Cisco FirePower

Cisco Confidential 1© 2016 Cisco and/or its affiliates. All rights reserved.
FirePower -
платформа для
защиты сети нового
поколения
21 March, 2018

Unified Threat
Intelligence
Endpoint Devices
Network
Network Identity & Access
NGFW Email Web
Netflow
File Reputation & Analysis
Remote Worker
Connector
Threat Analysis
VPN
Connector
Secure DNSCASB
Unified Security Model
ThreatAnalysis
TALOS
Оконечные хосты
Сеть
ISE и Trustsec
FTD Email Web
Stealthwatch
AMP & Threatgrid
Удаленный сотрудник
AMP
CTA
Anyconnect
AMP
UmbrellaCloudlock
CTA
Cisco интегрированная безопасность

“Нельзя защищать то чего не видишь”
Получите более глубокий взгляд
с улучшенной видимостью
Malware
Client applications
Operating systems
Mobile devices
VoIP phones
Routers and switches
Printers
Command
and control
servers
Network servers
Users
File transfers
Web applications
Application
protocols
Threats
Обычный IPS
Обычный NGFW
Cisco Firepower™ NGFW

Security feeds
• URL
• IP
• DNS
0110110010101001010100
0010010110100101101101
Обезопасить Интернет-периметр организации
Я хочу..
Остановить угрозы
на границе, найти и
устранить угрозы,
увеличить
пропускную
способность.
Межсетевой экран
AVCSSL
Decryption
Engine
NGIPS
#$
%*
• Динамический и статический NAT
• Высокая доступность
• Высокая производительность
Частная сеть
DMZ
Интернет
Block
Allow
AMP file inspection
AMP Threat Grid
DNS Sinkhole
@
www
DNS

Установить правила допустимого использования
Я хочу…
Остановить web-
трафик высокого
риска, ввести
контроль
используемых
приложений и
выделить полосу
пропускания.
СетьМежсетевой
экран
Отфильтровать
ненужные URLs
www
Block
Allow
Partial
Block
Установить
контроль
доступа
1
2
Приоритезировать
трафик
Идентификация
пользователя
www
Азартные приложения
4000+ веб и
собственных
приложений
…и дополнительные
Собственные
приложения
Репутационный анализ
SSL Decryption Engine
#$
%*
Расшиф
ровать
трафик
www

Защитить сеть с Rapid Threat Containment
Firepower
Management Center
ISE
Тревога
pxGrid
Автоматическая изоляция
Я хочу…
Изолировать
компрометированны
е ресурсы быстро,
до разрастания
проблемы.
www
TrustSec
Тэг сотрудника
Тэг поставщика
Тэг гостя
Тэг карантина
Quarantine Tag
Тревога
pxGrid Получает тревогу
вторжения
Выдает команду на
карантин

Cisco Межсетевой Экран Нового Поколения (NGFW)
Firepower Threat
Defense (FTD) image
L2-L4
Inspections
(ASA)
Advanced
Inspections
(FirePOWER)
Base (NGFW)
Threat
(IPS/SI/DNS)
Malware
(AMP/TG)
URLFiltering
Blue = Term-based (1, 3, 5 years)
Green = Perpetual (included)
ЛицензииОперационная
система
Аппаратная
платформа

Производительностьимасштабирование
ASA 5506-X
ASA 5508-X
ASA 5525-X
ASA 5545-X
ASA 5555-X
ASA 5506W-X
ASA 5516-X
Firepower 9300:
SM24
SM36
SM44
SMB и Филиалы Коммерция и Корпоративные сети ЦОД, Высокопроизводительные вычисления, Сервис
провайдеры
Cisco Next-Gen Firewall: Аппаратные платформы
Firepower 4100:
4110
4120
4140
4150
ASA 5506H-X
ASAv / FTDv vIPS
Firepower 2100:
2110
2120
2130
2140

ASA 5500-X
SMB и филиалы
5506 / 5508 / 5516
Унифицированное
управление
• Интерфейсы 1 Гбит/с
• Пропускная способность до
1,2 Гбит/с (FTD, все сервисы)
• Варианты резервируемого
электропитания 5545 / 5555
• ПО Firepower Threat Defense
или ASA
• Интерфейсы 1 Гбит/с
450 Мбит/с (FTD, все сервисы)
• Поддержка программной
коммутации
• ПО Firepower Threat Defense
или ASA
• Firepower Management Center
(централизованное)
• Firepower Device Manager
(автономное)
• Cisco Defense Orchestrator
(облачное)
5525 / 5545 / 5555

