prenez une longueur d’avance sur les hackers grâce aux ......prenez une longueur d’avance sur...
TRANSCRIPT
Prenez une longueur d’avance sur les hackers grâce aux solutions de sécurité Cisco
• Lors de nos webinaires Security Experts découvrez les éléments nécessaires pour mettre en place une architecture sécurisée.
Comment choisir un pare-feu
de nouvelle génération Advanced Malware Protection-
Protection contre les programmes
malveillants Comment protéger vos
accès email & web ISE/ Control d’accès
Et beaucoup d’autres sujets alors visitez notre page Security Experts &
enregistrez-vous pour les prochains webinaires
www.cisco.com/go/securityexperts
Christophe Sarrazin
Consulting System Engineer
Avril 2016
Gestion avancée de la menace
Cisco NGFW
La securité : le problème de tous
Principales menaces
• RansomWare
• Exploit Kits
• Prise de contrôle à distance
Rapport Annuel 2016
HTTP://www.talosintel.com
http://www.cisco.com/go/asr2016
CRISIS REGION
Impa
ct B
usin
ess
( €
)
Temps
credit card data compromised
*
attack identified
*
vulnerability closed
*
Zone de Crise
Incidents de Sécurité
“Worm outbreaks can impact revenue by up to
$250k per hour”
F500 Media Conglomerate
attack
onset
*
Early detection
Reduces MTTK
* attack
thwarted
* early warning
* attack
identified
* vulnerability closed
Apports d’une Surveillance
Avancée
Système d’Information
sous
Surveillance standard
Notre objectif
“Shared Security intelligence”
Globalisation
Contextualisation
Pilotage Centralisé
Confinement automatisé Cisco Firepower™ Management Center
Solutions Cisco
Talos
Firepower 4100 Series Firepower 9300 Platform
Visibility Radware
DDoS Network analysis Email Threats
Identity and NAC DNS Firewall URL
“Attack continuum” Anticiper, Protéger, Adapter
Investigation après sinistre
Compréhension des failles
résiduelles
Développement de nouvelles
contre mesures
Détecter et stopper les
attaques en temps réel
Anticiper les incidents.
Déployer les contre mesures
préventives
Cisco NGFW
BEFORE AFTER DURING
Détecter plus vite
Réagir plus tôt
Plus de
Visibilité
Réduire la
Complexité
Maximiser la
Puissance
de la protection
réseau
Plus de
Protection
Cisco ASA FirePOWER Au centre de la stratégie de défense
Boitier intégré de sécurité entièrement dédié à la gestion de menace applicative
Cisco NGFW
Cisco: 17.5 heures TMD :* 100 jours
Détecter plus tôt, Réagir plus vite
• Correlation automatique
• IoC ( Indications of
Compromise )
• “sandboxing” ( cloud ou
local )
• Analyse et Tracking des
Malwares
• Confinement en “deux
clics”’
Source: Cisco® 2016 Annual Security Report
TMP : Temps Moyen de Détection
JAN
Lundi
1
JAN
FEV
MAR
AVR
“You can’t protect what you can’t see”
Grâce à une Visibilité accrue
Malware
Client applications
Operating systems
Mobile devices
VoIP phones
Routers and switches
Printers
Command
and control
servers
Network servers
Users
File transfers
Web
applications
Application
protocols
Threats
Cisco NGFW
Indication de compromission
Des Systèmes infectés et sous contrôles ?
Des Systèmes infectés et sous contrôles ?
Indications of Compromise IOC
IPS Events
Malware Backdoors
CnC Connections
Exploit Kits Admin Privilege
Esclations
Web App Attacks
SI Events
Connections to Known CnC IPs
Malware Events
Malware Detections
Malware Executions
Office/PDF/Java Compromises
Dropper Infections
IOC est une alerte sur
un système d’extrémité,
indiquant une très forte
probabilité d’infection.
