《sourcefire简介》PPT课件.ppt

Sourcefire 全方位的网络安全防护,侯彦青 Airain hou ,Agenda,Sourcefire 公司简介 Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览 Questions,Who Is Sourcefire?,在2001年由Snort的创造者Martin Roesch组建, 总部: 美国哥伦比亚, 马里兰州 雇员: 大于 200人 拥有超过1,500个的企业和政府用户 用户包括财富100强中的25个以上 销售与服务网络遍布全球 纳斯达克上市代号: FIRE,Sourcefire 的技术发展历程,2002,2003,2005,2006,2007,2004,Target-Based Intrusion Prevention,User Identity-Based Security,Security Compliance Automation,Network Behavior Analysis,Unified Intrusion and Vulnerability Management,Automated Policy and Response,Multi-Gigabit IPS (Up to 8 Gigabit Line Rate),Automated Intrusion Threat Analysis,Real-Time Network Awareness,Inline Intrusion Prevention,Gigabit Intrusion Detection,Scalable Intrusion Management,2001,Snort-Based IDS Appliance,24项专利技术,著名的漏洞分析团队,在行业中获得一致认可,获得多个行业认证,可度量入侵管理,自动策略与响应,实时网络感知,统一入侵和漏洞管理,安全策略自动遵从,基于目标的入侵保护,IDS产品发布,千兆入侵检测,高性能IPS产品,自动入侵威胁分析,网络行为分析,用户关联安全分析,在线入侵防护,分析和评测机构的一致认可,Gartner评测报告,Source: Gartner, Greg Young and John Pescatore Magic Quadrant for Network Intrusion Prevention System Appliances, 2H06, December 2006,Note: Magic Quadrant Research is a qualitative evaluation of a set of vendors in a specific market; it is NOT a stack ranking. Gartner will decline the use of any Magic Quadrant research to endorse the position of one vendor over another or to negatively endorse competitors positions.,Sourcefire得到的行业认证,Sourcefire为何不同用户基础和技术储备,受益于拥有大批开源爱好者，漏洞研究团队得到持续加强。用户拥有了全世界最大的威胁响应团队,Snort Rules 业界的标准,Snort Open Source Model,Proprietary Models,Agenda,Sourcefire 公司简介 Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览 Questions,来自内部的意外攻击 在FBI 2007年公布的电脑犯罪调查中，44的用户遭到了来自内部的攻击。,外部攻击 2006年的研究数据表明, 富有经验的黑客 消耗了企业$660,000经费，这些经费被用来保护用户、商业伙伴。,企业安全策略的强制执行 市场研究机构AMR Research的研究员John Hagerty 说：企业安全策略自动遵从归根结底是一个可视化问题网络安全哪里存在问题？哪里暴露出了漏洞？由于管理者需要一个统观企业网络安全全局的视角，企业安全策略自动遵从开始变成一个战略问题,来自内部的恶意攻击 根据美国情报科学学会ASIS 和美国商会的联合调查，仅138个财富排名1000强的公司，每年就因为内部攻击损失了53亿以上,未被检测到的攻击 根据美联社报道,全球最大的零售商之一TJX公司近日披露的数据泄密问题要比最初报道的情况严重得多。 对这次事件的内部调查表明，有人早在2005年7月就闯入了TJX的系统，这比最初认为的差不多早了一年。,今日网络面临的威胁,未知的连接 在CSI和FBI最近接到的电脑犯罪和安全事件报告中，超过66的事件是由未经授权的接入引起的数据盗窃。