Download pdf - Защита от современных и целенаправленных атак

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Защита от современных и целенаправленных атак Алексей Лукацкий Бизнес-консультант по безопасности 2 April 2015


Архитектура безопасности Cisco

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводная сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAv ASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Аналитический центр Talos

Удаленные устройства

Доступ

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть SDN)

АСУ ТП

CTD

IDS RA

МСЭ Беспроводная

сеть

Коммутатор

Маршрутизатор

Сегментация Мониторинг


5 элементов борьбы с целенаправленными угрозами

Реальное время или близкое к нему Анализ пост-фактум

Сеть Анализ сетевого трафика

Расследование инцидентов на уровне

сети

Содержимое Анализ содержимого

Оконечные устройства Анализ поведения на оконечных устройствах

Расследование инцидентов на уровне оконечных устройств


С помощью чего бороться с целенаправленными угрозами?

Минимум

•  МСЭ и IPS •  Сегментация сети •  Системы контроля доступа в Интернет

•  Защита ПК/ноутбуков

Неплохо бы

•  NAC •  Контроль приложений (черные/белые списки)

•  МСЭ/IPS следующего поколения

•  SIEM •  Защита мобильных устройств

Идеально

•  Анализ сетевого трафика

•  Расследование инцидентов

•  Анализ содержимого •  Адаптивный контроль доступа

•  Система обнаружения брешей (BDS)


Проблемы с традиционными NGFW

Слабая прозрачность

Многовекторные и продвинутые угрозы

остаются незамеченными

Точечные продукты

Высокая сложность, меньшая

эффективность

Ручные и статические механизмы

Медленный отклик, ручное управление,

низкая результативность


Результат печален – потребитель проигрывает

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы


Эволюция механизмов безопасности Уровень безопасности

Статические механизмы

Вмешательство человека

Полуавто-матические

Механизмы на основе прогнозиро-

вания

Текущие требования

Динами-ческие

механизмы


AMP + FirePOWER AMP > управляемая защита от угроз

Cisco: в центре внимания — безопасность!

Приобретение компании Cognitive Security •  Передовая служба исследований •  Улучшенные технологии поведенческого анализа в режиме реального времени

2013 2015... 2014

Приобретение компании Sourcefire Security •  Ведущие в отрасли СОПВ нового поколения •  Мониторинг сетевой активности •  Advanced Malware Protection •  Разработки отдела по исследованию уязвимостей

(VRT) •  Инновации в ПО с открытым исходным кодом

(технология OpenAppID)

Malware Analysis & Threat Intelligence

Приобретение компании ThreatGRID •  Коллективный анализ вредоносного кода

•  Анализ угроз

Коллективные исследования Cisco – подразделение Talos по исследованию и анализу угроз •  Подразделение Sourcefire по исследованию уязвимостей — VRT •  Подразделене Cisco по исследованию и информированию об угрозах — TRAC

•  Подразделение Cisco по безопасности приложений — SecApps

Cognitive + AMP Коллективный анализ вредоносного кода > Система коллективной информационной безопасности


100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

01000 01000111 0100 11101 1000111010011101 1000111010011101 1100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

Что не так с прежними МСЭ нового поколения?

Фокусируются на приложениях... Но полностью упускают из вида угрозу

Прежние МСЭ нового поколения могли уменьшить область атаки, но усовершенствованный вредоносный код часто обходил защитные механизмы.