Cisco Firepower серии 2100
Представляем 4 новых платформы
Оптимизация
производительности
и плотности портов
Специализированный
NGFW
• Встроенные механизмы
NGFW, NGIPS, управления
работой приложений (AVC),
фильтрации запросов по
URL и Cisco AMP
• Интерфейсы 1 и 10 Гбит/с
8,5 Гбит/с
• Форм-фактор 1 RU
• Два слота для SSD
• 12 RJ45, 4 SFP(+)
• Модели 2130 / 2140
• 1 сетевой модуль
• Опция "Fail to Wire"
• Поддержка двух БП
(облачное)

Cisco Firepower серии 4100
Высокопроизводительный кампус и ЦОД
Оптимизация
производительности
и плотности портов
Мультисервисная
платформа
безопасности
• Встроенные механизмы
NGFW, NGIPS, управления
работой приложений (AVC),
фильтрации запросов по
URL и Cisco AMP
• Radware vDP для защиты от
DDoS
• Поддержка ПО ASA, в
будущем – других
партнерских решений
• Интерфейсы 10 и 40 Гбит/с
24 Гбит/с
• Форм-фактор 1 RU
• Низкие задержки
(облачное)

Платформа Cisco
Firepower 9300
Высокопроизводительный ЦОД
Преимущества
• Интеграция лучших сервисов
• Динамическое построение
цепочек сервисов
Функционал
• Поддержка ПО ASA
• Firepower™ Threat Defense:
• NGIPS, AMP, URL, AVC
• Поддержка сторонних решений:
• Radware vDP
Преимущества
• Гибкая архитектура
Функционал
• Безопасность на базе шаблонов
• Защищенная контейнеризация
пользовательских приложений
• RESTful/JSON API
• Оркестрация и управление
с помощью сторонних систем
Функциональные
особенности
• Компактное решение (3RU)
• 10 и 40 Гбит/с; готовность к
100 Гбит/с
• Терабитная объединительная
плата
• Низкие задержки,
интеллектуальный fast path
Модульность
Решение
операторского
класса
Мультисервисная
платформа

Платформы Cisco NGFW
Все платформы NGFW управляются Firepower Management Center
250 Мбит/с -> 1,75 Гбит/с
(сервисы NGFW + IPS)
Firepower Threat Defense
для ASA 5500-X
2 Гбит/с -> 8 Гбит/с
(сервисы NGFW + IPS)
Firepower серии 2100
41xx = 10 Гбит/с -> 24 Гбит/с
93xx = 24 Гбит/с -> 53 Гбит/с
Firepower серии 4100
и Firepower 9300

Firepower 6.х SMART Лицензирование
Только для Firepower Threat Defense
• Стандартная Base лицензия поставляется с устройством
• Постоянная лицензия привязывает приобретенное ПО к устройству
• В стандартную лицензию входят:
• NGFW функция с AVC и User Identity
• Switching/Routing и NAT
• Отказоустойчивость и Кластеризация
• Без межлицензионных зависимостей, базовая лицензия
идет в комплекте – остальные опционально.
• Постоянная Strong Crypto License*
• Демо / PoV должны использовать Smart Licensing
• Встроенная 90-дневная тестовая лицензия
Base
Threat(IPS)
AdvancedMalware
(AMP)
URLFiltering
*StrongCrypto
Зеленый = Подписка (1, 3 и 5 лет)
Синий = Постоянная
**Advanced
LE/SPFeatures
**Ожидается поддержка в будущих релизах
*Ожидается разрешение на территории РФ

Варианты управления
Firepower Device
Manager
Простое
автономное
решение для
типовых настроек
политик и правил
обеспечения
Полномасштабное
безопасностью,
автоматизация и
аналитика для
нескольких устройств
Firepower Management
Center
Cisco Defense
Orchestrator
Централизованное
облачное
политиками на
разных объектах
Автономное Централизованное Облачное

