More Related Content Similar to Sourcefire_Technical_Bootcamp_20140609.pdf
Similar to Sourcefire_Technical_Bootcamp_20140609.pdf (20) More from ssusercbaa33 (10) Sourcefire_Technical_Bootcamp_20140609.pdf1. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
SourceFire Solutions
Technical Bootcamp for
Partners
시스코 코리아
김용호 부장 (yonghkim@cisco.com), Security PSE
2014년 2월 24일
2. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
Overview
NGIPS
AMP
How to Sell
Future Roadmap
목차
1
2
3
5
6
Products Line-up
4
3. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Overview
4. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
시스코 2014년 연례 보안보고서 : 2013년 주요 위협 및 보안 사고 분석 보고
신뢰성 있는 어플리케이션이 보안
경계 틈새 공격에 주로 이용됨
인터넷을 통한 인프라스트럭처
공격은 중요한 자원을 주요 타
겟으로 삼고 있음
실제 100% 악성 사이트 및 악성코
드 호스트로의 접속 트래픽
5. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
VPN
기능
IPS
기능
NAC
방화벽
기능
웹보안
기능
WWW
기존 네트워크 보안 솔루션의 한계성
각 보안 기능별 독립적 운영 및 보안 위협 연계 방안 미고려
6. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
기존 네트워크 보안 솔루션의 한계성
고속/대용량 트래픽
123.45.67.89
Johnson-PC
OS: Windows 7
hostname: laptop1
User: jsmith
IP: 12.134.56.78
12.122.13.62
SQL
IPS의 한계 사용자/APP
인식 불가
동적 위협정보
미반영
단순 패턴 매칭, 오탐,
무의미한 대량 이벤트
방화벽의 한계 사용자/APP
인식불가
단순 IP/Port
기반 ACL
N x N x N 식의
관리불가한 정책
차세대 보안
요구사항
상황 정보 가시화
동적 위협 정보 반영
인텔리전트 튜닝
실제 위협 중심 보안
지속적인 추적성
확장성 및 유연성
7. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
차세대 보안 솔루션의 정의
Source: “Defining Next-Generation Network Intrusion Prevention,” Gartner, October 7, 2011.
“Defining the Next-Generation Firewall,” Gartner, October 12, 2009
“차세대 IPS는 차세대 방화벽 기능을 추가하는 방향이지만, 현존하는
대부분의 차세대방화벽은 1세대 IPS 기능을 단순 통합하는데 그치고
있다.”
차세대 방화벽(Next Generation Firewall) 정의
전통적인 방화벽의 기능 + ✔
• 어플리케이션 인식 및 풀스펙트럼 형태의 가시성 ✔
• 네트워크 기반 침입방지시스템(IPS) 기능 통합 ✔
• 추가적인 컨텐츠 보안을 위한 글로벌 위협 정보 반영 ✔
차세대 IPS(Next Generation IPS) 정의
기존 네트워크 구성 변경 없는 bump in the wire 구성 지원(Transparent) ✔
네트웍트래픽 인스펙션과 침입에 대한 탐지 및 차단 플랫폼으로 동작 + ✔
• 표준 1세대 IPS 기능 ✔
• 어플리케이션 인식 및 풀스펙트럼 형태의 가시성 ✔
• 상황 인식 ✔
• 컨텐츠 인식 ✔
• 글로벌/로컬 위협 정보가 반영된 민첩한 엔진 ✔
8. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
차세대 보안 솔루션
지능형 위협 보안
Advanced
Malware
Protection
NGIPS,
Application &
Access Controls
지속적 | 상황인식 | 지능형 위협정보 | 자동화 | 히스토리기반
BEFORE
Discover
Enforce
Harden
AFTER
Scope
Contain
Remediate
Detect
Block
Defend
DURING
9. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
차세대 보안 솔루션 포트폴리오
COLLECTIVE
SECURITY
INTELLIGENCE
Management Center
APPLIANCES | VIRTUAL
NEXT-
GENERATION
I NTRUSION
PREVENTION
SYSTEM
APPLICATION &
