【正文】 2, 32, 720 CATOS No (NAC L2 IP) 4000 Series – Sup2+, 35 IOS Future (NAC L2 IP) 3550, 3560, 3750 EMI, SMI No (NAC L2 IP) 2950, 2960 EI, SI No No No 2940, 2955, 2970 All No No No 6500 – Sup1A All No No No No 5000 All No No No No 4000/4500 CATOS No No No No 3500XL All No No No No 2900XM All No No No No 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 49 目錄 1. 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢(shì) 2. SOX符合性對(duì)信息系統(tǒng)控制的要求 3. 思科網(wǎng)絡(luò)準(zhǔn)入控制方案 (NAC2) 4. 思科終端安全防護(hù)方案 5. 安全信息管理 CSMARS 169。如是否安裝了 BT等軟件。 ? 禁止安裝某些應(yīng)用程序、禁止運(yùn)行某些應(yīng)用程序： 例： CSA能夠禁止 PC運(yùn)行不符合公司策略的應(yīng)用程序，如 BT， IM。 ? 禁用 USB等移動(dòng)設(shè)備： Ex： USB、光驅(qū)等各種可移動(dòng)設(shè)備，常常是引入病毒、風(fēng)險(xiǎn)的入口。只有當(dāng)管理員授權(quán)時(shí)，才能使用和訪問(wèn)。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 51 CSA Approach: Behavioral Protection for Endpoints Target 1 2 3 4 5 探測(cè) 進(jìn)入 持續(xù) 傳播 發(fā)作 ? Ping地址 ? 掃描端口 ? 猜測(cè)用戶帳號(hào) ? 猜測(cè)郵件用戶 ? 郵件附件 ? 緩沖區(qū)溢出 ? ActiveX控制 ? 網(wǎng)絡(luò)安裝 ? 壓縮消息 ? 猜測(cè)后門 ? 創(chuàng)建新的文件 ? 修改現(xiàn)有文件 ? 弱化注冊(cè)表安全設(shè)置 ? 安裝新的服務(wù) ? 設(shè)置陷阱后門 ? 攻擊的郵件副本 ? Web連接 ? IRC ? FTP ? 感染文件共享 ? 刪除文件 ? 修改文件 ? 設(shè)置安全漏洞 ? 導(dǎo)致計(jì)算機(jī)崩潰 ? 拒絕服務(wù) ? 竊取機(jī)密 ?快速變異 ?持續(xù)特征更新 ?不準(zhǔn)確的 ?注重于漏洞 ? 危害大 ? 注重于 exploit ? 變化非常緩慢 ? 思科安全代理解決方案的靈感 ? Many points when and attack could be stopped ? The more defense points, the better ? The earlier the attack is stopped, the better – before it reaches the endpoint is best 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 53 Cisco Security Agent Consolidates Multiple Endpoint Products ?Only one agent to purchase ?Only one agent to deploy ?Only one agent to manage ?No signatures to test and deploy Extensible Capability = Investment Protection Single Agent Protection = Increased ROI Desktop Protection: ? Distributed Firewall ? Day Zero Virus/Worm Protection ? File Integrity Checking ? Application security ? Policy Enforcement Server Protection: ? Hostbased Intrusion Prevention ? Day Zero Virus/Worm Protection ? Operating System Hardening ? Web Server Protection ? Security for other applications 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 55 Dynamic States using NAC CSA Version: CSA MC: CSA State: HEALTHY NAC Posture: HEALTHY CSA Version: CSA MC: CSA State: TESTMODE ON CSA State: REMEDIATE NAC Posture: REMEDIATE Dynamic Policy Change Normal Policy ACS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 57 Cisco Security Agent amp。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 58 Performance ? Windows CPU Usage: 15% ? Solaris CPU Usage: 310% ? Memory Usage: 710MB, up to 20 ? Network Impact: Policy download: 3570k Event: ~3k Poll: ~ Polling Interval change: ~3k Software Update: varies ? Transactions per second is a very good way to measure latency 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 60 目前網(wǎng)絡(luò)安全方面面臨最大的問(wèn)題是什么 ? 管理 !!! 