Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.

1. Межсетевые
экраны нового
поколения
В чем отличия?
Алексей Лукацкий
Бизнес-консультант, Cisco
© 2017 Cisco and/or its affiliates. All rights reserved.

2. 3 поколения МСЭ
2
• 1988 год
• Пакетный фильтр
• Функционирование
на 3-м уровне OSI
1-е поколение
• 1989-1990 годы
• Stateful фильтры
• Функционирование
на 4-м уровне OSI
2-е поколение
• 1994 год
• Контроль
приложений
• Функционирование
на 7-м уровне OSI
3-е поколение

3. Термин NGFW появился в 2012 году

4. CX vs NGFW

5. От МСЭ к NGFW
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
VPN Termination
Routing
Botnet Traffic Filter
Защита от вредоносного кода
Фильтрация файловКонтроль приложений
NGIPS
Категоризация URL / репутация
Захват файлов
Firewall
NGFW
Сканер безопасности
Identity Firewall

6. Более 4 из 10 предупреждений систем безопасности
так и остаются нерасследованными. Почему?
44 %предупреждений
НЕ были изучены
2016
(n = 5000)
Нерасследованные предупреждения представляют собой огромный риск для бизнеса
7 %
не сталкивались
с предупреждениями
систем безопасности
54 %
обоснованных преду-
преждений НЕ устранены
56 %
предупреждений
были изучены
28 %
исследован-
ных преду-
преждений
оказались
обоснован-
ными
46 %
обоснованных предупреждений
устранены
93 %
сталкивались
с предупреждениями
систем безопасности

7. • Полная видимость и прозрачность сети
• Учет контекста (пользователи, устройства…)
• Полная автоматизация
• Оценка ущерба
• Независимость от производителя в части получения сигнатур атак
• Работа с индикаторами компрометации
• Обнаружение аномалий
Отличия МСЭ следующего поколения
7

8. • Интеграция с средствами предотвращения вторжений на оконечных
устройствах
• Интеграция с иными средствами защиты в сети
• Ретроспективная безопасность
• Встроенная корреляция событий
• Отсутствие снижение производительности при включении нескольких
защитных модулей
Отличия МСЭ следующего поколения
8

9. Невозможно контролировать то, чего вы
не видите
Категории Примеры
Правильный
NGFW
Типичные
IPS
Типичные
NGFW
Угрозы Attacks, Anomalies ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Web приложения Facebook Chat, Ebay ✔ ✗ ✔
Прикладные протоколы HTTP, SMTP, SSH ✔ ✗ ✔
Передачи файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносный код Conficker, Flame, WannaCry ✔ ✗ ✗
Конмандные сервера (CnC) C&C Security Intelligence ✔ ✗ ✗
Клиентские приложение Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые сервисы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Роутеры & Коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-устройства Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗

10. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
обнаружено
Событие нарушения
зафиксировано,
пользователь
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует Skype.
Пользователь идентифицирован, IT и
HR уведомлены.
IT & HR
провели с
пользователем
работу
Идентификация приложений «на лету»

11. Анализ внутренностей приложения

12. Описание собственных приложений
• Приложения могут
быть описаны
шаблонами
ASCII
HEX
PCAP-файл
LUA
OpenAppID

13. Контроль зашифрованного трафика
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13
Поддержка различных вариантов
расшифровки
Анализ сертификата при установлении соединения SSL TLS и расшифровка TLS
Журналирование
Ядро
расшифровки SSL
Обеспечение
политики
Зашифрованный
трафик
AVC
http://www.%$&^*#$@#$.com
http://www.%$&^*#$@#$.com
Анализ расшифрованных пакетов
Контроль и журналирование
всех SSL-сеансов
NGIPS
gambling
elicit
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
û
ü
û
ü
ü
ü
û
ü
û
û

14. Анализ без расшифрования/дешифрования
Законодательство
по ввозу криптографии
Вредоносный код
в зашифрованном трафике

15. • Профиль хоста включает
всю необходимую для
анализа информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система
• Используемые приложения
• Зарегистрированные пользователи
• И т.д.
• Идентификация и
профилирование
мобильных устройств
Инвентаризация и профилирование узлов

16. Автоматизация: учет контекста
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского
приложения
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?

17. • Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого уровней
• Разрешенные адреса / диапазоны
адресов
• И т.д.
Обнаружение аномалий

18. Обнаружение плохих парней с учетом
контекста и специфики приложения (NGIPS)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18
Коммуникации
Приложение/устройство
010111010010
10 010001101
010010 10 10
Пакеты данных
Приоритезация
реакции
Смешанные угрозы
• Разведка
сети
• Фишинг
• «Невинные»
нагрузки
• Редкие
обращения
3
1
2
Accept
Block
Автомати-
зация
ISE
Анализ сетевого трафика
Корреляция
данных
Обнаружение скрытных угроз Отклик на основе приоритетов