Firepower Manager рекомендации масштабирования
* Максимальное количество устройств зависит то типа сенсора и количества событий в секунду
1000
FMC1000-K9
2500
FMC2500-K9
4500
FMC4500-K9
Virtual
FS-VMW-SW-K9
Virtual
FS-VMW-2-SW-K9
FS-VMW-10-SW-K9
Максимально
управляемых
устройств*
50 300 750
Firepower
Management
Center Virtual
До 25 устройств
Firepower
Management
Center Virtual
До 2 или 10 устройств
Хранилище
событий
100 GB 1.8TB 4.8TB
Максимальная
карта сетей /
хостов (hosts /
users)
2K/2K 150K/150K 600K/600K
Событий в
секунду (EPS)
2,000 12,000 20,000

Talos центр ИБ
компетенции
Способы обнаружений и типы событий
Firesight
AppID
Файлы
L2/L3
События обнаружения – Хостов,
Пользователей, OS, Сервисов,
Уязвимостей
Сервер, Клиент и Веб-приложения
Типы Файлов, Передача файлов
Лог Соединений, Потоки
Snort® IDS/IPS События – Snort Rule IDsSnort Rule Обновления
Обновления уязвимостей, OS
сигнатуры
Сигнатуры приложений, Движки
определения приложений
Malware Cloud Lookups (AMP),
Песочница , Траектории
Списки IP и URL репутаций, URL
Апдейты категорий

Понимание флага Impact в событиях
Событие вторжения
Source / Destination IP
Protocol (TCP/UDP)
Source / Destination Port
Service
Snort ID
IOC: Predefined Impact
Хостовый профиль
[Outside Profile Range]
[Host not yet profiled]
IP Address
Protocols
Server Side Ports
Client Side Ports
User IDs
Potential Vulnerabilities
Services
Client / Server Apps
Operating System
CVE
0
4
2
3
1
Action Why
Общая
информация++,
событие вне
прифилируемой
сети
Событие вне
профилируемой
сети
Хорошая
информация,
хост не
известен
Новый
неизвестный
хост в сети
Хорошая
информация,
событие могло
не соединиться
Релевантный
порт не открыт
или протокол не
используется
Следует
расследовать,
хост открыт
атаке
Релевантный
порт открыт но
нет уязвимости
Реагируйте
мгновенно, хост
подвержен атаке и
уязвим (взломан)
Хост уязвим
атаке или
показываем IOC
†† Если сеть полностью спрофилирована
это может быть критичным событием
Флаг воздействия

Признаки (индикаторы) компрометации
События СОВ
Бэкдоры
Подключения к
серверам управления
и контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
События
анализа ИБ
Подключения к
известным IP
серверов управления
и контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
дроппера

Индикаторы компрометации
Использует корреляцию множества типов
событий, таких как:
• События уровня воздействия 1 и 2
• CNC события (IPS)
• События компрометации (IPS)
• Security Intelligence События
• События AMP для Хостов
• События AMP для Сетей
• Включая файловые события
• Встроенные правила корреляции
Цель:
1. Что требуется исправлять сейчас!
2. Иметь достаточно знаний для
предотвращения будущих проникновений

100,000 событий
5,000 событий
500 событий
20 событий
+10 событий
3 событий
Правила и политики корреляции
• Возможность написания
своих событий корреляции
• Использование событий и
индикаторов разных типов
• Вложенная древовидная
булева логика условий
• Различные сценарии
реагирования через
встроенные и
подключаемые модули

Cisco Firepower упрощает работу
FireSIGHT Рекомендует политики предотвращения вторжений
Вы можете выбрать разрешение системе модифицировать
настройки правил основываясь на рекомендациях. Система
добавляет уровень read-only FireSIGHT Recommendations
layer.
Интеллектуальная функция рекомендации какие NGIPS правила должны быть включены, а
какие выключены в политики NGIPS, основываясь на информации из Карты сети.

