Стратегия Cisco по информационной безопасности

Алексей Лукацкий Бизнес-консультант по безопасности, Cisco

Проблемы и задачи

Текущие проблемы безопасности

Изменение бизнес-моделей

Динамический ландшафт угроз

Сложность и фрагментация

Любое устройство к любому облаку

ЧАСТНОЕ ОБЛАКО

ОБЩЕ-ДОСТУПНОЕ ОБЛАКО

ГИБРИДНОЕ ОБЛАКО

The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and

Всеобъемлющий Интернет

завтра 2010 2000 2005

Изменение ландшафта угроз

APTs и кибервойны

Черви и вирусы

Шпионское ПО и руткит

Антивирус (Host-Based)

IDS/IPS (Сетевой периметр)

Репутация (Global) и песочница

Разведка и аналитика (Облако)

Ответ предприятия

Угрозы

Время не на нашей стороне

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы

Угроза распространяется по сети и захватывает как можно больше данных

ПРЕДПРИЯТИЕ

ЦОД

Заражение точки входа происходит за пределами предприятия

Интернет и облака

ПУБЛИЧНАЯ СЕТЬ

Продвинутые угрозы обходят средства защиты

периметра

КАМПУС

ПЕРИМЕТР

Анатомия современной угрозы

Новая модель безопасности

Новая модель безопасности

ДО Обнаружение Блокирование

Защита

ВО ВРЕМЯ ПОСЛЕ Контроль

Применение Усиление

Видимость Сдерживание Устранение

Ландшафт угроз

Сеть Оконечные устройства

Мобильные устройства

Виртуальные машины

Облако

В определенный момент Непрерывно

От модели к технологиям

ДО Контроль

Применение Усиление

ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование

Защита

Видимость Сдерживание Устранение

Ландшафт угроз

Видимость и контекст

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM/NAC

IPS

Anti-Virus

Email/Web

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

Приобретение Sourcefire дополнило портфель решений Cisco

ДО Контроль

Применение Усиление

ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование

Защита

Видимость Сдерживание Устранение

Ландшафт угроз

Видимость и контроль

Firewall

NGFW

NAC + Identity Services

VPN

UTM

NGIPS

Web Security

Email Security

Advanced Malware Protection

Network Behavior Analysis

Интеграция в сеть, широкая база сенсоров, контекст и автоматизация

Непрерывная защита от APT-угроз, облачное исследование угроз

Гибкие и открытые платформы, масштабируемость,

всесторонний контроль, управление

Стратегические задачи

Сеть Оконечные устройства

Мобильные устройства

Виртуальные устройства

Облака

Видимость всего и вся Фокус на угрозы Платформы

Видимость: Cisco видит больше конкурентов

Сетевые сервера

ОС

Рутера и свитчи

Мобильные устройства

Принтеры

VoIP телефоны

Виртуальные машины

Клиентские приложения

Файлы

Пользователи

Web приложения

Прикладные протоколы

Сервисы

Вредоносное ПО

Сервера управления ботнетами

Уязвимости NetFlow

Сетевое поведение

Процессы

?

Фокус на угрозы

Обнаружить, понять и остановить угрозу

?

Аналитика и исследования

угроз

Угроза определена

История событий

Как

Что

Кто

Где

Когда

Контекст

Записано

Блокирование

Непрерывная защита от целенаправленных угроз

Как

Что

Кто

Где

Когда

Аналитика и исследования

угроз

История событий

Непрерывный анализ Контекст Блокирование

Снижение сложности & рост возможностей платформы

Cloud Services Control Platform

Hosted

Аналитика и исследования угроз

Централизованное управление Устройства, Виртуалки

Платформа сетевой безопасности

Платформа контроля устройств

Облачная платформа

Устройства, виртуалки ПК, мобильные, виртуалки Хостинг

19

Всеобъемлющий портфель решений Cisco в области обеспечения безопасности

IPS и NGIPS •  Cisco IPS •  Cisco wIPS •  Cisco ASA Module •  FirePOWER NGIPS

Интернет-безопасность

•  Cisco WSA / vWSA •  Cisco Cloud Web Security

МСЭ и NGFW •  Cisco ASA / ASA-SM •  Cisco ISR / ASR Sec •  FirePOWER NGFW •  Meraki MX

