Cisco, держи марку! Серия №9

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию

Лукацкий Алексей [email protected]

20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.

Что заставляет ИБ (и Cisco) двигаться вперед?

Скакун №1: Угрозы

20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 3

Время обнаружения вторжений очень велико

Bitglass

205

Trustwave

188

Mandiant

229

2287 дней – один из самых долгих инцидентов в 2014-м году

Ponemon

206

HP

416 Symantec

305

Один пример: эксплойт-кит Angler

Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014

Скомпрометированная система

Уязвимости Flash

Смена цели

Вымогатели

Angler Непрерывное забрасывание

«крючков в воду» увеличивает шанс на компрометацию

Шифрование тела ВПО Социальный инжиниринг

Смена IP Сайты-однодневки Ежедневн

ые

доработки

TTD

Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email

Изменение в поведении атак

Ловкость Адаптация Уничтожение

Инновации, использование старых приемов на новый лад и обход защитных механизмов

Скорость

Дополнительная информация по угрозам

Уже выпущен!

https://www.youtube.com/watch?v=uJOQJuhWR-E https://www.youtube.com/watch?v=dGrgI_S3yOA

Еще больше деталей про угрозы

Скакун №2: Изменение бизнес-моделей


Десктопы Бизнес-приложения

Сетевая инфраструктура

Так было в прошлом

Критическая инфраструктура (Amazon, Rackspace, Windows Azure и т.д.)

Бизнес-приложения (Salesforce, Marketo, DocuSign и т.д.)

Мобильные пользователи

Удаленные пользователи

Десктопы Бизнес-приложения

Сетевая инфраструктура

Что сегодня и завтра?

Операторы связи

Промышленные сети

Что предлагает Cisco?


Гипотезы безопасности Cisco

Консалтинг Интеграция Управление Знание угроз Платформы Видимость

Операционный фокус Нехватка людей

+ Цифровая эволюция

+

Требуются изменения в ИБ

14 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

CLUS: AMP Data Center

Закрыта сделка по Sourcefire

Security for ACI

RSAC: AMP Everywhere OpenAppID

2014 ASR

Global Security Sales Organization

Приобретена Neohapsis

AMP Everywhere

Приобретена ThreatGRID

Cisco ASA with FirePOWER

Services

Security and Trust

Organization

Managed Threat

Defense

Talos Integrated

Threat Defense

2013 2015

Security Everywhere

Закрыта сделка по OpenDNS

Приобретена Portcullis

Приобретение Lancope

Последние инновации Cisco в области ИБ

Филиалы

ЛВС Периметр

АСУ ТП

ЦОД

Оконечные устройства

Интеграция и максимальное покрытие от уровня сети до оконечных устройств, от ЦОДов до облаков, от ЛВС до

промышленных сегментов – ДО, ВО ВРЕМЯ и ПОСЛЕ

Облака

Повсеместная безопасность

AMP Threat Intelligence

Cloud

Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat

Linux

AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall

with Firepower Services

AMP Private Cloud Virtual Appliance

AMP on Firepower NGIPS Appliance (AMP for Networks)

AMP on Cloud Web Security & Hosted Email

CWS

Threat Grid Malware Analysis + Threat

Intelligence Engine

AMP on ISR with Firepower Services

Повсеместный AMP

ПК ПК

Периметр

сети

AMP for Endpoints

ЦОД

AMP for Endpoints

Удаленные ПК

AMP for Endpoints can be launched from AnyConnect

Повсеместно… с учетом жизненного цикла атаки

Защита в момент времени Непрерывная защита

Сеть Терминал Мобильное устройство Виртуальная машина Облако

Исследование Внедрение политик

Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование Восстановление

Жизненный цикл атаки

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

Web Filtering and Reputation

Security Intelligence

File Type Blocking

Application Visibility &

Control Indicators of Compromise

Traffic Intelligence

File Reputation

Cognitive Threat

Analytics

X X X X

До После

www.website.com

Во время

X

File Retrospection

Мобильный пользователь

Отчеты

Работа с логами

Управление

Удаленный офис Allow Warn Block Partial

Block Основной офис

ASA/NGIPS AMP Appliance WSA ESA AMP for

Endpoints Админ Перенапр

авление трафика

Угрозы

HQ

File Sandboxing

X

Пример: Cisco Advanced Malware Protection

www

Mobile User Удаленный офис

www www

Allow Warn Block Partial Block Основной офис

ASA Standalone WSA ISR G2 AnyConnect® Админ Перенаправление трафика

www

HQ

До После Во время

File Retrospection

File Sandboxing

Webpage

Outbreak Intelligence

ISR 4k

Отчеты



X

Web Reputation

and Filtering

SaaS Anomaly Detection

X

File Reputation

X

Anti-Malware

Cognitive Threat

Analytics

X

SaaS Visibility

CAS CAS

X

Cloud Data Loss

Prevention

CAS Application

Visibility and Control


X

SaaS Anomaly Detection

www.website.com

AMP AMP TG CTA

Пример: Cisco Cloud Web Security

Богатый контекст

Василий

Планшет

Здание 7, корпус 2, 1 этаж

11:00 AM Europe/Moscow 11-00 AM

Беспроводная сеть

Повсеместный контекст

Кто

Что

Где

Когда

Как

Отсутствие контекста

IP Address 192.168.1.51

Не известно



Не известно Нужный пользователь с нужным устройством попадет в сеть только из нужного места с необходимыми правами

Любой пользователь. Любое устройство откуда угодно попадает в сеть Результат

Контекст:

Netflow

NGIPS

Lancope StealthWatch

AMP

AMP Threat Grid

FireSIGHT Console

CWS

WSA

ESA

FirePOWER Services

ISE объединяет все решения Cisco по ИБ

ISE

Как Что Кто Где Когда

Во время После До

4 основных и 2 отраслевых набора решений

•  ASA 5585 •  ASAv •  ISE •  Lancope

•  AnyConnect •  AMP •  CWS •  OpenDNS

•  ISE •  TrustSec •  StealthWatch •  wIPS

•  FirePOWER •  ESA •  WSA •  AMP

Защита периметра

Защита внутренней

сети

Защита ЦОДа Защита пользователей

•  Firepower 9300 •  Cloud Web Security и Cognitive Threat Analytics

•  OpenDNS Umbrella

•  ISA 3000 •  ASA 5506H •  StealthWatch •  ISE •  NGIPS

ICS SP

А также AMP Threat Grid и OpenDNS Investigate для глубокого анализа угроз

А еще различные сервисы по безопасности

От маркетинга к реальным решениям

•  Многие компании имеют множество разных продуктов, часто поглощенных у других игроков рынка

•  Обычно это выглядит так, как будто кто-то вывалил кучу деталей Lego на ковёр

•  Заказчики вынуждены либо использовать продукты неправильно, либо не на полную мощь

Как объединить продукты в решения?

•  Мы не знаем, что нам делать со всеми этими деталями, как нам получить то, что на картинке?

•  Нужны подробные рекомендации по превращению отдельных продуктов в целостную архитектуру, протестированную на совместимость с прикладными решениями

Необходима стройная и понятная архитектура

Заголовок слайда

Пример Cisco SAFE для ритейла

Пример SAFE для защищенного периметра

© 2015 Cisco and/or its affiliates. All rights reserved.

Маршрутизатор ISR S2S VPN, унифицированные коммуникации, Trustsec, CWS, анализ Netflow

Коммутатор Catalyst Контроль доступа + Trustsec, анализ Netflow, ISE

Безопасность хостов Антивирус, AMP for Endpoints

Унифицированная БЛВС Контроль доступа + Trustsec, анализ Netflow, WirelessIPS, ISE

WAN

ASA с сервисами FirePower FW, NGIPS, AVC, AMP, фильтрация URL

Email Security Appliance Централизованная защита email, антиспам, антивирус, DLP, AMP

ISE + Cisco Threat Defense Централизованные ISE и CTD Контроль доступа + Trustsec, Проверка на соответствие, Защита от угро на основе анализа потоков Netflow

Internet

От архитектуры к решению: защищаем филиал

Маршрутизатор ISR ISR 4321

Коммутатор Catalyst Catalyst 3850-48

Безопасность хостов Антивирус, AnyConnect 4.0, AMP for Endpoints

Унифицированная БЛВС WLC 5508, AP3701i,MSEv

ASA с сервисами FirePOWER ASA 5515 w/ FP Services

Email Security Appliance ESA в центральном офисе

ISE ISE в центральном офисе

Vlan 10

G1/1 G2/1

Trunk

G1/2

G1/23

G2/1

10.1.1.0/24

10.1.2.0/24

Vlan 12

12.1.1.0/24

WAN Internet

От решения – к низкоуровневому дизайну

Сеть L2/L3

Управление доступом + TrustSec

к комплексу зданий

Зона общих сервисов

Система предотвра-щения вторжений нового поколения

Зона сервера приложений

Зона соответствия

стандартам PCI

Зона базы данных

Анализ потока

Безопасность хоста

Баланси-ровщик нагрузки

Анализ потока

МСЭ

Антивре-доносное ПО

Анали-тика угроз

Управление доступом + TrustSec

Система предотвра-щения вторжений нового поколения

Межсетевой экран нового поколения Маршрутизатор

Сеть L2/L3 МСЭ VPN

Коммута-тор

МСЭ веб-приложений

Централизованное управление

Политики/ Конфигурация

Мониторинг/ контекст

Анализ/ корреляция

Аналитика

Регистрация в журнале/ отчетность

Аналитика угроз

Управление уязвимостями

Мониторинг

к периметру

Виртуализированные функции

WAN

Пример SAFE для ЦОДа: те же компоненты

FirePOWER Services

Что такое платформа FirePOWER сегодня?

►  Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений

►  Система гранулярного мониторинга и контроля приложений (Cisco® AVC)

►  Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

►  Фильтрация URL-адресов на основе репутации и классификации

►  Система Advanced Malware Protection с функциями ретроспективной защиты

►  Система управления уязвимостями и SIEM

VPN и политики аутентификации

Фильтрация URL-адресов

(по подписке) FireSIGHT Аналитика и автоматизация

Advanced Malware Protection

(по подписке)

Мониторинг и контроль приложений

Межсетевой экран Маршрутизация и коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI

Встроенное профилирование

сети

Предотвращение вторжений (по подписке)

Устройство ASA ISR Virtual

Внедрение ASAv : виртуальный МСЭ+VPN §  Часто для фильтрации между зонами и тенантами применяется МСЭ в режиме мульти-контекст

§  Для передачи трафика используются транки §  Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3

VM 1

VM 2

VM 3

VM 4

VFW 1

VM 5

VM 6

VM 7

VM 8

VFW 2 VFW 3

§  ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад

§  На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN

§  Масштабируемая терминация VPN S2S и RA §  Поддержка сервисов vNGIPS, vAMP и других Vzone 1 Vzone 2

Multi Context Mode ASA

Видимость и прозрачность всего в сети

Типичный NGFW

Cisco® FirePOWER Services

Типичный IPS

3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

P2P запрещенное приложение обнаружено

Событие нарушения зафиксировано, пользователь

идентифицирован

Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены.

IT & HR провели с

пользователем работу

Идентификация приложений «на лету»

Блокирование передачи файлов Skype

«Черные списки»: свои или централизованные

•  Разрешенные типы и версии ОС

•  Разрешенные клиентские приложения

•  Разрешенные Web-приложения

•  Разрешенные протоколы транспортного и сетевого уровней

•  Разрешенные адреса / диапазоны адресов

•  И т.д.

Создание «белых списков»

За счет анализа происходящего на узлах

Идентифицированная операционная система

и ее версия Серверные приложения и их

версия

Клиентские приложения

Кто на хосте

Версия клиентского приложения

Приложение

Какие еще системы / IP-адреса использует

пользователь? Когда?

3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

Поведение зафиксировано,

уведомления отправлены

IT восстановили

активы

Хосты скомпрометированы

Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT.

Новый актив обнаружен

Поведение обнаружено

Обнаружение посторонних / аномалий

Инвентаризация и профилирование узлов

•  Профиль хоста включает всю необходимую для анализа информацию

•  IP-, NetBIOS-, MAC-адреса

•  Операционная система •  Используемые приложения

•  Зарегистрированные пользователи

•  И т.д.

•  Идентификация и профилирование мобильных устройств

3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

Событие сохранено

LINUX SERVER

WINDOWS SERVER Linux не

уязвим Windows

server уязвим

Атака блокирована

Атака скоррелирована с целью

Новая Windows-атака направлена на Windows и Linux сервера. Атаки скоррелированы с профилем цели. Событие об атаке сгенерировано.

Встроенная корреляция событий безопасности

Автоматизированная, комплексная защита от угроз

Ретроспективная защита

Сокращение времени между обнаружением и нейтрализацией

PDF Почта

Админ. запрос

PDF

Почта

Админ. запрос

Корреляция между векторами атаки

Раннее предупреждение о современных типах угроз

Узел A

Узел B

Узел C

3 ИК

Адаптация политик к рискам

WWW WWW WWW

Динамические механизмы безопасности

http:// http:// WWW ВЕБ

Корреляция между контекстом и угрозами

Приоритет 1



Оценка вредоносного воздействия

5 ИК

Встроенная система корреляции событий

•  Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных

•  Приложения •  Уязвимости •  Протоколы •  Пользователи •  Операционные системы •  Производитель ОС •  Адреса •  Место в иерархии компании •  Статус узла и т.п.

Автоматизация создания и настройки политик

Анализ сети, протоколов, приложений, сервисов, устройств, ОС, уязвимостей и др. позволяет

автоматизировать создание политик и правил МСЭ и IPS

Использование информации об уязвимостях

•  Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности

•  Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFW и Cisco FirePOWER NGIPS

Интеграция с PT MaxPatrol

Признаки (индикаторы) компрометации

События СОВ

Бэкдоры Подключения к серверам

управления и контроля ботнетов

Наборы эксплойтов Получение

администраторских полномочий

Атаки на веб-приложения

События анализа ИБ

Подключения к известным IP серверов

управления и контроля ботнетов

События, связанные с вредоносным кодом

Обнаружение вредоносного кода

Выполнение вредоносного кода

Компрометация Office/PDF/Java

Обнаружение дроппера

Мониторинг общей информации о сети

•  Корреляция событий безопасности, трафика и вредоносного кода

•  Активность конкретных пользователей и их приложений

•  Используемые ОС и активность сетевого обмена

•  Оценка событий по уровню воздействия и приоритета

•  Статистика по вредоносному коду и зараженным файлам

•  Геолокационные данные

•  Категории сайтов и посещаемые URL

Мониторинг сетевых событий

•  Использование сервисов

•  Использование приложений

•  Использование операционных систем

•  Распределение соединений

•  Активность пользователей

•  Уязвимые узлы и приложения

•  И т.д.

Мониторинг событий безопасности

•  Основные нарушители

•  Основные атаки

•  Заблокированные атаки

•  Основные цели

•  Приоритет событий

•  Уровень воздействия

Дополнительная информация по FirePOWER

Cisco Advanced Malware Protection

Почему традиционный периметр не защищает?

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы

А это подтверждение статистики

16 апреля 2015 года http://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/ Дело СОВСЕМ не в названиях компаний, проблема в методологии

Современный ландшафт угроз требует большего, чем просто контроль приложений

54% компрометаций

остаются незамеченными месяцами

60% данных

похищается за несколько часов

Они стремительно атакуют и остаются неуловимыми

Целое сообщество злоумышленников остается нераскрытым, будучи у всех на виду

100% организаций подключаются к доменам, содержащим

вредоносные файлы или службы

•  Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)

•  Высокий уровень доработки продуктов для очередной кампании

•  Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей

•  Известно, что вредоносное ПО будут искать

•  Известно про запуск в песочницах

•  Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности

•  Все лучшие методологии разработки и отладки

Что мы знаем о современном вредоносном ПО?

AMP Threat Intelligence

Cloud

Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat

Linux

AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall

with Firepower Services

AMP Private Cloud Virtual Appliance

AMP on Firepower NGIPS Appliance (AMP for Networks)

AMP on Cloud Web Security & Hosted Email

CWS

Threat Grid Malware Analysis + Threat

Intelligence Engine

AMP on ISR with Firepower Services

AMP Everywhere

ПК ПК

Периметр

сети

AMP for Endpoints

ЦОД

AMP for Endpoints

Удаленные ПК

AMP for Endpoints can be launched from AnyConnect

Cisco AMP расширяет защиту NGFW и NGIPS

Ретроспективная безопасность Точечное обнаружение

Непрерывная и постоянна защита Репутация файла и анализ его поведения

Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов

Фильтрация по репутации Поведенческое обнаружение

Динамический анализ

Машинное обучение

Нечеткие идентифицирующие

метки

Расширенная аналитика

Идентичная сигнатура

Признаки компрометации

Сопоставление потоков устройств

Cisco AMP обеспечивает ретроспективную защиту

Траектория Поведенческие признаки вторжения

Поиск нарушений

Ретроспектива Создание цепочек атак

Пример траектории файла

Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox


В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8


Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)


Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)


Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие


Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПО и поместило в карантин только что определенное вредоносное ПО


Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано


Ретроспективный анализ файлов позволяет определить •  Какие системы были инфицированы?

•  Кто был инфицирован?

•  Когда это произошло?

•  Какой процесс был отправной точкой?

•  Почему это произошло?

•  Что еще произошло?

Вопросы конфиденциальности: AMP Private Cloud 2.0

AMP Threat Grid Dynamic Analysis Appliance

Windows, Mac Endpoint

Cisco FirePOWER Sensor

Cisco Web Security Appliance

Cisco Email Security Appliance

Cisco ASA with FirePOWER Services

Talos

Cisco AMP Private Cloud Appliance 2.x

Федерированные данные

Хэши файлов

Анализируемые файлы

Опционально

Планы

Поддержка “air gap”

Cisco AMP Threat Grid

1001 1101 1110011 0110011 101000 0110 00

•  Платформа для глубокого анализа вредоносного кода Доступ через портал, выделенное устройство или с помощью API

•  Может применяться при построении собственных систем Threat Intelligence или SOC

•  Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.

Детальный анализ вредоносного ПО в AMP Threat Grid

Типовые сценарии использования AMP Threat Grid

•  Доступ к порталу •  Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода •  Приватная маркировка загружаемых семплов (опционально) •  Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в облако

•  Интеграция с решениями Cisco •  AMP for Endpoints •  AMP for Networks (FP / ASA) •  AMP for WSA / CWS •  AMP for ESA / CES

•  API для автоматизации передачи семплов в Threat Grid включен во все лицензии с подпиской

Развертывание вне облака – на территории заказчика

§  Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid §  В целях соблюдения нормативных требований все данные остаются на территории заказчика §  Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для актуализации контекста

§  Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)

§  TG5000: §  Анализ до 1500 образцов в день §  Cisco UCS C220 M3 Chasis (1U) §  6 x 1TB SAS HDD (аппаратный RAID)

§  TG5500: §  Анализ до 5000 образцов в день §  Cisco UCS C220 M3 Chasis (1U) §  6 x 1TB SAS HDD (аппаратный RAID)

Полное соответствие нормативным требованиям и высокий уровень защиты

Повсеместный AMP Threat Grid

Подозрительный файл

Отчет

Периметр

ПК

Firewall & UTM

Email Security

Analytics

Web Security

Endpoint Security

Network Security

3rd Party Integration

S E C U R I T Y

Security monitoring platforms

Deep Packet Inspection

Gov, Risk, Compliance

SIEM

Динамический анализ

Статический анализ

Threat Intelligence

AMP Threat Grid

Решения Cisco по ИБ Другие решения по ИБ

Подозрительный файл

Premium content feeds

Security Teams

Cisco ISE

Сейчас труднее чем когда-либо увидеть, кто находится в вашей сети и чем занимаются эти пользователи

?

Нельзя защитить то, что нельзя увидеть

? опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети 90%

компаний подтвердили, что их мобильные устройства были атакованы вредоносным ПО за последние 12 месяцев

75%

79 © Компания Cisco и (или) ее дочерние компании, 2015 г. Все права защищены. Конфиденциальная информация Cisco

?

Сетевые ресурсы Политика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция угроз

Гостевой доступ

Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативам P

Что

Когда

Где

Как

Платформа ISE ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным

Дверь в сеть

Физическая или виртуальная машина

Контекст контроллер ISE pxGrid

Проводная

Филиал

Беспроводная

Контролируйте все из одной точки Сеть, данные, и приложения

Мобильность

Применение политик и использование политик по всей сети

Безопасный доступ отовсюду, независимо от типа подключения

Мониторинг доступа, активностей и соответствие не корпоративных устройств, принимать меры по необходимости

VPN

Партнер

Удаленный сотрудник Центральный

офис

Админ

Контрактник Гость

Профилирование ISE: обнаружение пользователей и устройств

82

CDP/LLDP

RADIUS

NetFlow

HTT

P

NM

AP

Интегрированное профилирование: мониторинг в масштабе

Активное сканирование: большая точность

Веб-канал данных об устройствах: идентификация в масштабе

Сетевая инфраструктура обеспечивает локальную функцию распознавания

Cisco® ISE дополняет информацию пассивной сети данными об активных оконечных устройствах

Производители и партнеры постоянно предоставляют обновления для новых устройств

Сенсор устройств Cisco

Сенсор устройств (функция сети)

Активное сканирование оконечных устройств

Вeб-канал данных об устройствах*

Cisco ISE

Сокращение числа неизвестных устройств в сети в среднем на 74%

Оценка соответствия устройств Оценка состояния

Убедиться в соответствии политике устройства перед предоставлением доступа

Аутентификация

Authen'cate User Authen'cate Endpoint Posture = Unknown/ Non-‐compliant

Карантин

dVLAN dACLs SGT

Оценка состояния

OS HoDix AV / AS Personal FW More….

Исправить

WSUS Launch App Scripts Etc… Posture = Compliant

Авторизовать

Permit Access • dACL • dVLAN • SGT • Etc…

Возможности •  Различные агенты используются для оценки состояния (Anyconnect + Web Agent)

•  Обязательный, опциональные и режим аудита дают гибкость в развертывании

•  Возможность построения детальных правил с использование разных критериев.

•  Поддержка периодической проверки и автоматического исправления

AnyConnect

Оценка соответствия устройств Интеграция решений MDM

Проверка соответствия мобильных устройств

•  Позволяет делать мультивендорную интеграцию в ISE инфраструктуре

•  Макро и микро-уровень оценки (Pin Lock, Jailbroken status)

•  MDM атрибуты доступны как опциив политике (Производитель, Модель, IMEI, Серийный номер, ОС Версия, Номер телефона)

•  Контроль устройства в ISE из портала Мои устройства (Device Stolen àWipe Corporate data)

Возможности

Интернет

4

1 2

3

Регистрация в ISE

Разрешить интернет доступ

Регистрация в MDM

Разрешить доступ в корп. сеть

Простое и быстрое заведение устройств

•  Полный цикл настройки и заведения устройства без поддержки IT службы •  Гибкие сценарии с одним или несколькими SSID •  Встроенный Certificate authority и портал для упрощения выписки сертификатов. Интегрируется с PKI инфраструктурой

•  Портал “Мои устройства” для управления собственными устройствами •  Поддержка интеграции с большинством MDM решений включая Cisco Meraki, MobileIron, Citrix, JAMF

Software и многие другие


Bring Your own Device (BYOD)

Преимущества

Лучше безопасность Минимизируем риск соединения собственных устройств к сети

Гибкость Работает с проводными и беспроводными устройствами

Улучшить работу сети Снять нагрузку заведения устройств с IT службы

Описание Простой и безопасный доступ в сеть с любого устройства. Простой процесс настройки и заведения устройств.

Эффективно планируйте, управляйте и контролируйте доступ BYOD Пользователь пытается зайти в сеть со своего устройства

ISE идентифицирует пользователя как сотрудника и направляет на портал устройств BYOD

После удачной аутентификации ISE настраивает устройство и выписывает сертификат, применяет политику

Теперь устройство зарегистрировано и получает нужный доступ в сеть

Улучшить работу гостей без ущерба безопасности

Мгновенный, беспарольный доступ напрямую в Интернет

Быстрая, самостоятельная регистрация

Ролевой доступ с помощью сотрудника

Гость

Гость

Гость Спонсор

Интернет

Интернет

Интернет и сеть

Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).

Обеспечение такого же высокого уровня безопасности, но для большого количества устройств


Что нового в ISE 2.0?

Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей

Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)

Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры

Поставщики совместимых устройств*

Aruba Wireless HP Wireless

Motorola Wireless Brocade Wired

HP Wired Ruckus Wireless

•  Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)

•  Перенаправление CoA and URL-адресов для работы с ISE

•  Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x


Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)

Интеграция с устройствами сторонних производителей (не Cisco)

ISE 1.0 802.1x

Новое в ISE 2.0

Профилирование


Гостевой доступ

BYOD

*Дополнительные сведения см. в Таблице совместимости Cisco

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Включите средство унифицированного реагирования с обменом контекста Cisco Platform Exchange Grid (pxGrid)

Когда

Где

Кто

Как

Что

Cisco и партнеры Экосистемы

ISE

Cisco сеть

pxGrid controller

ISE собирает контекст из сети 1

Контекст обменивается по технологии pxGRID 2

Партнеры используют контекст для повышения видимости и борьбы с угрозами

3

Партнеры могут запросить ISE о блокировке угрозы

4

ISE использует данные партнера для обновления контекста и политики доступа

5

Контекст

3 2

1

4 5

Обмен телеметрией с помощью PxGrid С Cisco Web Security Appliance (WSA) и Identity Service Engine (ISE)

Улучшите контроль WEB контента со знанием пользователей и устройств Ключевые функции Cisco Web Security Appliance интегрируется с ISE и использует pxGRID для получения данных контекста для политики Web доступа


•  Интеграция с Cisco Web Security Appliance для контроля тех кто может ходить в WEB

•  Получение данных классификации с ISE через pxGRID. Использование TrustSec для упрощения работы.

•  ИспользованиеTrustSec для абстрагирования и классификации политики доступа


Проще администрирование Единый источник контекста и данных пользователей. Использование TrustSec для абстрагирования политики делает ее проще для WSA

Соответствие Создавайте политики по типам устройств, которые разрешат или запретят WEB доступ основываясь на состоянии устройства

Кто: Доктор Что: Ноутбук Где: офис

Кто: Доктор Что: iPad Где: Офис

Кто: Гость Что: iPad Где: Офис

Identity Service Engine

WSA

Конфиденциальные записи пациентов

Сеть сотрудников

Лучшая видимость Детализация отчетности для понимания того кто, когда, и с каких устройств получал доступ в Web

Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)

Быстрое сдерживание распространения угроз с помощью FMC и ISE Что нового в ISE 2.0? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.


•  Интеграция с решением Cisco AMP для защиты от вредоносных программ

•  Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE

•  Разрешение или отказ в доступе к порталу подрядчиков


FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный

Доступ запрещается каждой политикой безопасности

Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой

Раннее обнаружение угроз FireSight сканирует активность и публикует события в pxGrid

Корпоративный пользователь загружает файл

Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE

FMC сканирует действия пользователя и файл

В соответствии с новым тегом, ISE распространяет политику по сети

Легко интегрируется с партнерскими решениями

Как Что Кто Где Когда

ISE pxGrid controller

Cisco Meraki

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23

SIEM EMM/MDM Firewall Vulnerability Assessment

Threat Defense IoT IAM/SSO PCAP Web

Security CASB Performance Management

Экосистема быстрого сдерживания распространения угроз

Максимальное использование растущей экосистемы — новые партнеры pxGrid Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы

Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.

Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco

Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях

Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания

распространения угроз

Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.

Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.

Межсетевой экран и контроль доступа

Улучшенный контроль с помощью авторизации на основе местоположения

Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.


Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.

Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE

Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей

Возможности •  Конфигурация иерархии местоположений по всем объектам местоположения •  Применение атрибутов местоположения MSE в политике авторизации

•  Периодическая проверка MSE на предмет изменения местоположения •  Повторное предоставление доступа на основе нового местоположения

С интеграцией платформы Cisco Mobility Services Engine (MSE)

Холл Палата Лаборатория Скорая помощь

Врач

Нет доступа к данным пациента

Доступ к данным пациента

Нет доступа к данным пациента

Доступ к данным пациента

Данные пациента

Местоположения для доступа к данным пациента

Палата

Скорая помощь

Лаборатория

Холл

Ролевой контроль доступа

Упрощение управления ИБ с ролевым доступом

•  Ролевой контроль доступа •  Авторизация на уровне команд с подробной регистрацией действий •  Выделенный TACACS+ центр для сетевых администратаров •  Поддержка основных функций ACS5


Управление устройствами TACACS+


Что нового в ISE 2.0? Заказчики сейчас могут использовать TACACS+ в ISE для упрощения управления устройствами и расширения безопасности через гибкий и точный контроль доступа к устройствам.

Упрощенное и централизованное управление Рост безопасности, compliancy, подотчетности для всего спектра задач администрирования

Гибкий и точный контроль Контроль и аудит конфигураций сетевых устройств

Админы ИБ

TACACS+ Work Center

Сетевые админы

TACACS+ Work Center

Поддержка TACACS+ для управления устройствами

Централизованная видимость Получение всесторонней конфигурации TACACS+ через TACACS+ administrator work center

Зона администратора

Зона предприятия

Зона POS

Зона подрядчика

Мониторинг способствует принятию практических решений благодаря сегментации и автоматизации Сеть как регулятор

•  Cisco ISE •  Портфель сетевых решений Cisco •  Cisco NetFlow •  Lancope StealthWatch •  Программно-определяемая сегментация TrustSec Cisco

Зона сотрудников

Зона разработки

Cisco Cyber Threat Defense

А если вы не можете разместить сенсоры внутри?

Сеть как сенсор (NaaS)

Динамическая сегментация при обнаружении атаки

Сеть как защитник

(NaaE)

Обнаружение аномалий

Обеспечение видимости всего сетевого трафика

Обнаружение нарушений политик пользователями

Внедрение контроля доступа на критических участках

Динамические политики доступа и контроля

Кто Кто Что

Когда

Как

Откуда Больше контекста

Высокомасштабиуремый сбор Высокое сжатие => долговременное

хранилище

У нас есть NetFlow, дающий контекст Но уже внутри сети

Cisco Cyber Threat Defense

Внутренняя сеть

NetFlow Capable

VPN Устройств

а

Видимость, Контекст и Контроль

КУДА/ОТКУДА КОГДА

КАК

ЧТО

КТО

Использовать данные NetFlow для обеспечения видимости на

уровне доступа

Унифицировать информацию на единой консоли для

расследований и отчетности

Связать данные потоков с Identity и приложения для создания и

учета контекста

CTD добавляет к NetFlow контекст и привязку к ИБ

NAT События

Известные C&C сервера и ботнеты

Данные пользователей

Приложения Приложения & URL

Что позволяет обнаруживать NetFlow?

Отказ в обслуживании SYN Half Open; ICMP/UDP/Port Flood

Распространение червей Инфицированный узел сканирует сеть и соединяется с узлами

по сети; другие узлы начинают повторять эти действия

Фрагментированные атаки Узел отправляет необычный фрагментированный трафик

Обнаружение ботнетов Когда внутренний узел общается с внешним сервером C&C

в течение длительного периода времени

Изменение репутации узла Потенциально скомпрометированные внутренние узлы или

получение ненормального скана или иные аномалии

Сканирование сети Сканирование TCP, UDP, портов по множеству узлов

Утечки данных Большой объем исходящего трафика VS. дневной квоты

•  Непонятно •  Сложно •  Много времени на определение пользователя, устройства и их местоположения

Идентификация инцидентов проходит быстрее с контекстной информаций – пользователь, местоположение, устройство

До Сейчас

Host 1.2.3.4 Scanning Ports of Host 3.3.3.3 Host 1.2.3.4 Scanning Ports of Host 3.3.3.3

VPN

Лэптоп

Ноябрьск

Финансы

POS

Ethernet

СПб

И. Иванов

С добавлением контекста от ISE система становится лучше

Что показывает Cisco Cyber Threat Defense?

Встроенные правила

Быстрый показ деталей инцидента

Карта распространения

Возможность реагирования и помещения нарушителя в карантин

Понятная идеология Тревога à Событие ИБ Детали à Узел à Отчет по узлу

Информация об узле

Оповещения

Пользователи

Активность и приложения

Хост

Группы хостов

Потоки

Информация о пользователе

Оповещения

Устройства и сессии

Детали из AD

Пользователь

Обнаружение C&C-серверов и ботнетов

Идентификация подозрительной активности Высокий Concern Index означает излишне большое число подозрительных событий, которые отличаются от установленного

эталона

Группа узлов Узел CI CI% Тревога События ИБ

Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan

Обнаружение распространения вредоносного кода

Более 100 алгоритмов обнаружения

Обнаружение утечек данных

Обнаружение торрентов

Что еще мы можем видеть?

•  File Sharing Index: показывает P2P-активность (например, торренты)

•  Target Index: показывает узлы, которые вероятно являются жертвами атак

•  Неавторизованный доступ: попытка нарушения, запрещенного на МСЭ

•  Выкачка данных: подозрительная передача данных через периметр в течение длительного времени

Что еще мы можем видеть?

•  Утечка данных – передача большого объема данных через сеть –  Suspect Data Hoarding – узел скачивает данные с большого количества внутренних узлов –  Target Data Hoarding – узел закачивает необычно большой объем данных на другие узлы

•  Исследуйте все узлы, с которыми взаимодействовал инфицированный узел

•  Пока реальных информационных потоков между узлами и группами узлов с нужным уровнем детализации карты сети

Визуализация потоков, сервисов и приложений

•  Данный механизм позволяет отслеживать ошибки в настройках МСЭ

Визуализация потоков, сервисов и приложений

Cisco TrustSec

Традиционная сегментация

Голос Данные PCI Подрядчик Карантин

Уровень доступа

Уровень агрегации

VLAN Адресация DHCP-охват

Резервирование Маршрутизация Статический ACL

Простая сегментация с 2 сетями VLAN Больше политик с использованием большего числа VLAN

Дизайн необходимо реплицировать на этажи, здания, офисы и другие объекты. Затраты могут быть чрезвычайно высокими

ACL

access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467

Гибкое и масштабируемое применение политик

Коммутатор Маршрутизатор Межсетевой экран ЦОД

Коммутатор ЦОД

Автоматизация управления системой безопасности

Повышение эффективности

Упрощенное управление доступом

Технология Cisco TrustSec® Сегментация на основе бизнес-политик

Политика сегментации

Сегментация сети с помощью TrustSec

•  Сегментация на основе RBAC, независимо от топологии на основе адресов

•  Роль на основе AD, атрибутов LDAP, типа устройства, местоположения, времени, способов доступа и т. д.

•  Использование технологии тегирования для представления логической группы, траффик отправляется вместе с тегом

•  Внедрение политики на основе тегов для коммутаторов, маршрутизаторов и МСЭ

•  Централизованно определяемая политика сегментации, которая может быть применена в любом месте сети

Сегментация TrustSec обеспечивает следующие возможности:

Коммутаторы Маршрутизаторы Межсетевой экран Коммутатор ЦОД ПО гипервизора

Имя пользователя: johnd Группа: управляющие магазинами Местонахождение: офис магазина Время: рабочие часы

SGT: менеджер

Применение политики

Ресурс

Пример: Управление доступом пользователя к ЦОД с помощью TrustSec

Голос Сотрудник Поставщики Гость Не соответст- вует требованиям

Тег сотрудника

Тег поставщика

Тег посетителя

Несоответствующий тег

МСЭ ЦОД

Голос

Здание 3 WLAN — Данные — VLAN

Ядро комплекса зданий

ЦОД

Основное здание Данные — VLAN

Сотрудник Не соответст- вует требованиям

Политика (тег группы безопасности (SGT)) применяется к пользователям, устройствам и серверам независимо от тополологии или местоположения. TrustSec упрощает управление ACL-списками для входящего и исходящего трафика VLAN Уровень доступа


Решения Cisco по защите и контролю доступа в Интернет

ASA с FirePOWER Services / Cisco FirePOWER Appliance

Cloud Web Security

Web Security Appliance (Physical & Virtual)

Cisco ISR с FirePOWER Services

Web Filtering

Cloud Access Security

Web Reputation

Application Visibility and

Control Parallel AV Scanning

Data-Loss Prevention

File Reputation

Cognitive Threat

Analytics*

X X X X

До После Во время

X

File Retrospection

www


Отчеты



Удаленный офис

www www

Allow Warn Block Partial Block Основной офис

WCCP Explicit/PAC Load Balancer PBR AnyConnect® Client Админ Перенаправле-ние трафика

www

HQ

File Sandboxing

X

Client Authentication

Technique

* Roadmap feature: Projected release 2H CY15

X Cisco® ISE


1. Сканируем текст

Cisco Web Usage Controls URL фильтрация и динамический анализ

WWW

URL Database

3. Вычисляем близость к эталонным документам

4. Возвращаем самое близкое значение категории

2. Вычисляем релевантность

Finance Adult Health

Finance Adult Health

Allow

WWW Warn

WWW WWW Partial Block

Block

WWW

5. Enforces policy

If Unknown, the Page Is Analyzed

Block

WWW

Warn

WWW

Allow

WWW

If Known

Сканирование malware в реальном времени Dynamic Vectoring and Streaming

Сигнатурный и эвристический анализ Эвристическое обнаружение Идентификация необычного поведения

Сканирование antimalware

Параллельное, потоковое сканирование

Сигнатурная проверка Идентификация известного поведения

Множество механизмов сканирования

malware

Оптимизация эффективности и уровня обнаружения с интеллектуальным мультисканированием

Расширение сигнатурного покрытия с использованием нескольких механизмов

Улучшение впечатления с помощью параллельного потокового сканирования

Обеспечение полного и актуального сигнатурного покрытия с помощью автоматических обновлений

Идентификация зашифрованного вредоносного трафика с помощью перехвата и расшифровки SSL соединений

Эмуляция в реальном времени

Sandbox реального времени Анализ для защиты от атак 0-day

Layer 4 Traffic Monitor Обнаружение зараженных узлов

Пользователи

Cisco® S-Series

Network -Layer

Analysis

Мощные данные antimalware Предотвращение трафика “Phone-Home”

§  Сканирует весь трафик, все порты и все протоколы

§  Обнаружение malware, обходящее порт 80 §  Предотвращение трафика botnet

§  Автоматически обновляемые правила §  Генерация правил в реальном времени с помощью “dynamic discovery”

Инспекция пакетов и заголовков

Internet

Достуно на Cisco ASA как Botnet Traffic Filter

Предотвращение утечек данных Снижение риска утечек чувствительной информации

x

Локально

Интеграция с 3rd-pary вендорами по ICAP

CWS

WSA

Cloud

DLP Vendor Box

WSA

+

Базовый DLP

Расширенный DLP

Базовый DLP

Dropbox

Facebook

Microsoft Outlook

Gmail

Что делать с мобильными пользователями? Cisco AnyConnect Secure Mobility Client

Пользователь с ноутбуком, планшетом или телефоном

Роуминг-пользователь с ноутбуком

Клиент развернут на машине

Web пользователи

Block

WWW

Warn

WWW

Allow

WWW

Вердикт

WSA веб безопасность

Расположение web безопасности

CWS web безопасность

Router or firewall re-route traffic to WSA or CWS

Перенаправление web трафика

Работа с WWW через VPN

Перенаправление трафика на ближайший web прокси

Cisco AnyConnect®

Client

VPN

ACWS

VPN

Дополнительная информация по WSA

Cisco Email Security Appliance

Защита от угроз Cisco Email Полная защита от угроз

Cisco® Talos Репутационная фильтрация SenderBase

Антиспам

Outbreak Filters

Анализ URL в реальном времени

Drop

Drop/Quarantine

Антивирус Drop/Quarantine

Advanced Malware Protection (AMP) Drop/Quarantine

Quarantine/Rewrite

Deliver Quarantine Rewrite URLs Drop

Обнаружение Graymail Rewrite

Защита от спама Эшелонированная оборона

Входящая хорошая, плохая, неизвестная почта

SBRS

Поддержка Cisco® SIO

What

Cisco Anti-Spam

When Who

How Where

§  Нормальная почта проверяется на спам

§  Подозрительная почта ограничивается и фильтруется

Известная плохая почта блокируется на границе сети

§  Определение URL репутации и контекста

§  > 99% уровень обнаружения §  < 1 на 1 миллион – уровень ложных срабатываний

Mail Policies

«Белый» список фильтруется от вирусов

Cisco Anti- spam Engine

Cisco Anti- spam Engine

Anti- spam Engine B

Anti- spam Engine (Future)

Intelligent multiscan (IMS)

Эшелонированная оборона от вирусов

Cisco Anti-Spam

§  Sophos §  McAfee §  Или оба -- Sophos и McAfee

Выбор антивирусов

Антивирусные механизмы Антиспам

Защита от malware нулевого дня Advanced Malware Protection

Outbreak Filters Advanced Malware Protection

Репутация файлов

Известная репутация

«песочница»

Неизвестные файлы загружаются в песочницу (archived, Windows PE, PDF, MS Office)

Cisco® AMP интеграция

Обновление репутации

Защита от атак нулевого дня Outbreak Filters


Облачное детектирование malware 0-day

Обнаружение вирусов и malware 0-day

§  Среднее опережение*: более 13 часов §  Атаки заблокированы*: 291 атака §  Всего инкрементальная защита*: более 157 дней

Преимущества Outbreak Filters

Outbreak Filters

Cisco® Talos

Вирусный фильтр

Динамический каранин

«Линия обороны» URL Интеграция безопасности Email и Web

Email содержит URL Cisco® Talos

URL репутация и категоризация

Замена

Defang/Block

Перезапись Перенаправить в облако

§  BLOCKEDwww.playboy.comBLOCKED

§  BLOCKEDwww.proxy.orgBLOCKED

“This URL is blocked by policy”

Top вредоносных URL

Пользователей кликнуло

Дата/время, причина перезаписи, URL действие

Отслеживание взаимодействия с Web Отслеживание URL, перезаписанное политикой

URL перезаписан

Пользователь кликает на перезаписанный

URL

На базе Email ID На базе LDAP группы

На основе IP адреса

Остановка 0-day

Динамическая информация

Образование пользователей

Отчет о перезаписанных URL

Список пользователей, получивших доступ к перезаписанным URL

Добавление вредоносного URL к списку

Безопасность Cisco Email Обеспечение полного контроля исходящих

Ограничение потока

AS/AV проверки

Соответствие/DLP

Шифрование чувствительных

данных DKIM/SPF

Экономика E-mail Security Appliance §  Исходные данные:

§  Число сотрудников (почтовых ящиков) – 7000 §  Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) §  Объем спама – 60% (42000 сообщений) §  Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек §  Суммарные дневные затраты на спам – 14,583 человеко-дня §  Средняя зарплата сотрудника – $1500

§  Потери компании §  В день – $994,29 §  В месяц – $21784,5 §  В год – $248573,86

§  Выгоден ли антиспам в данной ситуации? §  Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности

Больше деталей про экономику

https://www.youtube.com/watch?v=bcQWuKUMeb4

Дополнительная информация по ESA

Cisco AnyConnect

AnyConnect – больше чем просто VPN

SSL / DTLS VPN IPsec VPN


(HostScan/ISE)

Cloud Web Security

L2 саппликант

(Win Only)

Switches and Wireless

controllers

ASA WSA ISE/ACS Cloud Web Security + AMP

Центральные устройства

ASR/ CSR

ISR

Базовый VPN Расширенный VPN Другие сервисы

Модуль сетевой видимости

AMP Enabler

Решение Cisco AnyConnect Secure Mobility Solution

Широкая поддержка платформ

•  Apple IOS, Android, Blackberry, Windows Phone, Windows 7/8/10, MAC, Linux, ChromeOS

•  Работа через клиента и через браузер

Постоянное подключение

•  постоянно активное подключение, •  выбор оптимального шлюза, •  автоматическое восстановление подключения

Унифицированная безопасность и модульность

•  Идентификация пользователей и устройств •  Проверка соответствия •  Интегрированная веб-безопасность •  Интеграция с защитой от вредоносного кода •  Поддержка VDI

Корпоративный офис

Безопасный, Постоянный Доступ

ASA

Wired Wi-Fi

мобильная или Wi-Fi

Мобильный сотрудник Домашний офис

Филиал

Защита промышленных сегментов

Потребность в специализированных МСЭ/IPS

Для промышленного применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде

Пассивная защита в промышленной сети

Сложности Ответ Cisco

•  Пассивное профилирование сети

•  Отсутствие задержек между устройствами и системами, требующими реального времени

•  «Белые списки» ожидаемого, предупреждения по аномалиями

•  ICS означают статичность, но часто нет возможности проверить это

•  ICS построены с минимальным объемом системных ресурсов

•  Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы

Обзор решений Cisco по безопасности АСУТП

§ Cisco ASA Firewall для сегментации (и в промышленном исполнении) § Cisco FirePower NGIPS с набором сигнатур для промышленных систем

§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с ретроспективным анализом

§ Cisco AnyConnect для контроля доступа и оценки состояния NAC

§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении неавторизованных подключений, оценка состояния и управление доступом.

§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий с сервисами сквозной авторизации

§ Cisco Cyber Threat Defense (CTD)

VPN

VDI

WSA

IPS

NGFW

FW

ISE

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Level 3½

Enterprise Zone

DMZ

PCD / Manufacturing Zone

PCN / Cell / Area Zone

?

?

Компоненты Cisco для защиты АСУ ТП

«Настольная» модель Cisco ASA 5506-X

7.92 x 8.92 x 1.73 in.

Параметр Значение

CPU Многоядерный

RAM 4 Гб

Ускоритель Да

Порты 8x GE портов данных, 1 порт управления с 10/100/1000 BASE-T

Консольный порт RJ-45, Mini USB

USB-порт Type ‘A’ supports 2.0

Память 64-GB mSata

Охлаждение Convection

Питание AC external, No DC

Cisco ASA 5506H-X в защищенном исполнении

*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:

9 x 9.2 x 2.5 in.

Параметр Значение

Порты 4 x портов данных

Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP

Напряжение 5V (*** 5506 is 12V)

Диапазон температур От –20 до 60°C (рабочий) От -40 до 85°C (обычный)

Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount

Специальные сертификаты на Cisco ASA 5506H-X

Сертификаты соответствия

9 x 9.2 x 2.5 in.

IP40 per IEC 60529 KN22 IEC 61850-3 IEC 61000-6-5 IEC 61000-5 IEC 611000-4-18 IEEE 1613.1 IEEE C62.412 IEC 1613 IEC 61850-3 IEC 60068-2

Промышленный МСЭ/IDS Cisco ISA 3000

Основные характеристики Cisco ISA 3000

§ Производительность: 2 Gbps §  Кол-во IPSec/SSL VPN: 25

§  IPv4 MAC Security ACE: 1000

§  Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)

§  4 ядра Intel Rangely, SSD 64 GB

§  8 GB DRAM, 16 GB Flash

§ Питание DC

§ Рабочая Температура -40 до +74 °C

§ Вес: 1.9 кг

Защитный функционал ASA 5506H-X / ISA 3000

►  Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений

►  Система гранулярного мониторинга и контроля приложений (Cisco® AVC)

►  Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

►  Фильтрация URL-адресов на основе репутации и классификации

►  Система Advanced Malware Protection с функциями ретроспективной защиты

►  Система управления уязвимостями и SIEM

Cisco ASA

VPN и политики аутентификации

Фильтрация URL-адресов

(по подписке) FireSIGHT Аналитика и автоматизация


(по подписке)

Мониторинг и контроль приложений

Межсетевой экран Маршрутизация и коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI

Встроенное профилирование

сети

Предотвращение вторжений (по подписке)

Поддержка промышленных протоколов

§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3

§ Возможность написания собственных сигнатур

§ Свыше сотни встроенных сигнатур CitectSCADA

OMRON

Kingview

IGSS

Tecnomatix

RealWin Iconics

Genesis

Siemens

IntelliCom

Cogent

RSLogix

DAQFactory

Beckhoff

Measuresoft

ScadaPro

Broadwin

Progea Movicon

Microsys

Sunway

Moxa

GE

Sielco

ScadaTec

Sinapsi

DATAC

WellinTech

Tridium

Schneider Electric

CODESYS

Отражение атак на промышленные системы

Защита операторов связи

Варианты реализации отражения DDoS-атак

DDoS

Сетевое оборудование с

функциями отражения DDoS

Специализированные устройства для борьбы с DDoS

Защитные устройства с функциями защиты

от DDoS

Сервисы от оператора связи или

специализированного провайдера услуг

•  Cisco ASR 9000 VSM

•  Firepower 9300

•  Cisco ISR •  Cisco ASR •  Cisco GSR •  Cisco CRS

•  Cisco ASA 5500-X •  Cisco Stealthwatch •  Cisco SCE •  Cisco NGIPS

Платформа Firepower 9300

Модульная платформа операторского класса с интерфейсами 10, 40, и 100 Гбит/с.

Объединение сервисов безопасности компании Cisco и других компаний

Эластичная масштабируемость за счет кластеризации

Ускоренная обработка для доверенных приложений

Функции ПО Cisco ASA для операторов связи §  Эффективная защита на сетевом и транспортном уровне §  Трансляция адресов операторского класса (Carrier-grade NAT) §  Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1) §  Анализ SCTP и Diameter в планах

Обзор платформы Cisco Firepower 9300

Модуль управления

§  Внедрение и управление приложениями §  Сетевые интерфейсы и распределение трафика §  Кластеризация для сервисов Cisco® ASA и прочих

1

3

2

Модули безопасности

§  Встроенный классификатор пакетов и потоков, а также ускоритель шифрования §  Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка) §  Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер)

Firepower 9300 изменяет модель интеграции сервисов

Унифицированная платформа сервисов безопасности

Данные 1001

00010111100010

1110 SSL FW WAF NGIPS DDoS AMP

Максимальная защита Высокая эффективность Масштабируемость Гибкость

Обозначения:

Сервисы Cisco

Сервисы партнеров

•  Radware vDP – первое из приложений 3-х компаний, ставшее элементом новый архитектуры

•  Защита от DDoS работает на входных интерфейсах Firepower 9300

А если у меня нет возможности для покупки средств для мониторинга? Используйте Cisco Threat Awareness Service

Cisco Threat Awareness Service

Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. •  Использование одной из лучших в мире баз данных угроз

•  Оперативное обнаружение вредоносной активности

•  Идентификация скомпрометированных сетей и подозрительного поведения

•  Помогает компаниям быстро идентифицировать скомпрометированные системы

•  Обеспечение рекомендаций •  Помогает ИТ/ИБ идентифицировать угрозы

•  Анализирует сетевой, исходящий из организации •  Позволяет улучшить общую защищенность

Cisco Threat Awareness Service

Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: •  Капитальных вложений

•  Изменений конфигурации

•  Сетевых инструментов

•  Новых внедрений ПО

•  Сенсоров в сети заказчика

•  Дополнительных людских ресурсов

Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence

Интеграция с отечественными разработчиками


Cisco Security API

OpenDNS API MDM API

eStreamer API

Threat Grid API

ESA API ASAv/ASA API ISIS API

Host Input API Remediation API

Развитие интеграционных решений

Инфраструктура API

ДО Политика и контроль

ПОСЛЕ Анализ и

восстановление Обнаружение и блокирование

ВО ВРЕМЯ

Инфраструктура & Мобильность

NAC Управление уязвимостями

Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты

SIEM Визуализация Network Access Taps

Развитие NME-RVPN: доверенная платформа UCS-EN

•  Доверенная платформа UCS-EN120SRU §  Производится в России

•  Поддерживается на Cisco ISR 29xx/39xx/4xxx •  Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ: §  СКЗИ S-Terra CSP VPN Gate §  СКЗИ ViPNet Координатор §  СКЗИ Dionis NX §  МСЭ прикладного уровня Positive Technologies

Application Firewall §  СОВ ViPNet IDS §  Базовый доверенный модуль (БДМ) Элвис+ §  TSS VPN §  Ведутся работы и с рядом других российских разработчиков

Скакун №3: Законодательство


2008

2010

2012 2013 2014

2015 2011

2000-е

ПДн СТОv4 382-П АСУ ТП

ПДн

БДУ

ГИС

ПДн

ПДн

CERTы

СОПКА

МИБ АСУ ТП КИИ

ПДн СТОv5

СТО/РС СТР-К ПКЗ

Краткий обзор развития законодательства по ИБ

2016: •  ГИС •  382-П •  СОПКА •  КИИ (?)

•  Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №17 по защите ГИС/МИС

17-й приказ ФСТЭК и решения Cisco

•  Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №21 по защите персональных данных


•  Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №31 по защите автоматизированных систем управления технологическими процессами

•  Эти решения могут быть применены как в самом промышленном сегменте, так и на стыке с корпоративной сетью или Интернет


~650 ФСБ НДВ 34 123 Сертификатов ФСТЭК на

продукцию Cisco

Сертифицировала решения Cisco

(совместно с С-Терра СиЭсПи)

---- Ждем еще ряд важных

анонсов

Отсутствуют в ряде продуктовых линеек Cisco

---- На сертификацию поданы новые продукты

Линейки продукции Cisco

прошли сертификацию по схеме «серийное производство»

Продуктовых линеек Cisco

сертифицированы во ФСТЭК

Сертификация решений Cisco

Дополнительные сведения

Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/

Дополнительные сведения

Раздел «Брошюры» на сайте www.cisco.ru

Как это все «пощупать»?


Варианты демонстрации по безопасности

•  Физические продукты из демо-пула

•  Виртуальные версии

•  Интерактивное демо в dCloud

dCloud это портал Cisco для интерактивных демонстраций

Охватывает все архитектуры

Простота бронирования и использования

Доступен 24/7 для наших партнеров и заказчиков

https://dcloud.cisco.com

Доступные в dCloud демонстрации по безопасности

•  Cyber Threat Defense (= Stealthwatch от Lancope)

•  Cisco Content Security - WSA+AMP, ESA и WSA+ASA

•  Cisco Enterprise Branch Lite (ISR G2)

•  Cisco ASA with FirePOWER, Cisco FireSIGHT, Cisco Sourcefire

•  Cisco Trustsec User to Datacenter

•  Cisco Unified Access

•  Cisco ISE for MDM, for BYOD, for Guest Management

•  Cisco Cloud Web Security

•  Splunk with Cisco Security

•  Cisco AnyConnect 4.1 with AMP

•  Cisco Self Learning Networks – DDoS Prevention

•  Cisco Hosted Security as a Service

•  Cisco IWAN – Secure Connectivity

Пишите на [email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/

CiscoRu Cisco CiscoRussia CiscoRu

Спасибо

© 2015 Cisco and/or its affiliates. All rights reserved.

Илья Яблонко, CISSP, менеджер по развитию решений ИБ +7 912 607 55 66, [email protected]

Алексей Лукацкий Бизнес-консультант по ИБ +7 495 961 14 10 [email protected]

Business

Cisco, держи марку! Серия №9