Maurício Harley, profile picture
Carregado porMaurício Harley
PPTX, PDF343 visualizações

FirePOWER contra Ransomware - Comunidade Cisco

O documento resume uma palestra de Maurício Harley sobre o uso do Cisco FirePOWER para combater ransomware. Ele apresenta o caso do ataque WannaCry, discute como o ransomware funciona e se prolifera, e explica como o ecossistema de segurança da Cisco, incluindo o FirePOWER, pode ajudar a prevenir e responder a ataques de ransomware.

Incorporar apresentação

Baixar para ler offline
Engenheiro Senior de Cyber Security Julho 2017 Maurício Harley FirePOWER contra Ransomware Comunidade de Suporte da Cisco Expert Series Webcast
Maurício Harley possui MBA em Gerenciamento de Projetos de TI, é Engenheiro Eletricista pela Universidade Federal do Ceará, e Tecnólogo em Telemática pela Universidade Estácio. Detentor de duplo CCIE (Routing & Switching, Service Provider), CISSP (Certificação de Segurança vendor-neutral). Possui mais de 20 anos de experiência em TI, especialmente nas áreas de Segurança Cibernética, Data Center e Redes de Computadores. Trabalha atualmente como arquiteto sênior de segurança e computação em nuvem na HX Brasil. Liderou e executou, em várias regiões do país (e também em Angola), inúmeros projetos de suporte a infra-estruturas complexas, ambientes de missão crítica, implementação de novas funcionalidades, resolução de problemas ou redução de custos. Por duas vezes, participou na elaboração do currículo do curso de Técnico de Telecomunicações do SENAI. Perito Computacional Forense. Colaborador da PenTest Magazine, revista técnica voltada para testes de invasão. Palestrante de temas diversos relacionados a Tecnologia da Informação e Segurança Cibernética. Analista de malware nas horas vagas. Ex-membro do Cisco Data Center Tiger Team, equipe de elite em tecnologias de Data Center da Cisco FirePOWER contra Ransomware Maurício Harley ©2017 Expert Series Webcast
Maurício Harley Julho 04, 2017 Cisco Support Community Expert Series Webcast FirePOWER contra Ransomware
Agenda Introdução Breve estudo de caso: WannaCry Ecossistema de segurança da Cisco Introdução ao FirePOWER O FirePOWER como peça de combate Considerações Finais
Introdução ©2017
Pergunta 1 Quantos computadores você acha que foram infectados pelo WannaCry? a) Aproximadamente 50.000 b) Aproximadamente 200.000 c) Aproximadamente 1.000.000 d) Nenhum. O WannaCry foi uma jogada de marketing. ©2017
Alguns dados ©2017
Continuando com os dados ©2017
Mas o que é Ransomware exatamente? ©2017 Algumas definições Wikipedia: Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido. De acordo com um relatório da Cisco, ele domina o mercado de ameaças digitais e é o tipo de malware mais rentável da história. O primeiro relato documental deste tipo de ataque foi em 2005 nos Estados Unidos. Cartilha CERT.BR: Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. O pagamento do resgate geralmente é feito via bitcoins. Talos Intelligence: Ransomware é o nome dado a uma classe de malware cujo objetivo final é negar acesso a dados do usuário de diversas formas. Códigos antigos usavam várias técnicas para travar o acesso ao computador ou aos dados, como: modificação de ACLs, desabilitação do uso de ferramentas do sistema, área de trabalho, entre outras. Códigos mais novos simplesmente criptografam os arquivos do usuário com algoritmos fortes, como AES, RSA, entre outros.
Principais vítimas e vetores de ataque ©2017
O “bom” e “velho” WannaCry ©2017
Infográfico do NYTimes (WannaCry) ©2017
Dados sobre o WannaCry ©2017
Valor arrecadado pelo WannaCry ©2017 Total: > US$ 110.000,00 (em 23/05/2017)
O WannaCry foi o último? ©2017 • De jeito nenhum! • Pelo menos duas crias (há controvérsias quanto a isso) apareceram depois do WannaCry: • UIWIX; • Adylkuzz. • O primeiro pede resgate aproximado de US$ 200,00 em bitcoins; • O segundo transforma o computador num minerador de Monero (outra criptomoeda) e parte de uma botnet.
O mais recente (27/06/2017) – Petya ©2017
• Ainda explorando a vulnerabilidade do SMBv1; • Não criptografa os arquivos, mas a MFT do disco e insere o código malicioso pedindo o resgate. Valor: US$ 300,00 em bitcoins; • Alguns antivírus já detectaram o código; • Principais alvos: bancos, companhias aéreas e distribuidoras de energia elétrica; • Origem do ataque: Rússia ou Ucrânia; • https://olhardigital.com.br/fique_seguro/noticia/novo-virus-se- espalha-pelo-mundo-e-pode-ja-ter-chegado-ao-brasil/69314. Petya (ou Petwrap) ©2017
https://canaltech.com.br/noticia/seguranca/criadores-do-petya-original-estao-tentando-ajudar-vitimas-do-novo-ataque-96420/ E uma notícia inusitada ©2017
Será possível? Vítima: Meu salário é de apenas US$ 400,00. Você quer me cobrar mesmo assim? :-( Criminoso: Não. Na verdade, nossa campanha na Tailândia foi um fracasso total. Nós superestimamos os salários das pessoas do seu país. Entããão, ok. Você não precisa pagar desta vez. Alteramos o ThunderCrypt para o modo de descriptografia no seu computador. Assim, tão logo nosso servidor se comunique com sua máquina, a descriptografia terá início. Se isso não acontecer, avise-nos. P.S.: Mas se na verdade, você tiver gostado de algo no ThunderCrypt e quiser nos doar algumas xícaras de café, sinta-se sempre à vontade para fazer isso. = ©2017
A proliferação dos e-mails anônimos ©2017
Alguns Conceitos ©2017
Uma comparação do ataque com uma ação no mundo real. Uma analogia ©2017
Como funciona no mundo virtual. Anatomia do ataque ©2017
Modelo Cyber Kill Chain da Lockheed Martin http://www.lockheedmartin.com/us/what-we- do/aerospace-defense/cyber/cyber-kill- chain.html ©2017
©2017
• Criptomoeda disponibilizada como software de código livre em 2009; • O criador é desconhecido e usa um pseudônimo de Satoshi Nakamoto; • A ideia original era permitir o envio/recebimento de dinheiro, evitando taxas ou impostos cobrados por bancos de países; • Usa arquitetura descentralizada (lembra o BitTorrent?), gravando todas as transações num livro- razão chamado Blockchain; • É possível realizar trocas entre bitcoins e moedas reais. Pode-se também ganhar bitcoins através de uma operação de mineração; • Praticamente impossível de rastrear, o que a torna extremamente atrativa para uso no mercado negro (deep web); • Novas variantes vêm surgindo e mais avançadas: Monero e Zcash. O pagamento (Bitcoin) ©2017
Distribuição Linux para Mineração de Criptomoedas ©2017
E um pouco além... ©2017
Pergunta 2 Um ransomware pode ser melhor combatido com: a) Antivírus b) Firewall c) IPS d) Backup e) Todas as anteriores ©2017
Ecossistema de Segurança da Cisco ©2017
Parceiros ©2017
O SAFE ©2017
O Talos ©2017
Mais focado no nosso assunto ©2017
A Necessidade da Defesa em Camadas Ransomware Defense for Dummies ©2017
• Inspeção do tráfego DNS; • É um serviço; • Não necessita de qualquer hardware ou software instalado; • A implantação é tão simples quanto configurar algumas linhas no servidor DNS interno; • Trabalha fazendo sanitizing do tráfego DNS e filtrando qualquer tentativa de query ou resposta envolvendo endereços maliciosos; • Recebe cerca de 80 bilhões de consultas por dia. No DNS – Cisco Umbrella ©2017
• Machine Learning; • Big Data; • Análise de características dos arquivos; • Sandboxing; • Rastreamento do comportamento (retrospectiva); • Proteção contra Phishing e SPAM. No Email e Endpoints – AMP ©2017
