Upload
-
View
1.039
Download
6
Embed Size (px)
Citation preview
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию
Лукацкий Алексей [email protected]
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.
Что заставляет ИБ (и Cisco) двигаться вперед?
Скакун №1: Угрозы
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 3
Время обнаружения вторжений очень велико
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – один из самых долгих инцидентов в 2014-м году
Ponemon
206
HP
416 Symantec
305
Один пример: эксплойт-кит Angler
Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная система
Уязвимости Flash
Смена цели
Вымогатели
Angler Непрерывное забрасывание
«крючков в воду» увеличивает шанс на компрометацию
Шифрование тела ВПО Социальный инжиниринг
Смена IP Сайты-однодневки Ежедневн
ые
доработки
TTD
Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email
Изменение в поведении атак
Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад и обход защитных механизмов
Скорость
Дополнительная информация по угрозам
Уже выпущен!
https://www.youtube.com/watch?v=uJOQJuhWR-E https://www.youtube.com/watch?v=dGrgI_S3yOA
Еще больше деталей про угрозы
Скакун №2: Изменение бизнес-моделей
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 9
Десктопы Бизнес-приложения
Сетевая инфраструктура
Так было в прошлом
Критическая инфраструктура (Amazon, Rackspace, Windows Azure и т.д.)
Бизнес-приложения (Salesforce, Marketo, DocuSign и т.д.)
Мобильные пользователи
Удаленные пользователи
Десктопы Бизнес-приложения
Сетевая инфраструктура
Что сегодня и завтра?
Операторы связи
Промышленные сети
Что предлагает Cisco?
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 12
Гипотезы безопасности Cisco
Консалтинг Интеграция Управление Знание угроз Платформы Видимость
Операционный фокус Нехватка людей
+ Цифровая эволюция
+
Требуются изменения в ИБ
14 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CLUS: AMP Data Center
Закрыта сделка по Sourcefire
Security for ACI
RSAC: AMP Everywhere OpenAppID
2014 ASR
Global Security Sales Organization
Приобретена Neohapsis
AMP Everywhere
Приобретена ThreatGRID
Cisco ASA with FirePOWER
Services
Security and Trust
Organization
Managed Threat
Defense
Talos Integrated
Threat Defense
2013 2015
Security Everywhere
Закрыта сделка по OpenDNS
Приобретена Portcullis
Приобретение Lancope
Последние инновации Cisco в области ИБ
Филиалы
ЛВС Периметр
АСУ ТП
ЦОД
Оконечные устройства
Интеграция и максимальное покрытие от уровня сети до оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов – ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Повсеместная безопасность
AMP Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
Повсеместный AMP
ПК ПК
Периметр
сети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be launched from AnyConnect
Повсеместно… с учетом жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование Внедрение политик
Укрепление
Обнаружение Блокирование
Защита
Локализация Изолирование Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
Web Filtering and Reputation
Security Intelligence
File Type Blocking
Application Visibility &
Control Indicators of Compromise
Traffic Intelligence
File Reputation
Cognitive Threat
Analytics
X X X X
До После
www.website.com
Во время
X
File Retrospection
Мобильный пользователь
Отчеты
Работа с логами
Управление
Удаленный офис Allow Warn Block Partial
Block Основной офис
ASA/NGIPS AMP Appliance WSA ESA AMP for
Endpoints Админ Перенапр
авление трафика
Угрозы
HQ
File Sandboxing
X
Пример: Cisco Advanced Malware Protection
www
Mobile User Удаленный офис
www www
Allow Warn Block Partial Block Основной офис
ASA Standalone WSA ISR G2 AnyConnect® Админ Перенаправление трафика
www
HQ
До После Во время
File Retrospection
File Sandboxing
Webpage
Outbreak Intelligence
ISR 4k
Отчеты
Работа с логами
Управление
X
Web Reputation
and Filtering
SaaS Anomaly Detection
X
File Reputation
X
Anti-Malware
Cognitive Threat
Analytics
X
SaaS Visibility
CAS CAS
X
Cloud Data Loss
Prevention
CAS Application
Visibility and Control
Мобильный пользователь
X
SaaS Anomaly Detection
www.website.com
AMP AMP TG CTA
Пример: Cisco Cloud Web Security
Богатый контекст
Василий
Планшет
Здание 7, корпус 2, 1 этаж
11:00 AM Europe/Moscow 11-00 AM
Беспроводная сеть
Повсеместный контекст
Кто
Что
Где
Когда
Как
Отсутствие контекста
IP Address 192.168.1.51
Не известно
Не известно
Не известно
Не известно Нужный пользователь с нужным устройством попадет в сеть только из нужного места с необходимыми правами
Любой пользователь. Любое устройство откуда угодно попадает в сеть Результат
Контекст:
Netflow
NGIPS
Lancope StealthWatch
AMP
AMP Threat Grid
FireSIGHT Console
CWS
WSA
ESA
FirePOWER Services
ISE объединяет все решения Cisco по ИБ
ISE
Как Что Кто Где Когда
Во время После До
4 основных и 2 отраслевых набора решений
• ASA 5585 • ASAv • ISE • Lancope
• AnyConnect • AMP • CWS • OpenDNS
• ISE • TrustSec • StealthWatch • wIPS
• FirePOWER • ESA • WSA • AMP
Защита периметра
Защита внутренней
сети
Защита ЦОДа Защита пользователей
• Firepower 9300 • Cloud Web Security и Cognitive Threat Analytics
• OpenDNS Umbrella
• ISA 3000 • ASA 5506H • StealthWatch • ISE • NGIPS
ICS SP
А также AMP Threat Grid и OpenDNS Investigate для глубокого анализа угроз
А еще различные сервисы по безопасности
От маркетинга к реальным решениям
• Многие компании имеют множество разных продуктов, часто поглощенных у других игроков рынка
• Обычно это выглядит так, как будто кто-то вывалил кучу деталей Lego на ковёр
• Заказчики вынуждены либо использовать продукты неправильно, либо не на полную мощь
Как объединить продукты в решения?
• Мы не знаем, что нам делать со всеми этими деталями, как нам получить то, что на картинке?