ACCESS
CONTROL
ADVANCED
MALWARE
PROTECTION
CONTEXTUAL AWARENESS HOSTS | VIRTUAL | MOBILE
APPLIANCES | VIRTUAL
10. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
NGIPS
- 주요기능
- How to Deploy
- Competitive Information
11. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
NGIPS 주요기능
12. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
NGIPS Logical Architecture
IPS
Intelligence, NGIPS
Anomaly, Behavior, Compliance
Network AMP
Before/During
Operative
Systems Services Apps
Awareness
Communications
Web Apps
Users Files
Afte
r
Vulns
Forensics / Visibility
Intelligent
Correlation
Files
Apps
Access Control User NW Rep URL
Network AMP
13. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
NGIPS 차별화 포인트
실시간 상황인식 및 지속적인 보안 위협 인텔리전스 반영 자동화
영향분석 및 차단
다양한 정보에 대한 자
동화된 상관관계 분석을
통해 불필요한 보안 이
벤트 99% 이상 감소
보안 상황 보고
악성코드 감염, 규정미
준수, 비정상행위 등 IT
상의 모든 보안 위협 가
시화 및 상세 보고
BEFORE
Detect
Block
Defend
DURING AFTER
Control
Enforce
Harden
Scope
Contain
Remediate
BEFORE
Detect
Block
Defend
DURING AFTER
Control
Enforce
Harden
Scope
Contain
Remediate
BEFORE
Detect
Block
Defend
DURING AFTER
Control
Enforce
Harden
Scope
Contain
Remediate
실시간 상황 정보
실시간 자산분석, 글로
벌 위협정보 및 히스토
리기반 추적정보 반영을
통한 실시간 상황 반영
인텔리전트 튜닝
네트워크의 변화 및 글
로벌 위협 인텔리전스
기반의 탐지/차단 정책
자동 최적화
14. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
기존 자산 인식 및 분석 : 스케줄링 방식
인터넷
보안관리네트워크
내부서버팜
DMZ 사용자네트워크
상세한 정보 수집
전문 보안 진단툴 이용
네트워크/호스트기반
지정 스케줄단위 스캐닝
기존 방식 장점 단점
실시간 변화 반영 불가
네트워크 차단 정책
스캐닝 부하 발생
중대규모 네트워크
스캐닝 소요시간
추가 도입/관리 비용
IPS
IPS
IPS
스캐너
관리서버
공격자/
악성호스트
APACHE
WEB
IIS 7.5
WEB
IIS 7.5 Remote File
Injection Attack
공격 대상 : IIS 7.5
저장된 정보 : Apache
결과 : Not Impact, Permit
15. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
기존 자산 인식 및 분석 : 액티브 스캐닝 방식
인터넷
보안관리네트워크
내부서버팜
DMZ 사용자네트워크
실시간 정보 반영
특정공격 이벤트 대응
공격시점에 IPS가 직접
스캐닝 또는 IPS요청으로
전문툴 스캐닝
기존 방식 장점 단점
서비스 무응답
네트워크 차단 정책
스캐닝 부하 발생
특정 공격 한정 설정
추가 도입/관리 비용
IPS
IPS
IPS
스캐너
관리서버
공격자/
악성호스트
공격 : 빈번한 DB 쿼리(Unknown SQL 인젝션)
정보 수집시도 : 실패
결과 : DB연결 허용된 자사 웹서버, Permit
16. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
NGIPS 실시간 자산 및 상황 인식/분석
인터넷
보안관리네트워크
내부서버팜
DMZ
NGIPS
실시간 패시브 분석
필요시 직접 스캐닝
3rd Party Eco System
장점
실시간 정보 반영
변화된 환경 즉각 반영
사용자 정보 자동 수집
풀스펙트럼 정보 수집
실시간 위협 정보 및
글로벌 Feed 반영
단점
단독 구성시 NGIPS 를
통과 하거나 모니터링
대상 트래픽만 수집
스캐너
공격자/
악성호스트
APACHE
WEB
IIS 7.5
WEB
IIS 7.5 Remote File
Injection Attack
수집된 정보 : Apache Web
추가된 정보 : IIS Web
보완된 정보 : IIS 7.5 Web
최종 결정 : Impact Level 1, Blocked
NGIPS
NGIPS
NGIPS
변경된 정보 : IIS 7.5 Web
수집된 정보 : ????