• URL Filtering; • AMP; • Threat Grid; • AVC; • NGIPS. Na Rede – FirePOWER (cereja do bolo) ©2017
Introdução ao FirePOWER ©2017
• Tudo começou com a Sourcefire; • O cerne do código é baseado no Snort; • Em 2013, a Cisco adquiriu a Sourcefire por US$ 2,7 bilhões; • Principais produtos são o FirePOWER e o FireSIGHT; • O FirePOWER é o código/appliance que possui as funções de NGFW e NGIPS: • Controle de Aplicação; • Proteção contra Malware (AMP contra APT); • Filtro de URLs. • O FireSIGHT é o centro de gerência da solução. Introdução ao FirePOWER ©2017
Advanced Malware Protection contra Advanced Persistent Threats • Solução de segurança da Cisco que está disponível em diversas formas, inclusive embarcada no módulo FirePOWER que acompanha o ASA; • Intimamente conectado com a inteligência gerada a partir da pesquisa do grupo Talos; • Analisa o conteúdo antes, durante e depois do ataque; • Alguns recursos importantes e decisivos: Dashboards, Indicações de Comprometimento, Trajetória de Arquivos, Análise Contínua, Controle de Outbreaks. Introdução ao FirePOWER ©2017
Introdução ao FirePOWER
Introdução ao FirePOWER Malware Aplicações Cliente Sistemas Operacionais Dispositivos Móveis Telefones VoIP Roteadores & Switches Impressoras Servidores de C & C Servidores de Rede NGFW Cisco Firepower Usuári os Transferências Aplicações Web Protocolos de Aplicação NGFW Típico Ameaças IPS Típico ©2017
O Firepower como peça de combate ©2017
Vejamos oito casos de uso Acesso Remoto ComplexoIntegração com ACI NGFW no Campus Contenção Rápida de Ameaças Borda de Internet Borda de DC na Nuvem Borda de DC Local Política de Uso Aceitável ©2017
Ou... Os oito “queros”. ©2017
Vetores de Info • URL • IP • DNS 011011001010100101010 0010010110100101101101 Proteger a borda de Internet Eu quero… Parar ameaças na borda, encontrar e corrigir brechas, e aumentar a largura de banda. Firewall AVCMotor de Descriptografia SSL NGIPS #$ %* • NAT Estático e Dinâmico • Alta Disponibilidade • Alta Largura de Banda Rede Privada DMZ @ www DNS Internet Bloquear Permitir Inspeção de Arq. AMP AMP Threat Grid DNS Sinkhole
Proteger o Data Center em Nuvem na borda Eu quero… Estender a confiabilidade que tenho na segurança local para a nuvem. ProtegerPreparar Definir políticas Descobrir ameaças Responder Remediar Data Center na Nuvem Dados financeiros Dados de RH Aplicação interna Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Borda do Data Center TrustSe c RH Finança s DevOps Firewall Virtual • Alta Disponibilidade • Alta Largura de Banda NGIPS #$ %* AVC Bloquear Permitir Inspeção de Arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Proteger o data center local na borda Eu quero… Reduzir a superfície de ataque e detectar ameaças ao data center. Rede do Data Center Dados financeiros Dados de RH In-house app • Clustering • Suporte para tráfego Norte-Sul e Leste-Oeste ProtegerPreparar Definir políticas Descobrir ameaças Responder Remediar Borda do Data Center TrustSec RH Finanças DevOps Firewall NGIPS • Alta Disponibilidade • Alta Largura de Banda #$ %* AVC Bloquear Permitir Inspeção de arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
Camada de Acesso Apps www Database Apps www Database Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Manter ameaças fora dos domínios do campus Eu quero… Proteger contra ameaças e ainda atender as demandas por largura de banda. Borda do Data Center TrustSec Distribuição do Campus Núcleo NGIPSAVC Bloquear Permitir #$ %* Firewall Inspeção de arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
Garantir política de uso aceitável na empresa Filtrar tráfego web suspeito, controlar uso de aplicações e alocar largura de banda. I want to… RedeFirewall Filtrar URLs Indesejadas www Bloquear Permitir Bloqueio Parcial Definir controle de acesso 1 2 Priorizar Tráfego ID de Usuário www Aplicação de Jogos 4000+ web e applicações internas …e aplicações personalizadas Escore de Reputação Motor de Descriptografia SSL #$ %* Decriptar tráfego oculto www ©2017
Estender o acesso seguro a outras localidades Eu quero… Internet Impedir que ameaças entrem e, ao mesmo tempo, estender acesso seguro a todos usuários. Destaques do Firewall 01001010100 00100101101 Bloquear Permitir AVC NGIPS • Alta Largura de Banda • Alta Disponibilidade • Opções por hardware e virtual Motor de Descriptografia SSL #$ %* VPN VPN VPN Firewall Firewall Matriz Firewall Empresa Distribuída Filial Usuário remoto WAN da Filial e Usuários Remotos Firewall Vetores de Info URL | IP | DNS ©2017
Melhorar a escalabilidade e controle com a ACI Eu quero… Host 1 Host 2 Host 3 Applicação 1 (Físico) Applicação 2 (Físico) VM VM VM Detectar ameaças com o NGIPS usando visibilidade do ACI fabric. Configurar políticas com a fer. de gerenciamento integrado Refinar políticas com o tempo através de análise de atividade Bloquear Permitir AVC NGIPS Firepower Management Center (FMC) Application Policy Infrastructure Controller (APIC) Gerenciamento Integrado Políticas de White list Multi-tenancy Segmentação APIs da APIC Proteger o data center com políticas de segurança consistentes e focadas. Spine Leaf Nós ©2017
Proteger a rede com a Contenção Rápida de Ameaças Firepower Management Center ISE Alertas pxGrid Isolamento Automático Eu quero… www Isolar rapidamente recursos comprometidos antes que o problema aumente. TrustSec Tag Funcionário Tag Fornecedor Tag Visitante Tag Quarentena Tag de Quarentena Alertas pxGrid Receber alerta de evento de intrusão Emitir comando de quarentena ©2017
Pergunta 3 Quando se é atingido por um ransomware, deve-se: a) Pagar o resgate ao criminoso b) Retonar o backup c) Executar antivírus para remoção do malware d) Formatar o disco e instalar tudo de novo e) Fazer uma oração ©2017©2017
Considerações Finais ©2017
Formas de Prevenção 1. Efetuar e testar constantemente o backup; 2. Realizar inventário dos ativos; 3. Criar cultura de gerenciamento de patches; 4. Transportar o backup de maneira segura para um local seguro; 5. Segmentar a rede; 6. Conscientizar colaboradores quanto à segurança da informação; 7. Criar estratégia para comunicação sobre a ocorrência de malware; 8. Antes de ocorrer o ataque, decidir se pagará o resgate ou iniciará investigação; 9. Coordenar a análise de ameaças a dispositivos e aplicações (HW e SW); 10.Executar testes frequentes de penetração nos sistemas. Considerações Finais ©2017
Como proceder no caso de ataque • Bloqueie a comunicação entre os segmentos da rede. Se sua rede não for segmentada, complicou; • Se você tem backup atualizado, antes de mais nada, relaxe. Reinstale o sistema, atualize-o, restaure o backup e seja feliz; • O projeto No More Ransom divulga ferramentas gratuitas para desfazer o estrago de alguns ransomwares: https://nomoreransom.org/; • Veja com seu fornecedor de segurança cibernética a existência de uma ferramenta própria dele para descriptografia; • Inicie a investigação da infecção. Se quiser, você pode convocar um perito computacional forense para isso. Neste caso, não desligue o computador e nem faça mais nenhuma atividade nele. Simplesmente preserve a evidência. ©2017
Dica de Leitura • https://resources.umbrella.com/ransomwa re-for-dummies/ ©2017
FirePOWER contra Ransomware - Comunidade Cisco

