001 1101 1110011 0110011

01 1100001 1100 0111010011101 1100001110001110 1001 1101 11

Проблема многих Next-Generation МСЭ

…Но пропускают атаки

Прежние МСЭ нового поколения могли уменьшить область атаки, но усовершенствованный вредоносный код часто обходил защитные механизмы


Защита в момент времени Непрерывная защита

Сеть Терминал Мобильное устройство

Виртуальная машина

Облако

Исследование Внедрение

политик Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование Восстановлени

е

Жизненный цикл атаки

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

Комплексная система безопасности Как это в исполнении ASA


Сервисы FirePower

► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений

► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)

► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

► Фильтрация URL-адресов на основе репутации и классификации

► Система Advanced Malware Protection с функциями ретроспективной защиты Cisco ASA

VPN и политики аутентификации

Фильтрация URL-адресов

(по подписке) FireSIGHT Аналитика и

автоматизация

Advanced Malware Protection

(по подписке)

Мониторинг и контроль

приложений

Межсетевой экран Маршрутизация и

коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco

Встроенное профилирование

сети

Предотвращение вторжений (по подписке)


FireSIGHT

Понимание сети


Важность контекста

Event: Attempted Privilege Gain Target: 96.16.242.135

Event: Attempted Privilege Gain Target: 96.16.242.135 (vulnerable) Host OS: Blackberry Apps: Mail, Browser, Twitte Location: Whitehouse, US

Event: Attempted Privilege Gain

Target: 96.16.242.135 (vulnerable) Host OS: Blackberry Apps: Mail, Browswer, Twitter Location: Whitehouse, US User ID: bobama Full Name: Barack Obama Department: Executive Office

Контекст имеет способность фундаментально изменить

интерпретацию событий безопасности

Событие одно и тоже – реакция разная ;)

Какой системой Вы предпочтете управлять? ;)


Сенсоры - ASA Пассивное

обнаружение

Hosts Services Applications Users Communications

Vulnerabilities

FireSIGHT -

система осведомления,

в режиме реального времени,

информации об инфраструктуре

Важность контекста Понимание своей инфраструктуры

The FireSIGHT использует функционал network discovery для мониторинга сетевого трафика и построения карты сети

Управляемые устройства пассивно собирают информацию, распознавая типы узлов, ОC, ПО, открытые порты и т.д. и информируют об этом FireSIGHT

User Agents на Microsoft Active Directory пересылают информацию об LDAP аутентификации пользователей

Информация по сбору может быть расширена за счет NetFlow, сканирования и др. методов


Беспрецедентная прозрачность сетевой активности

Категории FirePOWER сервисы Типовые IPS Типовые МСЭ нового

поколения

Угрозы Пользователи Веб-приложения Протоколы приложений Передача файлов Вредоносный код Серверы управления и контроля

ботнета

Клиентские приложения Сетевые серверы Операционные системы Маршрутизаторы и коммутаторы Мобильные устройства Принтеры VoIP-телефония Виртуальные машины


Индикатор компрометации Indications of Compromise (IoCs)

IPS Events

Malware Backdoors

CnC Connections

Exploit Kits Admin Privilege

Escalations

Web App Attacks

SI Events

Connections to Known CnC IPs

Malware Events

Malware Detections

Malware Executions

Office/PDF/Java Compromises

Dropper Infections

Узлы, которые подверглись атакам, система помечает indications of compromise (IOC) tags, для визуализации возможного распространения атак


Оценка вредоносного воздействия

1

2

3

4

0

УРОВЕНЬ

ВОЗДЕЙСТВИЯ

ДЕЙСТВИЯ

АДМИНИСТРАТОРА ПРИЧИНЫ

Немедленно принять

меры, опасность

Событие соответствует

уязвимости,

существующей на данном

узле

Провести расследование,

потенциальная опасность

Открыт соответствующий

порт или используется

соответствующий

протокол, но уязвимости

отсутствуют

Принять к сведению,

опасности пока нет

Соответствующий порт

закрыт, протокол не

используется


неизвестный объект

Неизвестный узел в

наблюдаемой сети


неизвестная сеть

Сеть, за которой не

ведется наблюдение

Каждому событию вторжения присваивается уровень воздействия атаки на объект

Устранить шум

Выявить реальные угрозы

Приоритетность действий администраторов


Next Generation IPS

Во время атаки


За основу взята сетевая система предотвращения вторжений (IPS) с открытым кодом SNORT Архитектурно состоит из:

Sniffer – захватывает проходящие в сети пакеты (IPv4/v6)

Preprocessors – собирает пакеты в сессии, проверяет корректность протоколов и заголовков, информирует об аномалиях

detection engine – анализ соответствия “собранного” трафика правилам безопасности

output and alerting module – вывод уведомлений

Next Generation IPS


Next Generation Firewall

Перед атакой


Важность понимания приложений (AVC)

Недостаточно традиционного Firewall

Атаки осуществляются через разрешенные политики безопасности

Application Visibility and Control (AVC) – технология обнаружения и идентификации приложений (DPI + NBAR2)

Политики безопасности на основе приложений

Распознав приложение, в работу подключается NGIPS


Распознавание приложений

Анализ сетевого трафика позволяет распознавать широкий спектр различных приложений, которые затем можно использовать в правилах политики безопасности


Система предотвращения вторжений нового поколения – проверка содержимого

Учет контекста

Интеллектуальная система безопасности – управление черными списками

Полный контроль доступа

По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу

И все эти компоненты прекрасно интегрируются друг с другом

Используются политики системы предотвращения вторжений

Политики контроля файлов

Политика межсетевого экрана

Политика в отношении системы предотвращения вторжений

нового поколения

Политика в отношении файлов

Политика в отношении вредоносных программ

Контролируемый

трафик

Коммутация, маршрутизация, VPN, высокая доступность

(кластеризация)

URL-фильтрация

Интеллектуальная система безопасности

Определение местоположения по IP-адресу

Интеграция всех сервисов


Фильтрация URL

Фильтрация URL-адресов по репутации и категориям обеспечивает комплексное оповещение и контроль над подозрительным веб-трафиком, а также применение политик для сотен миллионов URL-адресов в более чем 80 категориях


Контроль по типам файлов и направлению передачи


Гео-локация и визуализация местонахождения атакующих

Учет гео-локационной информации в политиках безопасности

Визуализация карт, стран и городов для событий и узлов


«Черные списки»: свои или централизованные


Создание «белых списков» / «списков соответствия»

Разрешенные типы и версии ОС

Разрешенные клиентские

приложения

Разрешенные Web-приложения

Разрешенные протоколы

транспортного и сетевого уровней

Разрешенные адреса / диапазоны

адресов

И т.д.


Advanced Malware Protection AMP


Обнаружение вредоносного кода с помощью AMP

Фильтрация по репутации Поведенческое обнаружение

Динамический анализ

(песочница)

Машинное обучение (атрибуты

файла – 400 шт)

Нечеткие отпечатки

(похожие элементы файла)

Расширенная аналитика (от разных устройств

безопасности)

Точная сигнатура

Признаки вторжения

(поведение в сети)

Корреляция потоков

Усовершенствованная система защиты от вредоносного ПО обеспечивает высокую

эффективность обнаружения вторжений, низкую стоимость владения и оптимальный уровень

защиты, позволяя быстро выявлять, анализировать и предотвращать распространение

вредоносного ПО и возникающих угроз, которые могут быть пропущены на других уровнях защиты


Траектория Поведенческий анализ

компрометации

Охота на бреши

Ретроспектива Составление Attack Chain

Cisco AMP защита с помощью ретроспективной безопасности


Анализ траектории движения вредоносных программ

Сетевая платформа использует индикаторы компрометации, анализ файлов и траекторию движения файла для того, чтобы показать, как вредоносный файл перемещается по сети, откуда он появился, что стало причиной его появления и кто еще пострадал от него