사용자네트워크
글로벌 위협정보 & Feed
웹서비스/
어플리케이션
17. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
NGIPS 실시간 지속적인 변화 반영 중요
구분 스케줄방식 액티브방식 패시브방식
방법 전문 보안 진단툴 이용
네트워크/호스트기반 지정 스케
줄단위 스캐닝
- 센서에서 공격이 탐지될 때
- 정의된 Action 정책에 따라 공
격대상으로의 네트워크 기반
직접적인 스캐닝 또는 연동되
는 스캐닝 툴을 통한 호스트 정
보 및 취약점 정보 수집
- 센서를 통해서 전송되는 트래
픽 또는 모니터링 되는 트래픽
에서의 실시간 호스트 정보 및
매칭되는 취약점 정보 수집
주기 - 스케줄에 의존 - 실시간 - 실시간
장점 - 전문적인 툴을 통한 풍부한 정
보 수집 및 정확도 높음
- 실시간 공격대상 유무 확인 및
현재 정보 수집
- 실시간 정보 수집 및 변화반영
- 실제 존재하는 내부 자산 집중
- 풀스펙트럼 형태의 정보
- 자원 낭비 방지, 부하 감소
단점 - 다음 스캐닝까지 변화된 호스
트 정보에 대한 반영 불가
- 규모별 스케닝 소요시간 장기
화 및 중간 계위 보안 차단
- 서비스 영향도를 고려한 비 업
무 시간 스케줄
- 비용상승 및 관리포인트 증가
- 공격동시 대상 호스트의 정보
를 수집 확률이 매우 낮음
- 대상 호스트의 시스템 자원 사
용 상태 및 보안 설정에 따라
정보 수집 불가
- 스캐닝빈도에 따른 성능 영향
- 비용상승 및 관리포인트 증가
- IPS를 직접적으로 통과하거나
수집되지 않는 호스트에 대한
정보 수집 불가
- IPS를 통과하는 트래픽량에 따
라 수집되는 정보 내용이 달라
질 수 있음
BEFORE
Detect
Block
Defend
DURING AFTER
Control
Enforce
Harden
Scope
Contain
Remediate
BEFORE
Detect
Block
Defend
DURING AFTER
Control
Enforce
Harden
Scope
Contain
Remediate
BEFORE
Detect
Block
Defend
DURING AFTER
Control
Enforce
Harden
Scope
Contain
Remediate
18. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
NGIPS 실시간 자산 인식 및 분석 범위
네트워킹
서버
운영체제
라우터 및
스위치
모바일
단말기
프린터
VoIP
전화기
가상머신
클라이언트
어플리케이션
파일
사용자
웹어플리
케이션
어플리케이션
프로토콜
서비스
악성코드
C&C 서버
취약점
넷플로우
네트워킹
행위
프로세스
19. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
NGIPS 정책 자동 튜닝
자동화된 정책 튜닝:
실시간 변화되는
상황정보반영, 실제 유효한
공격 탐지 및 차단
정책으로의 자동 튜닝
IPS 정책
BY VRT
• Snort 룰이 반영된 16,000+ 이상의 업계 최
대 IPS 정책 수
• #1 탐지율 (99% - NSS Labs)
• 소스파이어 VRT 팀에 의해 작성 및 검증
• 업계 표준적인 정책 포맷, 호환성
• 불확실한 공격 패턴 기반이 아닌 정확한 취
약점 기반 정책
• 고속의 싱글 패스 엔진 처리
실시간 상황
정보
20. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
선제적 악성 호스트/IP 차단
실시간 동적인 글로벌 위협 정보반영
선제적 악성 호스트
또는 공격자 IP 자동
차단
• Bots and C&C
• Known Attackers
• Bogus IPs
• Phishing/Spam IPs
• Open proxies/relays
• Malware Ips
글로벌 위협
정보 반영
by VRT
• Third-party feeds
• Government-provided feeds
• User-created feeds
실시간
Feed 정보
반영
21. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
공격 영향도 분석
풀스펙트럼 방식의 상황 정보 반영
취약함
(취약점이 있는 대상으로의 유효한 공격)
취약할 가능성이 있음
(OS 또는 실제서비스중인 대상 공격)
취약하지 않음
(해당공격 대상 서비스가 없음)
존재 안함
(공격대상이 된 대상호스트가 존재 하지
않음)
실제 방어 액션이 필요한
1%에 집중
불필요 이벤트를 99% 줄임
침입 이벤트
22. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
NGIPS 차별화 포인트 기대효과
이벤트 정보 + 네트웍
정보 +유저 정보
이벤트 정보 + 네트웍
컨텍스트
이벤트 정보 이벤트 : 권한 획득 시도 (Attempted Privilege Gain)
목적지 : 96.16.242.135
이벤트 : 권한 획득 시도 (Attempted Privilege Gain)
목적지 : 96.16.242.135 (취약점 있슴)
호스트 OS : 블랙베리
어플리케이션: 메일, 브라우즈, 트위트
위치 : 백악관, US
이벤트: 권한 획득 시도 (Attempted Privilege Gain)
목적지: 96.16.242.135 (취약점 있슴)
호스트 OS: 블랙베리
어플리케이션: 메일, 브라우즈, 트위트
위치: 백악관, US
유저 ID: bobama
유저 네임: 버락 오바마
부서 : Executive Office
“SMS me only if a valid attack gets through to one of our executives’
Android phones.”
