【正文】 故障的原因或感染源 /攻擊源，網(wǎng) 絡(luò)業(yè)務(wù)恢復(fù)時間長。 ? 對某些特定安全事件沒有適合的方法，如 DDoS攻擊，蠕蟲病毒等。 ? 缺乏“經(jīng)驗豐富”的網(wǎng)絡(luò)安全專家去監(jiān)控，分析，解決問題；成本比較高。 IT管理者的期望： 安全的網(wǎng)絡(luò)－－ 一個能集中管理所有產(chǎn)品 信息、 智能化的安全管理中心 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 63 信息安全管理體系結(jié)構(gòu)的改變 系統(tǒng)安全管理 安全設(shè)備管理 加強安全管理的需求 ? 安全的網(wǎng)絡(luò)－ 》 安全網(wǎng)絡(luò)管理模型－ 》 安全信息管理－ 》 管理中心（ SMC） 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 64 業(yè)界領(lǐng)先的 STM安全威脅管理設(shè)備 思科監(jiān)控分析和響應(yīng)系統(tǒng) (MARS) ? 利用您的現(xiàn)有投資來創(chuàng)建 “普遍計算” ? 關(guān)聯(lián)來自企業(yè)各處的數(shù)據(jù) NIDS，防火墻，路由器，交換機(jī)， CSA 系統(tǒng)記錄， SNMP， RDEP， SDEE， NetFlow， 終端事件記錄 ? 迅速定位和抵御攻擊 ? 主要特性 –根據(jù)設(shè)備 信息、事件和“會話” ，來確定安全 事件 –了解 事件 的拓?fù)?，以便查看和重? –在 L2 端口和 L3檢測點進(jìn)行防御 –高效擴(kuò)展，可實時使用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 65 思科 CSMARS工作流程 1. 來自不同安全設(shè)備的海量安全信息進(jìn)入 CSMARS 2. CSMARS對安全事件信息進(jìn)行規(guī)則化統(tǒng)計 3. CSMARS對安全事件信息進(jìn)行規(guī)格化 4. 對地址翻譯信息和連接狀態(tài)信息進(jìn)行關(guān)聯(lián)處理 5. 對安全信息進(jìn)行規(guī)則關(guān)聯(lián) 丟棄規(guī)則 系統(tǒng)預(yù)定義規(guī)則 用戶自定義規(guī)則 6. 虛假錯誤信息分析處理 7. 對可疑主機(jī)進(jìn)行弱點評估，以過濾虛假信息 8. 統(tǒng)計流量模型來發(fā)現(xiàn)異常 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 66 CSMARS 流程典型例子 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 67 企業(yè)用戶的安全管理需求 用戶需求 面臨的挑戰(zhàn)如何管理多廠商的安全設(shè)備 很難管理來自不同廠商的安全信息發(fā)生了什么樣的安全事件 ？ 用戶需要花費他們大量的時間 ， 從海量的安全信息中 ， 包括錯誤信息中 ， 才能找出真正的安全挑戰(zhàn)哪兒發(fā)生了安全事件 ? 當(dāng)安全事件確認(rèn)后 ， 需要快速找到安全攻擊的來源 ， 攻擊路徑， 以便于實施防護(hù) ， 保證網(wǎng)絡(luò)的高穩(wěn)定性如何處理安全事件 ? 安全事件確認(rèn)后 ， 用戶希望知道如何防護(hù) ， 是在接近攻擊端 ，還是在接近被攻擊端 ？ 在路由器上 ， 防火墻上 ， 還是 VPN 設(shè)備上 ？ 是否有建議的處理辦法 ？如何實現(xiàn)異常檢測 ? 有些攻擊時新型的 ， 或變種 ， 傳統(tǒng)安全設(shè)備 （ 防病毒軟件 ， 防火墻 ， IDS 等 ） 無法識別 ， 造成網(wǎng)絡(luò)出現(xiàn)故障后才發(fā)覺出現(xiàn)了安全事件 ， 無法提供零天保護(hù)簡單實施流程對一般用戶而言 ， 太復(fù)雜的配置是難于實施的 ， 希望有簡化的實施流程169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 68 如何管理多廠商安全設(shè)備？ 思科 CSMARS 支持多廠商設(shè)備 ? 網(wǎng)絡(luò) Cisco IOS 和 , Catalyst OS NetFlow v5/v7 NAC ACS Extreme Extremeware ? 防火墻 /VPN Cisco PIX , IOS Firewall, FWSM amp。 , VPN Concentrator , Cisco ASA CheckPoint Firewall1 NG FPx, VPN1 NetScreen Firewall , Nokia Firewall ? IDS Cisco NIDS amp。 , , IDSM , , Enterasys Dragon NIDS ISS RealSecure Network Sensor , Snort NIDS McAfee Intrushield NIDS NetScreen IDP Symantec ManHunt ? 漏洞評估 eEye REM Foundstone FoundScan ? 主機(jī)安全 Cisco Security Agent (CSA) McAfee Entercept , ISS RealSecure Host Sensor , Symantec AnitVirus ? 主機(jī)記錄 Windows NT, 2022, 2022 (有代理和無代理 ) Solaris Linux ? 系統(tǒng)記錄 通用設(shè)備支持 ? 應(yīng)用 Web 服務(wù)器 (IIS, iPla, Apache) Oracle 9i, 10i 數(shù)據(jù)庫審查記錄 Network Appliance NetCache Note: Visit 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 69 ? 利用網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)同一個進(jìn)程的不同事件和流程 MARS采用專利算法，利用拓?fù)渲R和設(shè)備配置信息，將不同設(shè)備產(chǎn)生事件關(guān)聯(lián)到同一個進(jìn)程，創(chuàng)造出整個攻擊環(huán)境 ? 利用網(wǎng)絡(luò)拓?fù)錅p少誤報 識別同一個進(jìn)程的事件，分析攻擊從源到目的地的拓?fù)渎窂?，發(fā)現(xiàn)某個攻擊是否的確到達(dá)了預(yù)定的目的地 ? 利用網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)最理想的防御點 通過分析從攻擊者到預(yù)定目的地的路徑，將距離攻擊者最近的設(shè)備定為最理想的防御點 ? 利用網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)攻擊路徑和網(wǎng)絡(luò)熱點 ? 利用網(wǎng)絡(luò)拓?fù)涮岣咦C據(jù)分析能力 通過識別 NAT地址解析和攻擊者 MAC地址提供大大增強的證據(jù)分析能力 哪兒發(fā)生了安全事件？ MARS擁有端到端的網(wǎng)絡(luò)拓?fù)涓兄芰? 高效能進(jìn)程化和基于進(jìn)程的主動關(guān)聯(lián) 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 70 哪兒發(fā)生了安全事件？ MARS自動識別攻擊路徑 /攻擊源 /攻擊目標(biāo) ? SureVector? 分析方法 –顯示準(zhǔn)確的攻擊路徑 –通過下拉菜單，可以查詢?nèi)康氖录驮际录?shù)據(jù) –對異?，F(xiàn)象和攻擊行為找出真實的源泉 –更加全面和準(zhǔn)確 1. Host A Port Scans Target X 2. Host A Buffer Overflow Attacks X Where X is behind NAT device and Where X is Vulnerable to attack 3. Target X executes Password Attacks Target Y located downstream from NAT Device 防火墻 攻擊路徑顯示 事件攻擊拓樸顯示 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 71 如何處理安全事件？ MARS可以給出對安全事件的建議方法 路由器上的緩解建議 交換機(jī)上的緩解建議 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 72 ? 在加入網(wǎng)絡(luò)之后， MARS會用幾天時間適應(yīng)網(wǎng)絡(luò)使用模式。 隨后切換到檢測模式，查找重要的異常行為，例如當(dāng)前值比標(biāo)準(zhǔn)偏差高出兩到三倍的情況。 ? PN MARS可以精確地監(jiān)控網(wǎng)絡(luò)使用情況， 跟蹤在每天的每個小時中發(fā)現(xiàn)的數(shù)據(jù)流和交換分組的TOP（主機(jī)、端口）組合信息（數(shù)量可設(shè)置）。 ? 智能采集系統(tǒng)動態(tài)地存儲異常行為的整個NetFlow記錄（主機(jī)，端口）， 輕松地獲知安全事件的整個環(huán)境 ，例如受感染的源、目的地端口等。 ? 