Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
2. 3 поколения МСЭ
2
• 1988 год
• Пакетный фильтр
• Функционирование
на 3-м уровне OSI
1-е поколение
• 1989-1990 годы
• Stateful фильтры
• Функционирование
на 4-м уровне OSI
2-е поколение
• 1994 год
• Контроль
приложений
• Функционирование
на 7-м уровне OSI
3-е поколение
5. От МСЭ к NGFW
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
VPN Termination
Routing
Botnet Traffic Filter
Защита от вредоносного кода
Фильтрация файловКонтроль приложений
NGIPS
Категоризация URL / репутация
Захват файлов
Firewall
NGFW
Сканер безопасности
Identity Firewall
6. Более 4 из 10 предупреждений систем безопасности
так и остаются нерасследованными. Почему?
44 %предупреждений
НЕ были изучены
2016
(n = 5000)
Нерасследованные предупреждения представляют собой огромный риск для бизнеса
7 %
не сталкивались
с предупреждениями
систем безопасности
54 %
обоснованных преду-
преждений НЕ устранены
56 %
предупреждений
были изучены
28 %
исследован-
ных преду-
преждений
оказались
обоснован-
ными
46 %
обоснованных предупреждений
устранены
93 %
сталкивались
с предупреждениями
систем безопасности
9. Невозможно контролировать то, чего вы
не видите
Категории Примеры
Правильный
NGFW
Типичные
IPS
Типичные
NGFW
Угрозы Attacks, Anomalies ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Web приложения Facebook Chat, Ebay ✔ ✗ ✔
Прикладные протоколы HTTP, SMTP, SSH ✔ ✗ ✔
Передачи файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносный код Conficker, Flame, WannaCry ✔ ✗ ✗
Конмандные сервера (CnC) C&C Security Intelligence ✔ ✗ ✗
Клиентские приложение Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые сервисы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Роутеры & Коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-устройства Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
10. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
обнаружено
Событие нарушения
зафиксировано,
пользователь
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует Skype.
Пользователь идентифицирован, IT и
HR уведомлены.
IT & HR
провели с
пользователем
работу
Идентификация приложений «на лету»
16. Автоматизация: учет контекста
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского
приложения
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?
17. • Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого уровней
• Разрешенные адреса / диапазоны
адресов
• И т.д.
Обнаружение аномалий
19. • Заваливают нерелевантными событиями
• Не дают информации для продолжения расследования
• Требуют месяцев на тюнинг
• “Черный ящик” – сложно определить, работает ли он
• Результат:
• IPS минимально эффективны или не используются
• Много времени и ресурсов тратится на то, чтобы заставить IPS работать
• Организации все равно ломают
Проблемы с традиционными IPS
19
20. • Уязвимости: слабости системы, которые позволяют хакерам
эксплуатировать их
• Пример: Microsoft Tuesday – каждый второй вторник каждого месяца
Microsoft анонсирует уязвимости и выпускат патчи для них
• Эксплойт: специфическая атака на уязвимость
• На каждую уязвимость существует множество потенциальных
эксплойтов
• Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а
не условия эксплуатации уязвимостей
Уязвимости vs. Эксплойты
20
21. Автоматизация
Понимание инфраструктуры
«Левые» узлы, аномалии,
нарушения политики идр.
Оценка ущерба
Снижение числа событий, с
которыми предстоит иметь дело
Автоматизация тюнинга
«Подкрутка» политик IPS, базируясь на
изменениях в сети
Идентификация пользователя
Ассоциация пользователей с событиями
безопасности для снижения времени
расследования
Индикаторы
компрометации
Идентификация
узлов, которые были
взломаны
21
22. • Принудительная аутентификация на уровне устройства
• Множество методов аутентификации(Passive, Active, Passive с активным Fallback)
• Различные поддерживаемые типы аутентификации (пример. Basic, NTLM,
Advanced, Form)
• Поддержка гостевого доступа
• Поддержка различных доменов
Captive портал / Активная аутентификация
Метод Источник LDAP/AD Доверенный?
Active Принудительная аутентификация на
устройстве
LDAP и AD Да
Passive Identity and IP mapping from AD Agent AD Да
User Discovery Имя пользователя получено из трафика
пассивно.
