Fran Pena

SAM, CISSP

frpena@cisco.com

Security Expert Webinars

Cisco NGFW

NGFW Estrategia Seguridad Cisco

CISCO NGFW Diferenciadores

Demostracion

El problema de la seguridad

Capturar los beneficios de la movilidad, la nube e IoE

NUEVOS MODELOS

DE NEGOCIO

ENTORNO DE

AMENAZAS DINÁMICO

Proteger ante nuevos y cambiantes vectores de ataques

COMPLEJIDAD Y

FRAGMENTACIÓN

Incrementar los niveles de protección simplificando las

operaciones y reduciendo costes

Están monetizando nuestros datos…

Entorno de amezas dinámico

Exploits

$1K - $300K

Malware de Móviles

$150

SPAM

$50 - $500K

Cuenta Facebook

$1

Desarrollo Malware

$2500

Datos Tarj.

Crédito$0.25 - $60

Datos Seg. Social

$1

Informe Médico

> $50

Info Cuenta Bancaria

> $1K

Servicios DDOS

$7

Durante 25 años hemos creido encontrar la solución muchas veces… no existe la bala de plata

“No falsos positivos, no falsos negativos.”

IDS / IPS UTM

“Self Defending Network”

NAC

“Encaja en el patrón”

AV

FW/VPN

“Bloquea o Permite”

Application Control

“Arreglar el Firewall”

PKI

“No hay clave, no hay acceso”

Sandboxing

“Detectar lo desconocido”

Complejidad y fragmentación

Todos tenían seguridad…

Siempre hay una forma de entrar

El nuevo Modelo de Seguridad

Visibilidad Local

APT NGFW

NGNAC

DURANTE

Control Cumplimiento

Endurecimiento

Detectección Bloqueo Defensa

Alcance Contención

Remediación

Política y Control Identificación y Bloqueo Análisis y Remediación

ANTES DESPUÉS

NGIPS - Cisco FirePower

WWW Web - Cisco WSA/CWS

- Cisco ASA

- Cisco ISE

- Cisco AMP

SPAM - Cisco ESA/CES

Visibilidad Global

La Red - Cisco Switches, Wireless, VPN, OpenDNS y LANCOPE

El nuevo Modelo de Seguridad

Visibilidad Local

NGFW

NGNAC

DURANTE

Control Cumplimiento

Endurecimiento

Detectección Bloqueo Defensa

Alcance Contención

Remediación

Política y Control Identificación y Bloqueo Análisis y Remediación

ANTES DESPUÉS

NGIPS - Cisco FirePower

WWW Web - Cisco WSA/CWS

- Cisco ASA

- Cisco ISE

SPAM - Cisco ESA/CES

Visibilidad Global

La Red - Cisco Switches, Wireless, VPN, OpenDNS y LANCOPE

APT - Cisco AMP

Cisco NGFW Diferenciadores

Cisco: 17.5 horas TTD de la industria:* 100-200 días

Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)

Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

Cisco NGFW Diferenciadores

Cisco: 17.5 horas TTD de la industria:* 100-200 días

Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)

Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

INTERNET

Conexión SMTP válida?

Contenido malo o no solicitado?

Sede de Command &

control?

Acción hostil? Contenido malicioso en el

cliente?

WWW

Reputación Firmas

Firmas

Investigación de incidentes

Registro de dominio

Inspección de contenido

Spam Traps, Honeypots, Crawlers

Lista de Bloqueo y Reputación

Acuerdos con terceros

Reglas y lógica propios de plataforma

Visibilidad Global Solución global a un problema global

+1,6M sensores

+150M endpoints

Inputs multivector

100 TB datos/dia

35% correo mundial

19.7B Bloq. Web/día

+1.1M muestras/dia

Open Source (Snort,

OpenAppID, ClamAV)

