A támadások száma és módozatuk sokfélesége miatt már nem az a kérdés, hogy adatainkhoz hozzáférhetnek-e illetéktelenek, hanem az, hogy értesülünk-e erről, illetve milyen lépéseket tudunk tenni a kár enyhítése érdekében.
Webinárunkban bemutatjuk a Cisco ASA FirePower Services működését, és demónkban képet nyújtunk a kiemelkedően felhasználóbarát FireSIGHT Management Center felületének használatáról. Milyen üzleti problémára adnak választ a Cisco biztonsági megoldásai?
További információ: http://snt.hu/megoldasok/informaciobiztonsag/cisco
3. Threat Landscape Demands more than Application Control
100%
of companies connect
to domains that host
malicious files or services
54%
of breaches
remain undiscovered
for months
60%
of data is
stolen in hours
avoids detection and attacks
swiftly
It is a Community
that hides in plain sight
5. Minimize your exposure to web-based threats
Restrict categories of URLs
Filter out over 280 million URLs based
on any of the 80+ categories into
which they are grouped; new URLs are
added daily
Block specific URLs
Restrict access to specific sites
and subsites
bad_url.com
office365.com
Social Media
Gambling
Health
Drug Use
Gaming
Change policies easily
Use the refined user interface to make
additions or changes with just a few
clicks
Allowed Restricted
Services
AMP
Stateful
Firewalling
VPN
Capabilities
AVC
URL
Filtering
NGIPS
6. Protect the network more effectively
Reduce IT management burden
Gain unmatched visibility and threat detection
NGIPS automatically correlates information from intrusion
events with network assets to prioritize threat investigation
Priority 1
Priority 2
Priority 3
Blended threats and attacks coming through multiple
vectors are quickly identified
www…
Policies can be updated automatically based on
vulnerabilities and previous intrusion events
Admins can make adjustments to policies and system
settings across locations from a single location, even offsite
Services
URL
Filtering
NGIPS
AMP
Stateful
Firewalling
AVC
VPN
Capabilities
7. Protect against the most advanced forms of malware
and remediate after a breach
Identify malware that other solutions miss by
analyzing files based on reputation or suspicious
behavior. AMP is continuously updated to
ensure that it can stop the latest and most
advanced forms of malware.
Point-in-time Protection
Defend against attacks even after a file passes
the perimeter. AMP tracks files as they move
around network; if they turn out to be malicious,
you can quickly determine areas of impact and
remediate quickly.
Continuous Protection
Trajectory
Behavioral
Indications
of Compromise
Breach
Hunting
Retrospection
Attack Chain
Weaving
Services
URL
Filtering
NGIPS
AMP
Stateful
Firewalling
AVC
VPN
Capabilities
Fuzzy
Finger-printing
Machine
Learning
Dynamic
Analysis
Indications
of Compromise
Device Flow
Correlation
Advanced
Analytics
One-to-One
Signature
8. Reduce attack surfaces by controlling application access
Control port- and protocol-hopping apps that
evade traditional firewalls
Limit the exposure created by social
media applications
Services
URL
Filtering
NGIPS
AMP
Stateful
Firewalling
AVC
VPN
Capabilities
Enforce acceptable use policies with granular
control over applications and micro-
applications
Use custom application detectors /
Open App ID
9. Leverage the proven ASA Firewall capabilities
Standard Functions New ASA Features
• Clientless tagging, WebVPN
support for OWA2013 and
XenDesktop7.5
• TLS 1.2
• ECMP Support, IPV6 BGP
• Std. based IKEv2 support. Citrix
HTML5 browser support
• VPN Clients Win7, 8.1, 8.1 phone
client, iOS8, Knox and Strong Swan
• Full VX LAN support
• Policy-based Routing
• REST API and SNMP enhancement
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
Routing
Services
URL
Filtering
NGIPS
AMP
Stateful
Firewalling
AVC
VPN
Capabilities
10. Extend protection to off-site users
Threat
Protection
Data-loss
Prevention
Acceptable
Use
Access
Control
Diverse Endpoint Support Broad VPN Deployment Split Tunneling Capabilities
Mobile and non-mobile devices
Cisco and non-Cisco devices
AnyConnect 4.0 and 3rd
-party VPNs
Single- and Multi-site deployments
Corporate and sensitive information
Personal and generic information
Services
URL
Filtering
NGIPS
AMP
Stateful
Firewalling
AVC
VPN
Capabilities
11. Stay protected against the latest threats with
regular updates pushed automatically
Identify advanced threats quickly
with industry-leading threat research
Get industry-specific threat intelligence
tailored to your business
Catch advanced threats endpoints miss with
Cisco’s reverse engineers and threat analysts
The largest security intelligence and research group -
TALOS
00I00 I00I0I II0I0I 0II0I I0I00I0I0 0II0I0II 0I00I0I I0 00
II0III0I 0II0II0I II00I0I0 0I00I0I00 I0I0 I0I0 I00I0I00
III00II 0II00II I0I0II0II0 I0 I0 I00 00I0 I000 0II0 00
III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00
00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000
II0II0I0I0I I0I0I0I 0I0I0I0I 0I0I00I0 I0I0I0I 0II0I0I0I
0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0
00I0I0 0I0I0I0 I0I0I00I 0I0I 0I0I 0I0I I0I0I 0I00I0I
III00II 0II00II I0I000 0II0 00I0I00 I0 I000I0I 0II 0I0I0I
III00II 0II00II 0I0I0I0I 0I I0 I00 000II0 I0I0 0II0 00
Email Endpoints Web Networks NGIPS Devices
WWW
24 7 365 Operations600+ Researchers
Research Response
Threat Intelligence
• Monitors 35% of
the world’s email
traffic
• Receives 1.1
million incoming
malware samples
daily
• Performs 4.9
billion AV and
web filtering
blocks per month
• Processes 100
terabytes of
security
intelligence daily
Talos
15. Five (5) feature license packages are available
AVC is part of the default offering
One (1) , three (3) and five (5) year terms are available
URL
IPS
URL IPS
AMP
IPS
AMP
URL
IPS
URL TAC TAMC TA TAM
Licensing Packages for ASA with FirePOWER Services
18. Fóti Péter – Presales konzulens
peter.csaba.foti@snt.hu
Kis-Szabó András – IT biztonsági szakértő
andras.kis-szabo@snt.hu
Köszönjük a figyelmet!
http://www.snt.hu/ciscosecurity
Hinweis der Redaktion
A Cisco ASA tűzfal család hosszú évek óta széles körben használt, népszerű platform, ami a tavalyi év során számos olyan új generációs tűzfal funkcióval gazdagodott, mely ismét az élmezőnybe repítette a termékcsaládot.
A Cisco 2013 őszén akvirálta a kiváló IPS megoldásairól ismert SourceFire céget és a tavalyi évben kijöttek az első ASA FirePOWER bundle-ök, ahol az ASA funkciókon felül egy hardveren a FirePOWER szolgáltatások is futtathatóak.
Kezdjük azonban egy gyors történeti áttekintéssel… (>>)
(>>) …arról, hogy hogyan is változott az elmúlt két évtizedben az IT biztonság világa.
A 2000-es években leginkább végponti védelemről beszéltünk, ami gyakorlatilag a PC-nken futó antivírus szoftvert takart, mely viszonylag hatékony védelmet biztosított a vírusok, férgek ellen.
Ezután ahogyan a támadások egyre szervezettebbek lettek és megjelentek az operáció rendszert mélyebb rétegekben kompromittáló rootkitek, illetve a különböző malware-ek és spyware-ek később, úgy az első védvonal is „kijjebb” került, megjelentek a behatolás megelőző illetve detektáló rendszerek, innentől beszélünk határvédelemről.
A 2010-es évekre aztán a közösségi site-ok és a webkettes tartalmak burjánzásnak indultak, csakúgy mint a kártékony kódok is és az IT biztonság is lépésszámot váltott, jöttek a globális adatgyűjtésen alapuló on-line reputáció alapú megoldások és a sandboxing (amikor ismeretlen kódokat egy „védett” környezetben tesztelünk, mielőtt azt beengednénk hálózatunkba).
Ma a megnövekedett támadási felület, így a számos végponti platform (elég csak a különféle-fajta mobileszközre gondolni) és a rengeteg felhőalapú erőforrás biztonsági kihívásai vannak fókuszban. Most az intelligensen korreláló analitika az, ami a biztonsági megoldásszállítók legújabb válasza a jelenkor fenyegetettségeire.
(>>)
(>>)
….merthogy ma már szervezett csoportok nyereségvágyból, vagy éppen államérdekből fenyegetik rendszereinket és adatainkat és mélyebben belegondolva sajnos könnyen beláthatjuk, hogy nincs ma olyan rendszer, ami on-line és ne lehetne feltörni. Legtöbbször az elkövetők profik tehát, fedezékből támadnak és sokszor esélyünk sincs, hogy megelőzzük támadásukat.
Ahogy John Chambers a Cisco nemrégiben leköszönt elnök-vezérigazgatója említette, kétféle vállalatot tudunk megkülönböztetni, ahova már betörtek és ahová hamarosan be fognak.
A kérdés tehát ma inkább az, vajon értesülünk-e valaha is arról, hogy megtámadtak minket? És ha értesülünk akkor mikor és tudjuk-e pontosan mely rendszereinket kompromittálták és milyen adatainkhoz fértek hozzá? Mint a dián is látszik, a szenzitív adatainkat órák alatt megszerzik sokszor az elkövetők, illetve a támadások több mint felének ténye még hónapokkal az eset után sem kerül napvilágra.
Az alkalmazás szintű hozzáférés szabályozásnál tehát jóval többre…
(>>)
(>>)
….valójában egy sokrétű, holisztikus biztonsági megközelítésre van szükségünk ahhoz, hogy jó esélyünk legyen a betörések és lopások megelőzésére. Azokra az esetekre pedig ha már megtörtént a baj, kellenének olyan technológiák, amivel a behatolások felderíthetőek és amik lehetőség szerint a kármentést és helyreállítást is támogatják.
A Cisco ASA családja pontosan ezekkel a funkciókkal lett gazdagabb, nevesül a SourceFire piacvezető következő generációs IPS rendszerével, valamint szintén a FirePOWER services csomagnak részét képező Advanced Malware Protection funkciókkal, melyeket – a többi funkció mellett – a következő pár percben bemutatunk.
Látható, hogy az Email szűrést leszámítva gyakorlatilag egy teljes spektrumú védelmet alakíthatunk ki az ASA megoldáscsomaggal, mely bármely vezető UTM megoldással felveszi a versenyt és költséghatékony védelmet biztosít vállalati infrastruktúránk részére.
(>>)
(>>)
Nézzük meg közelebbről az új ASA csomagok funkciókészletét, az első 4 feature (URL filtering, IPS, AMP és alkalmazás kontroll) a FirePOWER szoftvercsomag részei.
Az URL szűrésnél az új könnyen kezelhető menedzsment felületen korlátozhatjuk konkrét URL-ek elérését, vagy szűrhetünk kategóriákra is – a folyamatosan frissített adatbázisban 280 milliónál is több hivatkozás van, több mint 80 kategóriába rendezve.
(>>)
(>>)
És jöjjön a már beharangozott SourceFire IPS technológia
A mai multivektorú támadások esetén alapvető fontosságú, hogy tudjunk korrelálni az események között, ezt a következő generációs FirePOWER IPS rendszer elvégzi számunkra. A rendszer priorizálja is az eseményeket és képes a szabályrendszert automatikusan változtatni az aktuális sérülékenységek, illetve az eddig történt behatolási kísérletek alapján.
A SourceFire a sokak álat ismert SNORT open source IPS rendszerét fejlesztette egyébként tovább.
Az IPS után most nézzük meg az egyik legunikálisabb funkciószettet az AMP-ot.
(>>)
(>>)
Az Advanced Malware protection gyakorlatilag két fontos megközelítést ötvöz.
Egyrészt az ún. pont-in-time védelem keretein belül vagy reputáció és/vagy viselkedés alapon (akár sandboxing technológia segítségével) akadályozzuk meg, hogy a tűzfalunkon át kártékony fájlok, alkalmazások jussanak a hálózatunkba azáltal, hogy a belépési ponton ellenőrizzük a forgalmat és döntéseket hozunk. Ez egyébként az eddig elterjedt hagyományos megközelítés.
De mi a helyzet akkor, ha már beengedtük és akkor kezd el kártékonyan viselkedni az adott tartalom? Az AMP többi funkciója pontosan erre nyújt megoldást; a már beengedett fájlok útját ugyanis követi a rendszer és jelzi, amint egy kódról kiderül, hogy kártékony. Ekkor visszamenőlegesen van lehetőségünk felderítést végezni, azaz, hogy mikor, hol lépett be az adott malware rendszerünkbe és infrastruktúránk mely részei fertőzöttek. Amint ezt tudjuk van lehetőségünk a beavatkozásra és a kármentésre, ezt András kollégám hamarosan be fogja mutatni a demóban
Az Advanced Malware Protection tehát retrospektív képességei okán egy elég ütőképes funkciókészlet, ami nagy szolgálatot tud tenni az Önök hálózatában is.
(>>)
(>>)
Az AVC, azaz az alkalmazás szintű láthatóság és kontroll egy, ma már joggal elvárt funkció minden következő generációs eszközben. Mivel a mai alkalmazásokat már a használt portjaik segítségével igen nehéz lenne korlátozni, így Layer 7 szinten kell az alkalmazásokat kezelni.
A funkcióval pl. megtehetjük, hogy korlátozzuk a facebook elérését, akár úgy, hogy tiltjuk az alkalmazást, akár csak a videókat, megosztásokat tiltjuk vagy éppen a chatelést… Természetesen a tűzfal minden fontosabb alkalmazást ismer, de beállíthatunk saját alkalmazás detektorokat is, így ez a funkció is testre szabható.
(>>)
(>>)
A hagyományos tűzfal funkciókra most idő szűkében bővebben nem térnék ki, csupán néhány újdonságot vagy extra jellemzőt említenék:
Az ASA tűzfalak támogatják a Cisco Anyconnect clientless, böngésző alapú Cisco VPN megoldását, illetve több más gyártó kliens VPN megoldását is, valamint mobil VPN klienseket is.
Az eszközök már teljesen támogatják a VX LAN-okat és a policy-based routingot…
(>>)
(>>)
VPN képességekről röviden:
Ahogy már említettem androidos és iOS-es mobilkliensek, Cisco és nem Cisco VPN kliensek is támogatottak. Az eszköz támogatja a split-tunneling jellemzőket is, azaz lehetőségünk van arra, hogy csupán a szenzitív vállalati kommunikáció halad a védett csatornán, a privát és általános adatforgalom pedig megy a hagyományos útvonalon.
(>>)
(>>)
A Cisco biztonsági felhőjét TALOS-nak hívják. Ma ez az egyik legnagyobb kutatócsoport a világon.
Itt több, mint 600 mérnök dolgozik 24x7 órában az év 365 napján azért, hogy a reputáció alapú, valamint a szignatúra alapú szolgáltatások által használt adatbázisokat frissítse, illetve az on-line sandboxing is itt történik.
A TALOS információit használja sok esetben az ASA eszközökön elérhető több funkció is, ahogyan természetesen a TALOS összesíti és elemzi ki a sok ezernyi különféle Cisco biztonsági eszköz által begyűjtött információkat...
Ennyit tehát a TALOS-ról, ami virtuálisan „ott áll” minden ASA megoldás mögött is.
(>>)
(>>)
Tekintsük át most az ASA hardverplatformokat
A diákon látható néhány fontos teljesítményparaméter méretezéshez is.
A FirePOWER funkciókészlet, tehát az IPS és applikáció szintű láthatóság és kontroll , az URL szűrés és az AMP elérhető valamennyi ASA X platformon, így a legkisebb 5506-X-en is, aminek van megerősített és access pointtal egybeépített változata is. Érdekességképpen, ez az access point egyébként bevonható kontroller alá, ha esetleg valaki már rendelkezik Wifi kontrollerrel.
Telephelyi igényeket ezen túl még az 5508X és 5516X szolgál ki 450 Mbps teljesítményig.
(>>)
(>>)
A kicsit korábban kijött 5512X és 5515X is még kapható, az új funkciókkal még nem rendelkező régebben vásárolt X-es platformok egy SSD tár és a szükséges licencek megvásárlásával a FirePOWER funkciók futtatására alkalmassá tehetők, tehát régebbi X-es ASA eszközzel rendelkező érdeklődők is tudnak upgradelni a most ismertetett FirePOWER funkciókra.
Az ASA5545X-el már 1 Gbps AVC + IPS kombinált teljesítmény érhető el, a legnagyobb Enterprise tűzfala a Cisco-nak pedig az 5555X.
(>>)
(>>)
Az 5585X család különböző szervízprocesszorokkal vásárolható meg, ez a Cisco adatközponti és nagyvállalati termékcsaládja egyébként.
Látható, hogy SSP60 kártyával akár 10Gbps kombinált IPS és AVC teljesítmény érhető el.
(>>)
(>>)
És akkor a licencelésről. Az FirePOWER funckiókat a következő bontásban lehet megvásárolni 1, 3 vagy 5 éves előfizetés keretein belül.
Van lehetőség csak IPS vagy URL filtering vásárlására, de ha AMP funkciókat is szeretnénk, ahhoz az IPS-re mindenképpen elő kell fizetni.
Az alkalmazás szintű láthatóság és kontroll minden esetben része az alapcsomagnak, ez külön előfizetés nélkül is elérhető…
(>>)
(>>)
A következő néhány percben Kis-Szabó András kollégám egy demó keretein belül élőben mutatja meg a FirePOWER funkciókat, de előtte egy pár szót az eszköz menedzseléséről.
A FirePOWER funkciókat menedzselő alkalmazás off-box telepítendő, de célhardver (appliance) formájában is elérhető. Ez a FireSIGHT Management Center, aminek segítségével menedzselhetjük az IPS-t, az AMP-ot, URL szűrést és alkalmazás kontrollt, míg a hagyományos tűzfal funkciók a már ismert, az eszközön magán futó ASDM szoftver segítségével állíthatóak.
A jövőben az összes funkció migrálásra kerül a FireSIGHT Management Centerbe és készül az Unified ASA image is, amiben valamennyi funkció összegyúrásra kerül…
És most kérlek András nézzük meg, hogy az ismertetett FirePOWER szolgáltatások hogyan kezelhetőek a FireSIGHT Management Center alkalmazásból!
(>>)
(>>)
Reméljük sikerült felkelteni az érdeklődésüket az ASA tűzfalak és a FirePOWER szolgáltatások iránt, melyet szívesen bemutatunk akár az Önök vállalati környezetében is. További kérdés vagy érdeklődés esetén szívesen állunk rendelkezésre a dián látható email címeinken.
Zárszó helyett ugyanakkor fontos megjegyezni, hogy a tűzfal technológiák és az IPS rendszerek az IT biztonságnak csak egy szeletét képezik, a teljes körű biztonságot egy eszközzel nyújtani sosem lesz képes egyetlen gyártó sem.
A biztonság leginkább a felhasználóknál kezdődik, valamint az IT biztonsági szabályok megalkotásával és betartatásával. Hogy kit engedünk és milyen adatok közelébe és mindezt milyen feltételekkel engedjük meg. Hogy mit kezdünk azokkal, akik ennek nem felelnek meg és hogyan ellenőrizzük mindezt?
Erre ad választ a Cisco következő generációs biztonsági megoldásai közül a Cisco Identity Services Engine vagy ISE, mely megoldás implementálásában egyedülállóan sok tapasztalattal rendelkezik az S&T.
Köszönjük még egyszer a megtisztelő figyelmet, tartsanak velünk a következő webinárunkon is, de addig is látogassák meg Cisco Security oldalát az snt.hu/ciscosecurity link alatt.