Принципы построения защищенной сети

Руслан ИвановСистемный инженер-‐консультант

Принципы построения защищенной сети

С чем мы сталкиваемся?

Изменение бизнес-‐моделей

Динамичность угроз

Сложность и фрагментация

организаций не знают всех своих сетевых устройств

BYOD

90%

ПОГЛОЩЕНИЯ

раз больше облачных сервисов используется, чем

знает ИТ и ИБ

ОБЛАКА

в 5–10основных 500 Android-‐

приложений имеют проблемы с безопасностью

ПРИЛОЖЕНИЯ

92%поглощений в первой половине 2014 года

16,775


Изменениебизнес-‐моделей

Динамичность угроз


Сообщество злоумышленников целенаправленно ведет свою деятельность скрытно

60%Данныхкрадутся за ЧАСЫ

54%Проникновений

остаютсянеобнаруженными

МЕСЯЦАМИ

ГОДЫМЕСЯЦЫЧАСЫСТАРТ

85%вторжений в PoS

не обнаруживаютсяНЕДЕЛЯМИ

НЕДЕЛИ

51%увеличилось число

компаний, заявивших о потерях в $10M+ за 3

ГОДА


Изменениебизнес-‐моделей


Динамичностьугроз

Вендоров ИБ на конференции RSA 2015

Нехватка персонала ИБ

373 12xСреднее число ИБ-‐вендоров на крупном

предприятии

50

Сложность ЛюдиФрагментация

© 2015 Cisco and/or its affiliates . All rights reserved. Cisco Confidential 5

$

3.355%

МобильностьУстройств наработника*

IP-‐траффикмобильный к 2017**

* Cisco IBSG , ** Cisco 2013 VNI, *** IDC

54544%

ОблакаОблачных приложенийна организацию*

Рост ежегоднойоблачной нагрузки***

* Skyhigh Networks Industry Report, ** Cisco G lobal Cloud Index, *** Cisco VNI G lobal Mobile Data Traffic Forecast,

Рост в M2M IP-‐траффика 2013–18**

5000М Подключенных“умных вещей” к 2020*

36X* Cisco IBSG , ** Cisco VNI: G lobal Mobile Data Traffic Forecast 2013-‐2018

IoE

Проблемы с традиционной моделью «эшелонированной» безопасности

Слабая прозрачность

Многовекторные и продвинутые угрозы

остаются незамеченными

Точечные продукты

Высокая сложность, меньшая

эффективность

Ручные и статические механизмы

Медленный отклик, ручное управление, низкаярезультативность

Наличие обходных каналов

Мобильные устройства, Wi-‐Fi, флешки, ActiveSync,

CD/DVD и т.п.

Современные угрозы требуют большего, чем просто эшелонированная оборона!

54%компрометаций

остаются незамеченнымимесяцами

60%данных

похищается за несколько часов

Они стремительно атакуют и остаются неуловимыми

Целое сообщество злоумышленниковостается нераскрытым, будучи у всех на виду

100%организаций подключаются к доменам, содержащим

вредоносные файлы или службы

Как хакеры используют свои знания?!

ИНН / SSN:от $1

Картапациента:

>$50

DDOS as a Service:от $7/час

8©2014 Cisco and/or its affiliates. All rights reserved.

ДОБРО ПОЖАЛОВАТЬ В ЭКОНОМИКУ ХАКЕРОВ!Source: RSA/CNBC

DDoS

Данныекредитнойкарты:

$0.25-‐$60

Банковская учетка:>$1000

зависит от типа учетки и баланса

$

Эксплойты$1000-‐$300K

Учетка Facebook:$1 за учетку с 15

друзьями

Спам:$50 за 500K email

Разработкавредоноса:

$2500(коммерческое ВПО)

Глобальный рынок киберпреступности: $450млрд-‐$1трлн

Мобильноевредоносное ПО: $150

Угрозы – не единственная причина думать об ИБ

Страх

Соответствиетребованиям регуляторов

Экономика

• Самая популярная причина продажи ИБ со стороны вендоров (реальные инциденты и мифические угрозы)