Advanced Malware Protection

•  FireAMP •  FireAMP Mobile •  AMP для Network •  AMP для Content

NAC + Identity Services

•  Cisco ISE / vISE •  Cisco ACS

Безопасность электронной почты •  Cisco ESA / vESA •  Cisco Cloud Email Security

UTM •  Meraki MX

VPN •  Cisco AnyConnect •  Cisco ASA •  Cisco ISR / RVPN/Булава

Policy-based сеть •  Cisco TrustSec •  Cisco ISE •  Cisco ONE

Мониторинг инфраструктуры

•  Cisco Cyber Threat Defense

Контроль приложений •  Cisco ASA NGFW / AVC •  Cisco IOS AVC / NBAR •  Cisco SCE / vSCE •  FirePOWER NGFW

Secure DC •  Cisco ASA / 1000v /

ASAv / VSG •  Cisco TrustSec

20

Анонсы Cisco по ИБ в 2014-м году •  25 февраля

Новые платформы FirePOWER «AMP Everywhere» - интеграция AMP с ESA/WSA и CWS FireAMP Private Cloud Интеграция Cognitive Threat Analytics с CWS Язык описания приложений OpenAppID

•  21 мая Выделенные шлюзы AMP Gateway AMP Private Cloud Виртуальный МСЭ ASAv Новый CVD по защищенным ЦОДам Новая Cisco ASA 5585-X Новая версия Sourcefire NGFW

•  16 сентября FirePOWER Services for ASA

•  3 октября Cisco ISE 1.3 Cisco AnyConnect 4.0 Cisco Cyber Threat Defense 2.0 Новые интеграционные решения через pxGRID

21

Унификация платформы

22

Архитектура безопасности Cisco Управление Общие политики безопасности и управление безопасностью

API управления безопасностью

API Cisco ONE API платформы API интеллектуальных

ресурсов облака

Координация

Физическое устройство Виртуальные Облако

Уровень элементов инфраструктуры

Платформа сервисов безопасности

Безопасность Услуги и Приложения

API устройства – OnePK, OpenFlow, CLI

Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)

Уровень данных ASIC Уровень данных ПО Маршрутизация – коммутация – вычисление

Управление доступом

Учет контекста

Анализ контекста

Прозрачность приложений

Предотвращение угроз

Приложения Cisco в сфере безопасности Сторонние приложения

API API

23

Платформа сервисов безопасности ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

Маршрутизаторы и коммутаторы Cisco

Общедоступное и частное облако

ВЕРТИКАЛЬНОЕ МАСШТАБИРОВАНИЕ

ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ

ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ

Устройства обеспечения безопасности

Виртуализированное устройство | автоматическое масштабирование | многопользовательская среда

Устройство обеспечения безопасности, действующее как программируемый сетевой контроллер

24

Межсетевой экран нового поколения Cisco ASA 5500-X. Он единственный у Cisco?

•  В 4 раза быстрее чем прежние модели ASA 5500

•  Лучший в отрасли межсетевой экран ASA и решение AnyConnect

•  Сервисы межсетевого экрана нового поколения

•  Различные расширенные сервисы безопасности, не снижающие производительность

App

licat

ion

Visi

bilit

y &

C

ontro

l (N

GFW

)

Intru

sion

P

reve

ntio

n (N

GIP

S)

Sec

ure

Rem

ote

Acc

ess

(Any

Con

nect

)

Adv

ance

d M

alw

are

Pro

tect

ion

SIE

M /

VA /

Iden

tity

/ …

Сервисы Cisco ASA NGFW (программное обеспечение)

Межсетевой экран нового поколения Cisco ASA серии 5500-X (на аппаратной платформе)

25

Межсетевые экраны: горизонтальное масштабирование

Cisco 7600 Routers ISR Routers

Catalyst 6500 Switches Nexus Switches

ASA Meraki MX

ASA 1000v VSG CWS

Sourcefire FW

ASAv

ASR Routers

26

Гибкие варианты развертывания На территории и за пределами территории потребителя

Варианты разверты-вания

Коннекторы / Переадре-сация

На территории потребителя Облако

Облако

МСЭ Маршрутизатор Роуминг

Виртуальное решение

Межсетевой экран нового поколения

Роуминг

Устройство

Устройство

Клиентские системы

Неявная Явная

МСЭ Маршрутизатор

Неявная Явная

27

Фокус на угрозы

28

Мозг архитектуры безопасности Cisco

Действующее соединение SMTP?