Улучшенные настройки Firepower Рекомендаций
• Понимание того какие правила будут
изменены после применения FireSIGHT
Recommendations
• Применение или обновление Рекомендаций.
Может быть автоматизировано
• Настройте правила FireSIGHT Recommended Rules
функцию идентифицируя сети для изучения на
Сетевой карте.
• NGIPS оценивает влияние каждого правила
overhead of each rule как none, low, medium, high,
или very high, основываясь на потенциальном
влиянии на производительность и вероятность
генерации ложного срабатывания

Вразрез или Пассивно Fail-to-wire NetMods Дополнительные опции
NetMod
Виртуальный или
Физический
Маршрутизируемый
Прозрачный
101110
101110
Вразрез
Вразрез с Копией
Пассивный
Выбирайте из различных режимов развертывания
Режимы фаервола

Отказоустойчивость линка
Отказоустойч
ивость линка
Масштабирование на многие сайты
Агрегация каналов – Отказоустойчивость - Кластеризация
Кластеризация между
шасси
Объединение до
6
9300 блейдов или
4100 шасси
Активный / Пассивный HA
LACP
отказоустойч
ивость линка
LACP
протокол
агрегации
линков
70

Политика NGFW

Распознавание приложений
• Анализ сетевого
трафика позволяет
распознавать широкий
спектр различных
приложений, которые
затем можно
использовать в
правилах политики
• FirePOWER for ASA
распознает и
«российские»

Описание собственных приложений
Приложения могут
быть описаны
шаблонами:
• ASCII
• HEX
• PCAP-файл
• OpenAppID (NEW!)

OpenAppID Интеграция
Сила Open Source приходит к безопасности уровня
• Создавайте, обменивайтесь и применяйте
собственные правила обнаружения
• Отдайте контроль в руки клиентов и большого
сообщества ИБ
• Групповая разработка в рамках сообщества
ускоряет создание сигнатур обнаружения и
контроля
Что такое OpenAppID ?
• Open-Source язык: специализированный на
обнаружение приложений
• > 2500 детекторов привнесено Cisco
• > 20,000 загрузок пакетов детекторов с
прошлого Сентября
• Поддерживается со стороны Snort сообщества
• Простой язык
• Уменьшенная зависимость от производителя
и его релизов
• Пишется с использованием скриптового языка
Lua
Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям
создавать, обмениваться и внедрять собственное обнаружение приложений.

3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
обнаружено
Событие нарушения
зафиксировано,
пользователь
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует
Skype. Пользователь
идентифицирован, IT и HR
уведомлены.
IT & HR
провели с
пользователем
работу
Идентификация приложений «на лету»

Блокирование передачи файлов Skype

Улучшаем контроль за трафиком с новым функционалом
Дополнительные функции МСЭ
Интеграция
идентификации
Адресуйте угрозы точно
• ISE
• pxGrid
• VDI
Портал
акутентификации
Внедряйте аутентификацию
• Active/Passive
• NTLM
• Kerberos
Ограничение полосы
Контроль использования
• Rule-based limits
• Reports
• QoS rules
Политика с
настоящими IP
Анализируйте заголовки
глубже
• X-Forwarded-For
• True-Client-IP
• Custom Headers
Политика
туннелирования
Блокировка не нужного
трафика на ранних стадиях
• Pre-filtering
• Priority policy
• Policy migration

FireSIGHT Интеграция сторонних решений через API
Host Input
Vulnerabilities
eStreamer API
Export Events
Remediation
API
FireSIGHT Management Center это система с
открытым API
1. Host Input API
• Добавление информации в Network Map
• Импорт данных из сторонних источников
2. eStreamer (Event Streamer) API
• Поточная отправка некоторых типов событий в специально-
разработанные клиентские приложения. SIEM Интеграция
3. Remediation API
• Исправление состояния запускается когда условия
нарушены в политике корреляции или в White List
• Автоматическая блокировка атак когда нет возможности
мгновенно самостоятельно на них среагировать
• Дает возможность убедиться что система соответствует
политике
4. External Database Access
• Запросы в базе данных с помощью JDBC SSL клиента
• Использование стандартной reporting tool
• Доступ на запросы к базе из собственных приложений
External DB
Access

Реагирование на события
• Запуск сканирования NMAP с
заданными параметрами на
источник/направление атаки
• Блокировка нарушителя на
маршрутизаторе Cisco (RTBH)
• Блокировка нарушителя на
МСЭ Cisco ASA
• Установка необходимого
атрибута на хост
• Уведомление администратора
посредством Email/SNMP/Syslog
• Выполнение самописной
программы, написанной на
C/BASH/TCSH/PERL с
возможностью передачи
переменных из события