알람 상관관계분석
사용자정보
단말 인지
23. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
NGIPS How to Deploy
24. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
NGIPS on FirePOWER 3D Platform Position
인터넷
보안관리네트워크
내부서버팜
DMZ 사용자네트워크
IPS
스캐너
SIEM
IDS
25. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
NGIPS on FirePOWER 3D Appliance HA 구성 및 주요
커뮤니케이션 포트
26. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
NGIPS on FirePOWER 3D Appliance with SSL
Appliance
• “Known-server key” for SSL
v2
Requires access to the server key
Decrypts inbound SSL
communication
• “Certificate resign” for SSL v3
Requires Intermediate certificate
in browsers
Decrypts outbound SSL
communication
Known server key method
Certificate resign method
27. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
NGIPS on Virtual 3D Appliance with Passive IDS Mode
28. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
NGIPS on Virtual 3D Appliance with Inline IPS Mode
29. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
AMP
- 주요기능
- How to Deploy
- Competitive Information
30. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
AMP 주요기능
31. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
There is No Silver Bullet
Gaps in protection as new
attack vectors emerge
Point-in-time defenses
can be evaded
Malware prevention is
not 100%
BEFORE
Discover
Enforce
Harden
AFTER
Scope
Contain
Remediate
Attack Continuum
Detect
Block
Defend
DURING
32. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
A New Approach is Needed
BEFORE
Discover
Enforce
Harden
AFTER
Scope
Contain
Remediate
Attack Continuum
Detect
Block
Defend
DURING
Need continuous protection throughout the attack
lifecycle – before, during and after an attack
33. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Continuous Protection Across the Attack Continuum
BEFORE
Discover
Enforce
Harden
AFTER
Scope
Contain
Remediate
Attack Continuum
Detect
Block
Defend
DURING
Filtering
Reputation
Malware Signature
File Reputation
File Behavior
File Retrospection
Threat Analytics
Usage Controls
Actionable Reporting
34. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
AMP 주요 기능 요약 및 구성별 지원 기능 비교
주요 기능 기능 효과 Network Endpoint
악성코드 탐지 및 차단
시스템이 피해입기 전 악성코드 사전 차단
네트워크 및 단말 포인트 ✔ ✔
파일 소급 분석
(Retrospective Detection)
지나간 악성코드에 대한 지속적인 조사
소급적인 악성코드 탐지 및 차단을 위한 지속적인 파일 모니터링 ✔ ✔
파일 흔적 조사
(File Trajectory)
신속한 악성코드 문제의 범위 이해
네트워크를 통해 전송되는 의심스러운 파일, 악성코드 가시화 및 추적 ✔ ✔
사고 지표 조사
(Indicators of Compromise)
자동화된 사고 분석 및 정의
신속한 주원인 분석 및 해결 방법에 대한 퀵링크 제시 자동화 ✔ ✔
단말 흔적 조사
(Device Trajectory)
신속한 숙주 및 초기 전파자 분석
주원인 정의를 위한 시스템레벨의 가시화 ✔
단말플로우관계 분석
(Device Flow Correlation)
악성코드 및 숙주(전파자) 확산 차단
악성코드 확산을 위한 단말의 C&C 연결 및 Dropper 활동 차단
✔
파일 샌드 박싱
신속하고 안전한 파일 포렌식
시큐어박스 내에서의 파일 전방위 조사 및 악성코드와 의심스런 파일의
행위를 이해하기 위한 상세판 보고
✔
Outbreak Control
갑작스런 악성코드 전파 신속 차단
의심스러운 파일이나 단말간의 갑작스런 악성코드 전파 통제 ✔
35. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
파일 샌드박싱
알 수 없는 파일에 대한
행위기반적 분석
파일 소급 분석
공격된 적 있던 파일에
대한 소급적 경고
AMP 차별화 포인트 by 기능 측면
지능형 악성코드 대응을 위한 기술 적용
파일 평판
의심스러운 파일의
예방적 차단
36. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Outbreak Control
No more waiting - stop threats and eliminate root causes
Simple
Custom
Detections
Application
Blocking
Custom
White
Lists
Fast
&
Specific
Group
Policy
Control
Trusted
Apps &
Images
Comms /
IP Blacklists
Stop
Connections
to Bad Sites
Advanced
Custom
Signatures
Families
Of
Malware
Network and Endpoint
• Simple and specific controls, or
• Context rich signatures for broader control
37. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
1) File Capture
File Extraction and Sandbox Execution
Malware Alert!