Les IOCs sont calculés
pour chaque systeme
d’extrémité
Filtrage Applicatif
• La puissance de l’ Open Source a disposition du filtrage applicative
• Création, partage et implementation de signatures applicatives
• Donne le contrôle aux clients et à la communauté des specialists sécurité
• La communauté de développeurs “Snort” accélère la mise à disposition des détecteurs applicatifs
Introduction de OpenAppID
Plus de 4300 détecteurs applicatifs dans notre NGFW
Créer ses signatures applicatives
Language de script LUA
Capture PCAP
Protocole applicatif
Firewall Identitaire
• Méthodes d’authentifications Passive et ou Active (portail captif)
• Plusieurs types (Basic, NTLM, Advanced, Form)
• Intégration d’Identity Service Engine (ISE)
• Base d’authentifications multiples
Authentification active ou passive
Methode Source LDAP/AD
Active
Forced authentication through device LDAP and AD
Passive
Identity and IP mapping from AD Agent AD
User Discovery Username scraped from traffic. LDAP and AD,
passive from the
wire
Détection via le trafic
Intégration d’ISE
Filtrage d’URL et DNS
83 Catégories d’URL
Filtrage d’URLs
• Security Intelligence supportée pour les domaines
• Addresse le challenge des domains “Fast-Flux”
• DNS lists: CnC, Spam, Malware, Phishing fournie par Cisco et les utilisateurs
• Actions multiples : Block, Domain Not Found, Sinkhole, Monitor
Inspection DNS
DNS List Action
Inspection DNS: Domain Not Found
Serveur DNS Local
NGFW Policy Can configure: Lists/Feeds/Global lists
Action: DNS NXDOMAIN
Generates SI events
Inspection DNS : DNS Sinkhole
Sinkhole
X Connection to Sinkhole IP
NGFW Policy DNS SI: C&C servers
Action: DNS Sinkhole
Generates SI events & IOC’s
Endpoint (10.15.0.21)
Serveur DNS Local
Gestion des malwares
Filtrage par Réputation – Résultat de Sandboxing de binaires
100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 0110011 101000
0110 00
Cisco Talos
File Lookup
= Malware
Advanced Malware Protection
Advanced Malware Protection
Filtrage par Réputation – Résultat de Sandboxing de binaires
Dynamic
Analysis
Machine
Learning
Fuzzy
Finger-Printing
Advanced
Analytics
One-to-One
Signature
Détection locale des menaces
Détecte les trojans, viruses, malware
& autre menaces malicieuses
Demo
Offre Produit
Architecture des plateformes de Sécurité
Common Security Policy and Management
APIs APIs
Security
Services and
Applications
Security
Services
Platform
Infrastructure
Element
Layer
Cisco Security
Applications
Third-Party Security
Applications
Management
Orchestration
Security Management APIs
Cisco ONE APIs
Platform APIs
Cloud Intelligence APIs
Physical Appliance Virtual Cloud
Device API: OnePK™, OpenFlow, CLI
Cisco Networking Operating Systems (Enterprise, Data Center, Service Provider)
Route–Switch–Compute ASIC Data Plane Software Data Plane
ASA 5512-X ASA 5515-X
ASA 5525-X
ASA 5545-X
ASA 5555-X
ASA entrée et milieu de gamme ASA Haut de gamme
ASA FirePOWER Threat Defense
ASA 5506-X ASA 5508-X
ASA 5516-X
Administration Centralisée Firepower Management Center
Cisco Firepower™ 4100
Cisco Firepower™ 9300
Cisco FirePOWER™ Services
on ASA 5585-X
Cisco ASA Firepower
on ASA 5500-X
Nouveaux boitiers
ASA FirePOWER Threat Defense
Cisco Firepower 4100 Series 4 nouveaux Boitiers Hautes Performances
Haute Performance
Haute Densité Management Unifié
Sécurité
MultiService
• NGFW, NGIPS, “Application
Visibility and Contro”l (AVC),
“URL Filtering”, “Cisco
Advanced Malware
Protection (AMP)
• Radware DefensePro DDoS)
• ASA OS(s) et/ou OS tierce
partie
• Interfaces 10-Gbps, 40-Gbps
Jusqu’à 80-Gbps de débit
• 1-rack-unit (RU) form factor
• Très faible Latence
• Firepower Threat Defense
• FirePower Management Center
• Administratoin Centralisée et
Unifiée
Cisco Firepower 9300 Platform
Avantages • Services FirePOWER Threat
Defence • Cisco “Dynamic service stitching”
Services • Conteneurs Cisco® ASA Cisco • Conteneurs Firepower™ Threat
Defense • NGIPS, AMP, URL, AVC
• Conteneurs Tierce Parties • Radware DDoS • Autres Partenaires Sécurité
Avantages • Support des Standards et
interoperabilité • Flexibilité d’architecture
Services • “Template-driven security” • RESTful/JSON API • Sécurisation par “conteneurisation”
des applications metiers • Orchestration et administration
Tierce Partie possible
Avantages • Industry-leading performance:
• 600% : augmentation de performance
• 30% Augmentation Densité de ports
Services • Compact, 3RU form factor • 10-Gbps/40-Gbps I/O; 100-Gbps
“ready” • Fond de Panier Terabit • Faible Latence, “intelligent fast
path” • “Network Equipment-Building
System (NEBS) ready”
* Contact Cisco for services availability
Modulaire “Carrier Class” Sécurité
MultiService
TRES Hautes Performances
En conclusion
ASA FirePOWER Threat Defense
?
Une solution pour tout voir afin de mieux se protéger
?
?
John Chambers
Executive Chairman, Cisco
April 2015
Security is Cisco’s number 1 priority.
We are going big and making
strategic investments to become our
customers’ and partners’ most
trusted security advisor.
“ We are committed to addressing this problem
In the last 18 months, we invested over $3.7B in security
“