【正文】 故障的原因或感染源 /攻擊源，網 絡業(yè)務恢復時間長。 ? 對某些特定安全事件沒有適合的方法，如 DDoS攻擊，蠕蟲病毒等。 ? 缺乏“經驗豐富”的網絡安全專家去監(jiān)控，分析，解決問題；成本比較高。 IT管理者的期望： 安全的網絡－－ 一個能集中管理所有產品 信息、 智能化的安全管理中心 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 63 信息安全管理體系結構的改變 系統(tǒng)安全管理 安全設備管理 加強安全管理的需求 ? 安全的網絡－ 》 安全網絡管理模型－ 》 安全信息管理－ 》 管理中心（ SMC） 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 64 業(yè)界領先的 STM安全威脅管理設備 思科監(jiān)控分析和響應系統(tǒng) (MARS) ? 利用您的現有投資來創(chuàng)建 “普遍計算” ? 關聯來自企業(yè)各處的數據 NIDS，防火墻，路由器，交換機， CSA 系統(tǒng)記錄， SNMP， RDEP， SDEE， NetFlow， 終端事件記錄 ? 迅速定位和抵御攻擊 ? 主要特性 –根據設備 信息、事件和“會話” ，來確定安全 事件 –了解 事件 的拓撲，以便查看和重放 –在 L2 端口和 L3檢測點進行防御 –高效擴展，可實時使用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 65 思科 CSMARS工作流程 1. 來自不同安全設備的海量安全信息進入 CSMARS 2. CSMARS對安全事件信息進行規(guī)則化統(tǒng)計 3. CSMARS對安全事件信息進行規(guī)格化 4. 對地址翻譯信息和連接狀態(tài)信息進行關聯處理 5. 對安全信息進行規(guī)則關聯 丟棄規(guī)則 系統(tǒng)預定義規(guī)則 用戶自定義規(guī)則 6. 虛假錯誤信息分析處理 7. 對可疑主機進行弱點評估，以過濾虛假信息 8. 統(tǒng)計流量模型來發(fā)現異常 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 66 CSMARS 流程典型例子 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 67 企業(yè)用戶的安全管理需求 用戶需求 面臨的挑戰(zhàn)如何管理多廠商的安全設備 很難管理來自不同廠商的安全信息發(fā)生了什么樣的安全事件 ？ 用戶需要花費他們大量的時間 ， 從海量的安全信息中 ， 包括錯誤信息中 ， 才能找出真正的安全挑戰(zhàn)哪兒發(fā)生了安全事件 ? 當安全事件確認后 ， 需要快速找到安全攻擊的來源 ， 攻擊路徑， 以便于實施防護 ， 保證網絡的高穩(wěn)定性如何處理安全事件 ? 安全事件確認后 ， 用戶希望知道如何防護 ， 是在接近攻擊端 ，還是在接近被攻擊端 ？ 在路由器上 ， 防火墻上 ， 還是 VPN 設備上 ？ 是否有建議的處理辦法 ？如何實現異常檢測 ? 有些攻擊時新型的 ， 或變種 ， 傳統(tǒng)安全設備 （ 防病毒軟件 ， 防火墻 ， IDS 等 ） 無法識別 ， 造成網絡出現故障后才發(fā)覺出現了安全事件 ， 無法提供零天保護簡單實施流程對一般用戶而言 ， 太復雜的配置是難于實施的 ， 希望有簡化的實施流程169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 68 如何管理多廠商安全設備？ 思科 CSMARS 支持多廠商設備 ? 網絡 Cisco IOS 和 , Catalyst OS NetFlow v5/v7 NAC ACS Extreme Extremeware ? 防火墻 /VPN Cisco PIX , IOS Firewall, FWSM amp。 , VPN Concentrator , Cisco ASA CheckPoint Firewall1 NG FPx, VPN1 NetScreen Firewall , Nokia Firewall ? IDS Cisco NIDS amp。 , , IDSM , , Enterasys Dragon NIDS ISS RealSecure Network Sensor , Snort NIDS McAfee Intrushield NIDS NetScreen IDP Symantec ManHunt ? 漏洞評估 eEye REM Foundstone FoundScan ? 主機安全 Cisco Security Agent (CSA) McAfee Entercept , ISS RealSecure Host Sensor , Symantec AnitVirus ? 主機記錄 Windows NT, 2022, 2022 (有代理和無代理 ) Solaris Linux ? 系統(tǒng)記錄 通用設備支持 ? 應用 Web 服務器 (IIS, iPla, Apache) Oracle 9i, 10i 數據庫審查記錄 Network Appliance NetCache Note: Visit 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 69 ? 利用網絡拓撲發(fā)現同一個進程的不同事件和流程 MARS采用專利算法，利用拓撲知識和設備配置信息，將不同設備產生事件關聯到同一個進程，創(chuàng)造出整個攻擊環(huán)境 ? 利用網絡拓撲減少誤報 識別同一個進程的事件，分析攻擊從源到目的地的拓撲路徑，發(fā)現某個攻擊是否的確到達了預定的目的地 ? 利用網絡拓撲發(fā)現最理想的防御點 通過分析從攻擊者到預定目的地的路徑，將距離攻擊者最近的設備定為最理想的防御點 ? 利用網絡拓撲發(fā)現攻擊路徑和網絡熱點 ? 