2) File Storage
Execution Report
Available In Defense Center
Network Traffic
Collective Security
Intelligence Sandbox
3) Send to Sandbo
38. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Retrospective Security
Always Watching… Never Forgets… Turns Back Time
• Trajectory – Determine scope by tracking
malware in motion and activity
• File Trajectory – Visibility across
organization, centering on a given file
• Device Trajectory – Deep visibility into
file activity on a single system
• Continuous Analysis - Retrospective detection
of malware beyond event horizon
39. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
File Trajectory
Quickly understand the scope of malware problem
• What systems were infected?
• Who was infected first (“patient 0”) and when
did it happen?
• What was the entry point?
• When did it happen?
• What else did it bring in?
Looks ACROSS the organization and answers:
Network
+
Endpoint
40. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
Device Trajectory
Break the reinfection lifecycle with fast root cause analysis
+
• How did the threat get onto the system?
• How bad is my infection on a given device?
• What communications were made?
• What don’t I know?
• What is the chain of events?
Looks DEEP into a device and helps answer:
Endpoint
41. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
AMP is context-aware
Data shows the
bad and the good
Context helps you
decide about the rest
42. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
AMP 차별화 포인트 by 구성 측면
SaaS Manager
Sourcefire Sensor
FireSIGHT Management Center
AMP Malware
license
#
✔
✖
#
Detection Services
& Big Data analytics
AMP for Networks AMP for Endpoints
SSL:443 | 32137
Heartbeat: 80
43. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
Endpoint operational architecture
System data
Host Name
Host IP Address
Heartbeat
Login Name
No Personally Identifiable
Information (PII)
Optional PII
Capture Network
Traffic
Log connection data
for tracked files
Network data
Hash tracked files
Check local cache
Query for
Disposition
Block malicious
dispositions
File data
PII
Legend
44. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
The “smarts” are in the back-end
Heat map
Reporting
I.O.C.
Trajectory
Event
Analytics
Estate
Account
Blacklists
Policy
System
management
FireSIGHT Management
Center spooler
Security feeds
Client request dispatcher/cache
Outbreak
control
Custom
detections
Application
control
Sandbox
analysis
FireAMP
Web
Console
Sourcefire
Cloud
Detection engines
Event management system / Big Data engine (rules, events)
Logging
system
Data Mining
45. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
AMP 차별화 포인트 기대효과
Antivirus
Sandboxing
초기 배치 = Clean
특정 시점 탐지
초기 배치 = Clean
AMP
Blind to scope
of compromise
실제 배치 = Bad = Too Late!!