01000 01000111 0100 1110101001 1101 111 0011 0

100 0111100 011 1010011101 1

01000 01000111 0100 111001 1001 11 111 0


Современный ландшафт угроз требует большего, чем просто контроль приложений

54% компрометаций

остаются незамеченными месяцами

60% данных

похищается за несколько часов

Они стремительно атакуют и остаются неуловимыми

Целое сообщество злоумышленников остается нераскрытым, будучи у всех на виду

100% организаций подключаются к доменам, содержащим

вредоносные файлы или службы


Комплексная защита от угроз в течение всего жизненного цикла атаки

Защита в момент времени Непрерывная защита

Сеть Терминал Мобильное устройство Виртуальная машина Облако

Исследование Внедрение политик

Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование Восстановление

Жизненный цикл атаки

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ


Первый в отрасли МСЭ нового поколения, смотрящий шире и глубже других Cisco ASA с функциями FirePOWER

►  Межсетевое экранирование Cisco® ASA в сочетании с системой предотвращения вторжений Sourcefire® нового поколения

►  Усиленная защита от вредоносного кода Advanced Malware Protection (AMP)

►  Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и контроля приложений (AVC) и фильтрации URL-адресов

Особенности

►  Непревзойденная, многоуровневая защита от угроз

►  Беспрецедентная прозрачность сетевой активности

►  Комплексная защита от угроз на всем протяжении атаки

►  Снижение стоимости и сложности систем

Преимущества

«С помощью многоуровневой защиты организации смогут расширить возможности для мониторинга, внедрить динамические механизмы безопасности и обеспечить усиленную защиту в течение всего жизненного цикла атаки»


Интегрированная и многоуровневая защита

►  Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений

►  Система гранулярного мониторинга и контроля приложений (Cisco® AVC)

►  Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

►  Фильтрация URL-адресов на основе репутации и классификации

►  Система Advanced Malware Protection с функциями ретроспективной защиты

►  Система управления уязвимостями и SIEM

Cisco ASA

VPN и политики аутентификации

Фильтрация URL-адресов

(по подписке) FireSIGHT Аналитика и автоматизация

Advanced Malware Protection

(по подписке)

Мониторинг и контроль приложений

Межсетевой экран Маршрутизация и коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI

Встроенное профилирование

сети

Предотвращение вторжений (по подписке)


Платформа ASA

Управление и эксплуатация

Защита унифицированных коммуникаций

Защищенное подключение

(IPSec / SSL VPN) Защита от угроз

Анализ протоколов

IPv4/v6 Контроль доступа

§  Высокопроизводительная масштабируемая платформа §  Высокая доступность, надежность и отказоустойчивость §  Интеллектуальные сетевые сервисы §  Виртуализация, прозрачность функционирования §  Широкий модельный ряд §  Сертификация производства в ФСТЭК по 3-му классу для МСЭ

В основе лежит платформа Cisco ASA 5500-X


Что привносят FirePOWER Services?

•  Система предотвращения вторжений нового поколения – проверка содержимого

•  Учет контекста

•  Интеллектуальная система безопасности – управление черными списками

•  Полный контроль доступа По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу

•  И все эти компоненты прекрасно интегрируются друг с другом Используются политики системы предотвращения вторжений

Политики контроля файлов

Политика межсетевого экрана

Политика в отношении системы предотвращения вторжений нового поколения

Политика в отношении файлов

Политика в отношении вредоносных программ

Контролируемый трафик

Коммутация, маршрутизация, сеть VPN, высокая доступность

Осведомленность об URL-адресах

Интеллектуальная система безопасности

Определение местоположения по IP-адресу


Беспрецедентная прозрачность сетевой активности Категории Технологии FirePOWER Прежние IPS Прежние МСЭ нового

поколения Угрозы ü ü ü Пользователи ü û ü Веб-приложения ü û ü Протоколы приложений ü û ü Передача файлов ü û ü Вредоносный код ü û û Серверы управления и контроля ботнета

ü û û Клиентские приложения ü û û Сетевые серверы ü û û Операционные системы ü û û Маршрутизаторы и коммутаторы ü û û Мобильные устройства ü û û Принтеры ü û û VoIP-телефония ü û û Виртуальные машины ü û û


Политика NGFW


Распознавание приложений

•  Анализ сетевого трафика позволяет распознавать широкий спектр различных приложений, которые затем можно использовать в правилах политики безопасности

•  FirePOWER for ASA распознает и «российские» приложения


3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

P2P запрещенное приложение обнаружено

Событие нарушения зафиксировано, пользователь

идентифицирован

Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены.

