Upload
cisco-russia
View
348
Download
5
Embed Size (px)
Citation preview
Руслан ИвановСистемный инженер-‐консультант
Принципы построения защищенной сети
С чем мы сталкиваемся?
Изменение бизнес-‐моделей
Динамичность угроз
Сложность и фрагментация
организаций не знают всех своих сетевых устройств
BYOD
90%
ПОГЛОЩЕНИЯ
раз больше облачных сервисов используется, чем
знает ИТ и ИБ
ОБЛАКА
в 5–10основных 500 Android-‐
приложений имеют проблемы с безопасностью
ПРИЛОЖЕНИЯ
92%поглощений в первой половине 2014 года
16,775
С чем мы сталкиваемся?
Изменениебизнес-‐моделей
Динамичность угроз
Сложность и фрагментация
Сообщество злоумышленников целенаправленно ведет свою деятельность скрытно
60%Данныхкрадутся за ЧАСЫ
54%Проникновений
остаютсянеобнаруженными
МЕСЯЦАМИ
ГОДЫМЕСЯЦЫЧАСЫСТАРТ
85%вторжений в PoS
не обнаруживаютсяНЕДЕЛЯМИ
НЕДЕЛИ
51%увеличилось число
компаний, заявивших о потерях в $10M+ за 3
ГОДА
С чем мы сталкиваемся?
Изменениебизнес-‐моделей
Сложность и фрагментация
Динамичностьугроз
Вендоров ИБ на конференции RSA 2015
Нехватка персонала ИБ
373 12xСреднее число ИБ-‐вендоров на крупном
предприятии
50
Сложность ЛюдиФрагментация
© 2015 Cisco and/or its affiliates . All rights reserved. Cisco Confidential 5
$
3.355%
МобильностьУстройств наработника*
IP-‐траффикмобильный к 2017**
* Cisco IBSG , ** Cisco 2013 VNI, *** IDC
54544%
ОблакаОблачных приложенийна организацию*
Рост ежегоднойоблачной нагрузки***
* Skyhigh Networks Industry Report, ** Cisco G lobal Cloud Index, *** Cisco VNI G lobal Mobile Data Traffic Forecast,
Рост в M2M IP-‐траффика 2013–18**
5000М Подключенных“умных вещей” к 2020*
36X* Cisco IBSG , ** Cisco VNI: G lobal Mobile Data Traffic Forecast 2013-‐2018
IoE
Проблемы с традиционной моделью «эшелонированной» безопасности
Слабая прозрачность
Многовекторные и продвинутые угрозы
остаются незамеченными
Точечные продукты
Высокая сложность, меньшая
эффективность
Ручные и статические механизмы
Медленный отклик, ручное управление, низкаярезультативность
Наличие обходных каналов
Мобильные устройства, Wi-‐Fi, флешки, ActiveSync,
CD/DVD и т.п.
Современные угрозы требуют большего, чем просто эшелонированная оборона!
54%компрометаций
остаются незамеченнымимесяцами
60%данных
похищается за несколько часов
Они стремительно атакуют и остаются неуловимыми
Целое сообщество злоумышленниковостается нераскрытым, будучи у всех на виду
100%организаций подключаются к доменам, содержащим
вредоносные файлы или службы
Как хакеры используют свои знания?!
ИНН / SSN:от $1
Картапациента:
>$50
DDOS as a Service:от $7/час
8©2014 Cisco and/or its affiliates. All rights reserved.