Mais conteúdo relacionado

PPTX
Conteúdo Técnico Cisco ASA com FirePOWER
porCisco do Brasil
 
PDF
Ransomware como proteger sua empresa
porBravo Tecnologia
 
PDF
Symantec Advanced Threat Protection: Symantec Cynic
porSymantec Brasil
 
PDF
2017 bravo barracuda essentials
porBravo Tecnologia
 
PDF
Ransomware e a proxima geracao de ameacas ciberneticas
porBravo Tecnologia
 
PDF
Symantec™ Advanced Threat Protection: Network
porSymantec Brasil
 
PPTX
Be Aware Symantec Webinar - Wednesday, September 16, 2015
porSymantec Brasil
 
PDF
Inf seg redinf_semana5
porEduardo Santana
 
Conteúdo Técnico Cisco ASA com FirePOWER
porCisco do Brasil
 
Ransomware como proteger sua empresa
porBravo Tecnologia
 
Symantec Advanced Threat Protection: Symantec Cynic
porSymantec Brasil
 
2017 bravo barracuda essentials
porBravo Tecnologia
 
Ransomware e a proxima geracao de ameacas ciberneticas
porBravo Tecnologia
 
Symantec™ Advanced Threat Protection: Network
porSymantec Brasil
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
porSymantec Brasil
 
Inf seg redinf_semana5
porEduardo Santana
 

Mais procurados

PDF
Desafios Futuros e Oportunidades
porMarcio Cunha
 
PDF
Webinar com Demo ao Vivo: SonicWall Security Solutions
porBravo Tecnologia
 
PDF
SonicWALL - Seja o departamento do "Sim" em sua empresa
porBravo Tecnologia
 
PPTX
Embrace Any Cloud Securely
porAlexandre Freire
 
DOCX
Protocolos de Segurança
porDaiana de Ávila
 
PDF
CHEFE, O PENTEST FINALIZOU! … E AGORA?
poriBLISS Segurança & Inteligência
 
PPTX
Palestra cnasi 2013 s.video
porAndre Takegawa
 
PDF
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
porClavis Segurança da Informação
 
PDF
OWASP e o desenvolvimento seguro de aplicações para a Web
porCarlos Serrao
 
PPT
Segurança de Rede
porMarcelo Piuma
 
PDF
Seg info
porWashington Wanderley
 
PPTX
Análise de Ameaças Cibernéticas em Protocolos Industriais
porAlexandre Freire
 
PPTX
Aula 1 semana
porJorge Ávila Miranda
 
PPTX
2016 kaspersky
porBravo Tecnologia
 
PPT
39145734 minimizando-os-riscos-de-seguranca-da-rede
porMarco Guimarães
 
PDF
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
porCarlos Serrao
 
PPT
Nota de aula seguranca da informacao - redes de computadores
porfelipetsi
 
PDF
Pen Test, Afinal o que é ? - FLISOL 2010
porPaulo Renato Lopes Seixas
 
Desafios Futuros e Oportunidades
porMarcio Cunha
 
Webinar com Demo ao Vivo: SonicWall Security Solutions
porBravo Tecnologia
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
porBravo Tecnologia
 
Embrace Any Cloud Securely
porAlexandre Freire
 
Protocolos de Segurança
porDaiana de Ávila
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
poriBLISS Segurança & Inteligência
 
Palestra cnasi 2013 s.video
porAndre Takegawa
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
porClavis Segurança da Informação
 
OWASP e o desenvolvimento seguro de aplicações para a Web
porCarlos Serrao
 
Segurança de Rede
porMarcelo Piuma
 
Seg info
porWashington Wanderley
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
porAlexandre Freire
 
Aula 1 semana
porJorge Ávila Miranda
 
2016 kaspersky
porBravo Tecnologia
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
porMarco Guimarães
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
porCarlos Serrao
 
Nota de aula seguranca da informacao - redes de computadores
porfelipetsi
 
Pen Test, Afinal o que é ? - FLISOL 2010
porPaulo Renato Lopes Seixas
 

Semelhante a FirePOWER contra Ransomware - Comunidade Cisco

PDF
Be Aware Webinar - Malwares Multiplataformas
porSymantec Brasil
 
PPTX
Ransomware - Conceitos e Prevenção
porMaurício Harley
 
PDF
Ransomware
porMarcelo Lau
 
PPTX
Mallwares
porFatec Jales
 
PDF
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
porTI Safe
 
PDF
Construindo um ambiente resiliente para Ransomware com AWS
porAmazon Web Services LATAM
 