IT & HR провели с

пользователем работу

Идентификация приложений «на лету»


Блокирование передачи файлов Skype


Описание собственных приложений

•  Приложения могут быть описаны шаблонами

ASCII HEX PCAP-файл


Управление сигнатурами атак


Реагирование на события •  Запуск сканирования NMAP с заданными параметрами на источник/направление атаки

•  Блокировка нарушителя на маршрутизаторе Cisco (RTBH)

•  Блокировка нарушителя на МСЭ Cisco ASA

•  Установка необходимого атрибута на хост

•  Уведомление администратора посредством Email/SNMP/Syslog

•  Выполнение самописной программы, написанной на C/BASH/TCSH/PERL с возможностью передачи переменных из события


Фильтрация URL

Различные категории URL

URLs категорированы по уровню рисков


Контроль по типам файлов и направлению передачи


Геолокация и визуализация местонахождения атакующих

•  Визуализация карт, стран и городов для событий и узлов

Bad Guys


Детали по геолокации

•  IP –адреса должны быть маршрутизируемыми

•  Два типа геолокационных данных Страна – включено по умолчанию Full – Может быть загружено после установки: Почтовый индекс, координаты, TZ, ASN, ISP, организация, доменное имя и т.д. Ссылки на карты (Google, Bing и другие)

•  Страна сохраняется в запись о событии Для источника & получателя


«Черные списки»: свои или централизованные


Создание «белых списков» / «списков соответствия»

•  Разрешенные типы и версии ОС

•  Разрешенные клиентские приложения

•  Разрешенные Web-приложения

•  Разрешенные протоколы транспортного и сетевого уровней

•  Разрешенные адреса / диапазоны адресов

•  И т.д.


3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

Поведение зафиксировано, уведомления отправлены

IT восстановили

активы

Хосты скомпрометированы

Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT.

Новый актив обнаружен

Поведение обнаружено

Обнаружение посторонних / аномалий / несоответствий


Инвентаризация и профилирование узлов

•  Профиль хоста включает всю необходимую для анализа информацию

IP-, NetBIOS-, MAC-адреса Операционная система Используемые приложения Зарегистрированные пользователи И т.д.

•  Идентификация и профилирование мобильных устройств


Профилирование протоколов

•  Профиль протокола включает 29+ параметров соединения

IP-, NetBIOS-, MAC-адреса Сетевой протокол Транспортный протокол Прикладной протокол И т.д.


Препроцессоры для отдельных протоколов •  DCE/RPC

•  DNS

•  FTP и Telnet

•  HTTP

•  Sun RPC

•  SIP

•  GTP

•  IMAP

•  POP

•  SMTP

•  SSH

•  SSL

•  Modbus / DNP3


Анализ происходящего на узлах

Идентифицированная операционная система

и ее версия

Серверные приложения и их версия

Клиентские приложения

Кто на хосте

Версия клиентского приложения

Приложение

Какие еще системы / IP-адреса использует

пользователь? Когда?


3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

Событие сохранено

LINUX SERVER

WINDOWS SERVER Linux не

уязвим Windows

server уязвим

Атака блокирована

Атака скоррелирована с

целью

Новая Windows-атака направлена на Windows и Linux сервера. Атаки скоррелированы с профилем цели. Событие об атаке сгенерировано.

Встроенная корреляция событий безопасности


Автоматизированная, комплексная защита от угроз Непревзойденная защита в течение всего жизненного цикла атаки

Ретроспективная защита

Сокращение времени между обнаружением и нейтрализацией

PDF Почта

Админ. запрос

PDF

Почта

Админ. запрос

Корреляция между векторами атаки

Раннее предупреждение о современных типах угроз

Узел A

Узел B

Узел C

3 ИК

Адаптация политик к рискам

WWW WWW WWW

Динамические механизмы безопасности

http:// http:// WWW ВЕБ

Корреляция между контекстом и угрозами

Приоритет 1



Оценка вредоносного воздействия

5 ИК


Встроенная система корреляции событий

•  Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных Приложения Уязвимости Протоколы Пользователи Операционные системы Производитель ОС Адреса Место в иерархии компании Статус узла и т.п.



