AGILE SECURITY : SOURCE fire. Security for the Real World. Piotr Linke Security Engineer for Eastern Europe

Transkrypt

1 SOURCE fire AGILE SECURITY : Security for the Real World Piotr Linke Security Engineer for Eastern Europe

2 Sourcefire - firma godna zaufania Klienci polegają na nas od ponad 10 lat Dostarczamy produkty zabezpieczające sieci po stacje końcowe: IPS, NGFW, Endpoint, Virtual, Cloud Chronimy klientów na całym świecie Jesteśmy innowacyjni: ponad 41 patentów Światowej klasy zespół VRT 3 projekty opensource Snort, ClamAV, Razorback Gartner. IPS MQ Leader Forbes America s Fastest-Growing Tech Companies 2011 SOURCEjire

3 Na 15 miejscu wedtug Forbes'a Forbes $130.6 America s 25 Fastest-Growing Tech Companies February 16,2011 A #1 in IT In $MM, FYE December 31, 32% CAGR 3 SOURCE ire

4 Środowiska IT są bardzo dynamiczne Urządzenia peryferyjne Sieci Aplikacje Mobilność Produkty Konsumenckie (gadżety) Wirtualizacja 4 SOURCE ire

5 Zagrożenia są coraz bardziej wyrafinowane Wymierzone Zorganizowane Nieustępliwe Innowacyjne Client-side Attacks v

6 Statystyki długości życia malware'u 100% Malware Lifecycle - Hours Source: Sourcefire Sourcefire VRT odkrył, że większość próbek złośliwego oprogramowania jest widziana tylko raz. Oznacza to natychmiastową konieczność odejścia od tradycyjnych/statycznych rozwiązań systemów >768 6 SOURCE ire

7 Zmiany zagrożeń Tradycyjne zabezpieczenia nie działają 7 SOURCE ire

8 Tradycyjne zabezpieczenia vs Agile Security Tradycyjne Nieświadome Sterta kilku rozwiązań Manualne Polegają na adminie Statyczne Sztywne Agile Znają kontekst zdarzeń Wielowarstwowa obrona Zautomatyzowane Same sugerują zmiany Dynamiczne Elastyczne -Ą ł ' SOURCEfire

9 Lekarstwem jest: Agile Security SEE ^ ADAPT 0 5 LEARN ACT ciągły proces w odpowiedzi na ciągłe zmiany SOURCEfire

10 Nie można bronić czegoś niewidocznego Szerokość: kto? Co? Gdzie? kiedy? Głębokość: tyle szczegółów ile się da Dane w czasie rzeczywistym Wszystkie dane w jednym punkcie Threats AB u Devices CÎTRJX iii il O R A C L E Applications Network SEE ADAPT O O LEARN ACT Agile Security A? OS Users Files 10 SOURCEfire

11 Wykorzystaj zdolność uczenia się i wiedzę Zdobądź możliwość wglądu w IT Bądź krok do przodu posiadając wywiad środowiska w czasie rzeczywistym Koreluj zdarzenia, ustawiaj priorytety, decyduj LEARl\/ SEE ADAPT O O LEARIM ACT Agile Security 11 SOURCEfire

12 Zmiany są ciągłe Automatycznie aktualizuj zabezpieczenia Dostosuj wygląd sieci do polityki Wykorzystaj otwartą architekturę Ochrona szyta na wymiar! ADAPT SEE ADAPT O O LEARN ACT Agile Security 12 SOURCEfire

13 Reaguj natychmiast i skutecznie Block, alert, log, modify, quarantine, remediate Odpowiadaj automatycznie Redukcja tzw. szumu ACT SEE ADAPT O O LEARN ACT Agile Security 13 SOURCEfire

14 Jak Sourcefire dostarcza 'Agile Security' MANAGEMENT Defense Center ENDPOINT flre O B H T fîrecloud Zbiorcze informacje o Zagrożeniach i bezpieczeństwie Client-side Security 14 SOURCE ire

15 Dlaczego Sourcefire? LEARN A C T Sourcefire wyznacza standard dla NG Context-Aware IPS według nowej definicji Gartnera Intrusion prevention systems (IPSs) Rather than apply all IPS rules to all traffic flows, next-generation IPS systems are able to use real-time contextual knowledge of what version of an OS or application a workload is running and what vulnerabilities are present in the systems they are protecting (for example, Real-time Network Awareness (RNA)/Real-time User Awareness (RUA) integration with Sourcefire). This context improves the speed and accuracy of IPS decisions, allowing more-efficient use of processing resources, as well as reducing the chance of false positives. Neil MacDonald October 13, 2011 SOURCEfire

16 Agile S ecu rity Produkty firmy Sourcefire SOURCEfire'

17 Next Generation IPS/FW / firepowertm Niespotykana wydajność Energooszczędne Uniwersalna architektura FirePOWER jest to wyspecjalizowany procesor ruchu sieciowego zlokalizowany na specjalnie zaprojektowanej platformie sprzętowej. Jego zadaniem jest akceleracja pozyskiwania informacji z ruchu sieciowego oraz jego klasyfikacja. 17 SOURCE ire

18 Next Generation IPS/FW Informacje o kontekście fire S IG H T TM Zautomatyzowane dostrajanie polityki IPS Redukcja szumu Inteligentna kontrola zasobów FireSIGHT jest technologią odpowiedzialną za świadomości IPSa, zajmującą się zbieraniem takich informacji jak: rodzaje urządzeń, ich systemy operacyjne, usługi i aplikacje, użytownicy, pliki, podsieci oraz podatności. 18 SOURCEfire

19 Endpoint Threat Control (AV) ffr e C L O U D Niskie obciążenie zasobów stacji końcowych Brak potrzeby loklanych uaktualnień i całej bazy sygnatur Natychmiastowa ochrona przed nowymi zaarożeniami rzewie decyzyjnym Antywirus oparty na znajdującym się w chmurze. Nowatorskie rozwiązanie w przeciwieństwie do starego modelu sprzed 15 lat. SOURCEfire

20 Agile S ecu rity Projekty Opensource firmy Sourcefire SOURCEfire

21 Opensource Snort AMAZON posiada ponad 200 produktów GOOGLE wyświetla ponad 4,430,000 trafień Globalny zespół wyszkolonych ekspertów gotowy podzielić się więdzą I doświadczeniem Drużyna Sourcefire VRT jest wspierana przez społeczność Snorta - największy na świecie zespół generujący reguły IPS. Snort ABfol

22 Opensource Razorback Rozproszona instancja analizująca złożone pliki Każdy element ma inne zadanie Wszystkie elementy współpracują poprzez Dispatchera Rodzaje elementów: Data Collection Correlation Data Detection/Analysis Defense Update Output Workstation Intelligence 22 SOURCE ire

23 Opensource ClamAV 1. Szybki skaner z wielowątkowym procesem chodzącym w tle 2. Analiza bibliotek C 3. Skanowanie podczas dostępu (Linux and FreeBSD ) 4. Kilka uaktualnień sygnatur dziennie 5. Wbudowane wsparcie dla plików skompresowanych 6. Wbudowane wsparcie dla dokumentów packietów MS Office oraz MacOffice, HTML, RTF i PDF

24 'Chrumkarnia' Linked 0 io r l^ r I m g o in g to w r ite h im a ru le th a t h e ca n t r e fu se.

25 SourceFire na FB