Turns back time
Visibility and
Control are Key
Not 100%
분석 중단
오래된 기법
알수없는 프로토콜
암호화
변형
실제 배치 = Bad = Blocked
소급적 탐지,
지속적인 분석
46. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
AMP How to Deploy
47. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
AMP Deployment Type
Dedicated Advanced
Malware Protection
Appliance
AMP for FirePOWER
(NGIPS / NGFW)
Network
PC’s
Mac’s
Mobile Devices
Virtual Machines
Endpoint
Public Cloud
Before
During
After
Cloud Driven
Differentiators:
Collective Intelligence &
Immunity
Continuous Analytics
Retrospection
Tracking
Root Cause
Analysis
Control
48. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
• Context and Control
• Determine Scope:
• Trajectory: systems impacted,
point of entry, file type,
protocol, direction, etc…
• Correlated context: Users, apps,
threats, etc…
• Retrospective Detection
• IoC Determination
Enterprise Fit – Sourcefire AMP in Action
1
3
• AMP for Endpoints
• Integrated or standalone
• PC, mobile & virtual
• Malware Detection
• Automated IoC detection
• Trajectory
• File Analysis
• Outbreak Control
4
• AMP for Networks
• Flexible deployment
• as part of NGIPS
• as part of NGFW
• AMP stand alone
• Malware detection/blocking
• File detection/blocking
• CNC detection/blocking
2
49. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
Products Line-up
50. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64
차세대 보안 제품 모델 라인업
7030
8270
8260
8250
8140
8120
7120
7110
7020
7010
20 Gbps
10 Gbps
6 Gbps
4 Gbps
2 Gbps
1 Gbps
500 Mbps
250 Mbps
100 Mbps
50 Mbps
IPS
Throughput
Modular
Connectivity
Stackable
8130
40 Gbps
30 Gbps
8290
3D Appliances
7125
750 Mbps 7115
1.25 Gbps
Fixed
Connectivity
Mixed
/
SFP
SSL1500 1.5 Gbps
SSL2000 2.5 Gbps
SSL8200 3.5 Gbps
Management Center®
DC750 – DC1500 – DC3500
SSL Appliances
Virtual
Appliances
NGIPS
/
App
&
Access
Control
/
AMP
SF v4.x only
SF v5.x/4.x
51. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65
Management Center®
Centralized Command & Control
• 시스템 및 사용자 정의 대쉬보드
• 통합 리포팅 및 알람
• 통합 정책 관리
• 계층적 관리
• 고가용성 관리
• 기존 보안 솔루션과의 연동
52. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66
Management Center Appliances
DC750 DC1500 DC3500
Max. Devices
Managed*
10 35 150
Max. IPS Events 20M 30M 150M
Event Storage 100 GB 125 GB 400 GB
Max. Network Map
(hosts | users)
2k | 2k 50k | 50k 300k | 300k
Max. Flow Rate
(flows/second)
2000 fps 6000 fps 10000 fps
High Availability
Features
Lights-out
Management (LOM)
RAID 1, LOM,
High Availability
pairing (HA)
RAID 5, LOM,
HA, Redundant
AC Power
* Max number of devices is dependent upon sensor type and event rate
53. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68
3D8200 Series Appliance
LCD Display
Quick and easy headless configuration
Device Stacking
Scale monitoring capacity
through stacking
Connectivity Choice
Change and add connectivity
inline with network requirements
Hardware Acceleration
For best in class throughput, security,
Rack size/Mbps, and price/Mbps
Lights Out Management
Minimal operational impact SSD
Solid State Drive for increased reliability
Configurable Bypass or
Fail Closed Interfaces
For IDS, IPS or Firewall
deployments
54. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 69
3D8200 Series Appliance Line-up
인터넷 서비스 환경에 최적화된 고속엔진 및 스태킹기술
• 스택킹 기술을 통한 네트워크 변화 및 증설에 따른 유연한 확장 및 구성
• 최대 40Gbps 트래픽을 하나의 시스템에서 단독 처리
3D8250 3D8260 3D8270 3D8290
2U 4U 6U 8U
20Gbps System 40Gbps System 60Gbps System 80Gbps System
10Gbps NGIPS 20Gbps NGIPS 30Gbps NGIPS 40Gbps NGIPS
7 slots 6 slots 5 slots 4 slots
Up to 28 ports Up to 24 ports Up to 20 ports Up to 16 ports
55. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
1G Copper 1G Fiber 10G Fiber 40G Fiber
1 slot 1 slot 1 slot 2 slots
4 Port
1Gbps Copper
4 Port
1Gbps SX Fiber
2 Port
SR or LR Fiber
2 Port
40GBASE-SR4
Cluster
Module
Used to connect an 3D8140, 3D8250, 8260, 8270, and 8290 to one or
more stacking kits. Included in stacking kits.
40G Switch
Module
Switch module for 8250/8260 that supports the 40G Fiber network
module. Comes standard on 8270/8290.
8000 Series Network Modules: Configurable-Bypass
All interfaces are programmable bypass/fail-open and field replaceable.
56. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
1G Copper 1G Fiber 10G Fiber 10G Fiber
1 slot 1 slot 1 slot 1 slots
4 Port
1Gbps Copper
4 Port
1Gbps SX Fiber
4 Port
SR Fiber
4 Port
LR Fiber
Cluster
Module
Used to connect an 3D8140, 3D8250, 8260, 8270, and 8290 to one or
more stacking kits. Included in stacking kits.