•  Различные типы события для системы корреляции Атаки / вторжение Активность пользователя Установлено соединение Изменение профиля трафика Вредоносный код Изменение инвентаризационных данных (например, появление нового узла в сети или ОС на узле) Изменение профиля узла Появление новой уязвимости



•  В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции

•  Возможность создания динамических политик безопасности


Автоматизация создания и настройки политик

Анализ сети, протоколов, приложений, сервисов, устройств, ОС, уязвимостей и др. позволяет

автоматизировать создание политик и правил МСЭ и IPS


Оценка вредоносного воздействия

Каждому событию вторжения присваивается уровень воздействия атаки на объект

1

2

3

4

0

УРОВЕНЬ ВОЗДЕЙСТВИЯ

ДЕЙСТВИЯ АДМИНИСТРАТОРА ПРИЧИНЫ

Немедленно принять меры, опасность

Событие соответствует уязвимости, существующей на данном узле

Провести расследование, потенциальная опасность

Открыт соответствующий порт или используется соответствующий протокол, но уязвимости отсутствуют

Принять к сведению, опасности пока нет

Соответствующий порт закрыт, протокол не используется

Принять к сведению, неизвестный объект

Неизвестный узел в наблюдаемой сети

Принять к сведению, неизвестная сеть

Сеть, за которой не ведется наблюдение


Использование информации об уязвимостях


Признаки (индикаторы) компрометации

События СОВ

Бэкдоры Подключения к серверам

управления и контроля ботнетов

Наборы эксплойтов Получение

администраторских полномочий

Атаки на веб-приложения

События анализа ИБ

Подключения к известным IP серверов

управления и контроля ботнетов

События, связанные с вредоносным кодом

Обнаружение вредоносного кода

Выполнение вредоносного кода

Компрометация Office/PDF/Java

Обнаружение дроппера


Анализ траектории движения вредоносных программ

•  Сетевая платформа использует индикаторы компрометации, анализ файлов и траекторию движения файла для того, чтобы показать, как вредоносный файл перемещается по сети, откуда он появился, что стало причиной его появления и кто еще пострадал от него

Сеть

Endpoint

Контент


Обнаружение вредоносного кода с помощью AMP

Фильтрация по репутации Поведенческое обнаружение

Динамический анализ

Машинное обучение

Нечеткие идентифицирующие

метки

Расширенная аналитика

Идентичная сигнатура

Признаки компрометации

Сопоставление потоков устройств



Обучение компьютеров

Нечеткие идентифицирующ

ие метки



Признаки вторжения


Фильтрация по репутации Поведенческое обнаружение

Фильтрация по репутации основывается на трех функциях

Collective Security Intelligence Cloud

Сигнатура неизвестного файла анализируется и отправляется в облако

1

Сигнатура файла признана невредоносной и принята. 2 Сигнатура неизвестного файла анализируется и отправляется в облако

3

Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему

4

Cisco® Collective Security Intelligence

Ограниченное во времени обнаружение Ретроспективная безопасность





ие метки







Сигнатура файла анализируется и определяется как вредоносная 1

Доступ вредоносному файлу запрещен 2 Полиморфная модификация того же файла пытается получить доступ в систему

3

Сигнатуры двух файлов сравниваются и оказываются аналогичными 4 Доступ полиморфной модификации запрещен на основании его ходства с известным вредоносным ПО

5







ие метки







Метаданные неизвестного файла отправляются в облако для анализа 1

Метаданные признаются потенциально вредоносными 2 Файл сравнивается с известным вредоносным ПО и подтверждается как вредоносный

3 Метаданные второго неизвестного файла отправляются в облако для анализа

4 Метаданные аналогичны известному безопасному файлу, потенциально безопасны

5 Файл подтверждается как безопасный после сравнения с аналогичным безопасным файлом