Фильтрация URL
Различные категории URL
URLs категорированы по уровню рисков

Контроль по типам файлов

• Идентификация популярных и известных malware на appliance
• Уменьшение необходимости отсылки семплов для dynamic analysis в облако
• Локальный анализ контейнерных файлов для обнаружения malware как
вложенного контента.
• Отчет о содержимом файла с анализом уровня риска
• Расширение типов файлов для динамического анализа:
• PDF
• Office Documents
• Другие: EXE/DLL, MSOLE2…
Анализ параметров файлов и локальный анализ Malware

За горизонтом события ИБ
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо =
Блокировано
Ретроспективное
обнаружение, анализ
продолжается

Layer 1
Layer 2
AMP
CTA
CWS PREMIUM
AMP
CTA
La
File Reputation Anomaly
detection
Trust
modeling
Event
classification
Entity modeling
Dynamic
Malware
Analysis
File
Retrospection
R
CTA
AMP
Ретроспектива
Полит
ика
AV
AMP Файл.
Репутация
AMP предоставляет мгновенную, продолжительную
и ретроспективную безопасность
Файл
неизвестен!
Ретроспективны
й инцидент
1
3
AMP Cloud
Знай
Где все
началось
OI
Понимай
Как оно попало
в систему
Увидь все места
где оно было
Обнаружив
ай что оно
сделало
Изучай
Как это
остановить
AMP
Динамический
Malware Анализ
2

Файловая репутация строится на трех функциях
Репутационная
фильтрация Behavioral Detection
Dynamic
Analysis
Machine
Learning
Fuzzy
Finger-printing
Advanced
Analytics
Один-к-Одному
сигнатура
Indications
of Compromise
Device Flow
Correlation
Collective Security
Intelligence Cloud
Неизвестные сигнатуры
файлов анализируются и
отсылаются в облако
Файловая сигнатура не
известна как
вредоносное ПО и
одобряется
Неизвестная файловая
сигнатура посылается в
облако
Файловая сигнатура
известна как
вредоносная и
блокируется

Dynamic
Analysis
Machine
Learning
Fuzzy
Finger-printing
Advanced
Analytics
One-to-One
Signature
Indications
of Compromise
Device Flow
Correlation
Dynamic
Analysis
Machine
Learning
Нечеткие
отпечатки
Advanced
Analytics
Один-к-Одному
сигнатура
Indications
of Compromise
Collective Security
Intelligence Cloud
Отпечаток файла
анализируется и
оказывается
вредоносным
Вредоносный файл не
пропускается в сеть
Полиморфная копия
файла пытается зайти в
систему
Отпечатки файлов
сравниваются и
оказываются схожими
Полиморфный отпечаток
блокируется на основании
признаков схожести с
известным вредоносным ПО

Машинное
обучение
Dynamic
Analysis
Advanced
Analytics
Indications
of Compromise
Device Flow
Correlation
Dynamic
Analysis
Нечеткие
отпечатки
Advanced
Analytics
Одному
атура
Indications
of Compromise
Collective Security
Intelligence Cloud
Метаданные неизвестных
файлов отсылаются в
облако на анализ
Метаданные файлов
распознаются как возможное
вредоносное ПО
Файлы сравниваются с
известным Malware и
признается вредоносным
Метаданные второго
неизвестного файла
посылаются в облако
Метаданные схожи с
известным чистым
файлом
Файл признается чистым
ввиду схожести с известным
чистым файлом
Дерево решений Машинной логики
Возможно
чистый файл
Возможно
malware
Подтвержденное
malware
Подтвержденный
Подтвержденное
malware
Подтвержденный

Dynamic
Analysis
Advanced
Analytics
Indications
of Compromise
Device Flow
Correlation
анализ
нное
ение
Advanced
Analytics
Индикация
компрометации
Динамический анализ строится на двух функциях
Неизвестные файлы
выгружаются в облако
где движок
динамического анализа
извлекает его в
sandbox’ах
Два файла
определяются как
Malware; Один
определяется как
чистый
Вредоносные сигнатуры
обновляются в облако и
обновляется в
пользовательской базе
Collective Security
Intelligence Cloud
Collective
User Base

Advanced
Analytics
Device Flow
Correlation
анализ
Улучшенная
аналитика
катор
метации
Динамический анализ строится на двух функциях
Получает информацию о софте не
идентифицированном движками
репутационной фильтрации
Анализирует файл в свете
полученной информации о
контексте
Идентифицирует уникальное malware и
добавляет новые сигнатуры в
пользовательскую базу
Получает контекст по
неизвестному ПО из
пользовательской базы
Collective
User Base
Collective Security
Intelligence Cloud