PDF
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
porPanda Security
 
PPTX
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
porTI Safe
 
PDF
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
porSymantec Brasil
 
PDF
Ameaças de Junho 2016
porSymantec Brasil
 
PDF
Palestra "SCADA Ransomware"
porTI Safe
 
PDF
Aula de redes de computadores e segurança da informação
porvictorlopes714651
 
PPTX
Direito digital os novos crimes que podem chegar até você
porsemrush_webinars
 
PDF
Ameacas ataques e Cyberseguranca básica.pdf
porEdkallenn Lima
 
PDF
Segurança da Informação na internet em tecnologias
porclaivemcosta
 
PDF
Ransomware
porFlavio Shiga
 
PPT
Como funcionam as ameaças da internet e o cybercrime
porClavis Segurança da Informação
 
PDF
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
porMarcelo Leite ☁
 
PDF
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
porTI Safe
 
PDF
Desafios da transformação digital
porMarcelo Lau
 
Be Aware Webinar - Malwares Multiplataformas
porSymantec Brasil
 
Ransomware - Conceitos e Prevenção
porMaurício Harley
 
Ransomware
porMarcelo Lau
 
Mallwares
porFatec Jales
 
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
porTI Safe
 
Construindo um ambiente resiliente para Ransomware com AWS
porAmazon Web Services LATAM
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
porPanda Security
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
porTI Safe
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
porSymantec Brasil
 
Ameaças de Junho 2016
porSymantec Brasil
 
Palestra "SCADA Ransomware"
porTI Safe
 
Aula de redes de computadores e segurança da informação
porvictorlopes714651
 
Direito digital os novos crimes que podem chegar até você
porsemrush_webinars
 
Ameacas ataques e Cyberseguranca básica.pdf
porEdkallenn Lima
 
Segurança da Informação na internet em tecnologias
porclaivemcosta
 
Ransomware
porFlavio Shiga
 
Como funcionam as ameaças da internet e o cybercrime
porClavis Segurança da Informação
 
AWS Summit 2017 - Como proteger contra Ransomware minhas instâncias AWS
porMarcelo Leite ☁
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
porTI Safe
 