Cisco TALOS

Visibilidad Global Ejemplo – DNS, un viejo conocido casi siempre olvidado

INTERNET

EN LA RED

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

INTERNET

OpenDNS Bloqueo por dominio DNS Además de por IP o URL

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

FUERA DE LA RED

OpenDNS Bloqueo por dominio Además de por IP o URL

OpenDNS Bloqueo por dominio Además de por IP o URL

OTRO

TRÁFICO TRÁFICO

EMAIL

80M+ Peticiones maliciosas

bloqueadas/día

+ =

RED GLOBAL

• 70B+ peticiones DNS/día • 65M+ de usuarios • 100% disponibilidad • Cualquier terminal,

puerto, aplicación…

ANÁLISIS ÚNICO

• Equipo avanzado • Clasificación automatizada • BGP peering • Visualización 3D

Tipico NGFW control de aplicaciones Visibilidad de applicaciones no es seguridad.

NGFW

DDoS Sandbox URL IPS

Centrado en Aplicaciones , no Amenzanas Otro silo aislado para gestionar

Threat

Threat

Threat

Visibilidad Local Ejemplo – NGFW & NGIPS

Malware

Aplicaciones de cliente

Sistemas Operativos

Terminales móviles

Teléfonos

Routers y switches

Impresoras

Servidores de

Command &

control

Servidores de red

Usuarios

Transferencia

de ficheros

Aplicaciones Web

Aplicaciones

Amenazas

IPS Típico

NGFW Típico

Cisco NGFW/NGIPS

Puertos

Visibilidad Local No hay seguridad efectiva sin contexto

Visibilidad Local No hay seguridad efectiva sin contexto

No podemos protegernos de aquello que no vemos

Cisco NGFW Diferenciadores

Cisco: 17.5 horas TTD de la industria:* 100-200 días

Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)

Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

Correlación La aguja en el pajar

Vulnerable – Requiere acción

El Host/IP no es vulnerable

El puerto no está abierto en el Host/IP

No existe el Host/IP

Evento

Funcionalidades

PDF Mail

Admin Request

PDF

Mail

Admin Request

Correlacion Multivector

Indicadores de compromiso

Host A

Host B

Host C

3 IoCs

Adapt Policy to Risks

WWW WWW WWW

Control de seguridad dinamico

http:// http:// WWW WEB

Analisis Impacto

Priority 1

Priority 2

Priority 3

Analisis Impacto

5 IoCs

Cisco NGFW Diferenciadores

Cisco: 17.5 horas TTD de la industria:* 100-200 días

Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)

Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

Malware pasa a través de las defensas de

control

La prevención de Malware nunca es 100% efectiva

Brecha

Las herramientas actuales necesitan mucho tiempo, muchos recursos y mucho expertise

Cada etapa son procesos separados, sin conexión entre ellos

De ello se aprovechan los atacantes

Retrospección Independientemente de las capas de defensa…

DURANTE

Detección Bloqueo Defensa

Identificación y bloqueo

ANTES

Control Cumplimiento

Endurecimiento

Política y Control

DESPUÉS

Alcance Contención

Remediación

Análisis y remediación

Retrospección Resolviendo el problema de la decisión en un momento concreto

Point-in-Time

Sandboxing

Antivirus…

Sleep Techniques

Protocolos desconocidos

Cifrado

Polimorfismo .exe

.pdf

.jar

Reputación del Fichero = Maligno

Bloqueado!

Retrospección Resolviendo el problema de la decisión en un momento concreto

Point-in-Time

Sandboxing

Antivirus…

Sleep Techniques

Protocolos desconocidos

Cifrado

Polimorfismo

Point-in-Time

Cisco AMP

Continuous

Reputación del Fichero = Desconocida

Sandboxing

Reputación…

Las respuestas

• Para la Infección en cuanto se detecta • Recuperación en horas vs meses • MUY alto retorno de Inversión

Continuous

Control total y retorno de inversión

• Quién es el paciente 0? • Qué sistemas han sido afectados? • Cuál ha sido la extensión de la brecha?