LDAP и AD,
пассивно по
трафику
Нет
24. Встроенная корреляция событий vs SIEM
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDFПочта
Админ.
запрос
PDF
Почта
Админ.
запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWWWWW
WWW
Динамические механизмы безопасности
http://
http://WWWВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Приоритет 2
Приоритет 3
Оценка вредоносного воздействия
5 ИК
25. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие
сохранено
LINUX
SERVER
WINDOWS
SERVER Linux не
уязвим
Windows
server уязвим
Атака
блокирована
Атака
скоррелирована с
целью
Новая Windows-атака направлена на
Windows и Linux сервера. Атаки
скоррелированы с профилем цели.
Событие об атаке сгенерировано.
Не только простая корреляция событий ИБ
27. • Различные типы события для
системы корреляции
• Атаки / вторжение
• Активность пользователя
• Установлено соединение
• Изменение профиля трафика
• Вредоносный код
• Изменение инвентаризационных данных (например,
появление нового узла в сети или ОС на узле)
• Изменение профиля узла
• Появление новой уязвимости
Встроенная система корреляции событий
36. Признаки (индикаторы) компрометации
События
СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы
эксплойтов
Получение
администраторски
х полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного
кода
Выполнение
вредоносного
кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера
38. • Не только URL-фильтрация, но и DNS-
фильтрация
• Проблемы с адресов fast-flux доменах
• Предлагаемые производителем и
настраиваемые пользователем DNS
списки: CnC, Spam, Malware, Phishing
• Множество действий: Block, Domain Not
Found, Sinkhole, Monitor
• Индикаторы компрометации дополнены
поддержкой DNS Security Intelligence
DNS Инспекция
DNS List Action
42. EDR защищает с помощью репутационной фильтрации
и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
43. EDR обеспечивает ретроспективную защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак
48. Автоматизация нейтрализации
Примеры модулей нейтрализации
• Интеграция с сетевым
оборудованием
• Установка атрибута хоста
• Скан Nmap
• Скрипты
• F5 iRules
• Netscaler
• …
События Intrusion
События Discovery
Действия пользователей
События хостов
События Connection
Профили трафика
Событие Malware
Правила
корреляции
Условия
Политики корреляции
Правила
корреляции
События
корреляции
Действия
(API, Email, SNMP)
49. Архитектура с двойным многоядерным CPU обеспечивает:
Защита от угроз без компромиссов с
производительностью
Уровень 7 & Advanced Threat Engine
I/O
Многоядерный CPU x86
Внутренний свитч
Ускорение на уровнях 2-3 & SSL
Многоядерный CPU NPU
Сохранение производительность, когда
включаются дополнительные сервисы
инспекции угроз
Гибкость и будущее развитие vs.
построенных на ASIC платформах,
мешающих добавлению новых функций ИБ
Умная обработка трафика проверяет
потоки, не требуя ИБ-инспекции, тем
самым повышая производительность
Сохранение
производительности
50. Сравнение производительность на больших пакетах*
Масштабируемая производительность
Сервисы
FW+AVC
Снижение
производи-
тельность
(vs. FW+AVC)
FW+AVC+IPS
Производитель А
1.9 - 8.5 Гбит/с
~ 0%
1.9 – 8.5 Гбит/с
Производитель Б
2.0 – 4.0 Гбит/с
< 50% >
1.0 – 2.0 Гбит/с
Производитель В
2.0 – 3.0 Гбит/с
< 50% >
1.0 – 1.5 Гбит/с
Производитель Г
2.5 – 7.0 Гбит/с
< ~ 50% >
1.7 – 3.5 Гбит/с
Конкурентные решения не могут обеспечить
такие же показатели
Сохранение
производительности
*Источник: 1024 байта или выше для TCP из материалов каждого производителя
51. Цена автоматизации
51
$144 000
$72 000
$59 400
$24 300
$18 000
$3 000
Оценка ущерба Автоматизация
тюнинга
Ассоциация атак с
пользователями
Типичный МСЭ NGFW
Источник: SANS "Calculating TCO on Intrusion Prevention Technology” whitepaper,
December 2013
Одно из трех
крупнейших
мировых кредитных
бюро:
• 20,000 узлов
• 7,500 сотрудников
Часовая ставка
сотрудника: $75/час
Правильный NGFW
сохраняет
заказчику $230,100
в год.