,Sourcefire的企业威胁管理 (ETM),ETM在攻击发生前后的工作,INTELLIGENCE LAYER,ETM and the Sourcefire 3D System,发 现 DISCOVER,确 定 DETERMINE,防 御 DEFEND,ETM带来的优势,企业威胁控制（ETM）综合控制平台 监视发生在网络内外的全部安全事件 快捷方便的操作界面 由入侵防护、弱点评估、网络行为分析和网络使用控制四大功能组成 将威胁、终端和智能分析有机关联起来： 威胁控制智能来自IPS 终端智能来自漏洞评估（VA）和网络行为分析（NBA） 网络智能来自（NBA） 与其他IPS相比较，明显的减少了错误判断 监视企业、行业或政府的IT规章遵从情况,蠕虫 木马 端口扫描 缓冲溢出攻击 间谍软件 协议异常 畸形流量 错误数据包头 零日攻击,应对如下威胁,入侵防御（Intrusion Prevention）,针对系统漏洞的入侵防御 企业威胁管理方案中的第一道防线 作为SNORT的缔造者，系统表现更优秀、精准 IPS规则将更加关注网络中的“弱点”，而不是 “功绩” 防御零日攻击 IPS事件将会与网络威胁智能分析关联起来 IPS仅仅是企业威胁管理方案的一个部分,弱点评估（ Vulnerability Assessment）,“主动” 发起对弱点的扫描并进行评估 采用被广泛接受的获取终端资产信息与安全漏洞信息的方法 提供内容丰富的终端资产与安全漏洞的快照信息 在每次主动扫描之间，精确性在降低 主动扫描有可能对某些主机产生不良影响,网络行为分析 Network Behavior Analysis (NBA),“被动” 的智能分析 充实“主动”扫描得到的信息 24x7小时监控终端资产和漏洞情况 类似被动声纳的运作机理 通过“听”来分析网络 避免了延迟或者性能的瓶颈 能够使用NetFlow记录 通常连接到局域网分接头或者交换机镜像端口 网络异常探测 创建一个“正常”网络行为的参考线（Base line） 鉴别正在网络中传播的攻击行为,网络使用控制 (NAC),在用户接入网络之前 可以与思科的 Cisco Network Admission Control (CNAC) 或者微软的 Microsoft Network Access Protection (MNAP) 联动 能够帮助我们确定谁能够接入网络 在接入网络之后 分析并记录用户在接入网络后的行为 可根据服务、应用等，设置遵守IT法规策略 生成遵守IT法规的报告 在路由器或防火墙增加临时的访问控制列表,ETM：一个更好、更加有效的处理机制,使用者需要一个能够自动并且从全局视角进行网络安全信息关联分析的系统。不幸的是，大部分系统还只是自成体系，它们的视角局限在小范围中。 你知道什么时候更新你的访问控制配置么? 你知道什么时候你的网络中出现了新的漏洞么? 你知道什么时候你的网络中出现了一个高优先级的安全事件么? 你知道什么时候你的补丁管理系统需要添加一个新的主机么? 所有以上这些信息需要手动进行响应！ 稳固、自动、智能的新一代网络安全技术应该包括如下特性：实时、互相关联以及主动防御,Agenda,Sourcefire 公司简介 Sourcefire 企业威胁管理 (ETM) Sourcefire方案概览 Questions,Sourcefire 3D系统的组成,Email, SNMP, Syslog,SSL,Firewall, IPS, Switchers, Routers,Configuration and Compliance Mgmt.,IPS,RNA,DC,Defend,Discover,Determine,IDS,SSL-encrypted VPN (Port 8305),G/bit copper or fiber,G/bit copper,Passive,Passive,In-line,Typically. 100b / event,Typically. 1Kb / event,监听网络,Management Network,发现,确定,防御,警告,阻断,纠正,Sourcefire 3D 系列产品构成,Core Products,Sourcefire IPS,Sourcefire RNA,Sourcefire Defense Center,Sourcefire RUA,Sourcefire 入侵传感器管理网络威胁,Sourcefire入侵传感器（IPS/IDS）是开源技术Snort 的商业化产品，它毫无疑问是业界最快并且最全面的入侵传感器。,入侵传感器,运行在IDS模式时 被动的监听网络中的流量，并根据IT规章和策略的遵守情况发出警告 运行在IPS模式时 被动的监听网络中的流量，并根据IT规章和策略的遵守情况阻断流量或发出警告 无论运行在何种模式 它们都能够提供合格的性能，不会错过任何网络事件或减慢网络速度,Sourcefire IPS 关键特性,威胁防御方面 全面的、基于弱点的Snort规则 Inline (IPS) and/or passive (IDS) 部署 内置了多个厂家推荐的IPS规则集 可对TCP和IP碎片进行重组 开放、标准的规则（Rule）语言 可查看、编辑、创建rules 拥有10万个以上用户 规则基于行业标准的格式 取证 能看到数据包级别的攻击数据 成熟的可定制的工作流来显示数据 