www.cisco.com/go/amp

Retrospección Cisco AMP ofrece las respuestas a las preguntas después de una brecha

www.cisco.com/go/amp

Protección de correo Cisco ESA

WWW

Proxy Web Cisco WSA

NGFW Cisco ASA

NGIPS Cisco FirePower App

Cliente Cisco AMP for Hosts

con retrospección

Control en red Control en cliente

AMP Everywhere

Retrospección El mas amplio portfolio de protección anti-malware…

Cliente Cisco Anyconnect

Cisco NGFW Diferenciadores

Cisco: 17.5 horas TTD de la industria:* 100-200 días

Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)

Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

Simplificación Operativa simplificada mediante la consolidación de consolas

INTERNET

EN LA RED

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

INTERNET

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

FUERA DE LA RED

OpenDNS Bloqueo por Dominio, IP o URL

OpenDNS Bloqueo por Dominio, IP o URL

ASA/FirePower Bloqueo en linea por Dominio, IP, URL, Aplicación, paquete…

WSA Bloqueo por IP, URL, Aplicación o contenido

ESA/CES Bloqueo por

IP, origen o contenido

CWS Bloqueo por IP, URL, Apliación o contenido

ESA/CES Bloqueo por

IP, origen o contenido

ISE Bloqueo por Equipo, usuario, lugar…

OS PersonalFW Bloqueo en linea por IP o Apliación

Cisco Firepower Management Center Centraliza, integra y simplifica la gestión

Control de Admisión (NAC) Cisco ISE

Protección de correo Cisco ESA

WWW

Proxy Web Cisco WSA

NGFW Cisco ASA

NGIPS Cisco FirePower App

www.cisco.com/go/ise

Cisco pxGRID (Compartición de contexto)

3ª Partes SIEMs, FW, IPAMs…

X

Control en red Control en cliente

Simplificación Operativa simplificada mediante compartición de contexto

Network as a Sensor Cisco CTD

Cliente Cisco Anyconnect

Nuevas plataformas

Cisco ASA 5585-X Cisco ASA 5500-X Cisco FirePower 4100/9300

NGFW NGIPS - Cisco FirePower - Cisco ASA APT - Cisco AMP

Nuevas plataformas Cisco Firepower 4100 Series

• Interfaces de 10-Gbpsy 40-Gbps • Rendimiento hasta 80-Gbps • Tamaño 1UA • Baja latencia

• Serviciso ASA • Servicios FirePower • DDoS Radware • Futuros de terceras partes…

Optimización de rendimiento Seguridad MultiServicio Gestión unificada

• Gestión unificada • Gestión multitenant • Múltiples opciones de despliegue

¿Por qué Cisco?

http://www.cisco.com/go/nssngfw2014

NSS Labs Security Value Map for

Breach Detection (AMP)

2015

NSS Labs Security Value Map for

Intrusion Prevention System (IPS) 2015

NSS Labs Security Value Map for

Next-Generation Firewall

(NGFW) 2014

Gartner IPS Magic Quadrant 2015

*Infonetics

¿Por qué Cisco?

• #1 en seguridad IT empresarial*

*Infonetics

• Aproximación sistémica

• +200M$ anuales en I+D de seguridad

Mas que la suma de la inversión en I+D de los primeros 5 competidores de mercado

+1700 ingenieros especializados

+190 patentes de seguridad

Líder en Gartner MQ de NGIPS, SSL VPN, NAC, Correo y Navegación

Demostracion

INTERNET

EN LA RED

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

INTERNET

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

FUERA DE LA RED

OpenDNS Bloqueo por Dominio, IP o URL

OpenDNS Bloqueo por Dominio, IP o URL

ASA/FirePower Bloqueo en linea por Dominio, IP, URL, Aplicación, paquete…

WSA Bloqueo por IP, URL, Aplicación o contenido

ESA/CES Bloqueo por

IP, origen o contenido

CWS Bloqueo por IP, URL, Apliación o contenido

ESA/CES Bloqueo por

IP, origen o contenido

ISE Bloqueo por Equipo, usuario, lugar…

OS PersonalFW Bloqueo en linea por IP o Apliación

Cisco Firepower Management Center Centraliza, integra y simplifica la gestión