ДОБРО ПОЖАЛОВАТЬ В ЭКОНОМИКУ ХАКЕРОВ!Source: RSA/CNBC
DDoS
Данныекредитнойкарты:
$0.25-‐$60
Банковская учетка:>$1000
зависит от типа учетки и баланса
$
Эксплойты$1000-‐$300K
Учетка Facebook:$1 за учетку с 15
друзьями
Спам:$50 за 500K email
Разработкавредоноса:
$2500(коммерческое ВПО)
Глобальный рынок киберпреступности: $450млрд-‐$1трлн
Мобильноевредоносное ПО: $150
Угрозы – не единственная причина думать об ИБ
Страх
Соответствиетребованиям регуляторов
Экономика
• Самая популярная причина продажи ИБ со стороны вендоров (реальные инциденты и мифические угрозы)
• В условиях кризиса не работает (есть более приоритетные риски и угрозы – колебания курса, нет заимствований, сокращение, банкротство контрагентов…)
• Наиболее актуальная причина для государственных органов
• Средняя актуальность – крупные предприятия
• Низкая актуальность – средний бизнес
• Практически неактуальна –для малого бизнеса
• Очень редко когда применяется в ИБ
• В условиях кризиса приобретает очень важное значение
Гипотезы безопасности Cisco
Консалтинг Интеграция УправлениеЗнание угроз ПлатформыВидимость
Акцент на операционную деятельность
Нехватка персонала
+Проблемы безопасности
+
Требуется изменение отношения к ИБ
Точечные истатичныерешения
© 2015 Cisco and/or its affiliates . All rights reserved. 11
Фрагментация
Сложность
Требуют лишнего управления
Локализовать
Вылечить
Устранить причины
Непрерывное решение
© 2015 Cisco and/or its affiliates . All rights reserved. 12
Узнать
Применить политику
Усилить защиту
Идентифицировать
Блокировать
Отразить
Всепроникающий
Непрерывный
Всегда
Полное решение
Серебряной пули не существует…
“Captive Portal”
“Это соответствует шаблону”
“Нет ложных срабатываний,нет пропусков.”
Контроль приложений
FW/VPN
IDS / IPSUTM
NAC
AVPKI
“Запретить или разрешить”
“Помочь МСЭ”
“Нет ключа, нет доступа”
Песочницы
“Обнаружитьнеизвестное”
Только комплексный подход способен решить эту задачу!
ДООбнаружениеБлокирование
Защита
ВО ВРЕМЯ ПОСЛЕКонтроль
ПрименениеУсиление
ВидимостьСдерживаниеУстранение
Угрозы
Сеть Оконечныеустройства
Мобильныеустройства
Виртуальныемашины
Облако
В определенныймомент Непрерывно
Портфолио решений Cisco создано с использованием этого подхода
ДОКонтроль
ПрименениеУсиление
ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование
Защита
ВидимостьСдерживаниеУстранение
Угрозы
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS / AMP
Web Security
Email Security
Advanced Malware Protection
Network Behavior AnalysisЭконом
ика
Требования
регуляторов
Incident Response
Стратегические задачи
Интеграция в сеть,широкая база сенсоров,контекст и автоматизация
Непрерывная защита от целенаправленных
угроз, облачное исследование угроз
Гибкие и открытые платформы,масштабируемость, всесторонний
контроль, управление
Сеть Оконечныеустройства
Мобильныеустройства
Виртуальныеустройства
Облака
Видимость всего и вся Фокус на угрозы Платформы
Проблемы с традиционным мониторингом
Admin
Базируется на правилах• Зависимость от сложных,
создаваемых вручную правил• Зависимость от человеческого
фактора
Зависимость от времени• Занимает недели или месяцы
на обнаружение• Требует постоянной настройки
Security Team
Очень сложно• Часто требует
квалифицированный персонал для управления и поддержки
111010000 110 0111
Невозможно противодействовать в одиночку современным угрозам
Наш ответ: Cisco TALOS
Мозг архитектуры безопасности Cisco
Действующее соединение SMTP?
(ESA)
Ненадлежащий или нежелательный
контент? (ASA/WSA/CWS)
Место для контроля и управления? (ASA/WSA)
Вредоносное действие? (ASA/IPS)
Вредоносный контент на оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование угроз
Регистрация доменов
Проверкаконтента
Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы
Черные спискии репутация
Партнерство со сторонними разработчиками
Правила и логикадля конкретных платформ
Cisco Talos
Доверяем ли мы внешнему облаку?