6

Дерево решений машинного обучения

Потенциально безопасный файл

Потенциально вредоносное ПО

Подтвержденное вредоносное ПО

Подтвержденный безопасный файл

Подтвержденный безопасный файл

Подтвержденное вредоносное ПО







ие метки





Поведенческое обнаружение основывается на четырех функциях


Неизвестный файл проанализирован, обнаружены признаки саморазмножения

1

Эти признаки саморазмножения передаются в облако 2

Неизвестный файл также производит независимые внешние передачи 3

Это поведение также отправляется в облако 4 Об этих действиях сообщается пользователю для идентификации файла как потенциально вредоносного

5







ие метки






Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде

1

Два файла определяются как вредоносные, один подтвержден как безопасный 2

Сигнатуры вредоносных файлов обновляются в облаке информации и добавляются в пользовательскую базу

3

Collective Security Intelligence Cloud Коллективная

пользователь-ская база







ие метки






Получает информацию о неопознанном ПО от устройств фильтрации по репутации

1

Анализирует файл в свете полученной информации и контекста 3 Идентифицирует вредоносное ПО и добавляет новую сигнатуру в пользовательскую базу

4

Получает контекст для неизвестного ПО от коллективной пользовательской базы

2 Коллективная пользователь- ская база








ие метки







Обнаруживаются два неизвестных файла, связывающихся с определенным IP-адресом

2

Один передает информацию за пределы сети, другой получает команды с этого IP-адреса

3

Collective Security Intelligence Cloud распознает внешний IP-адрес как подтвержденный вредоносный сайт

4

Из-за этого неизвестные файлы идентифицируются как вредоносные 5

IP-адрес: 64.233.160.0

Сопоставление потоков устройств производит мониторинг источника и приемника входящего/исходящего трафика в сети

1




Cisco AMP обеспечивает более эффективный подход

Ретроспективная безопасность Ограниченное во времени

обнаружение

Непрерывная защита Репутация файла и поведенческое обнаружение

Уникально для Cisco® AMP


Cisco AMP обеспечивает защиту с помощью ретроспективной безопасности




Почему необходима непрерывная защита Cisco® Collective Security Intelligence


1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

Непрерывная подача

Непрерывный анализ

Поток телеметрических

данных

Интернет

WWW

Оконечные устройства Сеть Эл. почта

Устройства

Система предотвращения вторжений IPS

Идентифицирующие метки и метаданные файла

Файловый и сетевой ввод/вывод

Информация о процессе

Объем и контрольные точки


Почему необходима непрерывная защита Cisco® Collective Security Intelligence


Контекст Применение Непрерывный анализ

Кто Что

Где Когда

Как

История событий

Collective Security Intelligence


Cisco AMP обеспечивает защиту с помощью ретроспективной безопасности

Траектория Поведенческие признаки вторжения

Поиск нарушений

Ретроспекция Создание цепочек атак







Ретроспективная безопасность основана на…

Выполняет анализ при первом обнаружении файлов

1 Постоянно анализирует файл с течением времени, чтобы видеть изменения ситуации

2 Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО

3




Анализ траектории вредоносного кода

•  Какие системы были инфицированы?

•  Кто был инфицирован?

•  Когда это произошло?

•  Какой процесс был отправной точкой?

•  Почему это произошло?

•  Когда это произошло?

•  Что еще произошло?