19. • Заваливают нерелевантными событиями
• Не дают информации для продолжения расследования
• Требуют месяцев на тюнинг
• “Черный ящик” – сложно определить, работает ли он
• Результат:
• IPS минимально эффективны или не используются
• Много времени и ресурсов тратится на то, чтобы заставить IPS работать
• Организации все равно ломают
Проблемы с традиционными IPS
19

20. • Уязвимости: слабости системы, которые позволяют хакерам
эксплуатировать их
• Пример: Microsoft Tuesday – каждый второй вторник каждого месяца
Microsoft анонсирует уязвимости и выпускат патчи для них
• Эксплойт: специфическая атака на уязвимость
• На каждую уязвимость существует множество потенциальных
эксплойтов
• Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а
не условия эксплуатации уязвимостей
Уязвимости vs. Эксплойты
20

21. Автоматизация
Понимание инфраструктуры
«Левые» узлы, аномалии,
нарушения политики идр.
Оценка ущерба
Снижение числа событий, с
которыми предстоит иметь дело
Автоматизация тюнинга
«Подкрутка» политик IPS, базируясь на
изменениях в сети
Идентификация пользователя
Ассоциация пользователей с событиями
безопасности для снижения времени
расследования
Индикаторы
компрометации
Идентификация
узлов, которые были
взломаны
21

22. • Принудительная аутентификация на уровне устройства
• Множество методов аутентификации(Passive, Active, Passive с активным Fallback)
• Различные поддерживаемые типы аутентификации (пример. Basic, NTLM,
Advanced, Form)
• Поддержка гостевого доступа
• Поддержка различных доменов
Captive портал / Активная аутентификация
Метод Источник LDAP/AD Доверенный?
Active Принудительная аутентификация на
устройстве
LDAP и AD Да
Passive Identity and IP mapping from AD Agent AD Да
User Discovery Имя пользователя получено из трафика
пассивно.
LDAP и AD,
пассивно по
трафику
Нет

23. Автоматизация: снижение времени
реагирования
23
Привязка пользователей к событиям безопасности (атакам)

24. Встроенная корреляция событий vs SIEM
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDFПочта
Админ.
запрос
PDF
Почта
Админ.
запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWWWWW
WWW
Динамические механизмы безопасности
http://
http://WWWВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Приоритет 2
Приоритет 3
Оценка вредоносного воздействия
5 ИК

25. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие
сохранено
LINUX
SERVER
WINDOWS
SERVER Linux не
уязвим
Windows
server уязвим
Атака
блокирована
Атака
скоррелирована с
целью
Новая Windows-атака направлена на
Windows и Linux сервера. Атаки
скоррелированы с профилем цели.
Событие об атаке сгенерировано.
Не только простая корреляция событий ИБ

26. • Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
• Приложения
• Уязвимости
• Протоколы
• Пользователи
• Операционные системы
• Производитель ОС
• Адреса
• Место в иерархии компании
• Статус узла и т.п.
Встроенная система корреляции событий

27. • Различные типы события для
системы корреляции
• Атаки / вторжение
• Активность пользователя
• Установлено соединение
• Изменение профиля трафика
• Вредоносный код
• Изменение инвентаризационных данных (например,
появление нового узла в сети или ОС на узле)
• Изменение профиля узла
• Появление новой уязвимости
Встроенная система корреляции событий

28. • В зависимости от типа события
могут быть установлены
дополнительные параметры
системы корреляции
• Возможность создания
динамических политик
безопасности
Встроенная система корреляции событий

29. • Распознавание узлов,
приложений и пользователей в
реальном времени, пассивно и
непрерывно
• Использование карты
уязвимостей на контролируемой
сети
• Корреляция всех событий для
оценки ущерба для цели
• Фокус на событиях, которые
действительно имеют значение
Оценка ущерба

30. Идентификация компрометации узлов
30

31. Идентификация компрометации узлов
31
Загружается вредоносное ПО
Индикатор компрометации:
1

32. Идентификация компрометации узлов
32
Загружается вредоносное ПО
ВПО запускается
Индикатор компрометации:
1 2

33. Идентификация компрометации узлов
33
Загружается вредоносное ПО
ВПО запускается
Индикатор компрометации:
1 2 3

34. Идентификация компрометации узлов
34
Загружается вредоносное ПО
ВПО запускается
Хакер использует
эксплойт-кит
Индикатор компрометации:
1 2 3 4

35. Идентификация компрометации узлов
35
Использование эксплойт-кита
+
Соединение с узлов, о котором известно, что
он является командным сервером
+
Трафик, похожий на CnC

36. Признаки (индикаторы) компрометации
События
СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы
эксплойтов
Получение
администраторски
х полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного
кода
Выполнение
вредоносного
кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера

37. Threat Intelligence от производителя

38. • Не только URL-фильтрация, но и DNS-
фильтрация
• Проблемы с адресов fast-flux доменах
• Предлагаемые производителем и
настраиваемые пользователем DNS
списки: CnC, Spam, Malware, Phishing
• Множество действий: Block, Domain Not
Found, Sinkhole, Monitor
• Индикаторы компрометации дополнены
поддержкой DNS Security Intelligence
DNS Инспекция
DNS List Action

