Новые вызовы кибербезопасности

Алексей Лукацкий

Новые вызовы кибербезопасности

Типичные будни безопасника

Инцидент попадает

к CISO

КТОэто

сделал?

КАКэто

произошло?

ЧТО пострадало

?

ОТКУДАначался

инцидент?

КОГДАэто

произошло?

Один день из жизни CISO в Cisco

4TB

Данных для сбора/анализа

NetFlow для анализа в день

(Lancope)

15B

Инспектируется трафика в день

47TB

Сигналов тревоги в день

(NG-IPS)

1.5M

Сетевыхсобытий

1.2T

10K

Файлов для анализа в день

(ThreatGRID)

4.8B

Записей DNSв день

45M

Web-транзакцийблокируется

(WSA)

425

Защитных устройств

4.1M

Email-транзакцийблокируется в день

(ESA)

Состояние индустрии ИБ

Рост возможностейРост сложности

Состояние индустрии ИБ

Разрыв эффективностибезопасности

Разрыв в эффективности ИБ

Cisco закрывает разрыв

Интегрированный архитектурный подход

Унифицированное управление

Endpoint ОблакаСеть

Видимость

Threat Intelligence -

Услуги

UTMСетевая

аналитика

Борьба с вредоносным ПО

Защитный Интернет-шлюз

WebW W W

Политики и доступ

Email

NGFW/NGIPS

Портфолио Cisco по кибербезопасности

Источник: Cisco Midyear Security Report, 2016

100 VS.дней

Индустрия Cisco

Изменение правил игры

~13

Снижение времени обнаружения

часов

простота открытость автоматизация

Эффективная безопасность

Куда все движутся?..

Десктопы Бизнес-приложения

Критическая инфраструктура

Пора выйти запределы периметра

Корпоративная инфраструктура(AWS, Azure, Force.com)

Бизнес-приложения(Salesforce, Box,DocuSign, и т.д.)

Дистанционныепользователи

Филиалы



К удаленнойработе

Согласно оценкам Гартнер к 2018:

25% корпоративного трафикабудет миновать периметр ИБ.

75% это не 100%

Как достичь эффективной ИБв новом ИТ-окружении?

Cisco Umbrella

DNS используется

в вашей сетикаждым устройством

DNS

DNS

Пропишите вашу сеть (публичный IP) в Umbrella1Сеть

Перенаправьте ваш DNS в Umbrella2

DNS Простота

Сеть

ПростотаРегистрация за 30 секунд.

Полное внедрение за 30 минут.

Cisco on Cisco

Cisco IT Case Study

“Мы внедрили OpenDNS так быстро, что наши внутренние клиенты даже не заметили этого.”

“Внедрение было простым как добавление 4 строк кода в файл конфигурации DNS на наших внутренних серверах DNS.”

Эффективно

Umbrella обеспечивала

безопасность @

Rio 2016Olympics

Logo

Umbrella внедрена на всей инфраструктуре Олимпийских игр за 2 дня до церемонии открытия, всего за 2 часа

Всего 7 сетей было настроено в Рио и Сан-Паоло

22M запросов в день

Umbrella блокировала 23,000 угроз ежедневно

Umbrella на Олимпийских играх в Рио

Открытость иавтоматизация Umbrella работает с:

ü Продуктами Cisco

ü Другими решениями

ü Процессами заказчика

NGFW улучшает защиту сети

Последние 20 лет защита за периметром:

VPNon

УДАЛЕННЫЙ ДОСТУП

Но не каждое соединение идет через VPN

VPNoff*

*или разделение тунелей

Не весь трафик— через все

порты, все время —может быть

перенаправлен

Но 25% трафика NGFW не видит, так как он через него не проходит!

Как быть с устройствами вне сети?