利用網絡拓撲提高證據分析能力 通過識別 NAT地址解析和攻擊者 MAC地址提供大大增強的證據分析能力 哪兒發(fā)生了安全事件？ MARS擁有端到端的網絡拓撲感知能力 高效能進程化和基于進程的主動關聯 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 70 哪兒發(fā)生了安全事件？ MARS自動識別攻擊路徑 /攻擊源 /攻擊目標 ? SureVector? 分析方法 –顯示準確的攻擊路徑 –通過下拉菜單，可以查詢全部的事件和原始事件數據 –對異常現象和攻擊行為找出真實的源泉 –更加全面和準確 1. Host A Port Scans Target X 2. Host A Buffer Overflow Attacks X Where X is behind NAT device and Where X is Vulnerable to attack 3. Target X executes Password Attacks Target Y located downstream from NAT Device 防火墻 攻擊路徑顯示 事件攻擊拓樸顯示 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 71 如何處理安全事件？ MARS可以給出對安全事件的建議方法 路由器上的緩解建議 交換機上的緩解建議 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 72 ? 在加入網絡之后， MARS會用幾天時間適應網絡使用模式。 隨后切換到檢測模式，查找重要的異常行為，例如當前值比標準偏差高出兩到三倍的情況。 ? PN MARS可以精確地監(jiān)控網絡使用情況， 跟蹤在每天的每個小時中發(fā)現的數據流和交換分組的TOP（主機、端口）組合信息（數量可設置）。 ? 智能采集系統(tǒng)動態(tài)地存儲異常行為的整個NetFlow記錄（主機，端口）， 輕松地獲知安全事件的整個環(huán)境 ，例如受感染的源、目的地端口等。 ? 所提供的內置規(guī)則可以 自動地將異常行為與網絡IDS系統(tǒng)所報告的攻擊關聯 到一起。 ? 即使沒有安裝一個網絡 IDS系統(tǒng)，一個遭受某種未知攻擊的主機也可能會表現出上述異常行為，從而被 MARS輕松發(fā)現。 如何發(fā)現異常現象？ MARS接受 Netflow并給出異?，F象報警 在 CSMARS上啟動Netflow 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 73 ? MARS基于硬件一體化結構 ? 基于圖形界面的配置 /部署，可以在很短時間內完成實施 ? 簡單的二層部署結構 ? 無需 agent代理 ? 對不同的網絡規(guī)模，有相應的設備類型 ? 性價比好，很適合企業(yè)用戶 是否簡單易用？ MARS易于使用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 74 MARS滿足企業(yè)用戶的安全管理需求 用戶需求 / 面臨的挑戰(zhàn) M A R S 如何支持如何管理多廠商的安全設備？ 很難管理來自不同廠商的安全信息M A R S 可以處理來自不同廠商的安全信息，最常見的網絡和安全產品，終端操作系統(tǒng)，均在 M A R S 的支持列表中發(fā)生了什么樣的安全事件？ 用戶需要花費他們大量的時間，從海量的安全信息中，包括錯誤信息中，才能找出真正的安全挑戰(zhàn)M A R S 通過分析安全威脅，判斷哪些是最重要的，哪些不是。可以自動過濾來自防火墻 l o g ，路由器 l o g ， I D S 信息中的虛假信息，每秒可以處理上兆的數據，提供數據的圖形化分析哪兒發(fā)生了安全事件 ? 當安全事件確認后，需要快速找到安全攻擊的來源，攻擊路徑，以便于實施防護，保證網絡的高穩(wěn)定性M A R S 采用基于拓撲的技術和網絡智能的關聯和安全信息的處理，可以顯示出安全事件發(fā)生的路徑，攻擊源和攻擊目標如何處理安全事件 ? 安全事件確認后，用戶希望知道如何防護，是在接近攻擊端，還是在接近被攻擊端？在路由器上，防火墻上，還是 VPN 設備上？是否有建議的處理辦法？M A R S 在發(fā)現安全事件后，可以為用戶提供防護手段的建議，如路由器上如何加 A C L ，在交換機上如何控制端口安全，利用網絡的智能強化安全策略如何實現異常檢測 ? 有些攻擊時新型的，或變種，傳統(tǒng)安全設備（防病毒軟件，防火墻， I D S 等）無法識別，造成網絡出現故障后才發(fā)覺出現了安全事件，無法提供零天保護M A R S 可以接收 N e t Fl o w 流量數據進行異?，F象分析，給出實時報警，提供對未知安全事件的零天保護，縮短安全響應時間簡單實施流程？ 對一般用戶而言，太復雜的配置是難于實施的，希望有簡化的實施流程M A R S 是硬軟件一體化，很容易安裝和調試，無需 agent 引擎，性價比好169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 75 CSMARS 主要組件 ? 智能網絡拓撲發(fā)現 ? 事件進程化管理 ? 風險關聯分析 ? 流量異常分析 ? 誤報分析 ? 響應與緩解 ? 脆弱性評估 ? 報表 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 76 CSMARS的技術特點及優(yōu)勢 更高的功能，更低的價格 TCO，支持多種主流網絡安全設備，最大化投資保護 ? 大幅度精簡數據 ? 及時制止攻擊 ? 端到端的網絡感知功能（ AutoMitigateTM ） ? 集成化的脆弱性評估（ SureVectorTM ） ? 事件關聯引擎（ （ ContextCorrelationTM 已經申報專利） ? 性能優(yōu)化和擴展 快速的在線處理 超過 10,000 EPS 的全功能處理 高容量的