TrajectoryBehavioral
Indications
of Compromise
Breach
Hunting
Ретроспектива
Цепь атаки
Ретроспективная безопасность строится на основе…
Производит анализ в
первый раз когда
файл был замечен
Продолжительно
анализирует файл для
обнаружения возможных
изменений в диспозиции
Дает отличный вид пути
распространения, действий
и коммуникаций
ассоциированных с
конкретным экземпляром
ПО

Неизвестный файл
обнаружен на IP: 10.4.10.183,
загружен через Firefox

В 10:57, неизвестный файл
переслан от IP 10.4.10.183 к IP:
10.5.11.8

Через 7 часов файл переслан
третьему хосту (10.3.4.51)
используя SMB

Файл скопирован еще раз на
4-е устройство (10.5.60.66)
через тот же SMB сервис
через пол часа

Cisco Collective Security
Intelligence Cloud распознала
файл как вредоносный и
ретроспективное
уведомление сработало на
все 4 устройства.

В то же время устройство с
установленным FireAMP
endpoint connector
отреагировало на
ретроспективное событие и
мгновенно отправило в
карантин новое malware

Через 8 часов после первой
атаки Malware пытается снова
попасть в систему через
оригинальную точку входа,
но оно распознано и
заблокировано.

Сетевая траектория – Отслежвание
NGIPS с FireAMP
Отслеживание отправителей
/ получателей в континиуме
атаки
Файловая диспозиция изменилась на MALWARE
История распространения
файла
Детали
хоста

AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux for datacenters
AMP on Web & Email Security
AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud
Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security
& Hosted Email
CWS/CTA
Threat Grid
Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower
Services
Архитектура
АМР Везде
AMP защита во всей сети
для интегрированной защиты от угроз
AMP for Endpoints
AMP for Endpoints
Remote endpoints
AMP for Endpoints can be
launched from AnyConnect

Threat Grid Везде
Подозрительный
файл
Отчет об
анализе
Оконечное
оборудование
Хосты
Firewalls
& UTM
Email
Security
Security
Analytics
Web
Security
Endpoint
Security
Network
Security
3rd Party
интеграция
S E C U R I T Y
Платформы
мониторинга
ИБ
Deep Packet
Inspection
Gov, Risk,
Compliance
SIEM
Динамический анализ
Статический анализ
Интеллектуальная база угроз
AMP Threat Grid
Cisco Security Solutions Network Security Solutions
Подозрительный
файл
Премиум
контент фиды
Команда ИБ

Изучение файлов с учетом контекста
Подход “Взгляд со стороны”
Нет присутствия внутри VM
Собственные разработки статического и
динамического анализа
Наблюдение за всеми изменениями в хосте и сетевыми
соединениями
Загружаемый результат анализа JSON через минуты
Возможность отслеживания каждого элемента данных
Детальные отчеты с идентификацией ключевых
индикаторов поведения и уровнем угрозы
Детальная идентификация атак в реальном времени
Статический и динамический анализ в автоматическом режиме
F
R
S
Process with additional activity
File activity
Registry activity
Sample process
Legend:
Динамический анализ: Визуализация дерева
процессов

AMP for
Endpoint
AMP for
FP | ASA
ESA | WSA
CWS | CES
AMP for Endpoint
Private Cloud
Dynamic
Analysis
AMP for
Endpoint
AMP for
FP | ASA
ESA | WSA
CWS | CES
Threat Grid
(Облако)
Предложение 3: Threat Grid
Intelligence, API, Аналитика и
визуализация
Предложение 4:
a)Threat Grid Appliance (только Динамический
анализ) с Частным облаком
a)Threat Grid Appliance (только Динамический
анализ) с Сетевым AMP илиContent Gateway AMP
Предложение 5: Threat Grid Appliance с
Intelligence, API, Аналитика и
визуализация
Предложение 2: Отдельный TG Appliance
Предложение 1: Облачное решение
ОблачныйНаплощадкеОтдельный
Threat Grid
Appliance С
контентной
подпиской
Threat Grid
(Облако)
Threat Grid
(контентная
подписка)
Private Tagging
(Опция)
Threat Grid
Облачный интеллект, API, Глубокий анализ
AMP
Аналитика, Базовая отчетность, Уровень угрозы
Дополнит
ельные
апгрейды
к AMP
Private Tagging
(опция)
Threat Grid
Appliance
1
2
3
5
4