• В условиях кризиса не работает (есть более приоритетные риски и угрозы – колебания курса, нет заимствований, сокращение, банкротство контрагентов…)

• Наиболее актуальная причина для государственных органов

• Средняя актуальность – крупные предприятия

• Низкая актуальность – средний бизнес

• Практически неактуальна –для малого бизнеса

• Очень редко когда применяется в ИБ

• В условиях кризиса приобретает очень важное значение

Гипотезы безопасности Cisco

Консалтинг Интеграция УправлениеЗнание угроз ПлатформыВидимость

Акцент на операционную деятельность

Нехватка персонала

+Проблемы безопасности

+

Требуется изменение отношения к ИБ

Точечные истатичныерешения

© 2015 Cisco and/or its affiliates . All rights reserved. 11

Фрагментация

Сложность

Требуют лишнего управления

Локализовать

Вылечить

Устранить причины

Непрерывное решение

© 2015 Cisco and/or its affiliates . All rights reserved. 12

Узнать

Применить политику

Усилить защиту

Идентифицировать

Блокировать

Отразить

Всепроникающий

Непрерывный

Всегда

Полное решение

Серебряной пули не существует…

“Captive Portal”

“Это соответствует шаблону”

“Нет ложных срабатываний,нет пропусков.”

Контроль приложений

FW/VPN

IDS / IPSUTM

NAC

AVPKI

“Запретить или разрешить”

“Помочь МСЭ”

“Нет ключа, нет доступа”

Песочницы

“Обнаружитьнеизвестное”

Только комплексный подход способен решить эту задачу!

ДООбнаружениеБлокирование

Защита

ВО ВРЕМЯ ПОСЛЕКонтроль

ПрименениеУсиление

ВидимостьСдерживаниеУстранение

Угрозы

Сеть Оконечныеустройства

Мобильныеустройства

Виртуальныемашины

Облако

В определенныймомент Непрерывно

Портфолио решений Cisco создано с использованием этого подхода

ДОКонтроль


ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование

Защита


Угрозы

Видимость и контроль

Firewall

NGFW

NAC + Identity Services

VPN

UTM

NGIPS / AMP

Web Security

Email Security

Advanced Malware Protection

Network Behavior AnalysisЭконом

ика

Требования

регуляторов

Incident Response

Стратегические задачи

Интеграция в сеть,широкая база сенсоров,контекст и автоматизация

Непрерывная защита от целенаправленных

угроз, облачное исследование угроз

Гибкие и открытые платформы,масштабируемость, всесторонний

контроль, управление



Виртуальныеустройства

Облака

Видимость всего и вся Фокус на угрозы Платформы

Проблемы с традиционным мониторингом

Admin

Базируется на правилах• Зависимость от сложных,

создаваемых вручную правил• Зависимость от человеческого

фактора

Зависимость от времени• Занимает недели или месяцы

на обнаружение• Требует постоянной настройки

Security Team

Очень сложно• Часто требует

квалифицированный персонал для управления и поддержки

111010000 110 0111

Невозможно противодействовать в одиночку современным угрозам

Наш ответ: Cisco TALOS

Мозг архитектуры безопасности Cisco

Действующее соединение SMTP?

(ESA)

Ненадлежащий или нежелательный

контент? (ASA/WSA/CWS)

Место для контроля и управления? (ASA/WSA)

Вредоносное действие? (ASA/IPS)

Вредоносный контент на оконечных устройствах?

(AnyConnect)

WWW

Репутация Сигнатуры

Сигнатуры

Исследование угроз

Регистрация доменов

Проверкаконтента

Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы

Черные спискии репутация

Партнерство со сторонними разработчиками

Правила и логикадля конкретных платформ

Cisco Talos

Доверяем ли мы внешнему облаку?