Desafios da transformação digital
porMarcelo Lau
 

Mais de Maurício Harley

PDF
Privacidade de Dados - GDPR, Mundo e Brasil
porMaurício Harley
 
PDF
DevOps CE - Containers, DevOps e Cloud Security
porMaurício Harley
 
PPTX
Docker - Um capitulo à parte
porMaurício Harley
 
PPTX
Fuzzing com ZAP (Zed Attack Proxy)
porMaurício Harley
 
PPT
AWS - Conceitos, Segurança e Demonstração
porMaurício Harley
 
PDF
Volatility Framework como Ferramenta de Análise Forense
porMaurício Harley
 
PDF
Certificação – E Agora?
porMaurício Harley
 
Privacidade de Dados - GDPR, Mundo e Brasil
porMaurício Harley
 
DevOps CE - Containers, DevOps e Cloud Security
porMaurício Harley
 
Docker - Um capitulo à parte
porMaurício Harley
 
Fuzzing com ZAP (Zed Attack Proxy)
porMaurício Harley
 
AWS - Conceitos, Segurança e Demonstração
porMaurício Harley
 
Volatility Framework como Ferramenta de Análise Forense
porMaurício Harley
 
Certificação – E Agora?
porMaurício Harley
 

FirePOWER contra Ransomware - Comunidade Cisco

  • 1.
    Engenheiro Senior deCyber Security Julho 2017 Maurício Harley FirePOWER contra Ransomware Comunidade de Suporte da Cisco Expert Series Webcast
  • 2.
    Maurício Harley possuiMBA em Gerenciamento de Projetos de TI, é Engenheiro Eletricista pela Universidade Federal do Ceará, e Tecnólogo em Telemática pela Universidade Estácio. Detentor de duplo CCIE (Routing & Switching, Service Provider), CISSP (Certificação de Segurança vendor-neutral). Possui mais de 20 anos de experiência em TI, especialmente nas áreas de Segurança Cibernética, Data Center e Redes de Computadores. Trabalha atualmente como arquiteto sênior de segurança e computação em nuvem na HX Brasil. Liderou e executou, em várias regiões do país (e também em Angola), inúmeros projetos de suporte a infra-estruturas complexas, ambientes de missão crítica, implementação de novas funcionalidades, resolução de problemas ou redução de custos. Por duas vezes, participou na elaboração do currículo do curso de Técnico de Telecomunicações do SENAI. Perito Computacional Forense. Colaborador da PenTest Magazine, revista técnica voltada para testes de invasão. Palestrante de temas diversos relacionados a Tecnologia da Informação e Segurança Cibernética. Analista de malware nas horas vagas. Ex-membro do Cisco Data Center Tiger Team, equipe de elite em tecnologias de Data Center da Cisco FirePOWER contra Ransomware Maurício Harley ©2017 Expert Series Webcast
  • 3.
    Maurício Harley Julho 04,2017 Cisco Support Community Expert Series Webcast FirePOWER contra Ransomware
  • 4.
    Agenda Introdução Breve estudo decaso: WannaCry Ecossistema de segurança da Cisco Introdução ao FirePOWER O FirePOWER como peça de combate Considerações Finais
  • 5.
  • 6.
    Pergunta 1 Quantos computadoresvocê acha que foram infectados pelo WannaCry? a) Aproximadamente 50.000 b) Aproximadamente 200.000 c) Aproximadamente 1.000.000 d) Nenhum. O WannaCry foi uma jogada de marketing. ©2017
  • 7.
  • 8.
    Continuando com osdados ©2017
  • 9.
    Mas o queé Ransomware exatamente? ©2017 Algumas definições Wikipedia: Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido. De acordo com um relatório da Cisco, ele domina o mercado de ameaças digitais e é o tipo de malware mais rentável da história. O primeiro relato documental deste tipo de ataque foi em 2005 nos Estados Unidos. Cartilha CERT.BR: Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. O pagamento do resgate geralmente é feito via bitcoins. Talos Intelligence: Ransomware é o nome dado a uma classe de malware cujo objetivo final é negar acesso a dados do usuário de diversas formas. Códigos antigos usavam várias técnicas para travar o acesso ao computador ou aos dados, como: modificação de ACLs, desabilitação do uso de ferramentas do sistema, área de trabalho, entre outras. Códigos mais novos simplesmente criptografam os arquivos do usuário com algoritmos fortes, como AES, RSA, entre outros.
  • 10.
    Principais vítimas evetores de ataque ©2017
  • 11.
    O “bom” e“velho” WannaCry ©2017
  • 12.
    Infográfico do NYTimes(WannaCry) ©2017
  • 13.
    Dados sobre oWannaCry ©2017
  • 14.
    Valor arrecadado peloWannaCry ©2017 Total: > US$ 110.000,00 (em 23/05/2017)
  • 15.
    O WannaCry foio último? ©2017 • De jeito nenhum! • Pelo menos duas crias (há controvérsias quanto a isso) apareceram depois do WannaCry: • UIWIX; • Adylkuzz. • O primeiro pede resgate aproximado de US$ 200,00 em bitcoins; • O segundo transforma o computador num minerador de Monero (outra criptomoeda) e parte de uma botnet.
  • 16.
    O mais recente(27/06/2017) – Petya ©2017
  • 17.
    • Ainda explorandoa vulnerabilidade do SMBv1; • Não criptografa os arquivos, mas a MFT do disco e insere o código malicioso pedindo o resgate. Valor: US$ 300,00 em bitcoins; • Alguns antivírus já detectaram o código; • Principais alvos: bancos, companhias aéreas e distribuidoras de energia elétrica; • Origem do ataque: Rússia ou Ucrânia; • https://olhardigital.com.br/fique_seguro/noticia/novo-virus-se- espalha-pelo-mundo-e-pode-ja-ter-chegado-ao-brasil/69314. Petya (ou Petwrap) ©2017
  • 18.
  • 19.
    Será possível? Vítima: Meusalário é de apenas US$ 400,00. Você quer me cobrar mesmo assim? :-( Criminoso: Não. Na verdade, nossa campanha na Tailândia foi um fracasso total. Nós superestimamos os salários das pessoas do seu país. Entããão, ok. Você não precisa pagar desta vez. Alteramos o ThunderCrypt para o modo de descriptografia no seu computador. Assim, tão logo nosso servidor se comunique com sua máquina, a descriptografia terá início. Se isso não acontecer, avise-nos. P.S.: Mas se na verdade, você tiver gostado de algo no ThunderCrypt e quiser nos doar algumas xícaras de café, sinta-se sempre à vontade para fazer isso. = ©2017
  • 20.
    A proliferação dose-mails anônimos ©2017
  • 21.
  • 22.
    Uma comparação doataque com uma ação no mundo real. Uma analogia ©2017
  • 23.
    Como funciona nomundo virtual. Anatomia do ataque ©2017
  • 24.
    Modelo Cyber KillChain da Lockheed Martin http://www.lockheedmartin.com/us/what-we- do/aerospace-defense/cyber/cyber-kill- chain.html ©2017
  • 25.
  • 26.
    • Criptomoeda disponibilizadacomo software de código livre em 2009; • O criador é desconhecido e usa um pseudônimo de Satoshi Nakamoto; • A ideia original era permitir o envio/recebimento de dinheiro, evitando taxas ou impostos cobrados por bancos de países; • Usa arquitetura descentralizada (lembra o BitTorrent?), gravando todas as transações num livro- razão chamado Blockchain; • É possível realizar trocas entre bitcoins e moedas reais. Pode-se também ganhar bitcoins através de uma operação de mineração; • Praticamente impossível de rastrear, o que a torna extremamente atrativa para uso no mercado negro (deep web); • Novas variantes vêm surgindo e mais avançadas: Monero e Zcash. O pagamento (Bitcoin) ©2017
  • 27.
    Distribuição Linux paraMineração de Criptomoedas ©2017
  • 28.
    E um poucoalém... ©2017
  • 29.
    Pergunta 2 Um ransomwarepode ser melhor combatido com: a) Antivírus b) Firewall c) IPS d) Backup e) Todas as anteriores ©2017
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
    Mais focado nonosso assunto ©2017
  • 35.
    A Necessidade daDefesa em Camadas Ransomware Defense for Dummies ©2017
  • 36.
    • Inspeção dotráfego DNS; • É um serviço; • Não necessita de qualquer hardware ou software instalado; • A implantação é tão simples quanto configurar algumas linhas no servidor DNS interno; • Trabalha fazendo sanitizing do tráfego DNS e filtrando qualquer tentativa de query ou resposta envolvendo endereços maliciosos; • Recebe cerca de 80 bilhões de consultas por dia. No DNS – Cisco Umbrella ©2017