Использует ретроспективные возможности тремя способами:

Ретроспективный анализ файлов Записывает траекторию ПО от устройства к устройству

Ретроспективный анализ файлов 1

Ретроспекция процесса 2

Ретроспекция связи 3

Ретроспекция процесса Производит мониторинг активности ввода/вывода для всех устройств в системе

Ретроспекция связей Производит мониторинг, какие приложения выполняют действия

Создание цепочки атак Анализирует данные, собранные ретроспекцией файлов, процессов и связи для обеспечения нового уровня интеллектуальных средств мониторинга угроз








Поведенческие признаки вторжения используют ретроспекцию для мониторинга систем на наличие подозрительной и неожиданной активности

Неизвестный файл допущен в сеть 1

Неизвестный файл копирует себя на несколько машин

2 Копирует содержимое с жесткого диска 3

Отправляет скопированное содержимое на неизвестный IP-адрес

4

С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам

файлов




Если статус файла неизвестен, он отправляется в песочницу

Bad Guys






Траектория файла автоматически записывает время, способ, входную точку, затронутые системы и распространение файла

Неизвестный файл загружается на устройство 1

Сигнатура записывается и отправляется в облако для анализа 2

Неизвестный файл перемещается по сети на разные устройства

3

Аналитики изолированной зоны определяют, что файл вредоносный, и уведомляют все устройства

4

Траектория файла обеспечивает улучшенную наглядность масштаба заражения

5 Вычислительные ресурсы

Виртуальная машина

Мобильные системы


Виртуальная машина

Вычислительные ресурсы

Сеть










Вычислительные ресурсы

Неизвестный файл загружается на конкретное устройство 1

Файл перемещается на устройстве, выполняя различные операции 2 При этом траектория устройства записывает основную причину, происхождение и действия файлов на машине

3

Эти данные указывают точную причину и масштаб вторжения на устройство 4


Диск 1 Диск 2 Диск 3








Поиск нарушений — это возможность использования индикаторов, создаваемых поведенческими интегрированными центрами управления, для мониторинга и поиска конкретного поведения в среде

1

При идентификации поведенческих интегрированных центров управления их можно использовать для поиска и идентификации наличия или отсутствия этого поведения в каком-либо другом месте

2

Эта функция позволяет производить быстрый поиск поведения, а не сигнатуры, давая возможность определять файлы, остающиеся неизвестными, но являющиеся вредоносными

3




Выбор типов файлов для анализа Bad Guys


Обнаружение известного вредоносного кода Bad Guys


Как работает Cisco AMP: пример внедрения траектории файла



Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox


В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8


Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)


Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)


Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие


Тотчас же устройство с коннектором FireAMP среагировало на ретроспективное событие и немедленно остановило и поместило в карантин только что определенное вредоносное ПО


Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано


Полная информация о вредоносном коде Bad Guys


Мониторинг общей информации о сети

•  Корреляция событий безопасности, трафика и вредоносного кода

•  Активность конкретных пользователей и их приложений

•  Используемые ОС и активность сетевого обмена

•  Оценка событий по уровню воздействия и приоритета

•  Статистика по вредоносному коду и зараженным файлам

•  Геолокационные данные

•  Категории сайтов и посещаемые URL








Мониторинг сетевых событий

•  Использование сервисов

•  Использование приложений

•  Использование операционных систем

•  Распределение соединений

•  Активность пользователей

•  Уязвимые узлы и приложения

•  И т.д.


Мониторинг событий безопасности

•  Основные нарушители

•  Основные атаки

•  Заблокированные атаки

•  Основные цели

•  Приоритет событий

•  Уровень воздействия


Детализация событий безопасности

•  Подробная информация о событии безопасности

•  Возможность изменения правил реагирования

•  Возможность тюнинга правила / сигнатуры

•  Сетевой дамп


Анализ сетевого дампа


ASA with FirePOWER объединяет все вместе

Исследование Внедрение политик

Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование Восстановление

Жизненный цикл атаки

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

МСЭ/VPN NGIPS

Исследования ИБ

Защита Web

Advanced Malware Protection

Видимость и автоматизация

Контроль приложений

Контроль угроз

Ретроспективный анализ

IoCs/Реагирование на инциденты


Увеличение числа устройств с вредоносным ПО

Анализ вредоносного ПО и атак

Подтверждение атаки и заражения

•  С чего начать?

•  Насколько тяжела ситуация?

•  Какие системы были затронуты?

•  Что сделала угроза?

•  Как можно восстановить?