Полностью публичное облако Гибридное облако(только хэшифайлов в облаке)

Полностью частное облако(все данные у заказчика)

Данные из облака+

ThreatGRIDТребуется лицензия на ПО

НЕТ устройств ThreatGRID

Данные из облака

+

Предварительный анализ хешей в

облаке+

Данные из облака

+

Весь анализв облаке

(ThreatGRID)+

AMP Appliance или подписка на ПО

ThreatGRIDТребуется лицензия на ПО

AMP Appliance или подписка на ПО AMP Appliance или подписка на ПО

Cisco Platform Exchange Grid (pxGrid)

Что более полезно с точки зрения безопасности?“Адрес скомпрометированного устройства 192.168.100.123”

-‐ ИЛИ -‐“Скомпрометировано устройство iPad Васи Иванова в комнате 13”

Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров.

С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы.

Повышение эффективности решений партнеров через обмен контекстом

Экосистема решений

ISE как “Сервис контекста”, TrustSec

Архитектура открытой платформыРазработка экосистемы SSP

Встроенная безопасность в ИТ

Мобильность (MDM), Угрозы (SIEM), облачные решения

Комплексное партнерское решение

Lancope, «Сеть как сенсор»Использование знания Сети

Текущая экосистемапартнеров Cisco

Экосистемные партнёры

Инфраструктура API

ДОПолитика и контроль

ПОСЛЕАнализ и

восстановлениеОбнаружение и блокирование

ВО ВРЕМЯ

Инфраструктура & Мобильность

NACУправление уязвимостями Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты

SIEMВизуализацияNetwork Access Taps

Ок, у Cisco крутые продукты, что дальше?

Дальше это выглядит так, как будто кто-‐то вывалил кучу деталей Lego на ковёр.

Необходимость стройной и понятной архитектуры решений

Мы не знаем, что нам делать со всеми этими деталями, как нам получить то, что на картинке?

Мы ориентируемся на конкретные сетевые зоны

Как мне обеспечить безопасность ЦОД? И от чего?

Что именно мне нужно сделать, чтобы обезопасить работу сервисов между доверенной и партнёрской зонами в ЦОД?

Нас интересуют практические задачи!

Как обезопасить данные кредитных карт от кражи?

Какие существуют рекомендации по обработке кредитных карт по беспроводным сетям? Это вообще возможно?

Простота всегда побеждает

Вы же сами рассказываете, что сложность безопасности растёт, значит надо всё делать проще!

Цели архитектуры SAFE

• Упростить сложное• Показать, как УГРОЗЫ

связаны с ВОЗМОЖНОСТЯМИпротиводействия средств защиты

• Предоставить эталонный дизайн – ту самую картинку на коробке Lego

Заголовок слайда

Как в SAFE выглядит защита от угроз и соответствие требованиям регуляторов для филиала?

От архитектуры к решению: защищаем филиал на 20-‐99 пользователей

Маршрутизатор ISRS2S VPN, унифицированные коммуникации, Trustsec, CWS, анализ Netflow

Коммутатор CatalystКонтроль доступа + Trustsec, анализ Netflow, ISE

Безопасность хостовАнтивирус, AMP for Endpoints

Унифицированная БЛВСКонтроль доступа + Trustsec, анализ Netflow, WirelessIPS, ISE

WAN

ASA с сервисами FirePowerFW, NGIPS, AVC, AMP, фильтрация URL

Email Security ApplianceЦентрализованная защита email, антиспам, антивирус,DLP, AMP

ISE + Cisco Threat DefenseЦентрализованные ISE и CTDКонтроль доступа + Trustsec, Проверка на соответствие,Защита от угро на основе анализа потоков Netflow