(ESA)

Ненадлежащий или нежелательный

контент? (ASA/WSA/CWS)

Место для контроля и

управления? (ASA/WSA)

Вредоносное действие? (ASA/

IPS)

Вредоносный контент на оконечных устройствах?

(AnyConnect)

WWW

Репутация Сигнатуры

Сигнатуры

Исследование угроз

Регистрация доменов

Проверка контента

Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы

Черные списки и репутация

Партнерство со сторонними разработчиками

Правила и логика для конкретных платформ

Cisco Security Intelligence Operations

29

Cisco SIO + Sourcefire VRT = Cisco Talos

30

Стратегия Cisco AMP Everywhere означает защиту расширенной сети

MAC Май 2014

Выделенные устройства Февраль 2013

NGIPS / NGFW на FirePOWER Октябрь 2012

ПК Январь 2012

Cloud Web Security & Hosted Email Март 2014

SaaS

Виртуальные машины Август 2012

Web & Email Security Appliances Март 2014

Мобильные устройства Июнь 2012

31

Полностью публичное облако

Гибридное облако (только хэши в облаке)

Полностью частное облако

(все данные у заказчика)

Cloud Delivered Data Feed

+

AMP Appliance или SW Ежегодная подписка

+

ThreatGRID Требуется лицензия на ПО

НЕТ устройств ThreatGRID

Cloud Delivered Data Feed

+

AMP Appliance или SW Ежегодная подписка

+

Предвар. Анализ хешей в облаке

+

Cloud Delivered Data Feed

+

Весь анализ в облаке

(ThreatGRID) +

AMP Appliance or SW annual subscription

ThreatGRID Требуется лицензия на ПО

ThreatGRID добавляет гибкости развертывания

32

Cisco в России

33

Усилия Cisco в России в области безопасности • Локальное производство, исключающее вмешательство в процесс доставки оборудования заказчикам Локальное производство

• Сертификация широкого спектра оборудования Cisco по требованиям информационной безопасности

Сертификация по требованиям безопасности

• Доступ компетентных органов к деталям технологий и их реализации в рамках сертификации на отсутствие недекларированных возможностей

Проверка на отсутствие НДВ

• Консультационная помощь регуляторам в области информационной безопасности по вопросам применения современных технологий с точки зрения информационной безопасности

Консультации регуляторов

• Экспертиза и участие в разработке нормативных актов в области информационной безопасности

Разработка и экспертиза нормативных актов

34

Участие Cisco в разработке нормативных актов по ИБ

ТК22 ТК122 ТК362 РГ ЦБ

«Безопасность ИТ» (ISO SC27 в

России)

«Защита информации в кредитных учреждениях»

«Защита информации» при

ФСТЭК

Разработка рекомендаций по ПДн, СТО БР ИББС v4/5 и 382-П/2831-У

ФСБ МКС ФСТЭК РАЭК РКН

Экспертиза документов Экспертный совет Экспертиза и разработка 17/21 приказов и проекта

по АСУ ТП

Экспертиза и разработка документов

Консультативный совет

35

550+ ФСБ НДВ 32 123 Сертификатов ФСТЭК на

продукцию Cisco

Сертифицировала решения Cisco

(совместно с С-Терра СиЭсПи)

---- Ждем еще ряд важных

анонсов

Отсутствуют в ряде продуктовых линеек Cisco

---- На сертификацию поданы новые продукты

Линейки продукции Cisco

прошли сертификацию по схеме «серийное производство»

Продуктовых линеек Cisco

сертифицированы во ФСТЭК

Сертификация решений Cisco по требованиям безопасности

36