•  Как можно предотвратить ее повторение?

Исправление Поиск сетевого трафика

Поиск журналов устройств

Сканирование устройств

Задание правил (из профиля)

Создание системы испытаний

Статический анализ

Анализ устройств Сетевой анализ

Анализ увеличения

числа устройств

Уведомление Карантин Сортировка

Профиль вредоносного

ПО

Стоп

Не удалось обнаружить заражение

Заражение обнаруж

ено

Поиск повторного заражения

Обновление профиля

Подтверждение

Заражение отсутствует

Вопрос не в том, произойдет ли заражение, а как скоро мы его обнаружим, устраним и поймем причины


Объединяя все вместе, ASA with FirePOWER

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

Непрерывная передача



данных

Интернет

WWW




Идентифицирующие метки и метаданные файла





1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

Непрерывная подача



данных

Интернет

WWW




Сигнатура и метаданные файла




…позволяет непрерывно анализировать широкий спектр угроз и реагировать на них…

11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00

0010 010 10010111001 10 100111

Повышенные уровни обнаружения, отслеживания и реагирования

Анализ пост-фактум


Поиск угроз

Ретроспективное обнаружение


… что дает уверенность и контроль того, откуда именно следует начать

Кто

Что

Где

Когда

Как

Сфокусируйтесь сначала на этих пользователях

Эти приложения пострадали

Взлом затронул эти области сети

Такова картина атака с течением времени

Это источник угрозы и путь ее распространения


Collective Security Intelligence (Talos)

Понимание контекста (устройства, сеть, ПК)

Classic Stateful Firewall Gen1 IPS

Application Visibility Web—URL Controls

AV and Basic Protections

NGIPS

Управление уязвимостями

*Anti-Malware для ПК (AMP)

Управление событиями

(SIEM)

Управление инцидентами Сетевой Anti-

Malware (AMP)

Поведенческие признаки

компрометации

User Identity

NGFW

Open APP-ID SNORT Open IPS Host Trajectory Ретроспективный анализ

NG Sandbox for Evasive Malware Автоустранение / Динамические политики

*Агент

Адаптивная безопасность

Sandboxing

Обычный Stateful Firewall

Обнаружение пост-фактум Malware File Trajectory

Threat Hunting

Расследования и управление логами

Dynamic Outbreak Controls Репутация URL и IP

1

2

ASA with FirePOWER - это не только NGFW ДО ВО ВРЕМЯ ПОСЛЕ Только Cisco

Cisco и конкуренты

Интерфейс управления n


Сравнение Cisco ASA с функциями FirePOWER и прежних МСЭ нового поколения

Возможности Cisco ASA с функциями FirePOWER

Прежние МСЭ нового поколения

Упреждающая защита на основе репутации На высшем уровне Не имеется

Автоматизация мониторинга, учета контекста и интеллектуальной безопасности На высшем уровне Не имеется

Репутация файлов, отслеживание активности файлов, ретроспективный анализ На высшем уровне Не имеется

Индикаторы компрометации На высшем уровне Не имеется

СОВ нового поколения На высшем уровне Имеется1

Мониторинг и контроль приложений На высшем уровне Имеется

Политика допустимого применения/Фильтрация URL-адресов На высшем уровне Имеется

Удаленный доступ по VPN На высшем уровне Не на уровне предприятия

Межсетевое экранирование с отслеживанием состояния, высокая доступность, кластеризация На высшем уровне Имеется2

1- Обычно для 1-го поколения СОВ. 2 - Возможности высокой доступности зависят от производителя МСЭ нового поколения


Варианты исполнения Cisco ASA with FirePOWER

FirePOWER Services for 5585-X (модуль) FirePOWER Services for 5500-X (ПО)

ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X ASA 5585-X


Производительность и масштабируемость

системы

предотвращения

вторжений

Центр обработки данных

Комплекс зданий Филиал

Малый или домашний офис

Интернет-периметр

FirePOWER 7100 500 Мбит/с – 1 Гбит/с

FirePOWER 7120/7125/8120

1 - 2 Гбит/с

FirePOWER 8100/8200

2 - 10 Гбит/с

FirePOWER серии 8200 и 8300

10 – 120 Гбит/с

FirePOWER 7000 Series 50 – 250 Мбит/с

+ Сенсоры и консоль управления в виде ВМ

Платформа Cisco FirePOWER


Выделенные устройства AMP for Network


Виртуальный сенсор

Виртуальные сенсоры

Виртуальный центр защиты •  Встроенное или пассивное развертывание

•  Полный набор функциональных возможностей системы предотвращения вторжений нового поколения

•  Развертывается как виртуальное устройство

•  Сценарии использования Преобразование SNORT Небольшие / удаленные площадки Виртуализированные рабочие нагрузки (PCI)

•  Управляет до 25 сенсорами физические и виртуальные одно окно

•  Сценарии использования Быстрая оценка Предварительное тестирование перед производством Операторы связи

ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.

DC


Новая модель Cisco ASA 5506-X

•  Производительность МСЭ - 500 Мбит/сек NGIPS или AVC – 85 Мбит/сек NGIPS + AVC + AMP – 40 Мбит/сек

•  8 GE ports

•  Поддержка всех функций ASA with FirePOWER Services

•  Планируется также выпустить 5506W-X – с встроенной точкой беспроводного доступа 5506H-X – для индустриальных сетей (АСУ ТП и т.п.)

•  Локальное управление с помощью ASDM 7.3


Замена для 5505 FirePOWER Services

Desktop Form Factor

5506-X

Q3FY15

5506W-X Wireless

Q3FY15

Идеальна для небольших офисов за счет

встроенного коммутатора и Wi-Fi

Integrated Wireless AP

5508-X

Q3FY15

Промежуточное решение между 5506 и старшими моделями

1 RU Rack-Mount

5516-X

Q3FY15 Уже доступно

1 RU Rack-Mount Высокая

производительность

SSD уже включен

Что нас еще ждет?


Модульная функциональность

•  5 вариантов заказа защитных функций

•  Подписка на 1 или 3 года (включая обновления) Возможны и иные временные периоды (некратные годам)

•  Функция AVC (NGFW) включена по умолчанию Активирует функции FirePOWER Services Постоянная и поставляется вместе с устройством

•  Обновления AVC включены в SMARTnet IPS

URL

URL

IPS

TAMC TAC TA

URL

URL

AMP

IPS

TAM

AMP

IPS


Управление ASA с FirePOWER Services NetOPS Workflows - CSM 4.6/7 или ASDM-ASA-On-Box 1

SecOPS Workflows - FireSIGHT Management Center 2

Управление NGFW/NGIPS

Forensics / Управление логами

Network AMP / Trajectory

Управление уязвимостями

Управление инцидентами

Адаптивная политика ИБ

Ретроспективный анализ

Корреляция событий (SIEM)

Распознавание

Категории анализа Угрозы Пользователи Web-приложения Прикладные протоколы Передача файлов Вредоносный код Command & Control Servers Клиентские приложения Сетевые сервера Операционные системы Рутера & коммутаторы Мобильные устройства Принтеры VoIP-телефоны Виртуальные машины

FireAMP Connector (Managed by FMC)


Локальная система управления: ASDM 7.3.x

Новая разработка! Сочетает в себе контроль над политиками доступа и функциями защиты от современных угроз. Улучшенный пользовательский интерфейс позволяет как следить за событиями в общем, так и углубляться в детали


Cisco ASA с функциями FirePOWER Первый в отрасли МСЭ нового поколения, смотрящий шире и глубже

Непревзойденная прозрачность

Комплексная защита от угроз ▶  Лучшая в своем классе многоуровневая защита в одном устройстве

▶  Полная осведомленность о сетевом контексте для устранения уязвимостей

Автоматизация

▶  Простота управления, динамическое реагирование и восстановление


Благодарю за внимание