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 62 安全管理問(wèn)題主要?dú)w結(jié) ? 對(duì) 實(shí)時(shí) 安全信息不了解，無(wú)法及時(shí)發(fā)出預(yù)警信息。 ? 對(duì)某些特定安全事件沒(méi)有適合的方法，如 DDoS攻擊，蠕蟲病毒等。 IT管理者的期望： 安全的網(wǎng)絡(luò)－－ 一個(gè)能集中管理所有產(chǎn)品 信息、 智能化的安全管理中心 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 64 業(yè)界領(lǐng)先的 STM安全威脅管理設(shè)備 思科監(jiān)控分析和響應(yīng)系統(tǒng) (MARS) ? 利用您的現(xiàn)有投資來(lái)創(chuàng)建 “普遍計(jì)算” ? 關(guān)聯(lián)來(lái)自企業(yè)各處的數(shù)據(jù) NIDS，防火墻，路由器，交換機(jī)， CSA 系統(tǒng)記錄， SNMP， RDEP， SDEE， NetFlow， 終端事件記錄 ? 迅速定位和抵御攻擊 ? 主要特性 –根據(jù)設(shè)備 信息、事件和“會(huì)話” ，來(lái)確定安全 事件 –了解 事件 的拓?fù)?，以便查看和重? –在 L2 端口和 L3檢測(cè)點(diǎn)進(jìn)行防御 –高效擴(kuò)展，可實(shí)時(shí)使用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 66 CSMARS 流程典型例子 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 68 如何管理多廠商安全設(shè)備？ 思科 CSMARS 支持多廠商設(shè)備 ? 網(wǎng)絡(luò) Cisco IOS 和 , Catalyst OS NetFlow v5/v7 NAC ACS Extreme Extremeware ? 防火墻 /VPN Cisco PIX , IOS Firewall, FWSM amp。 , , IDSM , , Enterasys Dragon NIDS ISS RealSecure Network Sensor , Snort NIDS McAfee Intrushield NIDS NetScreen IDP Symantec ManHunt ? 漏洞評(píng)估 eEye REM Foundstone FoundScan ? 主機(jī)安全 Cisco Security Agent (CSA) McAfee Entercept , ISS RealSecure Host Sensor , Symantec AnitVirus ? 主機(jī)記錄 Windows NT, 2022, 2022 (有代理和無(wú)代理 ) Solaris Linux ? 系統(tǒng)記錄 通用設(shè)備支持 ? 應(yīng)用 Web 服務(wù)器 (IIS, iPla, Apache) Oracle 9i, 10i 數(shù)據(jù)庫(kù)審查記錄 Network Appliance NetCache Note: Visit 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 70 哪兒發(fā)生了安全事件？ MARS自動(dòng)識(shí)別攻擊路徑 /攻擊源 /攻擊目標(biāo) ? SureVector? 分析方法 –顯示準(zhǔn)確的攻擊路徑 –通過(guò)下拉菜單，可以查詢?nèi)康氖录驮际录?shù)據(jù) –對(duì)異常現(xiàn)象和攻擊行為找出真實(shí)的源泉 –更加全面和準(zhǔn)確 1. Host A Port Scans Target X 2. Host A Buffer Overflow Attacks X Where X is behind NAT device and Where X is Vulnerable to attack 3. Target X executes Password Attacks Target Y located downstream from NAT Device 防火墻 攻擊路徑顯示 事件攻擊拓樸顯示 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 72 ? 在加入網(wǎng)絡(luò)之后， MARS會(huì)用幾天時(shí)間適應(yīng)網(wǎng)絡(luò)使用模式。 ? PN MARS可以精確地監(jiān)控網(wǎng)絡(luò)使用情況， 跟蹤在每天的每個(gè)小時(shí)中發(fā)現(xiàn)的數(shù)據(jù)流和交換分組的TOP（主機(jī)、端口）組合信息（數(shù)量可設(shè)置）。 ? 所提供的內(nèi)置規(guī)則可以 自動(dòng)地將異常行為與網(wǎng)絡(luò)IDS系統(tǒng)所報(bào)告的攻擊關(guān)聯(lián) 到一起。 如何發(fā)現(xiàn)異?，F(xiàn)象？ MARS接受 Netflow并給出異?，F(xiàn)象報(bào)警 在 CSMARS上啟動(dòng)Netflow 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 74 MARS滿足企業(yè)用戶的安全管理需求 用戶需求 / 面臨的挑戰(zhàn) M A R S 如何支持如何管理多廠商的安全設(shè)備？ 很難管理來(lái)自不同廠商的安全信息M A R S 可以處理來(lái)自不同廠商的安全信息，最常見(jiàn)的網(wǎng)絡(luò)和安全產(chǎn)品，終端操作系統(tǒng)，均在 M A R S 的支持列表中發(fā)生了什么樣的安全事件？ 用戶需要花費(fèi)他們大量的時(shí)間，從海量的安全信息中，包括錯(cuò)誤信息中，才能找出真正的安全挑戰(zhàn)M A R S 通過(guò)分析安全威脅，判斷哪些是最重要的，哪些不是。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 75 CSMARS 主要組件 ? 智能網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn) ? 事件進(jìn)程化管理 ? 風(fēng)險(xiǎn)關(guān)聯(lián)分析 ? 流量異常分析 ? 誤報(bào)分析 ? 響應(yīng)與緩解 ? 脆弱性評(píng)估 ? 報(bào)表 16