AnyConnect 4.3 ISR4K

Cisco Umbrella BranchПервый уровень защиты для всех

пользователей филиалов без дополнительных «железок»

Cisco Umbrella RoamingРоуминговые пользователи

защищены на 100% без дополнительных агентов

Пользователи защищены даже без включенной VPN

Внесетевое слепое пятно устранено, а

от пользователей ничего не требуется

Угрозы блокируются доустановления соединения

или загрузки файла

VPNon

VPNoff*

DNSactive

*или разделение тунелей

Cisco Umbrella Branch

Cisco Umbrella Branch208.67.222.222

Устройства в филиале

• Видимость & контроль доступа на уровне DNS

• Блокирование запросов к вредоносным доменам и IP

• Фильтрация контента для гостей & корпоративных пользователей

MALWARE

C2 CALLBACKSPHISHING

Block

Cisco ISR

Теперь, Cisco защищает пользователей 100% времени!

Единое облачное управление множеством политик безопасности доступа в Интернет

Defense Orchestrator позволяет управлять политиками для ASA, ASAv, ASA withFirePOWER™ Services, Firepower NGFW и OpenDNS®

Umbrella с помощью единого интерфейса

Что происходит в облаках?

Не забыть прооблака

Корпоративная инфраструктура(AWS, Azure, Force.com)

Бизнес-приложения(Salesforce, Office365, Box и т.д.)

Дистанционные пользователи

Филиалы



CloudLock обеспечивает видимость иконтроль защищаемых облачных приложений и инфраструктуры.

Что такое CASB?

Утечки данныхЗащита данных и соответствие требованиям

Риски теневых ИТ и приложенийКонтроль и видимость приложений

Скомпрометирован-ные учетные записи и внутренние угрозыЗащита от угроз и UEBA

ПриложенияУчетные записи

Данные

Technology for Information Security in 2016

CASBCloud Access Security Broker

1#

Технологии CloudLock CASB

Защита применениябизнес-приложений в

облаках

CASB дляSaaS

Защита критической инфраструктуры в

облаках

CASB для IaaS/PaaS

Утечки данных и контроль поведенияВредоносные точки назначения

Неразрешенные приложения

Разрешенные приложения

Устройства и сетиПодключение отовсюду

Инспекция файлов

Контроль DNS / IP / URL

Видимость и доступ

Платформа Cisco Cloud Security

Объединяя ИБ из облака и для облака

DDoS

ASAv

OpenDNS

StealthwatchCloud License

AMP

Безопасность из облака

Безопасность для облака

CWS

OpenDNSUmbrellaAMP

Cisco Defense Orchestrator

Cognitive Threat Analytics

Active Threat Analytics

Hosted Identity Service

Cloud consumption services NGIPSv

NGFWv

CSRv

Cloud Email Security

Смотреть вперед, не забывая оглядываться

назад!

User Switch Router

КакГде/куда/откудаКогдаКто Что

Router Firewall ServerData CenterSwitch

WAN

THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out

THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out

FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In

FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out

FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In

MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In

TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out

TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In

TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out


WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In

WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In


THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out

THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out


FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out

FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In



TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In


Вспомним распечатку мобильного оператораDay Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out

Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out



WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH InWED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In


THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH OutTHR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out


FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH OutFRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In



TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH InTUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out

Вспомним распечатку мобильного оператора

Таблица потоков: Данные по сессия на 100% релевантны для ИБ

Layer 7

Network as a Sensor

Видимость

ОблакоИнформация опользователе

Информация об интерфейсе

TrustSec Threat Feed Сегмент / группа Прокси

Client Server Translation Service User Application Traffic Group Mac SGT

1.1.1.1 2.2.2.2 3.3.3.3 80/TCP Adam HTTP 20M Location 00:2b:1f 10

CiscoSecurity

CiscoNetworking

Cisco Stealthwatch

Stealthwatch

Network as a Sensor

Сеть

CAT

ISR

ASR

Nexus

ИБ/Контекст

FirewallVPNProxyIdentityMerakiUCSISE

Stealthwatch + ISE

Stealthwatch ISE

StealthwatchLearning Network

Сеть

Network as a Sensor

ИБ/КонтекстStealthwatch + ISE

FirewallVPNProxyIdentityMerakiUCSISE

CAT

ISR

ASR

Nexus Stealthwatch ISE

StealthwatchLearning Network

Обнаружение аномалий в удаленных офисах

Безопасность для Cisco 4000 Series Integrated Services Router

StealthwatchLearning Network License

Cisco Umbrella Branch

(OpenDNS)

Zone-Based Firewall (ZBFW)

VPNCloud

Web Security (CWS)

FirePOWER

Что надо сделать, чтобы запустить процесс обучения аномалиям в филиале?