8000 Series Network Modules: Non-Bypass
All interfaces are fixed non-bypass/fail-closed and field replaceable.
57. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
3D7000 Series Appliances
7010 7020 7030
1U Half Width 1U Half Width 1U Half Width
50 Mbps 100 Mbps 250 Mbps
8 Ports
1Gbps Copper
8 Ports
1Gbps Copper
8 Ports
1Gbps Copper
Single AC
Power
Single AC
Power
Single AC
Power
All 7000 series appliances support fixed network port configurations,
lights-out management, solid state drives, and an LCD interface.
____
Note: two of the 70XX appliances fit into a standard 18” rack, requires tray
58. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73
3D8100 Series Appliances
7110 7120 7115 7125
1U 1U 1U 1U
500 Mbps 1 Gbps 750 Mbps 1.25 Gbps
8 Ports
1Gbps Copper
or Fiber
8 Ports
1Gbps Copper
or Fiber
4 fixed 1Gbps
Copper
8 SFPs*
4 fixed 1Gbps
Copper
8 SFPs*
Redundant AC
Power
Redundant AC
Power
Redundant AC
Power
Redundant AC
Power
All 7100 series appliances support, lights-out management,
solid state drives, and an LCD interface.
____
* SFPs DO NOT include configurable bypass technology; they fail closed.
59. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74
Virtual 3D Appliances
• Inline or passive deployment
• Full NGIPS Capabilities
• Deployed as virtual appliance
• Use Cases
SNORT Conversion
Small / Remote Sites
Virtualized workloads (PCI)
• Manages up to 25 sensors
physical and virtual
single pane-of-glass
• Use Cases
Rapid Evaluation
Pre-production Testing
Service Providers
NOTE: Supports ESX(i) 4.x and 5.x on Sourcefire 5.x platforms. Supports RHEV 3.0 and
Xen 3.3.2/3.4.2 on Soucefire 4.x platforms only.
• Virtual Defense Center
• Virtual Sensor
DC
60. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75
Virtual 3D Appliance H/W Requirements
61. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76
How to Sell
62. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77
NGIPS Sizing
Hardware
DAQ
Packet Decoding
Security Intelligence
L3/L4 preprocessors
(defrag, stream)
Application
ID
AC
Rules
“Active”
User Identities
URL
Reputation
Passive Discovery
Network Map,
passive user id
Snort
> L4 preprocessors
Rules Engine
File ID
Malware
Lookup
Application
Control
63. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78
NGIPS + Application and Access Control Sizing
Application
Control
Hardware
DAQ
Packet Decoding
Security Intelligence
L3/L4 preprocessors
(defrag, stream)
Application
ID
AC
Rules
“Active”
User Identities
URL
Reputation
Passive Discovery
Network Map,
passive user id
Snort
> L4 preprocessors
Rules Engine
File ID
Malware
Lookup
64. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79
AMP for FirePOWER Sizing
Hardware
DAQ
Packet Decoding
Security Intelligence
L3/L4 preprocessors
(defrag, stream)
Application
ID
AC
Rules
“Active”
User Identities
URL
Reputation
Passive Discovery
Network Map,
passive user id
Snort
> L4 preprocessors
Rules Engine
File ID
Malware
Lookup
Application
Control
65. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81
AMP feature Comparison
Network Appliance Endpoint
BEFORE
Block
File Reputation ✔ ✔
DURING
Detect
File Sandboxing ✔ ✔
AFTER
Monitor
File Retrospection ✔ ✔
IoCs ✔ ✔
Investigate
File Analysis ✔ ✔
File Trajectory ✔ ✔
Device Trajectory ✔
Threat Hunting ✔
Control
Outbreak Control ✔ ✔
66. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82
AMP choosing the Right Deployment
Network Appliance Endpoint
• Wide visibility inside the
network
• Layered with network threat
defense (IPS/NGFW) &
event correlation
• Broad selection of features-
before, during and after an
attack
• Ideal for IPS/NGFW
customers
• Granular visibility and control
at the endpoint level
• Widest selection of AMP
features
• Protection for mobile and
remote devices
• For advanced customers
wanting comprehensive
threat protection,
investigation & response
67. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 97
Thank You