Полностью публичное облако Гибридное облако(только хэшифайлов в облаке)
Полностью частное облако(все данные у заказчика)
Данные из облака+
ThreatGRIDТребуется лицензия на ПО
НЕТ устройств ThreatGRID
Данные из облака
+
Предварительный анализ хешей в
облаке+
Данные из облака
+
Весь анализв облаке
(ThreatGRID)+
AMP Appliance или подписка на ПО
ThreatGRIDТребуется лицензия на ПО
AMP Appliance или подписка на ПО AMP Appliance или подписка на ПО
Cisco Platform Exchange Grid (pxGrid)
Что более полезно с точки зрения безопасности?“Адрес скомпрометированного устройства 192.168.100.123”
-‐ ИЛИ -‐“Скомпрометировано устройство iPad Васи Иванова в комнате 13”
Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров.
С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы.
Повышение эффективности решений партнеров через обмен контекстом
Экосистема решений
ISE как “Сервис контекста”, TrustSec
Архитектура открытой платформыРазработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM), облачные решения
Комплексное партнерское решение
Lancope, «Сеть как сенсор»Использование знания Сети
Текущая экосистемапартнеров Cisco
Экосистемные партнёры
Инфраструктура API
ДОПолитика и контроль
ПОСЛЕАнализ и
восстановлениеОбнаружение и блокирование
ВО ВРЕМЯ
Инфраструктура & Мобильность
NACУправление уязвимостями Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEMВизуализацияNetwork Access Taps
Ок, у Cisco крутые продукты, что дальше?
Дальше это выглядит так, как будто кто-‐то вывалил кучу деталей Lego на ковёр.
Необходимость стройной и понятной архитектуры решений
Мы не знаем, что нам делать со всеми этими деталями, как нам получить то, что на картинке?
Мы ориентируемся на конкретные сетевые зоны
Как мне обеспечить безопасность ЦОД? И от чего?
Что именно мне нужно сделать, чтобы обезопасить работу сервисов между доверенной и партнёрской зонами в ЦОД?
Нас интересуют практические задачи!
Как обезопасить данные кредитных карт от кражи?
Какие существуют рекомендации по обработке кредитных карт по беспроводным сетям? Это вообще возможно?
Простота всегда побеждает
Вы же сами рассказываете, что сложность безопасности растёт, значит надо всё делать проще!
Цели архитектуры SAFE
• Упростить сложное• Показать, как УГРОЗЫ
связаны с ВОЗМОЖНОСТЯМИпротиводействия средств защиты
• Предоставить эталонный дизайн – ту самую картинку на коробке Lego
Заголовок слайда
Как в SAFE выглядит защита от угроз и соответствие требованиям регуляторов для филиала?
От архитектуры к решению: защищаем филиал на 20-‐99 пользователей
Маршрутизатор ISRS2S VPN, унифицированные коммуникации, Trustsec, CWS, анализ Netflow
Коммутатор CatalystКонтроль доступа + Trustsec, анализ Netflow, ISE
Безопасность хостовАнтивирус, AMP for Endpoints
Унифицированная БЛВСКонтроль доступа + Trustsec, анализ Netflow, WirelessIPS, ISE
WAN
ASA с сервисами FirePowerFW, NGIPS, AVC, AMP, фильтрация URL
Email Security ApplianceЦентрализованная защита email, антиспам, антивирус,DLP, AMP
ISE + Cisco Threat DefenseЦентрализованные ISE и CTDКонтроль доступа + Trustsec, Проверка на соответствие,Защита от угро на основе анализа потоков Netflow
Internet
От решения – к низкоуровневому дизайну
Маршрутизатор ISRISR 4321
Коммутатор CatalystCatalyst 3850-‐48
Безопасность хостовАнтивирус, AnyConnect 4.0, AMP for Endpoints
Унифицированная БЛВСWLC 5508, AP3701i,MSEv
ASA с сервисами FirePowerASA 5515 w/ FP Services
Email Security ApplianceESA в центральном офисе
ISEISE в центральном офисе
Vlan 10
G1/1
G2/1Trunk
G1/2
G1/23
G2/1
10.1.1.0/24
10.1.2.0/24
Vlan 12
12.1.1.0/24
WANInternet
Структура документов по архитектуре SAFE
Общий высокоуровневый обзор архитектуры
Архитектурные руководства по местам в сети и доменам безопасности
Проверенные дизайны Cisco Validated Design
SAFE Overview
Architecture Guides