Определить пути трафикаПостроить карту адресов IP для изучения окружения

Изучить движение трафика, объемы, шаблоны, временные характеристики

Идентифицировать приложения в сети по протоколам и портам

Изучение отклонений нормального от аномального

Точное обнаружение аномалий; возможность оператору реагировать на них

3

2

6

4

1

5

В чем новизна обучающихся сетей?

Текущие решения по безопасности Stealthwatch Learning Network License

§ Состоят из специализированных устройств безопасности, подключенных к сети, такие как МСЭ и IDS/IPS

§ Сильно зависят от известных сигнатур для обнаружения известных угроз

§ Обладают ограниченной приспособляемостью, приводящей к пропуску угроз

§ Адаптивная

§ Использует машинное обучение для обнаружения продвинутых и скрытных угроз

§ Фокусировка на 0-day атаках

§ Использует ISR 4000 как распределенный аналитический движок (сенсор) и систему безопасности(enforcer)

Преимущество обучающихся сетейТрадиционные системы обнаружения

аномалий Stealthwatch Learning Network License

§ Фокусировка на обнаружении как можно большего числа событий

§ Создает множество ложных срабатываний и не относящихся к делу угроз

§ Работает в одиночку и число обнаружений не является лучшим показателем эффективности

§ Централизованное решение, зависящее от сетевой телеметрии

§ Быстрое, эффективное, точное обнаружение

§ Сеть учится на собственных ошибках и сводит к минимуму количество ложных срабатываний

§ Обнаруживает и объединяет множество индикаторов в аномалию

§ Распределенное решение, независящее от полосы пропускания и мощности процессора

Архитектура обучающихся сетей• Управляет агентами на множестве

маршрутизаторов• Обеспечивает расширенную визуализацию

аномалий• Интерфейс централизованного управления• Взаимодействие с другими источниками

данных ИБ

• Сбор данных с извлечением знаний из NetFlowили захваченных сетевых пакетов и сессий

• Встроенное моделирование поведения и обнаружение аномалий в реальном времени

• Встроенный автономный контроль, применение политик безопасности локально Филиал 1 Филиал 2

Public/PrivateInternet

Threat Intelligence

Feeds

Cisco Identity

Services Engine ISE

Cisco Security Packet Analyzer

Помощь в проведении расследований сетевых инцидентов ИБ

Интеграция с Stealthwatch

Захват сетевых пакетов

Поддержка SPAN / TAP /

RISE / ERSPAN

4 x 1 GE или2 x 10 GE Наличие API Проведение

расследований

А про пользователей мы не забыли?

Public

Private Hybrid

ЦОД и внутренняя сеть Облако Пользователи

/Устройства

Security Everywhere

58

Cisco AMP

AMP – краеугольный камень портфолио Cisco

Видимость, контроль и ретроспективная безопасность по всем векторам атаки для защиты против большинства современных угроз.Увидеть один раз –защититься везде.

AMP for Endpoints

AMP for Firewalls

AMP for Networks

AMP for Email

AMP for ISR

AMP for Web

Threat Grid

AMP for Private Cloud Virtual Appliance

Private

CWS

AMP for Meraki

AMP обнаруживает 100% угроз по данным NSS Labs

Интеграция AMP в Meraki MX

БезопасностьNG Firewall, Client VPN, Site to Site VPN, IDS/IPS, Anti-Malware, Geo-Firewall

СетьNAT/DHCP, 3G/4G Cellular, Intelligent WAN (IWAN)

Контроль приложенийWeb Caching, Traffic Shaping, Content Filtering

AMP – один из лидеров сегмента EDR

Эффективная ИБ

5 Облака1 Видимость 4 Простота3 Автоматизация2 Интеллект

Вопросы[email protected]/security