  • 37.
    • Machine Learning; •Big Data; • Análise de características dos arquivos; • Sandboxing; • Rastreamento do comportamento (retrospectiva); • Proteção contra Phishing e SPAM. No Email e Endpoints – AMP ©2017
  • 38.
    • URL Filtering; •AMP; • Threat Grid; • AVC; • NGIPS. Na Rede – FirePOWER (cereja do bolo) ©2017
  • 39.
  • 40.
    • Tudo começoucom a Sourcefire; • O cerne do código é baseado no Snort; • Em 2013, a Cisco adquiriu a Sourcefire por US$ 2,7 bilhões; • Principais produtos são o FirePOWER e o FireSIGHT; • O FirePOWER é o código/appliance que possui as funções de NGFW e NGIPS: • Controle de Aplicação; • Proteção contra Malware (AMP contra APT); • Filtro de URLs. • O FireSIGHT é o centro de gerência da solução. Introdução ao FirePOWER ©2017
  • 41.
    Advanced Malware Protectioncontra Advanced Persistent Threats • Solução de segurança da Cisco que está disponível em diversas formas, inclusive embarcada no módulo FirePOWER que acompanha o ASA; • Intimamente conectado com a inteligência gerada a partir da pesquisa do grupo Talos; • Analisa o conteúdo antes, durante e depois do ataque; • Alguns recursos importantes e decisivos: Dashboards, Indicações de Comprometimento, Trajetória de Arquivos, Análise Contínua, Controle de Outbreaks. Introdução ao FirePOWER ©2017
  • 42.
  • 43.
    Introdução ao FirePOWER Malware AplicaçõesCliente Sistemas Operacionais Dispositivos Móveis Telefones VoIP Roteadores & Switches Impressoras Servidores de C & C Servidores de Rede NGFW Cisco Firepower Usuári os Transferências Aplicações Web Protocolos de Aplicação NGFW Típico Ameaças IPS Típico ©2017
  • 44.
    O Firepower como peçade combate ©2017
  • 45.
    Vejamos oito casosde uso Acesso Remoto ComplexoIntegração com ACI NGFW no Campus Contenção Rápida de Ameaças Borda de Internet Borda de DC na Nuvem Borda de DC Local Política de Uso Aceitável ©2017
  • 46.
  • 47.
    Vetores de Info •URL • IP • DNS 011011001010100101010 0010010110100101101101 Proteger a borda de Internet Eu quero… Parar ameaças na borda, encontrar e corrigir brechas, e aumentar a largura de banda. Firewall AVCMotor de Descriptografia SSL NGIPS #$ %* • NAT Estático e Dinâmico • Alta Disponibilidade • Alta Largura de Banda Rede Privada DMZ @ www DNS Internet Bloquear Permitir Inspeção de Arq. AMP AMP Threat Grid DNS Sinkhole
  • 48.
    Proteger o DataCenter em Nuvem na borda Eu quero… Estender a confiabilidade que tenho na segurança local para a nuvem. ProtegerPreparar Definir políticas Descobrir ameaças Responder Remediar Data Center na Nuvem Dados financeiros Dados de RH Aplicação interna Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Borda do Data Center TrustSe c RH Finança s DevOps Firewall Virtual • Alta Disponibilidade • Alta Largura de Banda NGIPS #$ %* AVC Bloquear Permitir Inspeção de Arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
  • 49.
    Vetores de Info URL| IP | DNS 0110110010101001010100 0010010110100101101101 Proteger o data center local na borda Eu quero… Reduzir a superfície de ataque e detectar ameaças ao data center. Rede do Data Center Dados financeiros Dados de RH In-house app • Clustering • Suporte para tráfego Norte-Sul e Leste-Oeste ProtegerPreparar Definir políticas Descobrir ameaças Responder Remediar Borda do Data Center TrustSec RH Finanças DevOps Firewall NGIPS • Alta Disponibilidade • Alta Largura de Banda #$ %* AVC Bloquear Permitir Inspeção de arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
  • 50.
    Camada de Acesso Apps wwwDatabase Apps www Database Vetores de Info URL | IP | DNS 0110110010101001010100 0010010110100101101101 Manter ameaças fora dos domínios do campus Eu quero… Proteger contra ameaças e ainda atender as demandas por largura de banda. Borda do Data Center TrustSec Distribuição do Campus Núcleo NGIPSAVC Bloquear Permitir #$ %* Firewall Inspeção de arq. AMP AMP Threat Grid Motor de Descriptografia SSL ©2017
  • 51.
    Garantir política deuso aceitável na empresa Filtrar tráfego web suspeito, controlar uso de aplicações e alocar largura de banda. I want to… RedeFirewall Filtrar URLs Indesejadas www Bloquear Permitir Bloqueio Parcial Definir controle de acesso 1 2 Priorizar Tráfego ID de Usuário www Aplicação de Jogos 4000+ web e applicações internas …e aplicações personalizadas Escore de Reputação Motor de Descriptografia SSL #$ %* Decriptar tráfego oculto www ©2017
  • 52.
    Estender o acessoseguro a outras localidades Eu quero… Internet Impedir que ameaças entrem e, ao mesmo tempo, estender acesso seguro a todos usuários. Destaques do Firewall 01001010100 00100101101 Bloquear Permitir AVC NGIPS • Alta Largura de Banda • Alta Disponibilidade • Opções por hardware e virtual Motor de Descriptografia SSL #$ %* VPN VPN VPN Firewall Firewall Matriz Firewall Empresa Distribuída Filial Usuário remoto WAN da Filial e Usuários Remotos Firewall Vetores de Info URL | IP | DNS ©2017
  • 53.
    Melhorar a escalabilidadee controle com a ACI Eu quero… Host 1 Host 2 Host 3 Applicação 1 (Físico) Applicação 2 (Físico) VM VM VM Detectar ameaças com o NGIPS usando visibilidade do ACI fabric. Configurar políticas com a fer. de gerenciamento integrado Refinar políticas com o tempo através de análise de atividade Bloquear Permitir AVC NGIPS Firepower Management Center (FMC) Application Policy Infrastructure Controller (APIC) Gerenciamento Integrado Políticas de White list Multi-tenancy Segmentação APIs da APIC Proteger o data center com políticas de segurança consistentes e focadas. Spine Leaf Nós ©2017
  • 54.
    Proteger a redecom a Contenção Rápida de Ameaças Firepower Management Center ISE Alertas pxGrid Isolamento Automático Eu quero… www Isolar rapidamente recursos comprometidos antes que o problema aumente. TrustSec Tag Funcionário Tag Fornecedor Tag Visitante Tag Quarentena Tag de Quarentena Alertas pxGrid Receber alerta de evento de intrusão Emitir comando de quarentena ©2017
  • 55.
    Pergunta 3 Quando seé atingido por um ransomware, deve-se: a) Pagar o resgate ao criminoso b) Retonar o backup c) Executar antivírus para remoção do malware d) Formatar o disco e instalar tudo de novo e) Fazer uma oração ©2017©2017
  • 56.
  • 57.
    Formas de Prevenção 1.Efetuar e testar constantemente o backup; 2. Realizar inventário dos ativos; 3. Criar cultura de gerenciamento de patches; 4. Transportar o backup de maneira segura para um local seguro; 5. Segmentar a rede; 6. Conscientizar colaboradores quanto à segurança da informação; 7. Criar estratégia para comunicação sobre a ocorrência de malware; 8. Antes de ocorrer o ataque, decidir se pagará o resgate ou iniciará investigação; 9. Coordenar a análise de ameaças a dispositivos e aplicações (HW e SW); 10.Executar testes frequentes de penetração nos sistemas. Considerações Finais ©2017
  • 58.
    Como proceder nocaso de ataque • Bloqueie a comunicação entre os segmentos da rede. Se sua rede não for segmentada, complicou; • Se você tem backup atualizado, antes de mais nada, relaxe. Reinstale o sistema, atualize-o, restaure o backup e seja feliz; • O projeto No More Ransom divulga ferramentas gratuitas para desfazer o estrago de alguns ransomwares: https://nomoreransom.org/; • Veja com seu fornecedor de segurança cibernética a existência de uma ferramenta própria dele para descriptografia; • Inicie a investigação da infecção. Se quiser, você pode convocar um perito computacional forense para isso. Neste caso, não desligue o computador e nem faça mais nenhuma atividade nele. Simplesmente preserve a evidência. ©2017
  • 59.
    Dica de Leitura •https://resources.umbrella.com/ransomwa re-for-dummies/ ©2017