性能 5 Mbps to 10 Gbps,检测方法: Rules 针对目标: 漏洞 （Vulnerability） 结果: 规则更加优化，数量更少 覆盖面更大 性能更高（10G） 精确度更高 误判更少,检测方法: Signatures 针对目标: 攻击方法 （Exploit） 结果: Signatures阻止攻击要求收集所有的变量 针对同一漏洞的攻击有很多变量 误判较多,Threat Detection: Fundamental Differences,应对“零日攻击”的实例,一月 2005 一月 2005 十一月 2006 三月 2007 四月 2007,Sourcefire在 Windows 操作系统中发现一个指针漏洞（animated cursor vulnerability） Sourcefire 发布 Snort rule SID-3079 利用这个漏洞的病毒Malware 被开发并传播出来 Microsoft 发布关于此漏洞的安全警告，代码935423 Microsoft发布补丁,“面向系统弱点创建规则比面向攻击方式编写Signature更加有效，使用这种方法，我们能够在微软发布安全警告前2年就已经开始保护企业，使其免受“零日攻击”的威胁 Matt Watchinksi Sourcefire VRT威胁研究中心主管,Microsoft Animated Cursor Vulnerability (MS07-17),使用Snort技术的优势,开源技术，在行业中应用广泛 所有版本都基于“GPL”开放协议 开放系统更加安全可靠，无后门 被多家第三方公司集成使用 UTMs, firewalls, MSSP（安全托管 ） 所有规则（Rule）全部开放 可根据自身情况编辑 可自己创建新规则 丰富的Rules Language 高可调的包一级分析 PCRE option 数千的 Rules 由Sourcefire 和 其他Snort使用者提供,“故障开放”保证线路不中断,IPS 设备具有“故障开放”功能，功能在网络接口上实现。 网络接口的“故障开放” 功能启动，将线路桥接成导线状态的情况如下： 设备断电 设备遇到软件故障 设备重启过程中 Snort处理引擎重启,Vulnerability Research Team (VRT) 简介,一千万美元的投资 200 server regression test facility 发布规则（rule）而不是攻击特征（signatures） 7X24小时提供服务的团队: 分析弱点与漏洞 Reverse-engineer patches 定期的rules升级,VRT Regression Facility, Columbia MD,通过VRT架构，确保Rules质量,Sourcefire传感器一览表,Sourcefire传感器一览表,Sourcefire RNA 提供网络终端智能,实时网络感知是唯一能够在不影响网络性能前提下，提供主机信息收集、流量记录、日志服务的产品,RNA可以捕获什么信息?,主机信息 Client/server/bridge 网络服务信息 ftp, telnet, ssh 网络流量信息 谁和谁建立通讯 使用什么协议、什么端口 RNA 在隐蔽的状态下工作，不断统计网络中的错误和细节 根据记录，RNA计算出网络图和弱点列表,24%,49%,59%,82%,12%,77%,100%,RNA vs. 主动扫描类技术,使用主动扫描技术就像为网络照了一张照片 通过主动扫描获得的信息会因为时间的推移而逐渐变的不准确 RNA就像一个在网络里面全天工作的闭路监控系统 RNA分析的准确性不会随着时间推移而有任何变化,被动感知技术,被动感知技术能够收集如下信息： 通讯主机属性信息（用户名等） 操作系统信息 操作系统类型 (router, switch, host etc.) 主机使用的网络应用 与传感器的距离 根据主机以及运行在主机上的应用综合分析它们的漏洞 网络流的流动方向（起点、终点）,RNA 网络图 主机与关联性可视,RNA 网络图 主机,RNA 网络图 服务,RNA 应用,RNA 弱点分析,RNA 行动方案推荐,Security 警告旗,安全事件会以警告旗的方式表示出来，它们是联动分析RNA和入侵检测设备提供的信息后计算出来的。,Defense Center提供完整的网络防御智能,所有传感器负责收集数据或者阻断恶意流量，而智能的实时分析和响应是由Defense Center完成的。,The “nerve center” of the Sourcefire 3D System,Sourcefire Defense Center,事件关联 将终端、智能分析、威胁 有机的关联起来并进行优 先级排序 规章强制遵从 定义基线并强制用户遵从 指令发布和控制 集中管理所有设备 3D 可视化呈现 实时生成清晰的网络攻击 报表和图形 降低总体拥有成本 部署方便 内置高性能数据库 性能稳定,灵活的报表系统,可为重要应用定制报表 自动定期生成报表 报表格式可以支持： PDF, HTML or Excel 可将报表发送到第三方设