所提供的內(nèi)置規(guī)則可以 自動地將異常行為與網(wǎng)絡(luò)IDS系統(tǒng)所報告的攻擊關(guān)聯(lián) 到一起。 ? 即使沒有安裝一個網(wǎng)絡(luò) IDS系統(tǒng)，一個遭受某種未知攻擊的主機(jī)也可能會表現(xiàn)出上述異常行為，從而被 MARS輕松發(fā)現(xiàn)。 如何發(fā)現(xiàn)異?，F(xiàn)象？ MARS接受 Netflow并給出異?，F(xiàn)象報警 在 CSMARS上啟動Netflow 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 73 ? MARS基于硬件一體化結(jié)構(gòu) ? 基于圖形界面的配置 /部署，可以在很短時間內(nèi)完成實施 ? 簡單的二層部署結(jié)構(gòu) ? 無需 agent代理 ? 對不同的網(wǎng)絡(luò)規(guī)模，有相應(yīng)的設(shè)備類型 ? 性價比好，很適合企業(yè)用戶 是否簡單易用？ MARS易于使用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 74 MARS滿足企業(yè)用戶的安全管理需求 用戶需求 / 面臨的挑戰(zhàn) M A R S 如何支持如何管理多廠商的安全設(shè)備？ 很難管理來自不同廠商的安全信息M A R S 可以處理來自不同廠商的安全信息，最常見的網(wǎng)絡(luò)和安全產(chǎn)品，終端操作系統(tǒng)，均在 M A R S 的支持列表中發(fā)生了什么樣的安全事件？ 用戶需要花費他們大量的時間，從海量的安全信息中，包括錯誤信息中，才能找出真正的安全挑戰(zhàn)M A R S 通過分析安全威脅，判斷哪些是最重要的，哪些不是?？梢宰詣舆^濾來自防火墻 l o g ，路由器 l o g ， I D S 信息中的虛假信息，每秒可以處理上兆的數(shù)據(jù)，提供數(shù)據(jù)的圖形化分析哪兒發(fā)生了安全事件 ? 當(dāng)安全事件確認(rèn)后，需要快速找到安全攻擊的來源，攻擊路徑，以便于實施防護(hù)，保證網(wǎng)絡(luò)的高穩(wěn)定性M A R S 采用基于拓?fù)涞募夹g(shù)和網(wǎng)絡(luò)智能的關(guān)聯(lián)和安全信息的處理，可以顯示出安全事件發(fā)生的路徑，攻擊源和攻擊目標(biāo)如何處理安全事件 ? 安全事件確認(rèn)后，用戶希望知道如何防護(hù)，是在接近攻擊端，還是在接近被攻擊端？在路由器上，防火墻上，還是 VPN 設(shè)備上？是否有建議的處理辦法？M A R S 在發(fā)現(xiàn)安全事件后，可以為用戶提供防護(hù)手段的建議，如路由器上如何加 A C L ，在交換機(jī)上如何控制端口安全，利用網(wǎng)絡(luò)的智能強化安全策略如何實現(xiàn)異常檢測 ? 有些攻擊時新型的，或變種，傳統(tǒng)安全設(shè)備（防病毒軟件，防火墻， I D S 等）無法識別，造成網(wǎng)絡(luò)出現(xiàn)故障后才發(fā)覺出現(xiàn)了安全事件，無法提供零天保護(hù)M A R S 可以接收 N e t Fl o w 流量數(shù)據(jù)進(jìn)行異常現(xiàn)象分析，給出實時報警，提供對未知安全事件的零天保護(hù)，縮短安全響應(yīng)時間簡單實施流程？ 對一般用戶而言，太復(fù)雜的配置是難于實施的，希望有簡化的實施流程M A R S 是硬軟件一體化，很容易安裝和調(diào)試，無需 agent 引擎，性價比好169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 75 CSMARS 主要組件 ? 智能網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn) ? 事件進(jìn)程化管理 ? 風(fēng)險關(guān)聯(lián)分析 ? 流量異常分析 ? 誤報分析 ? 響應(yīng)與緩解 ? 脆弱性評估 ? 報表 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 76 CSMARS的技術(shù)特點及優(yōu)勢 更高的功能，更低的價格 TCO，支持多種主流網(wǎng)絡(luò)安全設(shè)備，最大化投資保護(hù) ? 大幅度精簡數(shù)據(jù) ? 及時制止攻擊 ? 端到端的網(wǎng)絡(luò)感知功能（ AutoMitigateTM ） ? 集成化的脆弱性評估（ SureVectorTM ） ? 事件關(guān)聯(lián)引擎（ （ ContextCorrelationTM 已經(jīng)申報專利） ? 性能優(yōu)化和擴(kuò)展 快速的在線處理 超過 10,000 EPS 的全功能處理 高容量的