Сеть

Endpoint

Контент


Cisco FireSIGHT Management Center AFTER


Системы управления


Cisco FireSIGHT Management Center


Cisco FireSIGHT Management Center

750 2000 4000 Virtual

Max. Devices

Managed* 10 70 300

Virtual FireSIGHT Management Center

Up to 25 Managed Devices

Event Storage 100 GB 1.8 TB 4.8/6.3 TB

Max. Network

Map (hosts /

users)

2K/2K 150K/150K 600K/600K Virtual FireSIGHT

Management Center

Up to 2 or 10 Managed Devices - Promotional PID

NOTE: For FirePOWER on ASA only Events per

Sec (EPS) 2000 12000 20000


Портфолио ASA с сервисами FirePower ASA


ASA 5585-X

ASA 5512-X

ASA 5515-X

ASA 5525-X

ASA 5545-X

ASA 5555-X

FirePOWER Hardware module

Портфолио ASA с сервисами FirePower

ASA 5516-X

SMB, Филиалы

ASA 5506-X

ASA 5508-X

FirePOWER Software module – requires SSD disc

Филиалы, центральный сайт, Интернет DC


Category Features ASA 5506-X/5506H-X/5506W-X ASA 5508-X

Performance

Multiprotocol stateful firewall 300 Mbps 500 Mbps

VPN throughput 100 Mbps 175 Mbps

Maximum AVC throughput 250 Mbps 450 Mbps

Maximum AVC and NGIPS throughput 125 Mbps 250 Mbps

AVC or IPS sizing throughput [440 B] 90 Mbps 180 Mbps

Maximum concurrent sessions 50,000 (SecPlus Lic) 100,000

Maximum CPS 5000 10000

Производительность ASA5506-5508

http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html


















440 byte HTTP Transactional test in Mbps

IPS uses Balanced Profile, AVC uses Network Discovery: Applications

Model 5512-X 5515-X

5516-X

5525-X 5545-X 5555-X

FirePOWER

IPS or AVC (1 Service)

100 150 300 375 575 725

FirePOWER

IPS + AVC (2 Services)

75 100 150 255 360 450

FirePOWER

IPS+AVC+AMP (3 Services)

60 85 135 205 310 340

Производительность ASA5512X-5555X



















440 byte HTTP Transactional test in Mbps

IPS uses Balanced Profile, AVC uses Network Discovery: Applications

Model 5585-10 5585-20 5585-40 5585-60

FirePOWER

IPS or AVC (1 Service)

1200 2000 3500 6000

FirePOWER

IPS + AVC (2 Services)

800 1200 2100 3500

FirePOWER

IPS+AVC+AMP (3 Services)

550 850 1500 2300

Производительность ASA5585



















Лицензирование ASA


Лицензирование

FirePower-бандлы (K8, K9)

5 вариантов заказа функций безопасности

Подписка на 1, 3, 5 (включая обновления)

Функция AVC и NGFW включена по умолчанию

Постоянная лиц., поставляется вместе с устройством

Обновления AVC включены в SMARTnet

Security Plus Lic (для ASA5506X) – HA, сессии, VLAN

Security Context Lic (c ASA5508X)

IPS

URL

URL

IPS

TAMC TAC TA

URL

URL

AMP

IPS

TAM

AMP

IPS


Заключение ASA


Это лучшие наработки по интеграции:

FireSIGHT – пассивное обнаружение сетевого окружения

NGIPS – контекстного IPS нового поколения

NGFW – МСЭ нового поколения с пониманием приложений

URL-фильтрации

AMP – защиты от вредоносного ПО

Что такое ASA c FirePower сервисами ?


ASA with FirePOWER объединяет все вместе

Исследование Внедрение

политик Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование

Восстановление

Жизненный цикл атаки

ДО АТАКИ

ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

МСЭ/VPN NGIPS

Исследования ИБ

Защита Web

Advanced Malware Protection

Видимость и автоматизация

Контроль приложений

Контроль угроз

Ретроспективный анализ

IoCs/Реагирование на инциденты

© 2014-2015 Elcore | Elko.by. All rights reserved.

Cпасибо за внимание!

Максим Порицкий

инженер по направлению Сisco, ССIE R&S

[email protected]

2015

Internet

Обзор Cisco ASA с FIREPOWER сервисами