• Лидер 3-й год подряд в тестировании BDS–
обнаруживая 100% Malware, эксплоит и
методов сокрытия.
• Самое быстрое время обнаружения среди
вендоров – блокирование 91.8% атак менее
чем за < 3 минуты
• Продукты с более быстрым обнаружением
получают быстрее зеленые отметки, двигаясь
сверху вниз.
• Продукты могут иметь одинаковый общий
показатель обнаружения, но те что
обнаруживают быстрее – более эффективны,
давая злоумышленнику меньше времени и
пространства для работы.
Cisco AMP: Лидер в Security Effectiveness с
лучшим временем обнаружения
NSS Breach Detection and Time to Detection Test Results for Cisco

Локальная проверка Malware

Анализ параметров файлов
Отчет о структуре файла

Геолокация и визуализация местонахождения
атакующих
• Визуализация карт, стран и городов для
событий и узлов

«Черные списки»: свои или централизованные
Основанные на IP:
Основанные на URL:

• > 30% в Интернет шифровано SSL, прячась от
инспекции
• Google, Facebook, Office 365
• Увеличение % вредоноса прячущегося в SSL туннелях
• Malware downloads
• CnC connections
• Data exfiltration
• Применение политик и защита от угроз
Интегрированный SSL Decryption

• Много режимов развертывания
• Passive Inbound (Известные ключи)
• Inbound Inline (с/без ключей)
• Outbound Inline (без ключей)
• Гибкая поддержка SSL для HTTPS и приложений StartTLS
Пример: SMTPS, POP3S, FTPS, IMAPS, TelnetS
• Расшифровка на базе URL категорий и др. атрибутов
• Централизованное применение политик сертификатов SSL
Пример блокирование: Самоподписанный шифрованный трафик, SSL версия, типы
крипто-алгоритмов, неразрешенные мобильные устройства
Интегрированный SSL Decryption

• Злоумышленники используют DNS !
• Черные списки доменов URLs ассоциированы с ботнетами,
CnC, выгрузкой Malware
• Fast-flux: Очень часто меняющиеся DNS записи (одна запись с
частой сменой IP)
• Контроль трафика C&C
• Жесткий контроль Botnet
• Ограничение доступа к доменам нарушающим корпоративную
политику
URL и DNS защита

• Расширение IP черных списков
• TALOS динамические обновление, сторонние
фиды и списки
• Множество категорий: Malware, Phishing,
CnC,…
• Множество действий: Allow, Monitor, Block,
Interactive Block,…
• Политики настраиваются либо в Access Rules
либо в black-list
• IoC теги для CnC и Malware URLs
• Новые Dashboard widget для URL SI
• Черные/Белые списки URL по одному клику
Основанный на URL метод фильтрации злоумышленников
URL-SI
Категории

• Security Intelligence поддерживает домены
• Проблемы с адресов fast-flux доменах
• Предлагаемые Cisco и настраиваемые
пользователем DNS списки: CnC, Spam,
Malware, Phishing
• Множество действий: Block, Domain Not
Found, Sinkhole, Monitor
• Индикаторы компрометации дополнены
поддержкой DNS Security Intelligence
• Новый Dashboard виджет для DNS SI
DNS Инспекция
DNS Список Действие

DNS Инспекция: Domain Not Found
Локальный DNS Сервер
NGFW Политика
Можно настроить: Lists/Feeds/Global lists
Действие: DNS NXDOMAIN
Генерирует SI события

DNS Инспекция : DNS Sinkhole
Локальный DNS Сервер
Sinkhole
XСоединение с Sinkhole IP
NGFW Политика
DNS SI: C&C servers
Действие: DNS Sinkhole
Генерирует SI события и IOC’s
Хост
(10.15.0.21)

Создание «белых списков» / «списков соответствия»
• Разрешенные типы и версии ОС
• Разрешенные клиентские приложения
• Разрешенные Web-приложения
• Разрешенные протоколы транспортного
и сетевого уровней
• Разрешенные адреса / диапазоны
адресов
• И т.д.

3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение
зафиксировано,
уведомления
отправлены
IT
восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA
with FirePOWER обнаружил хост и не
нормальное поведение сервера в
ЦОД - уведомил IT.
Новый актив
обнаружен
Поведение
обнаружено
Обнаружение посторонних / аномалий / несоответствий

Инвентаризация и профилирование узлов
• Профиль хоста
включает всю
необходимую для
анализа информацию
IP-, NetBIOS-, MAC-адреса
Операционная система
Используемые приложения
Зарегистрированные
пользователи
И т.д.
• Идентификация и
профилирование
мобильных устройств

Анализ происходящего на узлах
Идентифицированная
операционная система
и ее версия
Серверные приложения и
их версия
Клиентские приложения
Кто на хосте
Версия клиентского
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?

• Принудительная аутентификация на уровне Appliance
• Множество методов аутентификации (Passive, Active, Passive с активным Fallback)
• Различные поддерживаемые типы аутентификации (пример. Basic, NTLM, Advanced, Form)
• Поддержка гостевого доступа
• Поддержка различных реалмов (доменов)
Captive портал / Активная аутентификация
Метод Источник LDAP/AD Доверенный?
Active Принудительная аутентификация на
устройстве
LDAP и AD ДА
Passive Identity и IP mapping получен из AD Agent AD ДА
User Discovery Имя пользователя получено из трафика
пассивно.
LDAP и AD,
пассивно по
трафику
НЕТ

• Примеры использования
• Большая корпоративная сеть
• MSSP
• Преимущества
• Сегментация
• Детальный ролевой доступ
• Пересекающаяся IP адресация
• Сохранение приватности
Multi-Tenancy через домены и множественные карты сети

UK/London
Обзор доменов
США ИНДИЯ
Поддержка до 50 доменов и 3 уровней
Доступно всем платформам с 6.0
Англия
UK/Oxford
1
2
3

• Получение учетных данных через pxGrid / ISE
• Получение Типа устройства/сети Security Group Tags из pxGrid / ISE
• Возможность применять действия на основе вышеописанных данных
• Такие как блокировка доступа HR пользователей с использованием iPAD
• Уменьшение размера и сложности ACL
• Функция Rapid Threat Containment
ISE Интеграция

ISE Интеграция
pxGrid
Radius
1.802.1X
User
Session
Publish
User
SGT
Device
Location
Auth
User
Meta Data
User Group
ISE Сервер
Коммутатор
Интернет
FirePower Manager
Сенсор
User
Meta Data

Мониторинг общей информации о сети

Мониторинг сетевых событий
• Использование сервисов
• Использование приложений
• Использование операционных систем
• Распределение соединений
• Активность пользователей
• Уязвимые узлы и приложения
• И т.д.

Cisco Firepower NGFW
Threat Intelligence Director

Firepower Management
Center
Интеграция безопасности
Подготовка насыщенных
отчетов
Корреляция событий
Понимание состояния
Ingest
Наблюдения
Cisco Сенсоры
Безопасности
• Firepower NGFW
• FirePOWER NGIPS
• AMP
Threat Intelligence
Director
Интегрируйте знания об угрозах
CSV

Организации
индустрии
Более 20 вендоров и организаций предоставляют…
Источники
Знаний об угрозах
Платформы
знаний об
угрозах

Процедура обработки знаний об угрозах
Threat Intelligence
Director
Cisco Сенсоры
ОбнаруженияИнциденты
Наблюдения (IOCs)
Threat
Intelligence
STIXX
FMC

Инцидент сгенерированный сложным индикатором

• Сбор и корреляция
событий на всех
устройствах
автоматически
• Обнаружение и
блокировка
автоматически через
IOC
Достоинства Threat Intelligence Director
• Более точное
определение и
отчет по
инцидентам
уменьшает число
тревог
• Быстрее улучшайте
свою систему
сетевой
• Получайте знания
угроз в формате
STIX через TAXII или
CSV формат
• Поддержка IPV4,
IPV6, Domain, URL,
SHA256 и сложных
Булевых
индикаторов
• Стриминг знаний в
режиме реального
времени целостно
на все Cisco
Firepower NGFW и
NGIPS физические
или виртуальные
устройства

Благодарю
за внимание

Cisco FirePower

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Cisco FirePower

Ähnlich wie Cisco FirePower (20)

Mehr von Cisco Russia

Mehr von Cisco Russia (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (9)

Cisco FirePower