• Нужны подробные рекомендации по превращению отдельных продуктов в целостную архитектуру, протестированную на совместимость с прикладными решениями
Необходима стройная и понятная архитектура
Заголовок слайда
Пример Cisco SAFE для ритейла
Пример SAFE для защищенного периметра
© 2015 Cisco and/or its affiliates. All rights reserved.
Маршрутизатор ISR S2S VPN, унифицированные коммуникации, Trustsec, CWS, анализ Netflow
Коммутатор Catalyst Контроль доступа + Trustsec, анализ Netflow, ISE
Безопасность хостов Антивирус, AMP for Endpoints
Унифицированная БЛВС Контроль доступа + Trustsec, анализ Netflow, WirelessIPS, ISE
WAN
ASA с сервисами FirePower FW, NGIPS, AVC, AMP, фильтрация URL
Email Security Appliance Централизованная защита email, антиспам, антивирус, DLP, AMP
ISE + Cisco Threat Defense Централизованные ISE и CTD Контроль доступа + Trustsec, Проверка на соответствие, Защита от угро на основе анализа потоков Netflow
Internet
От архитектуры к решению: защищаем филиал
Маршрутизатор ISR ISR 4321
Коммутатор Catalyst Catalyst 3850-48
Безопасность хостов Антивирус, AnyConnect 4.0, AMP for Endpoints
Унифицированная БЛВС WLC 5508, AP3701i,MSEv
ASA с сервисами FirePOWER ASA 5515 w/ FP Services
Email Security Appliance ESA в центральном офисе
ISE ISE в центральном офисе
Vlan 10
G1/1 G2/1
Trunk
G1/2
G1/23
G2/1
10.1.1.0/24
10.1.2.0/24
Vlan 12
12.1.1.0/24
WAN Internet
От решения – к низкоуровневому дизайну
Сеть L2/L3
Управление доступом + TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щения вторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщик нагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом + TrustSec
Система предотвра-щения вторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3 МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/ Конфигурация
Мониторинг/ контекст
Анализ/ корреляция
Аналитика
Регистрация в журнале/ отчетность
Аналитика угроз
Управление уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
Пример SAFE для ЦОДа: те же компоненты
FirePOWER Services
Что такое платформа FirePOWER сегодня?
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль приложений
Межсетевой экран Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
Устройство ASA ISR Virtual
Внедрение ASAv : виртуальный МСЭ+VPN § Часто для фильтрации между зонами и тенантами применяется МСЭ в режиме мульти-контекст
§ Для передачи трафика используются транки § Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад
§ На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN
§ Масштабируемая терминация VPN S2S и RA § Поддержка сервисов vNGIPS, vAMP и других Vzone 1 Vzone 2
Multi Context Mode ASA
Видимость и прозрачность всего в сети
Типичный NGFW
Cisco® FirePOWER Services
Типичный IPS
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное приложение обнаружено
Событие нарушения зафиксировано, пользователь
идентифицирован
Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены.
IT & HR провели с
пользователем работу
Идентификация приложений «на лету»
Блокирование передачи файлов Skype
«Черные списки»: свои или централизованные
• Разрешенные типы и версии ОС
• Разрешенные клиентские приложения
• Разрешенные Web-приложения
• Разрешенные протоколы транспортного и сетевого уровней
• Разрешенные адреса / диапазоны адресов
• И т.д.
Создание «белых списков»
За счет анализа происходящего на узлах
Идентифицированная операционная система
и ее версия Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует
пользователь? Когда?
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение зафиксировано,
уведомления отправлены
IT восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT.
Новый актив обнаружен
Поведение обнаружено
Обнаружение посторонних / аномалий
Инвентаризация и профилирование узлов
• Профиль хоста включает всю необходимую для анализа информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система • Используемые приложения
• Зарегистрированные пользователи
• И т.д.
• Идентификация и профилирование мобильных устройств
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие сохранено
LINUX SERVER
WINDOWS SERVER Linux не
уязвим Windows
server уязвим
Атака блокирована
Атака скоррелирована с целью
Новая Windows-атака направлена на Windows и Linux сервера. Атаки скоррелированы с профилем цели. Событие об атаке сгенерировано.
Встроенная корреляция событий безопасности
Автоматизированная, комплексная защита от угроз
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDF Почта
Админ. запрос
Почта
Админ. запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWW WWW WWW
Динамические механизмы безопасности
http:// http:// WWW ВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Приоритет 2
Приоритет 3
Оценка вредоносного воздействия
5 ИК
Встроенная система корреляции событий
• Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных
• Приложения • Уязвимости • Протоколы • Пользователи • Операционные системы • Производитель ОС • Адреса • Место в иерархии компании • Статус узла и т.п.
Автоматизация создания и настройки политик
Анализ сети, протоколов, приложений, сервисов, устройств, ОС, уязвимостей и др. позволяет
автоматизировать создание политик и правил МСЭ и IPS
Использование информации об уязвимостях
• Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности
• Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFW и Cisco FirePOWER NGIPS
Интеграция с PT MaxPatrol
Признаки (индикаторы) компрометации
События СОВ
Бэкдоры Подключения к серверам
управления и контроля ботнетов
Наборы эксплойтов Получение
администраторских полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP серверов
управления и контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
Мониторинг общей информации о сети
• Корреляция событий безопасности, трафика и вредоносного кода
• Активность конкретных пользователей и их приложений
• Используемые ОС и активность сетевого обмена
• Оценка событий по уровню воздействия и приоритета
• Статистика по вредоносному коду и зараженным файлам
• Геолокационные данные
• Категории сайтов и посещаемые URL
Мониторинг сетевых событий
• Использование сервисов
• Использование приложений
• Использование операционных систем
• Распределение соединений
• Активность пользователей
• Уязвимые узлы и приложения
• И т.д.
Мониторинг событий безопасности
• Основные нарушители
• Основные атаки
• Заблокированные атаки
• Основные цели
• Приоритет событий
• Уровень воздействия
Дополнительная информация по FirePOWER
Cisco Advanced Malware Protection
Почему традиционный периметр не защищает?
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
А это подтверждение статистики
16 апреля 2015 года http://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/ Дело СОВСЕМ не в названиях компаний, проблема в методологии
Современный ландшафт угроз требует большего, чем просто контроль приложений
54% компрометаций
остаются незамеченными месяцами
60% данных
похищается за несколько часов
Они стремительно атакуют и остаются неуловимыми
Целое сообщество злоумышленников остается нераскрытым, будучи у всех на виду
100% организаций подключаются к доменам, содержащим
вредоносные файлы или службы
• Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном вредоносном ПО?
AMP Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
AMP Everywhere
ПК ПК
Периметр
сети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be launched from AnyConnect
Cisco AMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасность Точечное обнаружение
Непрерывная и постоянна защита Репутация файла и анализ его поведения
Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие
метки
Расширенная аналитика
Идентичная сигнатура
Признаки компрометации
Сопоставление потоков устройств
Cisco AMP обеспечивает ретроспективную защиту
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Пример траектории файла
Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox
Пример траектории файла
В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8
Пример траектории файла
Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)
Пример траектории файла
Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)
Пример траектории файла
Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие
Пример траектории файла
Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПО и поместило в карантин только что определенное вредоносное ПО
Пример траектории файла
Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано
Пример траектории файла
Ретроспективный анализ файлов позволяет определить • Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло?
• Что еще произошло?
Вопросы конфиденциальности: AMP Private Cloud 2.0
AMP Threat Grid Dynamic Analysis Appliance
Windows, Mac Endpoint
Cisco FirePOWER Sensor
Cisco Web Security Appliance
Cisco Email Security Appliance
Cisco ASA with FirePOWER Services
Talos
Cisco AMP Private Cloud Appliance 2.x
Федерированные данные
Хэши файлов
Анализируемые файлы
Опционально
Планы
Поддержка “air gap”
Cisco AMP Threat Grid
1001 1101 1110011 0110011 101000 0110 00
• Платформа для глубокого анализа вредоносного кода Доступ через портал, выделенное устройство или с помощью API
• Может применяться при построении собственных систем Threat Intelligence или SOC
• Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.
Детальный анализ вредоносного ПО в AMP Threat Grid
Типовые сценарии использования AMP Threat Grid
• Доступ к порталу • Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода • Приватная маркировка загружаемых семплов (опционально) • Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в облако
• Интеграция с решениями Cisco • AMP for Endpoints • AMP for Networks (FP / ASA) • AMP for WSA / CWS • AMP for ESA / CES
• API для автоматизации передачи семплов в Threat Grid включен во все лицензии с подпиской
Развертывание вне облака – на территории заказчика
§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid § В целях соблюдения нормативных требований все данные остаются на территории заказчика § Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для актуализации контекста
§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§ TG5000: § Анализ до 1500 образцов в день § Cisco UCS C220 M3 Chasis (1U) § 6 x 1TB SAS HDD (аппаратный RAID)
§ TG5500: § Анализ до 5000 образцов в день § Cisco UCS C220 M3 Chasis (1U) § 6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты
Повсеместный AMP Threat Grid
Подозрительный файл
Отчет
Периметр
ПК
Firewall & UTM
Email Security
Analytics
Web Security
Endpoint Security
Network Security
3rd Party Integration
S E C U R I T Y
Security monitoring platforms
Deep Packet Inspection
Gov, Risk, Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный файл
Premium content feeds
Security Teams
Cisco ISE
Сейчас труднее чем когда-либо увидеть, кто находится в вашей сети и чем занимаются эти пользователи
?
Нельзя защитить то, что нельзя увидеть
? опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети 90%
компаний подтвердили, что их мобильные устройства были атакованы вредоносным ПО за последние 12 месяцев
75%
79 © Компания Cisco и (или) ее дочерние компании, 2015 г. Все права защищены. Конфиденциальная информация Cisco
?
Сетевые ресурсы Политика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция угроз
Гостевой доступ
Ролевой доступ
Идентификация, профилирование и оценка состояния
Кто
Соответствие нормативам P
Что
Когда
Где
Как
Платформа ISE ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в сеть
Физическая или виртуальная машина
Контекст контроллер ISE pxGrid
Проводная
Филиал
Беспроводная
Контролируйте все из одной точки Сеть, данные, и приложения
Мобильность
Применение политик и использование политик по всей сети
Безопасный доступ отовсюду, независимо от типа подключения
Мониторинг доступа, активностей и соответствие не корпоративных устройств, принимать меры по необходимости
VPN
Партнер
Удаленный сотрудник Центральный
офис
Админ
Контрактник Гость
Профилирование ISE: обнаружение пользователей и устройств
82
CDP/LLDP
RADIUS
NetFlow
HTT
P
NM
AP
Интегрированное профилирование: мониторинг в масштабе
Активное сканирование: большая точность
Веб-канал данных об устройствах: идентификация в масштабе
Сетевая инфраструктура обеспечивает локальную функцию распознавания
Cisco® ISE дополняет информацию пассивной сети данными об активных оконечных устройствах
Производители и партнеры постоянно предоставляют обновления для новых устройств
Сенсор устройств Cisco
Сенсор устройств (функция сети)
Активное сканирование оконечных устройств
Вeб-канал данных об устройствах*
Cisco ISE
Сокращение числа неизвестных устройств в сети в среднем на 74%
Оценка соответствия устройств Оценка состояния
Убедиться в соответствии политике устройства перед предоставлением доступа
Аутентификация
Authen'cate User Authen'cate Endpoint Posture = Unknown/ Non-‐compliant
Карантин
dVLAN dACLs SGT
Оценка состояния
OS HoDix AV / AS Personal FW More….
Исправить
WSUS Launch App Scripts Etc… Posture = Compliant
Авторизовать
Permit Access • dACL • dVLAN • SGT • Etc…
Возможности • Различные агенты используются для оценки состояния (Anyconnect + Web Agent)
• Обязательный, опциональные и режим аудита дают гибкость в развертывании
• Возможность построения детальных правил с использование разных критериев.
• Поддержка периодической проверки и автоматического исправления
AnyConnect
Оценка соответствия устройств Интеграция решений MDM
Проверка соответствия мобильных устройств
• Позволяет делать мультивендорную интеграцию в ISE инфраструктуре
• Макро и микро-уровень оценки (Pin Lock, Jailbroken status)
• MDM атрибуты доступны как опциив политике (Производитель, Модель, IMEI, Серийный номер, ОС Версия, Номер телефона)
• Контроль устройства в ISE из портала Мои устройства (Device Stolen àWipe Corporate data)
Возможности
Интернет
4
1 2
3
Регистрация в ISE
Разрешить интернет доступ
Регистрация в MDM
Разрешить доступ в корп. сеть
Простое и быстрое заведение устройств
• Полный цикл настройки и заведения устройства без поддержки IT службы • Гибкие сценарии с одним или несколькими SSID • Встроенный Certificate authority и портал для упрощения выписки сертификатов. Интегрируется с PKI инфраструктурой
• Портал “Мои устройства” для управления собственными устройствами • Поддержка интеграции с большинством MDM решений включая Cisco Meraki, MobileIron, Citrix, JAMF
Software и многие другие
Возможности
Bring Your own Device (BYOD)
Преимущества
Лучше безопасность Минимизируем риск соединения собственных устройств к сети
Гибкость Работает с проводными и беспроводными устройствами
Улучшить работу сети Снять нагрузку заведения устройств с IT службы
Описание Простой и безопасный доступ в сеть с любого устройства. Простой процесс настройки и заведения устройств.
Эффективно планируйте, управляйте и контролируйте доступ BYOD Пользователь пытается зайти в сеть со своего устройства
ISE идентифицирует пользователя как сотрудника и направляет на портал устройств BYOD
После удачной аутентификации ISE настраивает устройство и выписывает сертификат, применяет политику
Теперь устройство зарегистрировано и получает нужный доступ в сеть
Улучшить работу гостей без ущерба безопасности
Мгновенный, беспарольный доступ напрямую в Интернет
Быстрая, самостоятельная регистрация
Ролевой доступ с помощью сотрудника
Гость
Гость
Гость Спонсор
Интернет
Интернет
Интернет и сеть
Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).
Обеспечение такого же высокого уровня безопасности, но для большого количества устройств
Преимущества
Что нового в ISE 2.0?
Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей
Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)
Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для работы с ISE
• Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
Интеграция с устройствами сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Включите средство унифицированного реагирования с обменом контекста Cisco Platform Exchange Grid (pxGrid)
Когда
Где
Кто
Как
Что
Cisco и партнеры Экосистемы
ISE
Cisco сеть
pxGrid controller
ISE собирает контекст из сети 1
Контекст обменивается по технологии pxGRID 2
Партнеры используют контекст для повышения видимости и борьбы с угрозами
3
Партнеры могут запросить ISE о блокировке угрозы
4
ISE использует данные партнера для обновления контекста и политики доступа
5
Контекст
3 2
1
4 5
Обмен телеметрией с помощью PxGrid С Cisco Web Security Appliance (WSA) и Identity Service Engine (ISE)
Улучшите контроль WEB контента со знанием пользователей и устройств Ключевые функции Cisco Web Security Appliance интегрируется с ISE и использует pxGRID для получения данных контекста для политики Web доступа
Преимущества
• Интеграция с Cisco Web Security Appliance для контроля тех кто может ходить в WEB
• Получение данных классификации с ISE через pxGRID. Использование TrustSec для упрощения работы.
• ИспользованиеTrustSec для абстрагирования и классификации политики доступа
Возможности
Проще администрирование Единый источник контекста и данных пользователей. Использование TrustSec для абстрагирования политики делает ее проще для WSA
Соответствие Создавайте политики по типам устройств, которые разрешат или запретят WEB доступ основываясь на состоянии устройства
Кто: Доктор Что: Ноутбук Где: офис
Кто: Доктор Что: iPad Где: Офис
Кто: Гость Что: iPad Где: Офис
Identity Service Engine
WSA
Конфиденциальные записи пациентов
Сеть сотрудников
Лучшая видимость Детализация отчетности для понимания того кто, когда, и с каких устройств получал доступ в Web
Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)
Быстрое сдерживание распространения угроз с помощью FMC и ISE Что нового в ISE 2.0? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.
Преимущества
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
Возможности
FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный
Доступ запрещается каждой политикой безопасности
Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой
Раннее обнаружение угроз FireSight сканирует активность и публикует события в pxGrid
Корпоративный пользователь загружает файл
Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE
FMC сканирует действия пользователя и файл
В соответствии с новым тегом, ISE распространяет политику по сети
Легко интегрируется с партнерскими решениями
Как Что Кто Где Когда
ISE pxGrid controller
Cisco Meraki
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
SIEM EMM/MDM Firewall Vulnerability Assessment
Threat Defense IoT IAM/SSO PCAP Web
Security CASB Performance Management
Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы — новые партнеры pxGrid Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы
Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.
Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco
Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях
Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа
Улучшенный контроль с помощью авторизации на основе местоположения
Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.
Преимущества
Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.
Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE
Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей
Возможности • Конфигурация иерархии местоположений по всем объектам местоположения • Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения • Повторное предоставление доступа на основе нового местоположения
С интеграцией платформы Cisco Mobility Services Engine (MSE)
Холл Палата Лаборатория Скорая помощь
Врач
Нет доступа к данным пациента
Доступ к данным пациента
Нет доступа к данным пациента
Доступ к данным пациента
Данные пациента
Местоположения для доступа к данным пациента
Палата
Скорая помощь
Лаборатория
Холл
Ролевой контроль доступа
Упрощение управления ИБ с ролевым доступом
• Ролевой контроль доступа • Авторизация на уровне команд с подробной регистрацией действий • Выделенный TACACS+ центр для сетевых администратаров • Поддержка основных функций ACS5
Возможности
Управление устройствами TACACS+
Преимущества
Что нового в ISE 2.0? Заказчики сейчас могут использовать TACACS+ в ISE для упрощения управления устройствами и расширения безопасности через гибкий и точный контроль доступа к устройствам.
Упрощенное и централизованное управление Рост безопасности, compliancy, подотчетности для всего спектра задач администрирования
Гибкий и точный контроль Контроль и аудит конфигураций сетевых устройств
Админы ИБ
TACACS+ Work Center
Сетевые админы
TACACS+ Work Center
Поддержка TACACS+ для управления устройствами
Централизованная видимость Получение всесторонней конфигурации TACACS+ через TACACS+ administrator work center
Зона администратора
Зона предприятия
Зона POS
Зона подрядчика
Мониторинг способствует принятию практических решений благодаря сегментации и автоматизации Сеть как регулятор
• Cisco ISE • Портфель сетевых решений Cisco • Cisco NetFlow • Lancope StealthWatch • Программно-определяемая сегментация TrustSec Cisco
Зона сотрудников
Зона разработки
Cisco Cyber Threat Defense
А если вы не можете разместить сенсоры внутри?
Сеть как сенсор (NaaS)
Динамическая сегментация при обнаружении атаки
Сеть как защитник
(NaaE)
Обнаружение аномалий
Обеспечение видимости всего сетевого трафика
Обнаружение нарушений политик пользователями
Внедрение контроля доступа на критических участках
Динамические политики доступа и контроля
Кто Кто Что
Когда
Как
Откуда Больше контекста
Высокомасштабиуремый сбор Высокое сжатие => долговременное
хранилище
У нас есть NetFlow, дающий контекст Но уже внутри сети
Cisco Cyber Threat Defense
Внутренняя сеть
NetFlow Capable
VPN Устройств
а
Видимость, Контекст и Контроль
КУДА/ОТКУДА КОГДА
КАК
ЧТО
КТО
Использовать данные NetFlow для обеспечения видимости на
уровне доступа
Унифицировать информацию на единой консоли для
расследований и отчетности
Связать данные потоков с Identity и приложения для создания и
учета контекста
CTD добавляет к NetFlow контекст и привязку к ИБ
NAT События
Известные C&C сервера и ботнеты
Данные пользователей
Приложения Приложения & URL
Что позволяет обнаруживать NetFlow?
Отказ в обслуживании SYN Half Open; ICMP/UDP/Port Flood
Распространение червей Инфицированный узел сканирует сеть и соединяется с узлами
по сети; другие узлы начинают повторять эти действия
Фрагментированные атаки Узел отправляет необычный фрагментированный трафик
Обнаружение ботнетов Когда внутренний узел общается с внешним сервером C&C
в течение длительного периода времени
Изменение репутации узла Потенциально скомпрометированные внутренние узлы или
получение ненормального скана или иные аномалии
Сканирование сети Сканирование TCP, UDP, портов по множеству узлов
Утечки данных Большой объем исходящего трафика VS. дневной квоты
• Непонятно • Сложно • Много времени на определение пользователя, устройства и их местоположения
Идентификация инцидентов проходит быстрее с контекстной информаций – пользователь, местоположение, устройство
До Сейчас
Host 1.2.3.4 Scanning Ports of Host 3.3.3.3 Host 1.2.3.4 Scanning Ports of Host 3.3.3.3
VPN
Лэптоп
Ноябрьск
Финансы
POS
Ethernet
СПб
И. Иванов
С добавлением контекста от ISE система становится лучше
Что показывает Cisco Cyber Threat Defense?
Встроенные правила
Быстрый показ деталей инцидента
Карта распространения
Возможность реагирования и помещения нарушителя в карантин
Понятная идеология Тревога à Событие ИБ Детали à Узел à Отчет по узлу
Информация об узле
Оповещения
Пользователи
Активность и приложения
Хост
Группы хостов
Потоки
Информация о пользователе
Оповещения
Устройства и сессии
Детали из AD
Пользователь
Обнаружение C&C-серверов и ботнетов
Идентификация подозрительной активности Высокий Concern Index означает излишне большое число подозрительных событий, которые отличаются от установленного
эталона
Группа узлов Узел CI CI% Тревога События ИБ
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
Обнаружение распространения вредоносного кода
Более 100 алгоритмов обнаружения
Обнаружение утечек данных
Обнаружение торрентов
Что еще мы можем видеть?
• File Sharing Index: показывает P2P-активность (например, торренты)
• Target Index: показывает узлы, которые вероятно являются жертвами атак
• Неавторизованный доступ: попытка нарушения, запрещенного на МСЭ
• Выкачка данных: подозрительная передача данных через периметр в течение длительного времени
Что еще мы можем видеть?
• Утечка данных – передача большого объема данных через сеть – Suspect Data Hoarding – узел скачивает данные с большого количества внутренних узлов – Target Data Hoarding – узел закачивает необычно большой объем данных на другие узлы
• Исследуйте все узлы, с которыми взаимодействовал инфицированный узел
• Пока реальных информационных потоков между узлами и группами узлов с нужным уровнем детализации карты сети
Визуализация потоков, сервисов и приложений
• Данный механизм позволяет отслеживать ошибки в настройках МСЭ
Визуализация потоков, сервисов и приложений
Cisco TrustSec
Традиционная сегментация
Голос Данные PCI Подрядчик Карантин
Уровень доступа
Уровень агрегации
VLAN Адресация DHCP-охват
Резервирование Маршрутизация Статический ACL
Простая сегментация с 2 сетями VLAN Больше политик с использованием большего числа VLAN
Дизайн необходимо реплицировать на этажи, здания, офисы и другие объекты. Затраты могут быть чрезвычайно высокими
ACL
access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Гибкое и масштабируемое применение политик
Коммутатор Маршрутизатор Межсетевой экран ЦОД
Коммутатор ЦОД
Автоматизация управления системой безопасности
Повышение эффективности
Упрощенное управление доступом
Технология Cisco TrustSec® Сегментация на основе бизнес-политик
Политика сегментации
Сегментация сети с помощью TrustSec
• Сегментация на основе RBAC, независимо от топологии на основе адресов
• Роль на основе AD, атрибутов LDAP, типа устройства, местоположения, времени, способов доступа и т. д.