Notas do Editor

  • #8 Falar que as estatísticas, apesar de serem um pouco antigas, refletem tendências que permanecem.
  • #9 Ressaltar a quantidade de infecções que chegam através de e-mail.
  • #11 Novamente, mostrar a importância do e-mail como vetor de infecção de ransomware. Ressaltar que empresas de todos os segmentos podem ser atingidas.
  • #13 Explicar que o gráfico tomou como base o horário da costa leste dos EUA e chamar a atenção para os pontos em vermelho que aparecem no mapa.
  • #15 Explicar que estas informações são de domínio público e que os dados têm pouco mais de 1 mês.
  • #16 Informar que as evidências foram encontradas a partir da análise forense de sistemas infectados com o WannaCry.
  • #17 Chamar a atenção para a carteira do Bitcoin e para a chave de criptografia.
  • #18 Informar que tanto usuários corporativos quanto domésticos foram afetados. O malware foi classificado como um wiper, ou seja, não devolve os arquivos originais mesmo após pagamento. Ele apaga os primeiros 10 setores do disco. Anáises de código mostraram alteração do malware original publicado em 2016.
  • #19 Janus, criadora de um serviço de RaaS (Ransomware as a Service) e autora do Petya original em 2016, mostrou-se interessada em ajudar as vítimas do NoPetya do mês passado. O e-mail de ”suporte” do código atual não está mais disponível.
  • #21 Explicar que os sistemas de e-mail anônimo não fazem qualquer verificação da identidade do usuário e que normalmente, justamente por isso, não é possível recuperar a senha caso se perca. Alegam que a chave de criptografia das mensagens é a senha criada pelo próprio usuário e que eles não possuem formas de descriptografar o conteúdo sem a mesma.
  • #25 Explicar que o gráfico foi traduzido para o Português para facilitar a compreensão.
  • #26 Ressaltar a paródia com os dizeres da moeda norte-americana. Os valores do Bitcoin são LIBERDADE, IGUALDADE e VERDADE.
  • #27 Não se sabe se foi criada por uma só pessoa ou por um grupo de programadores. Isto permanece desconhecido até os dias atuais. Apesar de dizerem que existe uma forma de rastreamento do Blockchain, isso não aconteceu até então.
  • #28 Distribuição é vendida, pois vem embarcada em hardwares específicos (adiante).
  • #32 Diversos parceiros compõem a lista do ecossistema da Cisco. Nomes como AWS, AlienVault, CheckPoint, Citrix, F5, Microsoft, RSA, entre outros, engrossam os produtos e serviços de segurança para entregar uma solução completa que atenda às necessidades do mercado. http://www.cisco.com/c/m/en_us/products/security/technical-alliance-partners.html
  • #33 O SAFE, disponível em http://www.cisco.com/go/safe/, é um comjunto de guias para arquitetura de segurança da Cisco. Está em constante evolução. Na última versão, ele traz considerações para os ambientes mostrados. É mportante observar que o FirePOWER tem aplicações para qualquer dessas áreas. O SAFE se baseia em 6 pilares: Gerenciamento, Inteligência de Segurança, Conformidade, Segmentação, Defesa contra Ameaças e Serviços Seguros.
  • #34 O Talos é o centro de Inteligência em Segurança da Cisco. Possui divisões de pesquisa que capturam dados a partir de requisições web, tráfego de e-mail, amostras de malware, endpoints distribuídos e invasões em redes. Entre as atribuições, destacam-se: Desenvolvimento de Software, Engenharia Reversa, Desenvolvimento de Vulnerabilidades, Pesquisa sobre Malware, Análise de Inteligência e Reputação SPAM e web.
  • #35 É um guia completo, de 50 páginas, que traz considerações de arquitetura para defesa contra ransomware. Importante destacar a necessidade da defesa em camadas que veremos logo mais. O guia mostra etapas de testes e validação de cenários de ambientes, interação com o OpenDNS, telas do Threat Grid e exemplos de configuração do FirePOWER, ESA e WSA.
  • #36 Aqui, destacamos que a defesa contra malware, de uma forma geral, é alcançada por meio de camadas. Assim como a segurança cibernética é um conceito que envolve diferentes áreas, como perímetro, identidade, e-mail, web, conduta, wireless LAN (para citar alguns), o caso particular do ransomware precisa de uma abordagem assim. O desenho mostra setores de controle. A Cisco possui produtos e serviços para abranger cada um deles, como o Umbrella, para verificação de DNS, o WSA para web, ESA para e-mail e o FirePOWER, nossa estrela, para controle de acesso, inspeção, sandbox e mitigação de ataques. Não esqueçamos também a AMP, que pode vir incorporada a ele.
  • #38 Falar que a Machine Learning é composta pelos elementos do gráfico ao lado. Explicar o conceito de rastreamento e retrospectiva de arquivos que passam pelo software do FirePOWER.
  • #39 O Threat Grid é uma solução avançada de sandboxing e análise de malware que pode ser implantada como um appliance independente, como serviço (na nuvem) ou integrado a diversos produtos, como o FirePOWER. O AVC usa a tecnologia de DPI (Deep Packet Inspection) para classificar mais de 1.400 aplicações. Também usa o Netflow para estatísticas de desempenho e uso.
  • #46 The Cisco Firepower NGFW is well-suited to address your toughest security and networking challenges. Today, we'll go over the following ways the Cisco Firepower NGFW can be used to help your business: [Delete as needed] Acceptable use, to enforce proper application and web usage on your network Internet Edge, to secure your network's web-connected endpoints Cloud Data Center Edge, to keep threats out of your online data center Local Data Center, to protect your on-premises data center ACI Integration, to enforce consistent policies on your application centric infrastructure Complex remote access, to safely extend network access to branch offices and remote users Campus NGFW, to keep threats out of your campus security domain Rapid Threat Containment, to remediate breaches as soon as they occur   T: The first use case we'll consider is _______. <Click>
  • #48 This solution would include one or more Firepower NGFW appliances with Firepower Management Center. In this scenario the Cisco Firepower NGFW would help you block threats at the Internet Edge, identify and remediate breaches when they do occur, and do all this while maintaining high bandwidth. The solution meets key connectivity and availability requirements. The Firewall is built for High Availability, supports routed mode, and comes with a port channel for interface redundancy and link speed aggregation. The Firewall also supports the dynamic routing protocol with OSPF or BGP. Most importantly, the Firepower NGFW will meet your most stringent security requirements. It supports single context mode, dynamic NAT/PAT or static NAT, as well as industry-leading firewall capabilities. Cisco Firepower NGFW comes with SSL decryption, identity-based Application Visibility and Control, URL filtering, Next-generation IPS, Advanced Malware Protection, and real time security intelligence updates from Talos via IP-, URL-, and DNS-based feeds. The Cisco Firepower NGFW is uniquely able to protect your company at the internet edge. T: The next business-critical use case we'll cover is ______. <Click>
  • #49 This requires a virtual appliance or Firepower NGFWv. We offer this virtual appliance in two form factors; Amazon Web Services and V-sphere. In this case, the Cisco Firepower NGFW would extend trusted and highly secure firewall to the cloud. The NGFW offers High Availability for redundancy, can be deployed in both routed and transparent mode, and supports both North-South or East-West deployments. It includes support for security and networking technologies like VPC and VXLAN. And it further supports the integration of the Firewall in the Data center environment with dynamic routing protocols like OSPF, BGP, Nonstop forwarding, and graceful restart. In addition, the Cisco Firepower NGFW meets the same stringent security requirements as in the Internet Edge use case, offering single- or multi- context mode, as well as industry-leading firewall services. The Cisco Firepower NGFW delivers SSL decryption, identity-based AVC, NGIPS, and AMP. It integrates with TrustSec to ensure the incoming traffic from user communities can be trusted. Finally, it receives URL-, IP-, and DNS-based security intelligence feeds, which provide up-to-date protection against known threats, such as Command-and-Control. The Cisco Firepower NGFW is the answer to securing your Cloud data center at the edge. T: Next, we'll describe how the ______ use case can help your business. <Click>