39. Management Center
Сбор данных об угрозах
Генерация обогащенных
отчетов об инцидентах
Корреляция с данными от
сенсоров
Уточнение состояния
безопасности
Ingest
Данные
Сенсоры безопасности
• NGFW
• NGIPS
• EDR
Threat Intelligence
Не зависеть от производителя
CSV

40. Отраслевые
организации
Еще больше данных об угрозах и IOC
Источники
данных об
угрозах
Платформы
Threat
Intelligence

41. Обнаружение вредоносного ПО
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41
c
Репутация файла
(EDR/NTA и песочница)
• Известные сигнатуры
• Нечеткие отпечатки
• Индикаторы компрометации
û
Блокирование известного
вредоносного ПО
Анализ файлов
в безопасной среде
Обнаружение
новых угроз
Реакция на тревоги
Траектории в сети
и на устройстве Журнал NDR
for Network
ü
Песочница
• Расширенная
аналитика
• Динамический анализ
• Аналитика угроз
?
Журнал EDR
for Endpoint
Диспозиция
Обеспечение во всей
инфраструктуре
RiskySafeUncertain
Анализ в песочнице

42. EDR защищает с помощью репутационной фильтрации
и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств

43. EDR обеспечивает ретроспективную защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак

44. Конечное
устройство
Не забываем про интеграцию с системой защиты
конечных устройств
ПесочницаThreat Intel
Облако
Другие решения по ИБ

45. Самообучение
45

46. Автоматизация создания и тюнинга
политик
46

47. Визуальная схема источников событий
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47
Аналитика
ИБ
Аналитика
ИБ
Ядро IPS
Нормализация
трафика
DNS
Sinkhole
Расш.
SSL
Обнар.
файлов
Обнаруж.
прилож.
Контроль
сети
AMPURL Identity
События
Intrusion
События
File
События
Malware
Действия
пользоват.
Профили
хостов
Приложения
Детали
приложений
Атрибуты
хостов
Серверы
Траектория
файлов
File
AMP 4
Endpoints
События
Discovery
События
Connection
Индикаторы
компрометации
Доп. данные
• Данные Geo IP
• Данные CVE / Vuln
• Данные IP-
репутации
• Данные о URL
TI

48. Автоматизация нейтрализации
Примеры модулей нейтрализации
• Интеграция с сетевым
оборудованием
• Установка атрибута хоста
• Скан Nmap
• Скрипты
• F5 iRules
• Netscaler
• …
События Intrusion
События Discovery
Действия пользователей
События хостов
События Connection
Профили трафика
Событие Malware
Правила
корреляции
Условия
Политики корреляции
Правила
корреляции
События
корреляции
Действия
(API, Email, SNMP)

49. Архитектура с двойным многоядерным CPU обеспечивает:
Защита от угроз без компромиссов с
производительностью
Уровень 7 & Advanced Threat Engine
I/O
Многоядерный CPU x86
Внутренний свитч
Ускорение на уровнях 2-3 & SSL
Многоядерный CPU NPU
Сохранение производительность, когда
включаются дополнительные сервисы
инспекции угроз
Гибкость и будущее развитие vs.
построенных на ASIC платформах,
мешающих добавлению новых функций ИБ
Умная обработка трафика проверяет
потоки, не требуя ИБ-инспекции, тем
самым повышая производительность
Сохранение
производительности

50. Сравнение производительность на больших пакетах*
Масштабируемая производительность
Сервисы
FW+AVC
Снижение
производи-
тельность
(vs. FW+AVC)
FW+AVC+IPS
Производитель А
1.9 - 8.5 Гбит/с
~ 0%
1.9 – 8.5 Гбит/с
Производитель Б
2.0 – 4.0 Гбит/с
< 50% >
1.0 – 2.0 Гбит/с
Производитель В
2.0 – 3.0 Гбит/с
< 50% >
1.0 – 1.5 Гбит/с
Производитель Г
2.5 – 7.0 Гбит/с
< ~ 50% >
1.7 – 3.5 Гбит/с
Конкурентные решения не могут обеспечить
такие же показатели
Сохранение
производительности
*Источник: 1024 байта или выше для TCP из материалов каждого производителя

51. Цена автоматизации
51
$144 000
$72 000
$59 400
$24 300
$18 000
$3 000
Оценка ущерба Автоматизация
тюнинга
Ассоциация атак с
пользователями
Типичный МСЭ NGFW
Источник: SANS "Calculating TCO on Intrusion Prevention Technology” whitepaper,
December 2013
Одно из трех
крупнейших
мировых кредитных
бюро:
• 20,000 узлов
• 7,500 сотрудников
Часовая ставка
сотрудника: $75/час
Правильный NGFW
сохраняет
заказчику $230,100
в год.

52. Дополнительная информация

53. Спасибо
alukatsk@cisco.com