• Использование технологии тегирования для представления логической группы, траффик отправляется вместе с тегом
• Внедрение политики на основе тегов для коммутаторов, маршрутизаторов и МСЭ
• Централизованно определяемая политика сегментации, которая может быть применена в любом месте сети
Сегментация TrustSec обеспечивает следующие возможности:
Коммутаторы Маршрутизаторы Межсетевой экран Коммутатор ЦОД ПО гипервизора
Имя пользователя: johnd Группа: управляющие магазинами Местонахождение: офис магазина Время: рабочие часы
SGT: менеджер
Применение политики
Ресурс
Пример: Управление доступом пользователя к ЦОД с помощью TrustSec
Голос Сотрудник Поставщики Гость Не соответст- вует требованиям
Тег сотрудника
Тег поставщика
Тег посетителя
Несоответствующий тег
МСЭ ЦОД
Голос
Здание 3 WLAN — Данные — VLAN
Ядро комплекса зданий
ЦОД
Основное здание Данные — VLAN
Сотрудник Не соответст- вует требованиям
Политика (тег группы безопасности (SGT)) применяется к пользователям, устройствам и серверам независимо от тополологии или местоположения. TrustSec упрощает управление ACL-списками для входящего и исходящего трафика VLAN Уровень доступа
Cisco Web Security Appliance
Решения Cisco по защите и контролю доступа в Интернет
ASA с FirePOWER Services / Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance (Physical & Virtual)
Cisco ISR с FirePOWER Services
Web Filtering
Cloud Access Security
Web Reputation
Application Visibility and
Control Parallel AV Scanning
Data-Loss Prevention
File Reputation
Cognitive Threat
Analytics*
X X X X
До После Во время
X
File Retrospection
www
Мобильный пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial Block Основной офис
WCCP Explicit/PAC Load Balancer PBR AnyConnect® Client Админ Перенаправле-ние трафика
www
HQ
File Sandboxing
X
Client Authentication
Technique
* Roadmap feature: Projected release 2H CY15
X Cisco® ISE
Cisco Web Security Appliance
1. Сканируем текст
Cisco Web Usage Controls URL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к эталонным документам
4. Возвращаем самое близкое значение категории
2. Вычисляем релевантность
Finance Adult Health
Finance Adult Health
Allow
WWW Warn
WWW WWW Partial Block
Block
WWW
5. Enforces policy
If Unknown, the Page Is Analyzed
Block
WWW
Warn
WWW
Allow
WWW
If Known
Сканирование malware в реальном времени Dynamic Vectoring and Streaming
Сигнатурный и эвристический анализ Эвристическое обнаружение Идентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверка Идентификация известного поведения
Множество механизмов сканирования
malware
Оптимизация эффективности и уровня обнаружения с интеллектуальным мультисканированием
Расширение сигнатурного покрытия с использованием нескольких механизмов
Улучшение впечатления с помощью параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного трафика с помощью перехвата и расшифровки SSL соединений
Эмуляция в реальном времени
Sandbox реального времени Анализ для защиты от атак 0-day
Layer 4 Traffic Monitor Обнаружение зараженных узлов
Пользователи
Cisco® S-Series
Network -Layer
Analysis
Мощные данные antimalware Предотвращение трафика “Phone-Home”
§ Сканирует весь трафик, все порты и все протоколы
§ Обнаружение malware, обходящее порт 80 § Предотвращение трафика botnet
§ Автоматически обновляемые правила § Генерация правил в реальном времени с помощью “dynamic discovery”
Инспекция пакетов и заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter
Предотвращение утечек данных Снижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd-pary вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
Расширенный DLP
Базовый DLP
Dropbox
Microsoft Outlook
Gmail
Что делать с мобильными пользователями? Cisco AnyConnect Secure Mobility Client
Пользователь с ноутбуком, планшетом или телефоном
Роуминг-пользователь с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Вердикт
WSA веб безопасность
Расположение web безопасности
CWS web безопасность
Router or firewall re-route traffic to WSA or CWS
Перенаправление web трафика
Работа с WWW через VPN
Перенаправление трафика на ближайший web прокси
Cisco AnyConnect®
Client
VPN
ACWS
VPN
Дополнительная информация по WSA
Cisco Email Security Appliance
Защита от угроз Cisco Email Полная защита от угроз
Cisco® Talos Репутационная фильтрация SenderBase
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Drop
Drop/Quarantine
Антивирус Drop/Quarantine
Advanced Malware Protection (AMP) Drop/Quarantine
Quarantine/Rewrite
Deliver Quarantine Rewrite URLs Drop
Обнаружение Graymail Rewrite
Защита от спама Эшелонированная оборона
Входящая хорошая, плохая, неизвестная почта
SBRS
Поддержка Cisco® SIO
What
Cisco Anti-Spam
When Who
How Where
§ Нормальная почта проверяется на спам
§ Подозрительная почта ограничивается и фильтруется
Известная плохая почта блокируется на границе сети
§ Определение URL репутации и контекста
§ > 99% уровень обнаружения § < 1 на 1 миллион – уровень ложных срабатываний
Mail Policies
«Белый» список фильтруется от вирусов
Cisco Anti- spam Engine
Cisco Anti- spam Engine
Anti- spam Engine B
Anti- spam Engine (Future)
Intelligent multiscan (IMS)
Эшелонированная оборона от вирусов
Cisco Anti-Spam
§ Sophos § McAfee § Или оба -- Sophos и McAfee
Выбор антивирусов
Антивирусные механизмы Антиспам
Защита от malware нулевого дня Advanced Malware Protection
Outbreak Filters Advanced Malware Protection
Репутация файлов
Известная репутация
«песочница»
Неизвестные файлы загружаются в песочницу (archived, Windows PE, PDF, MS Office)
Cisco® AMP интеграция
Обновление репутации
Защита от атак нулевого дня Outbreak Filters
Advanced Malware Protection
Облачное детектирование malware 0-day
Обнаружение вирусов и malware 0-day
§ Среднее опережение*: более 13 часов § Атаки заблокированы*: 291 атака § Всего инкрементальная защита*: более 157 дней
Преимущества Outbreak Filters
Outbreak Filters
Cisco® Talos
Вирусный фильтр
Динамический каранин
«Линия обороны» URL Интеграция безопасности Email и Web
Email содержит URL Cisco® Talos
URL репутация и категоризация
Замена
Defang/Block
Перезапись Перенаправить в облако
§ BLOCKEDwww.playboy.comBLOCKED
§ BLOCKEDwww.proxy.orgBLOCKED
“This URL is blocked by policy”
Top вредоносных URL
Пользователей кликнуло
Дата/время, причина перезаписи, URL действие
Отслеживание взаимодействия с Web Отслеживание URL, перезаписанное политикой
URL перезаписан
Пользователь кликает на перезаписанный
URL
На базе Email ID На базе LDAP группы
На основе IP адреса
Остановка 0-day
Динамическая информация
Образование пользователей
Отчет о перезаписанных URL
Список пользователей, получивших доступ к перезаписанным URL
Добавление вредоносного URL к списку
Безопасность Cisco Email Обеспечение полного контроля исходящих
Ограничение потока
AS/AV проверки
Соответствие/DLP
Шифрование чувствительных
данных DKIM/SPF
Экономика E-mail Security Appliance § Исходные данные:
§ Число сотрудников (почтовых ящиков) – 7000 § Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) § Объем спама – 60% (42000 сообщений) § Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек § Суммарные дневные затраты на спам – 14,583 человеко-дня § Средняя зарплата сотрудника – $1500
§ Потери компании § В день – $994,29 § В месяц – $21784,5 § В год – $248573,86
§ Выгоден ли антиспам в данной ситуации? § Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности
Больше деталей про экономику
https://www.youtube.com/watch?v=bcQWuKUMeb4
Дополнительная информация по ESA
Cisco AnyConnect
AnyConnect – больше чем просто VPN
SSL / DTLS VPN IPsec VPN
Оценка состояния
(HostScan/ISE)
Cloud Web Security
L2 саппликант
(Win Only)
Switches and Wireless
controllers
ASA WSA ISE/ACS Cloud Web Security + AMP
Центральные устройства
ASR/ CSR
ISR
Базовый VPN Расширенный VPN Другие сервисы
Модуль сетевой видимости
AMP Enabler
Решение Cisco AnyConnect Secure Mobility Solution
Широкая поддержка платформ
• Apple IOS, Android, Blackberry, Windows Phone, Windows 7/8/10, MAC, Linux, ChromeOS
• Работа через клиента и через браузер
Постоянное подключение
• постоянно активное подключение, • выбор оптимального шлюза, • автоматическое восстановление подключения
Унифицированная безопасность и модульность
• Идентификация пользователей и устройств • Проверка соответствия • Интегрированная веб-безопасность • Интеграция с защитой от вредоносного кода • Поддержка VDI
Корпоративный офис
Безопасный, Постоянный Доступ
ASA
Wired Wi-Fi
мобильная или Wi-Fi
Мобильный сотрудник Домашний офис
Филиал
Защита промышленных сегментов
Потребность в специализированных МСЭ/IPS
Для промышленного применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде
Пассивная защита в промышленной сети
Сложности Ответ Cisco
• Пассивное профилирование сети
• Отсутствие задержек между устройствами и системами, требующими реального времени
• «Белые списки» ожидаемого, предупреждения по аномалиями
• ICS означают статичность, но часто нет возможности проверить это
• ICS построены с минимальным объемом системных ресурсов
• Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы
Обзор решений Cisco по безопасности АСУТП
§ Cisco ASA Firewall для сегментации (и в промышленном исполнении) § Cisco FirePower NGIPS с набором сигнатур для промышленных систем
§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с ретроспективным анализом
§ Cisco AnyConnect для контроля доступа и оценки состояния NAC
§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении неавторизованных подключений, оценка состояния и управление доступом.
§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий с сервисами сквозной авторизации
§ Cisco Cyber Threat Defense (CTD)
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD / Manufacturing Zone
PCN / Cell / Area Zone
?
?
Компоненты Cisco для защиты АСУ ТП
«Настольная» модель Cisco ASA 5506-X
7.92 x 8.92 x 1.73 in.
Параметр Значение
CPU Многоядерный
RAM 4 Гб
Ускоритель Да
Порты 8x GE портов данных, 1 порт управления с 10/100/1000 BASE-T
Консольный порт RJ-45, Mini USB
USB-порт Type ‘A’ supports 2.0
Память 64-GB mSata
Охлаждение Convection
Питание AC external, No DC
Cisco ASA 5506H-X в защищенном исполнении
*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:
9 x 9.2 x 2.5 in.
Параметр Значение
Порты 4 x портов данных
Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP
Напряжение 5V (*** 5506 is 12V)
Диапазон температур От –20 до 60°C (рабочий) От -40 до 85°C (обычный)
Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount
Специальные сертификаты на Cisco ASA 5506H-X
Сертификаты соответствия
9 x 9.2 x 2.5 in.
IP40 per IEC 60529 KN22 IEC 61850-3 IEC 61000-6-5 IEC 61000-5 IEC 611000-4-18 IEEE 1613.1 IEEE C62.412 IEC 1613 IEC 61850-3 IEC 60068-2
Промышленный МСЭ/IDS Cisco ISA 3000
Основные характеристики Cisco ISA 3000
§ Производительность: 2 Gbps § Кол-во IPSec/SSL VPN: 25
§ IPv4 MAC Security ACE: 1000
§ Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)
§ 4 ядра Intel Rangely, SSD 64 GB
§ 8 GB DRAM, 16 GB Flash
§ Питание DC
§ Рабочая Температура -40 до +74 °C
§ Вес: 1.9 кг
Защитный функционал ASA 5506H-X / ISA 3000
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
Cisco ASA
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль приложений
Межсетевой экран Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
Поддержка промышленных протоколов
§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3
§ Возможность написания собственных сигнатур
§ Свыше сотни встроенных сигнатур CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin Iconics
Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft
ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE
Sielco
ScadaTec
Sinapsi
DATAC
WellinTech
Tridium
Schneider Electric
CODESYS
Отражение атак на промышленные системы
Защита операторов связи
Варианты реализации отражения DDoS-атак
DDoS
Сетевое оборудование с
функциями отражения DDoS
Специализированные устройства для борьбы с DDoS
Защитные устройства с функциями защиты
от DDoS
Сервисы от оператора связи или
специализированного провайдера услуг
• Cisco ASR 9000 VSM
• Firepower 9300
• Cisco ISR • Cisco ASR • Cisco GSR • Cisco CRS
• Cisco ASA 5500-X • Cisco Stealthwatch • Cisco SCE • Cisco NGIPS
Платформа Firepower 9300
Модульная платформа операторского класса с интерфейсами 10, 40, и 100 Гбит/с.