  • #50 This would include one or more Firepower NGFW appliances, typically physical, but also available as virtual appliances. In this scenario, the NGFW is able to reduce the company's attack surface and detect threats to keep the on-premises data center secure. The Cisco Firepower NGFW satisfies crucial connectivity and availability requirements, such as high availability for redundancy, dynamic NAT/PAT or static NAT, and support for both North-South or East-West deployments. The firewall supports both intra- and inter-chassis clustering, as well as fail-to-wire functionality. It also comes in high bandwidth options, with our new Firepower 4100 and 9300 platforms offering 10 Gbps and 40 Gbps throughput, as well as flow offload or fast path support. In terms of security, the NGFW features single context mode, TrustSec Security Group Tags, SSL decryption, AVC, NGIPS, and AMP. It also comes with IP-, DNS-, and URL-based security intelligence connections that provide command and control protection. The Cisco Firepower NGFW is the right solution for securing your local data center at the edge. T: Next, we'll show how the ______ use case can meet your business needs. <Click>
  • #51 This solution involves several Firepower NGFW appliances with Firepower Management Center. Here, in addition to a firewall at the data center edge, there are also firewalls between the campus core and distribution, or between the distribution and access edge. In this scenario, the Cisco Firepower NGFW would protect the campus security domain against threats while maintaining the high throughput required by the campus distribution. The NGFW meets important network needs, with high availability, routed or transparent mode, and a dynamic routing port. The Firepower 4100 and 9300 provide the high band interfaces that make either of them the platform of choice for this use case. The ASA 5585 is also an ideal candidate, with support for up to 16-way clustering. The Cisco Firepower NGFW satisfies key security requirements, offering firewall support between security domains within the campus or campus edge. The NGFW enables single context mode, and boasts the same industry-leading features we have been discussing: TrustSec Security Group Tag support, VPN, identity-based AVC, NGIPS, AMP, and URL-, IP-, and DNS-based security intelligence. The Cisco Firepower NGFW is well-suited for securing large campus security domains. T: Next, we'll discuss how the ______ use case can address your network and security challenges. <Click>
  • #52 In this scenario, the Cisco Firepower NGFW would help you enforce several business-critical controls. You can prevent your employees and guests from visiting inappropriate sites based on Cisco reputation scoring of millions of URLs, and 4,000+ applications. This includes in-house as well as web-based applications. And this reputation scoring can also be extended to custom application. You can block access to sites that have been found to serve potentially harmful files or applications, using security intelligence feeds that keep the firewall updated on the latest threats. You can stop command-and-control in its tracks, as well as other phone home traffic to malicious sites You can perform traffic control and prioritization to limit the amount of bandwidth various applications and micro-applications consume, such as video streaming, All of these controls are enforceable by user or group. For example, you can limit what people in sales can post to social media, while granting unrestricted access to people in marketing. The Cisco Firepower NGFW’s unique feature set is ideal for enforcing acceptable use. T: Next, we'll cover how the _____ use case can benefit your business. <Click>
  • #53 In this case, the Cisco Firepower NGFW can keep watch for unwanted traffic, while extending that patrol to multiple locations. You can not only secure encrypted communications across one or more remote locations using VPN, but also apply the full NGFW controls and protections to that traffic, including TrustSec Security Group Tag support, identity-based AVC, NGIPS, AMP, and URL-, IP-, and DNS-based security intelligence. The NGFW’s market-leading VPN capabilities include both site-to-site and remote access. Remote access VPN grants protected access to remote sites, while site-to-site VPN enables secure connection between branch offices as well as to third parties. These capabilities can be covered by the AnyConnect Security Mobility Client, as well as by third party VPN providers. The Cisco Firepower NGFW’s industry-leading features are well-suited to flexibly extending secure remote access. T: Next, we'll cover how the _____ use case can benefit your business. <Click>
  • #54 In this scenario, the Cisco Firepower NGFW would integrate with Cisco Application Centric Infrastructure (ACI) to protect your data center with automated policy-based security. The Cisco ACI policy model provides flexible segmentation options within the data center, so you can choose how to segment based on business or application requirements.  ACI is based on the Cisco Nexus 9000 family of switches along with a central management control point,  the Application Policy Infrastructure Controller (APIC).  The APIC manages and configures policies on each of the switches in the ACI fabric and offers a unified automated approach to policy management for data centers.    Cisco Firepower has been fully integrated into the ACI APIC controller for unified network and security policy orchestration and control. This ACI integration with Firepower NGIPS, AVC, and AMP provides automated security to dynamically detect advanced attacks, and to automate mitigation and incident response.   This Firepower ACI solution uses “Policy APIs” to enable fully automated advanced security that can tie security services to any workloads (Virtual, Containers, Physical) in the data center, or stitch them into any service chains.  This integration provides agility for enabling security policies within the data center, minimizing coverage gaps due to security service provisioning delays.   Some of the benefits of this solution include:   Agile Provisioning: Because application flows within an ACI environment change dynamically, Firepower security can be deployed as a service for any transaction flow, completely independent of the underlying topology. Unified Configuration and Visibility: ACI management tools provide a single point of network and security management, provisioning of security-as-a-service, flow policy control, and monitoring for a unified view of the infrastructure, while allowing for the contextual re-use of common security elements in an end-to-end design. Policy Set Simplification: In traditional, topology-oriented environments, policy rules like security controls are either pushed as a complete rule set or administrators have to manually build custom rule sets for each device. With a services-based approach like ACI, each service element can be contextually programmed with only those security rules that are relevant to its specific transactions, creating a truly distributed and simplified policy set.   Integrating Cisco Firepower with ACI allows the early detection and mitigation of sophisticated attacks by enabling better visibility and awareness, malware containment and control, and threat detection, mitigation, and incident response. Organizations can take a holistic, system-based approach to data center security, leveraging a common policy-based operational model across ACI-ready networks, thereby reducing cost and complexity without compromising security.  T: The next use case we'll discuss is ______. <Click>
  • #55 Here, you can see an example of Rapid Threat Containment in action. In the use case illustrated here, Firepower Management Center is scanning the activity of authorized users across all approved devices as traffic moves through the NGFW. When the Firepower Management Center detects suspicious activity, malware, or any other potential threat, it alerts ISE using pxGrid. Then, it automatically enforces your security policy. Here, the platform draws on the Cisco TrustSec capabilities in ISE, such as Security Group Tags (SGTs) that can be enforced on Cisco routers, switches, security appliances, and wireless controllers in the network. You can assign TrustSec SGTs to designate anomalous traffic as “suspicious”. Based on that new SGT, ISE automatically enforces policy on the network. According to policy, the device is contained for remediation or mitigation. T: The Cisco Firepower NGFW is ideally suited for implementing Rapid Threat Containment. <Click>