FSR6_Cisco 安全管理中心解决方案(喻超,Cisco高级安全顾问)

benny0909
0 ℃
2020-03-03

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

Copyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr1©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007安全管理中心解决方案SMC(SecurityManagementCenter)喻超R&S,SecurityCCIE#5329,CISSP2006-32©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential目录•当前的安全管理挑战•信息安全管理的体系结构•思科安全监控管理平台Copyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr3©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential面临的安全管理挑战4©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential挑战:目前的安全环境是混合模式•Best-in-classprotectionrequiresmultiple,purpose-builtsecuritydevicestoproperlyprotectenvironment•Enterprisestypicallyselectbest-of-breed,exacerbatingthecomplexityofthetask•Nostandardmessageformat•Demandinstantaneousresponsetoattack•QuickenablingneworlocalvendordevicessupportCopyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr5©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential挑战:防御的复杂性6©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential挑战:需要处理太多的安全信息……防火墙记录IDS报警Copyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr7©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential挑战:在复杂的网络中定位威胁的来源……Log/Alert8©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential挑战:今天安全管理的模式操作步骤:1.报警2.调查3.防御网络运营安全运营安全知识防火墙IDS/IPSVPN漏洞扫描认证服务器路由器/交换机防病毒软件10KWin,100sUNIX收集网络拓扑信息阅读和分析海量数据…重复行动总是太过迟缓Copyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr9©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential统一的实时安全信息预警管理-SIM（SecurityInformationManagement)安全知识Securityknowledgebase防火墙IDS/IPSVPN漏洞扫描认证服务器路由器/交换机防病毒软件10KWin,100sUNIX统一的安全信息预警中心风险评估RiskAssessment网络运营安全运营10©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential信息安全管理的体系结构Copyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr11©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential信息安全管理的外延实时监控NeedtomonitorMulti-vendorNetworks…关联分析Muchmeaninglessrawdata...减轻风险Howtousenetworktoeliminatethreats…安全审计Howtoauditagainstbestpractices安全响应Howtorapidlydeploynewpolicies…事件收集Collectingsecurityinformationaboutreportingdevice12©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential信息安全管理体系结构•配置管理Provisioning•监控管理Monitoring•分析管理Analysis•响应管理Response根据信息安全管理的功能和特性，可将其工作流程分成以下4个阶段:Copyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr13©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential安全管理中心建设的四个阶段•安全管理中心的建设是一个系统的规划与建设过程，其功能通过一个统一集中管理的产品体现出来，但不仅仅局限于此。•安全管理中心建设的四个阶段：–规划设计阶段–基础实施阶段–响应管理阶段–改进与提升14©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidentialDeviceManagersDeviceManagersASDMCVDMSDMCiscoWorksVMSCiscoWorksVMS监控配置分析响应CiscoSecurityManagementSuite思科网络安全管理产品系列CiscoSecurityMARSCiscoSecurityMARSCiscoWorksSIMSCiscoWorksSIMSNetflowApplicationNetflowApplicationCiscoSecurityAuditorCiscoSecurityAuditor信息安全管理Copyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr15©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential安全信息管理技术的发展FocusedoncollectingandstoringlargequantitiesofeventdataNormalizing&aggregatingdataRapidlogreadingfunctionality多级关联直观显示集成的事件响应管理内置的知识库风险和威胁分析评估高扩展性和冗余SIM安全信息管理SEMSecurityEventManagementFocusedoncollectingandstoringlargequantitiesofeventdataNormalizing&aggregatingdataRapidlogreadingfunctionalitySinglephasecorrelationSyslogCollectorsSTM安全威胁管理网络拓朴识别直观显示拓朴集成的事件处理管理威胁确认威胁缓解建议提供解决方法安全信息管理技术的发展16©2005CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialCHN-0007思科安全监控管理平台:CiscoSecurityMonitoring,Analysis,andResponseSystem(CS-MARS)Copyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr17©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential思科监控分析和响应系统(MARS)•利用您的现有投资来创建“普遍计算”•关联来自企业各处的数据NIDS，防火墙，路由器，交换机，CSA系统记录，SNMP，RDEP，SDEE，NetFlow，终端事件记录•迅速定位和抵御攻击•主要特性–根据设备信息、事件和“会话”，来确定安全事件–了解事件的拓扑，以便查看和重放–在L2端口和L3检测点进行防御–高效扩展，可实时使用18©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidentialCS-MARS工作流程1.EventscomeintotheCS-MARSfromNetworkDevices2.Eventsare“Parsed”分析3.Eventsare“Normalized”规格化4.Sessionized/NATCorrelation5.RunagainstRuleEngine-DropRules-SystemPre-DefinedRules-UserDefinedRules6.FalsePositiveAnalysis7.VulnerabilityAssessmentagainstsuspectedhosts8.TrafficprofilingandstatisticalanomalydetectionCopyright©2003,CiscoSystems,Inc.Allrightsreserved.PrintedinUSA.Presentation_ID.scr19©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidentialCS-MARS主要功能组件•智能网络拓扑发现•事件进程化管理•风险关联分析•流量异常分析•误报分析•安全预警与响应•脆弱性评估•报表20©2005CiscoSystems,Inc.Allrightsreserved.CHN-0007CiscoConfidential基于拓扑识别，增强安全控管•利用网络拓扑发现同一个进程的不同事件和流程MARS采用专利算法，利用拓扑知识和设备配置信息，将不同设备产生事件关联到同一个进程，创造出整个攻击环境•利用网络拓扑减少误报识别同一个进程的事件，分析攻击从源到目的地的拓扑路径，发现某个攻击是否的确到达了预定的目的地•利用网络拓扑发现最理想的防御点通过分析从攻击者到预定目的地的路径，将距离攻击者最近的设备定为最理想的防御点•利用网络拓扑发现攻击路径和网络热点•利用网络拓扑提高证据分析能力通过识别NAT地址解析和攻击者MAC地址提供大大增强的证据分析能力。Copyright©2003,CiscoSystems,Inc.All