How To
First Look
DIGПроверено
Пример руководств по проектированию и внедрению безопасного ЦОД
SAFE Overview Guide
Secure Data Center Architecture Guide
How To Deploy ASA Cluster
Secure Data Center First Look Guide
ASA Clustering with FirePOWER
Общий высокоуровневый обзор архитектуры
Архитектурные руководства по местам в сети и доменам безопасности
Проверенные дизайны Cisco Validated Design
Проверено
Рекомендуемые руководства
• Firewall and IPS Deployment Guide
• Remote Access VPN Deployment Guide
• Remote Mobile Access Deployment Guide
• VPN Remote Site Over 3G/4G Deployment Guide
• Email Security using Cisco ESA Deployment Guide
• Cloud Web Security Deployment Guide
• Web Security using Cisco WSA Deployment Guide
• 5 BYOD Deployment Guides
• Teleworking ASA 5505 Deployment Guidewww.cisco.com/go/cvd
Состав руководства
Цели руководстваОбзор архитектурыОписание решения
• С бизнес и технологической точки зренияДетали внедрения
• Типовая конфигурация• Отказоустойчивость• Управление• Итоги
Список продуктовПример конфигурации
Рекомендации по настройке
Если вы знаете, что ваша сеть уже скомпрометирована,будете ли вы защищаться по старому?
Не видя ничего, ничего и не обнаружишь
Сетевыесервера
ОС
Рутера и свитчи
Мобильныеустройства
Принтеры
VoIP телефоны
Виртуальныемашины
Клиентскиеприложения
Файлы
Пользователи
Web приложения
Прикладныепротоколы
Сервисы
ВредоносноеПО
Серверауправленияботнетами
УязвимостиNetFlow
Сетевоеповедение
Процессы
Фокус на угрозы
?
Обнаружить, понять и остановить угрозу
?
Аналитика иисследования
угроз
Угрозаопределена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика иисследования
угроз
История событий
Непрерывный анализКонтекст Блокирование
Только комплексный подход способен решить поставленные задачи
ДООбнаружениеБлокирование
Защита
ВО ВРЕМЯ ПОСЛЕКонтроль
ПрименениеУсиление
ВидимостьСдерживаниеУстранение
Угрозы
Сеть Оконечныеустройства
Мобильныеустройства
Виртуальныемашины
Облако
В определенныймомент Непрерывно
FirePOWER подчиняется той же идее
ДОКонтроль
ПрименениеУсиление
ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование
Защита
ВидимостьСдерживаниеУстранение
Ландшафт угроз
Видимость и контекст
Firewall
NGFW
Управление уязвимостями
VPN
UTM
NGIPS
Web Security
ИсследованияИБ
Advanced Malware Protection
Ретроспективный анализ
IoC / реагирование на инциденты
И Cisco Advanced Malware Protection тоже
ДОКонтроль
ПрименениеУсиление
ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование
Защита
ВидимостьСдерживаниеУстранение
Ландшафт угроз
Видимость и контекст
Контрольсетевогодоступа
Обнаружение иблокированиевредоносного
кода
Ретроспективныйанализ
Cisco ISE также поддерживает этот подход и объединяет решения Cisco в единый комплекс
ДОКонтроль
ПрименениеУсиление
ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование
Защита
ВидимостьСдерживаниеУстранение
Ландшафт угроз
Видимость и контекст
Контрольсетевогодоступа
Передачаконтекста
Ограничение доступаи локализациянарушителей
• Cisco ASA• Cisco FireSIGHT• Cisco ISR• Cisco Catalyst• Cisco Nexus• Cisco WSA
• Cisco CTD• SIEM• pxGRID
Внедрение ИБ там где, нужно,а не там, где получается
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводнаясеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-‐G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический центр Talos
Удаленныеустройства
Доступ
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭБеспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
«Поэтому и говорится: если знаешь его и знаешь себя, сражайся хоть сто раз, опасности не будет; если знаешь себя, а его не знаешь, один раз победишь, другой раз потерпишь поражение; если не знаешь ни себя, ни его, каждый раз, когда будешь сражаться, будешь терпеть поражение.»
Сунь Цзы. Искусство войны.