16. 16
Gartner – MQ for Intrusion Prevention, декабрь 2013
Лидер Gartner
Magic Quadrant for
IPS с 2006
17. 17
Sourcefire FireSIGHT видит «все»
КАТЕГОРИИ ПРИМЕРЫ
SOURCEFIRE
СИСТЕМЫ
ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ И
МЕЖСЕТВЫЕ
ЭКРАНЫ НОВОГО
ПОКОЛЕНИЯ
СТАНДАРТНА
Я
СИСТЕМА
ПРЕДОТВРА
ЩЕНИЯ
ВТОРЖЕНИЙ
СТАНДАРТН
ЫЙ
МЕЖСЕТЕВ
ОЙ ЭКРАН
НОВОГО
ПОКОЛЕНИ
Я
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Веб-серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
18. 18
УСТРОЙСТВА | ВМ
NGFW NGIPS AMP
Sourcefire – решения по обеспечению безопасности
ДО
Вы видите,
вы контролируете
ВО ВРЕМЯ
Интеллектуальное
противодействие
и с учетом контекста
ПОСЛЕ
Ретроспективные
средства безопасности
ЦЕНТР УПРАВЛЕНИЯ
19. 19
FirePOWER™:
single-pass, высокопроизводительная, с низкой задержкой
аппаратная платформа
• Гибкая интеграция в
программное обеспечение
NGIPS,NGFW, AMP
Все вышеперечисленные
(просто выбрать соответствующий
размер)
• Гибкая интеграция в аппаратное
обеспечение
Масштабируемость: 50 Мбит/с ->60
Гбит/с
Стекирование для масштабирования,
кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем
предотвращения вторжения,
межсетевых экранов нового поколения
от NSS Labs
До 320 ядер RISC
До 60 Гбит/с
(система предотвращения вторжений)
22. 22
Подход Sourcefire:
… непрерывный процесс до, во время и после атаки
Вы не можете
защитить то, что
не видите
Автоматическая
настройка системы
безопасности
…в режиме реального
времени,
в любой момент
времени
Преобразование
данных
в информацию
ВИДЕТЬ
АДАПТИ-
РОВАТЬ
УЧИТЬСЯ
ДЕЙСТ-
ВОВАТЬ
23. 23
Пассивное
обнаружение
В первую очередь необходимо знать, что у
вас есть
Невозможно обеспечить защиту того, о чем вы
не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время
в режиме
реального времени
24. 24
Cisco действует также: добавляет контекст и
понимание
C
I2 I4
A
ЛОКАЛЬНО
Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действие
APP Приложения
URL Сайты
Реализация безопасности
и глобальным контекстом
25. 25
Контекст – это самое важное
Событие: Попытка получения
доступа
Цель: 96.16.242.135
Событие: Попытка получения
доступа
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта,
браузер, Twitter
Местоположение Белый дом, США
Событие: Попытка получения
доступа
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта,
браузер, Twitter
Местоположение Белый дом, США
Идентификатор пользователя: bobama
Ф. И. О. Барак Обама
Департамент: административный
Контекст способен фундаментально изменить
интерпретацию данных события
26. 26
Какие системы были заражены?
Почему это произошло?
Где источник заражения?
За что еще он отвечает?
С кем он еще взаимодействовал?
Смотритевсуть:траекторияустройства
Смотрите широко: траектория сети
Анализ траектории файла и устройства –
поиск источника заражения
27. 27
Лицензирование Sourcefire
Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование
Асимметричная
многопроцессорная
обработка
Система предотвращения
вторжений нового
поколения
Межсетевой экран нового
поколения
Стандартные
функции
устройства
Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓
Регистрация подключений / потока ✓ ✓ ✓ ✓
Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓
Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓
Защита
Ведущая система предотвращения вторжений NSS
Расширенная
лицензия
* ✓ ✓
Комплексное предотвращение угроз * ✓ ✓
Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓
Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓
Базовое предотвращение потери данных в правилах IPS (SSN, кредитные
карты и пр.)
* ✓ ✓
Контроль
[1]
Контроль доступа: применение по приложению
Расширенная
лицензия
Расширенная
лицензия
Расширенная лицензия
✓
Контроль доступа: применение по пользователю ✓
Коммутация, маршрутизация и возможности NAT [3] ✓
VPN Сеть VPN «узел-узел» IPSec [2]
Расширенная
лицензия
Расширенная
лицензия
Расширенная лицензия ✓
Фильтрация
URL-адресов
Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год
Защита от
вредоносных
программ
Подписка на блокирование вредоносных программ, непрерывный анализ
файлов, отслеживание траектории движения вредоносных программ в сети
Стоимость на год Стоимость на год Стоимость на год Стоимость на год
[1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT
“*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок