Стратегия Cisco по информационной безопасности

О сегодняшнем семинаре •  Мы не будем досконально следовать программе

•  Задавайте вопросы сразу по мере их возникновения

•  Все презентации мы вышлем в пятницу или понедельник

•  Кофе-брейки и обеды будут J

•  Если останутся вопросы, то пишите их на [email protected]

Стратегия Cisco по информационной безопасности

Алексей Лукацкий Бизнес-консультант по безопасности, Cisco

Проблемы безопасности Изменение бизнес-моделей

Динамичность угроз

Сложность и фрагментация

организаций не знают всех своих сетевых устройств

BYOD

90%

ПОГЛОЩЕНИЯ

раз больше облачных сервисов используется, чем знает ИТ и ИБ

ОБЛАКА

5–10 основных 500 Android-приложений имеют

проблемы с безопасностью

ПРИЛОЖЕНИЯ

92% поглощений в первой половине 2014 года

16,775

Изменение бизнес-моделей

Динамичность угроз


Проблемы безопасности

Сообщество злоумышленников целенаправленно ведет свою деятельность скрытно

60% Данных крадутся за ЧАСЫ

54% Проникновений остаются

необнаруженными МЕСЯЦАМИ

ГОДЫ МЕСЯЦЫ ЧАСЫ СТАРТ

85% вторжений в PoS не обнаруживаются НЕДЕЛЯМИ

НЕДЕЛИ

51% увеличилось число

компаний, заявивших о потерях в $10M+ за 3

ГОДА



Проблемы безопасности Динамичность угроз

Вендоров ИБ на конференции RSA

Нехватка персонала ИБ

373 12x Среднее число ИБ-вендоров на среднем

предприятии

50

Сложность Люди Фрагментация

Любое устройство к любому облаку

ЧАСТНОЕ ОБЛАКО

ОБЩЕ-ДОСТУПНОЕ ОБЛАКО

ГИБРИДНОЕ ОБЛАКО

Всеобъемлющий Интернет

Миллиарды целей, миллионы угроз

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9

$

3.3 55%

Мобильность

Устройств на работника*

IP-траффик мобильный к 2017**

* Cisco IBSG, ** Cisco 2013 VNI, *** IDC

545 44%

Облака Облачных приложений на организацию*

Рост ежегодной облачной нагрузки***

* Skyhigh Networks Industry Report, ** Cisco Global Cloud Index, *** Cisco VNI Global Mobile Data Traffic Forecast,

Рост в M2M IP-траффике 2013–18**

50B Подключенных “умных вещей” к 2020*

36X * Cisco IBSG, ** Cisco VNI: Global Mobile Data Traffic Forecast 2013-2018

IoE

завтра 2010 2000 2005

Изменение ландшафта угроз

APTs и кибервойны

Черви и вирусы

Шпионское ПО и руткит

Антивирус (Host-Based)

IDS/IPS (Сетевой периметр)

Репутация (Global) и песочница

Разведка и аналитика (Облако)

Ответ предприятия

Угрозы

Время не на нашей стороне

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы

Угроза распространяется по сети и захватывает как можно больше данных

ПРЕДПРИЯТИЕ

ЦОД

Заражение точки входа происходит за пределами предприятия

Интернет и облака

ПУБЛИЧНАЯ СЕТЬ

Продвинутые угрозы обходят средства защиты

периметра

КАМПУС

ПЕРИМЕТР

Анатомия современной угрозы

ИНН / SSN $1

Карта пациента

>$50

DDOS as a Service

~$7/час

13 ©2014 Cisco and/or its affiliates. All rights reserved.

ДОБРО ПОЖАЛОВАТЬ В ЭКОНОМИКУ ХАКЕРОВ! Source: RSA/CNBC

DDoS

Данные кредитной карты

$0.25-$60

Банковская учетка >$1000

зависит от типа учетки и баланса

$��

Эксплойты $1000-$300K

Учетка Facebook $1 за учетку с 15

друзьями

Спам $50/500K emails

Разработка вредоноса

$2500 (коммерческое ВПО)

Глобальный рынок киберпреступности:

$450млрд-$1трлн

Мобильный вредонос

$150

Как хакеры монетизируют свои знания?!

Угрозы – не единственная причина думать об ИБ

Страх

Compliance Экономика

•  Самая популярная причина продажи ИБ со стороны вендоров (реальные инциденты и мифические угрозы)

•  В условиях кризиса не работает (есть более приоритетные риски и угрозы – колебания курса, нет заимствований, сокращение, банкротство контрагентов…)

•  Наиболее актуальная причина для государственных органов

•  Средняя актуальность – крупные предприятия

•  Низкая актуальность – средний бизнес

•  Практически неактуальна – для малого бизнеса

•  Очень редко когда применяется в ИБ

•  В условиях кризиса приобретает очень важное значение

Гипотезы безопасности Cisco

Консалтинг Интеграция Управление Знание угроз Платформы Видимость

Акцент на операционную деятельность

Нехватка персонала

+ Проблемы безопасности

+

Требуется изменение отношения к ИБ

О сервисах безопасности мы сегодня говорить не будем

Консалтинг Интеграция Управление

Оценка ИБ / аудит

Сервисы интеграции

Managed Threat Defense

Remote Managed Services Сервисы миграции

Threat Intelligence

Пора задуматься о смене стратегии

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17

Высокая мотивация киберкриминала


Динамичность ландшафта угроз

Думать как хакер

© 2015 Cisco and/or its affiliates. All rights reserved. 18

Точечные и статичные решения


Фрагментация

Сложность

Требуют лишнего управления

Локализовать

Вылечить

Устранить причины

Непрерыв-ное

решение


Узнать

Применить политику

Усилить защиту

Идентифицировать

Блокировать

Отразить

Keep side bars up until Pillars

Всепроникающий

Непрерывный

Всегда

Полное решение

Серебряной пули не существует…

“Captive Portal”

“Это соответствует шаблону”

“Нет ложных срабатываний, нет пропусков.”

Контроль приложений

FW/VPN

IDS / IPS UTM

NAC

AV PKI

“Запретить или разрешить”

“Помочь МСЭ”

“Нет ключа, нет доступа”

Песочницы

“Обнаружить неизвестное”

Новая модель должна быть реализована везде, а не только на периметре!

ДО Обнаружение Блокирование

Защита

ВО ВРЕМЯ ПОСЛЕ Контроль

Применение Усиление

Видимость Сдерживание Устранение

Ландшафт угроз

Сеть Оконечные устройства

Мобильные устройства

Виртуальные машины

Облако

В определенный момент Непрерывно

От модели к технологиям

ДО Контроль


ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование

Защита



Видимость и контекст

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM/NAC

IPS

Anti-Virus

Email/Web

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

Портфолио Cisco учитывает данную модель




Защита



Видимость и контроль

Firewall

NGFW

NAC + Identity Services

VPN

UTM

NGIPS / AMP

Web Security

Email Security

Advanced Malware Protection

Network Behavior Analysis Экономика

Com

plia

nce

Incident Response

Интеграция в сеть, широкая база сенсоров, контекст и автоматизация

Непрерывная защита от APT-угроз, облачное исследование угроз

Гибкие и открытые платформы, масштабируемость,

всесторонний контроль, управление

Стратегические задачи



Виртуальные устройства

Облака

Видимость всего и вся Фокус на угрозы Платформы

Видимость всего и вся

Вы не можете защитить то, что не видите Cisco видит БОЛЬШЕ Ширина: кто, что, где, когда Глубина: любая требуемая степень детализации

Все в режиме реального времени, в одном месте

Cisco обеспечивает информационное преимущество

Операционная система

Пользо-ватели

Устройства Угрозы Приложения

Файлы Уязвимости

Сеть

УВИДЕТЬ

УВИ-ДЕТЬ

АДАП-ТИРО-ВАТЬ

УЧИТЬ- СЯ

ДЕЙС-ТВО-ВАТЬ

Добавляем контекст

C I2 I4 A

ЛОКАЛЬНО Бизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНО Ситуационный анализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо- действия

APP Приложения

URL Сайты

Реализация безопасности и глобальным контекстом

Классификация и контекст – это самое важное

Событие: Попытка получения преимущества Цель: 96.16.242.135

Событие: Попытка получения преимущества Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США

Событие: Попытка получения преимущества

Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США Идентификатор пользователя: bobama Ф. И. О. Барак Обама Департамент: административный

Контекст способен фундаментально изменить интерпретацию данных события

Фокус на угрозы

Проблемы с традиционным мониторингом

Admin

Базируется на правилах •  Зависимость от сложно создаваемых вручную правил

•  Зависимость от человеческого фактора

Зависимость от времени •  Занимает недели или месяцы на обнаружение

•  Требует постоянного тюнинга

Security Team

Очень сложно •  Часто требует квалифицированный персонал для управления и поддержки

111010000 110 0111

Невозможно идти в ногу с последними угрозами

Cisco SIO + Sourcefire VRT = Cisco Talos

Мозг архитектуры безопасности Cisco

Действующее соединение SMTP?

(ESA)

Ненадлежащий или нежелательный

контент? (ASA/WSA/CWS)

Место для контроля и

управления? (ASA/WSA)

Вредоносное действие? (ASA/

IPS)

Вредоносный контент на оконечных устройствах?

(AnyConnect)

WWW

Репутация Сигнатуры

Сигнатуры

Исследование угроз

Регистрация доменов

Проверка контента

Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы

Черные списки и репутация

Партнерство со сторонними разработчиками

Правила и логика для конкретных платформ

Cisco Talos

Полностью публичное облако

Гибридное облако (только хэши в облаке)

Полностью частное облако

(все данные у заказчика)

Cloud Delivered Data Feed

+

AMP Appliance или SW Ежегодная подписка

+

ThreatGRID Требуется лицензия на ПО

НЕТ устройств ThreatGRID


+

AMP Appliance или SW Ежегодная подписка

+

Предвар. Анализ хешей в облаке

+


+

Весь анализ в облаке

(ThreatGRID) +

AMP Appliance or SW annual subscription

ThreatGRID Требуется лицензия на ПО

Доверяем ли мы внешнему облаку?

Унификация платформ

Снижение сложности & рост возможностей платформы

Cloud Services Control Platform

Hosted

Аналитика и исследования угроз

Централизованное управление Устройства, Виртуалки

Платформа сетевой безопасности

Платформа контроля устройств

Облачная платформа

Устройства, виртуалки ПК, мобильные, виртуалки Хостинг

Архитектура безопасности Cisco Управление Общие политики безопасности и управление безопасностью

API управления безопасностью

API Cisco ONE API платформы API интеллектуальных

ресурсов облака

Координация

Физическое устройство Виртуальные Облако

Уровень элементов инфраструктуры

Платформа сервисов безопасности

Безопасность Услуги и Приложения

API устройства – OnePK, OpenFlow, CLI

Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)

Уровень данных ASIC Уровень данных ПО Маршрутизация – коммутация – вычисление

Управление доступом

Учет контекста

Анализ контекста

Прозрачность приложений

Предотвращение угроз

Приложения Cisco в сфере безопасности Сторонние приложения

API API

Платформа сервисов безопасности ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

Маршрутизаторы и коммутаторы Cisco

Общедоступное и частное облако

ВЕРТИКАЛЬНОЕ МАСШТАБИРОВАНИЕ

ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ

ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ

Устройства обеспечения безопасности

Виртуализированное устройство | автоматическое масштабирование | многопользовательская среда

Устройство обеспечения безопасности, действующее как программируемый сетевой контроллер

Обеспечение гибкости с помощью ПО Изучение и обнаружение | Защита | Реагирование

Единые функции | Открытые API | Гибкое лицензирование

Физическое Виртуальное Облачное (как сервис)

ПО

41

Всеобъемлющий портфель решений Cisco в области обеспечения безопасности

IPS и NGIPS •  Cisco NGIPS / vNGIPS •  Cisco wIPS •  Cisco FirePOWER for ASA •  Cisco FirePOWER NGIPS

Интернет-безопасность

•  Cisco WSA / vWSA •  Cisco Cloud Web Security

МСЭ и NGFW •  Cisco ASA / ASA-SM •  Cisco ISR / ASR Sec •  Cisco FirePOWER NGFW •  Meraki MX


•  AMP for Endpoint •  AMP for Mobile •  AMP для Network •  AMP для Content

NAC + Identity Services

•  Cisco ISE / vISE •  Cisco ACS

Безопасность электронной почты •  Cisco ESA / vESA •  Cisco Cloud Email Security

UTM •  Meraki MX

VPN •  Cisco AnyConnect •  Cisco ASA •  Cisco ISR / RVPN / UCS-E

Policy-based сеть •  Cisco TrustSec •  Cisco ISE •  Cisco ONE

Мониторинг инфраструктуры

•  Cisco Cyber Threat Defense

Контроль приложений •  Cisco ASA NGFW / AVC •  Cisco IOS AVC / NBAR •  Cisco FirePOWER NGFW

Secure DC •  Cisco ASA / ASAv / VSG •  Cisco TrustSec

42

Интеграция

43

Что более полезно с точки зрения безопасности? “Адрес скомпрометированного устройства 192.168.100.123” - ИЛИ - “Скомпрометировано устройство iPad Васи Иванова в стр.1”

Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров.

С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы.

Cisco Platform Exchange Grid (pxGrid) Повышение эффективности решений партнеров через обмен контекстом

44

ISE как “context directory service”

Создание экосистемы по безопасности Cisco

Архитектура открытой платформы Разработка экосистемы SSP

Встроенная безопасность в ИТ

Мобильность (MDM), Угрозы (SIEM), облако

Комплексное партнерское решение

Lancope, «Сеть как сенсор» Использование значения Сети

Текущая экосистема партнеров Cisco

45

Не только свои решения, но и интеграция с другими

Инфраструктура API

ДО Политика и контроль

ПОСЛЕ Анализ и

восстановление Обнаружение и блокирование

ВО ВРЕМЯ

Инфраструктура & Мобильность

NAC Управление уязвимостями Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты

SIEM Визуализация Network Access Taps

46

Поддержка отечественных разработчиков ИБ •  Доверенная платформа UCS-EN120SRU

Производится в России

•  Поддерживается на Cisco ISR 29xx/39xx/4xxx

•  Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ: СКЗИ S-Terra CSP VPN Gate СКЗИ ViPNet Координатор СКЗИ Dionis NX МСЭ прикладного уровня Positive Technologies Application Firewall СОВ ViPNet IDS Базовый доверенный модуль (БДМ) Элвис+ Ведутся работы и с рядом других российских разработчиков

47

Как объединить все вместе?

48

Архитектура CVD: как объединить все вместе?!

Разработка архитектуры

Совместное использование продуктов

Систематический подход

Интеллектуальные сервисы

Лучшие в своих классах продукты

CVD предоставляет архитектуры

§  "Сети без границ", §  Совместная работа, §  Центр обработки данных — Виртуализация

План развертывания для организаций любого размера

(от 100 до 10000+ подключенных пользователей)

49

Рекомендуемые руководства •  Firewall and IPS Deployment Guide

•  Remote Access VPN Deployment Guide

•  Remote Mobile Access Deployment Guide

•  VPN Remote Site Over 3G/4G Deployment Guide

•  Email Security using Cisco ESA Deployment Guide

•  Cloud Web Security Deployment Guide

•  Web Security using Cisco WSA Deployment Guide

•  5 BYOD Deployment Guides

•  Teleworking ASA 5505 Deployment Guide

www.cisco.com/go/cvd

50

Состав руководства •  Цели руководства

•  Обзор архитектуры

•  Описание решения С бизнес и технологической точки зрения

•  Детали внедрения Типовая конфигурация Отказоустойчивость Управление Итоги

•  Список продуктов

•  Пример конфигурации

51

Рекомендации по настройке

52

Дополнительные сведения

53

Cisco в России

54

Усилия Cisco в России в области безопасности • Локальное производство, исключающее вмешательство в процесс доставки оборудования заказчикам Локальное производство

• Сертификация широкого спектра оборудования Cisco по требованиям информационной безопасности

Сертификация по требованиям безопасности

• Доступ компетентных органов к деталям технологий и их реализации в рамках сертификации на отсутствие недекларированных возможностей

Проверка на отсутствие НДВ

• Консультационная помощь регуляторам в области информационной безопасности по вопросам применения современных технологий с точки зрения информационной безопасности

Консультации регуляторов

• Экспертиза и участие в разработке нормативных актов в области информационной безопасности

Разработка и экспертиза нормативных актов

55

Участие Cisco в разработке нормативных актов по ИБ

ТК22 ТК122 ТК362 РГ ЦБ

«Безопасность ИТ» (ISO SC27 в

России)

«Защита информации в кредитных учреждениях»

«Защита информации» при

ФСТЭК

Разработка рекомендаций по ПДн, СТО БР ИББС v4/5 и 382-П/2831-У

ФСБ МКС ФСТЭК РАЭК РКН

Экспертиза документов Экспертный совет Экспертиза и разработка 17/21 приказов и проекта

по АСУ ТП

Экспертиза и разработка документов

Консультативный совет

56

600+ ФСБ НДВ 34 123 Сертификатов ФСТЭК на

продукцию Cisco

Сертифицировала решения Cisco

(совместно с С-Терра СиЭсПи)

---- Ждем еще ряд важных

анонсов

Отсутствуют в ряде продуктовых линеек Cisco

---- На сертификацию поданы новые продукты

Линейки продукции Cisco

прошли сертификацию по схеме «серийное производство»

Продуктовых линеек Cisco

сертифицированы во ФСТЭК

Сертификация решений Cisco по требованиям безопасности

57

Сертифицированная криптография Cisco •  Совместное решение Cisco и С-Терра СиЭсПи

Ведутся сертификационные испытания совместно с ИнфоТеКС

•  Сертификат ФСБ по классам КС1/КС2/КС3 На новой платформе КС1 (в данной момент) КС2 – середина года

•  Производительность - 596 Мбит/сек 15-тикратный рост по сравнению с NME-RVPN

58

Дополнительные сведения

59

ЕЩЕ НЕСКОЛЬКО ВАЖНЫХ МОМЕНТОВ

60

Что делать с импортозамещением? •  Термин «импортозамещение» до сих пор не определен и вокруг него слишком много популизма Китай – это тоже импорт

•  ИТ не входит в состав критичных для импортозамещения отраслей

•  ИБ не входит в состав критичных для импортозамещения ИТ-отраслей

•  Планируемое Постановление Правительства Не запрещает приобретать зарубежное Не касается железа Не касается информационной безопасности

61

Санкции США и Европы Specially Identified

Nationals

•  С лицами, попавшими в SDN, запрещены любые взаимоотношения, включая поставки ИТ-продукции и решений по информационной безопасности. Попадание в SDN означает, что «жертвам» нельзя поставлять никаких новых решений и сервисов, а также запрещено оказывать сервис по уже заключенным контрактам

Sectorial Sanctions Identification

•  Запрещено оказание финансовых услуг специально определенным в SSI компаниям или физическим лицам

Military End-Users

•  Запрещены поставки технологий двойного назначения, классифицированных в США как 5A002/5D002 Restricted (есть еще и Unrestricted, означающий технологии двойного назначения, но разрешенные к экспорту без ограничений) организациям ОПК/ВПК

Добыча нефти

•  Запрещены поставки оборудования, связанного с глубоководной, арктической или шельфовой добычей нефти

62

РЕЗЮМИРУЯ

63

Не видя ничего, ничего и не обнаружишь

Сетевые сервера

ОС

Рутера и свитчи


Принтеры

VoIP телефоны


Клиентские приложения

Файлы

Пользователи

Web приложения

Прикладные протоколы

Сервисы

Вредоносное ПО

Сервера управления ботнетами

Уязвимости NetFlow

Сетевое поведение

Процессы

64

?

Фокус на угрозы

65

Обнаружить, понять и остановить угрозу

?

Аналитика и исследования

угроз

Угроза определена

История событий

Как

Что

Кто

Где

Когда

Контекст

Записано

Блокирование

66

Непрерывная защита от целенаправленных угроз

Как

Что

Кто

Где

Когда

Аналитика и исследования

угроз

История событий

Непрерывный анализ Контекст Блокирование

67

Борьба с угрозами ДО, ВО ВРЕМЯ и ПОСЛЕ - ВЕЗДЕ

ДО Обнаружение Блокирование

Защита

ВО ВРЕМЯ ПОСЛЕ Контроль







Облако

В определенный момент Непрерывно

68

FirePOWER подчиняется той же идее




Защита




Firewall

NGFW

Управление уязвимостями

VPN

UTM

NGIPS

Web Security

Исследования ИБ


Ретроспективный анализ

IoC / реагирование на инциденты

69

И Cisco Advanced Malware Protection тоже




Защита




Контроль сетевого доступа

Обнаружение и блокирование вредоносного

кода

Ретроспективный анализ

70

Cisco ISE также поддерживает трехзвенную схему и объединяет решения Cisco в единый комплекс




Защита




Контроль сетевого доступа

Передача контекста

Ограничение доступа и локализация нарушителей

•  Cisco ASA •  Cisco FireSIGHT •  S-Terra CSP VPN •  Cisco ISR •  Cisco Catalyst •  Cisco Nexus •  Cisco WSA

•  Cisco CTD •  SIEM •  pxGRID

71

Внедрение ИБ там где, нужно, а не там, где получается

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводная сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAv ASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Аналитический центр Talos

Удаленные устройства

Доступ

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть SDN)

АСУ ТП

CTD

IDS RA

МСЭ Беспроводная

сеть

Коммутатор

Маршрутизатор

Сегментация Мониторинг

72

Technology

Стратегия Cisco по информационной безопасности