Internet

От решения – к низкоуровневому дизайну

Маршрутизатор ISRISR 4321

Коммутатор CatalystCatalyst 3850-‐48

Безопасность хостовАнтивирус, AnyConnect 4.0, AMP for Endpoints

Унифицированная БЛВСWLC 5508, AP3701i,MSEv

ASA с сервисами FirePowerASA 5515 w/ FP Services

Email Security ApplianceESA в центральном офисе

ISEISE в центральном офисе

Vlan 10

G1/1

G2/1Trunk

G1/2

G1/23

G2/1

10.1.1.0/24

10.1.2.0/24

Vlan 12

12.1.1.0/24

WANInternet

Структура документов по архитектуре SAFE

Общий высокоуровневый обзор архитектуры

Архитектурные руководства по местам в сети и доменам безопасности

Проверенные дизайны Cisco Validated Design

SAFE Overview

Architecture Guides

How To

First Look

DIGПроверено

Пример руководств по проектированию и внедрению безопасного ЦОД

SAFE Overview Guide

Secure Data Center Architecture Guide

How To Deploy ASA Cluster

Secure Data Center First Look Guide

ASA Clustering with FirePOWER

Общий высокоуровневый обзор архитектуры

Архитектурные руководства по местам в сети и доменам безопасности

Проверенные дизайны Cisco Validated Design

Проверено

Рекомендуемые руководства

• Firewall and IPS Deployment Guide

• Remote Access VPN Deployment Guide

• Remote Mobile Access Deployment Guide

• VPN Remote Site Over 3G/4G Deployment Guide

• Email Security using Cisco ESA Deployment Guide

• Cloud Web Security Deployment Guide

• Web Security using Cisco WSA Deployment Guide

• 5 BYOD Deployment Guides

• Teleworking ASA 5505 Deployment Guidewww.cisco.com/go/cvd

Состав руководства

Цели руководстваОбзор архитектурыОписание решения

• С бизнес и технологической точки зренияДетали внедрения

• Типовая конфигурация• Отказоустойчивость• Управление• Итоги

Список продуктовПример конфигурации

Рекомендации по настройке

Если вы знаете, что ваша сеть уже скомпрометирована,будете ли вы защищаться по старому?

Не видя ничего, ничего и не обнаружишь

Сетевыесервера

ОС

Рутера и свитчи


Принтеры

VoIP телефоны


Клиентскиеприложения

Файлы

Пользователи

Web приложения

Прикладныепротоколы

Сервисы

ВредоносноеПО

Серверауправленияботнетами

УязвимостиNetFlow

Сетевоеповедение

Процессы

Фокус на угрозы

?

Обнаружить, понять и остановить угрозу

?

Аналитика иисследования

угроз

Угрозаопределена

История событий

Как

Что

Кто

Где

Когда

Контекст

Записано

Блокирование

Непрерывная защита от целенаправленных угроз

Как

Что

Кто

Где

Когда

Аналитика иисследования

угроз

История событий

Непрерывный анализКонтекст Блокирование

Только комплексный подход способен решить поставленные задачи

ДООбнаружениеБлокирование

Защита

ВО ВРЕМЯ ПОСЛЕКонтроль



Угрозы




Облако

В определенныймомент Непрерывно

FirePOWER подчиняется той же идее




Защита


Ландшафт угроз

Видимость и контекст

Firewall

NGFW

Управление уязвимостями

VPN

UTM

NGIPS

Web Security

ИсследованияИБ

Advanced Malware Protection

Ретроспективный анализ

IoC / реагирование на инциденты

И Cisco Advanced Malware Protection тоже




Защита




Контрольсетевогодоступа

Обнаружение иблокированиевредоносного

кода

Ретроспективныйанализ

Cisco ISE также поддерживает этот подход и объединяет решения Cisco в единый комплекс




Защита




Контрольсетевогодоступа

Передачаконтекста

Ограничение доступаи локализациянарушителей

• Cisco ASA• Cisco FireSIGHT• Cisco ISR• Cisco Catalyst• Cisco Nexus• Cisco WSA

• Cisco CTD• SIEM• pxGRID

Внедрение ИБ там где, нужно,а не там, где получается

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводнаясеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-‐G2

CSM

ASA

ASAv ASAvASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Аналитический центр Talos

Удаленныеустройства

Доступ

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть

SDN)

АСУ ТП

CTD

IDS RA

МСЭБеспроводная

сеть

Коммутатор

Маршрутизатор

СегментацияМониторинг

«Поэтому и говорится: если знаешь его и знаешь себя, сражайся хоть сто раз, опасности не будет; если знаешь себя, а его не знаешь, один раз победишь, другой раз потерпишь поражение; если не знаешь ни себя, ни его, каждый раз, когда будешь сражаться, будешь терпеть поражение.»

Сунь Цзы. Искусство войны.

Technology

Принципы построения защищенной сети