Объединение сервисов безопасности компании Cisco и других компаний
Эластичная масштабируемость за счет кластеризации
Ускоренная обработка для доверенных приложений
Функции ПО Cisco ASA для операторов связи § Эффективная защита на сетевом и транспортном уровне § Трансляция адресов операторского класса (Carrier-grade NAT) § Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1) § Анализ SCTP и Diameter в планах
Обзор платформы Cisco Firepower 9300
Модуль управления
§ Внедрение и управление приложениями § Сетевые интерфейсы и распределение трафика § Кластеризация для сервисов Cisco® ASA и прочих
1
3
2
Модули безопасности
§ Встроенный классификатор пакетов и потоков, а также ускоритель шифрования § Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка) § Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер)
Firepower 9300 изменяет модель интеграции сервисов
Унифицированная платформа сервисов безопасности
Данные 1001
00010111100010
1110 SSL FW WAF NGIPS DDoS AMP
Максимальная защита Высокая эффективность Масштабируемость Гибкость
Обозначения:
Сервисы Cisco
Сервисы партнеров
• Radware vDP – первое из приложений 3-х компаний, ставшее элементом новый архитектуры
• Защита от DDoS работает на входных интерфейсах Firepower 9300
А если у меня нет возможности для покупки средств для мониторинга? Используйте Cisco Threat Awareness Service
Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. • Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной активности
• Идентификация скомпрометированных сетей и подозрительного поведения
• Помогает компаниям быстро идентифицировать скомпрометированные системы
• Обеспечение рекомендаций • Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации • Позволяет улучшить общую защищенность
Cisco Threat Awareness Service
Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: • Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence
Интеграция с отечественными разработчиками
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 167
Cisco Security API
OpenDNS API MDM API
eStreamer API
Threat Grid API
ESA API ASAv/ASA API ISIS API
Host Input API Remediation API
Развитие интеграционных решений
Инфраструктура API
ДО Политика и контроль
ПОСЛЕ Анализ и
восстановление Обнаружение и блокирование
ВО ВРЕМЯ
Инфраструктура & Мобильность
NAC Управление уязвимостями
Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEM Визуализация Network Access Taps
Развитие NME-RVPN: доверенная платформа UCS-EN
• Доверенная платформа UCS-EN120SRU § Производится в России
• Поддерживается на Cisco ISR 29xx/39xx/4xxx • Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ: § СКЗИ S-Terra CSP VPN Gate § СКЗИ ViPNet Координатор § СКЗИ Dionis NX § МСЭ прикладного уровня Positive Technologies
Application Firewall § СОВ ViPNet IDS § Базовый доверенный модуль (БДМ) Элвис+ § TSS VPN § Ведутся работы и с рядом других российских разработчиков
Скакун №3: Законодательство
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 171
2008
2010
2012 2013 2014
2015 2011
2000-е
ПДн СТОv4 382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБ АСУ ТП КИИ
ПДн СТОv5
СТО/РС СТР-К ПКЗ
Краткий обзор развития законодательства по ИБ
2016: • ГИС • 382-П • СОПКА • КИИ (?)
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №17 по защите ГИС/МИС
17-й приказ ФСТЭК и решения Cisco
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №21 по защите персональных данных
21-й приказ ФСТЭК и решения Cisco
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №31 по защите автоматизированных систем управления технологическими процессами
• Эти решения могут быть применены как в самом промышленном сегменте, так и на стыке с корпоративной сетью или Интернет
31-й приказ ФСТЭК и решения Cisco
~650 ФСБ НДВ 34 123 Сертификатов ФСТЭК на
продукцию Cisco
Сертифицировала решения Cisco
(совместно с С-Терра СиЭсПи)
---- Ждем еще ряд важных
анонсов
Отсутствуют в ряде продуктовых линеек Cisco
---- На сертификацию поданы новые продукты
Линейки продукции Cisco
прошли сертификацию по схеме «серийное производство»
Продуктовых линеек Cisco
сертифицированы во ФСТЭК
Сертификация решений Cisco
Дополнительные сведения
Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/
Дополнительные сведения
Раздел «Брошюры» на сайте www.cisco.ru
Как это все «пощупать»?
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 179
Варианты демонстрации по безопасности
• Физические продукты из демо-пула
• Виртуальные версии
• Интерактивное демо в dCloud
dCloud это портал Cisco для интерактивных демонстраций
Охватывает все архитектуры
Простота бронирования и использования
Доступен 24/7 для наших партнеров и заказчиков
https://dcloud.cisco.com
Доступные в dCloud демонстрации по безопасности
• Cyber Threat Defense (= Stealthwatch от Lancope)
• Cisco Content Security - WSA+AMP, ESA и WSA+ASA
• Cisco Enterprise Branch Lite (ISR G2)
• Cisco ASA with FirePOWER, Cisco FireSIGHT, Cisco Sourcefire
• Cisco Trustsec User to Datacenter
• Cisco Unified Access
• Cisco ISE for MDM, for BYOD, for Guest Management
• Cisco Cloud Web Security
• Splunk with Cisco Security
• Cisco AnyConnect 4.1 with AMP
• Cisco Self Learning Networks – DDoS Prevention
• Cisco Hosted Security as a Service
• Cisco IWAN – Secure Connectivity
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.
Илья Яблонко, CISSP, менеджер по развитию решений ИБ +7 912 607 55 66, [email protected]
Алексей Лукацкий Бизнес-консультант по ИБ +7 495 961 14 10 [email protected]