© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

Борьба с целенаправленными угрозами Алексей Лукацкий Бизнес-консультант по безопасности

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2

Угроза распространяется по сети и захватывает как можно больше данных

ПРЕДПРИЯТИЕ

ЦОД

Заражение точки входа происходит за пределами предприятия

Интернет и облака

ПУБЛИЧНАЯ СЕТЬ

Продвинутые угрозы обходят средства защиты

периметра

КАМПУС

ПЕРИМЕТР

Признаки APT: многовекторность нападения

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3

Признаки APT: Использование нескольких уязвимостей

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4

Признаки APT: незаметность и сфокусированность

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5

Борьба с APT должна обеспечиваться по всей сети

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6

Комплексная защита от APT в течение всего жизненного цикла атаки

Защита в момент времени Непрерывная защита

Сеть Терминал Мобильное устройство Виртуальная машина Облако

Исследование Внедрение политик

Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование Восстановление

Жизненный цикл атаки

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7

С помощью чего бороться с целенаправленными угрозами?

Минимум

•  МСЭ и IPS •  Сегментация сети •  Системы контроля доступа в Интернет

•  Защита ПК/ноутбуков

Неплохо бы

•  NAC •  Контроль приложений (черные/белые списки)

•  МСЭ/IPS следующего поколения

•  SIEM •  Защита мобильных устройств

Идеально

•  Анализ сетевого трафика

•  Расследование инцидентов

•  Анализ содержимого •  Адаптивный контроль доступа

•  Система обнаружения брешей (BDS)

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8

5 ключевых элементов борьбы с целенаправленными угрозами

Реальное время или близкое к нему Анализ пост-фактум

Сеть Анализ сетевого трафика

Расследование инцидентов на уровне

сети

Содержимое Анализ содержимого

Оконечные устройства Анализ поведения на оконечных устройствах

Расследование инцидентов на уровне оконечных устройств

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9

IPS и NGIPS •  Cisco IPS •  Cisco wIPS •  Cisco ASA Module •  FirePOWER NGIPS

Интернет-безопасность

•  Cisco WSA / vWSA •  Cisco Cloud Web Security

МСЭ и NGFW •  Cisco ASA / ASA-SM •  Cisco ISR / ASR Sec •  FirePOWER NGFW •  Meraki MX

Advanced Malware Protection

•  FireAMP •  FireAMP Mobile •  AMP для Network •  AMP для Content

NAC + Identity Services

•  Cisco ISE / vISE •  Cisco ACS

Безопасность электронной почты

•  Cisco ESA / vESA •  Cisco Cloud Email Security

UTM •  Meraki MX •  ASA with FirePOWER

VPN •  Cisco AnyConnect •  Cisco ASA •  Cisco ISR / RVPN/Булава

Policy-based сеть •  Cisco TrustSec •  Cisco ISE •  Cisco ONE

Мониторинг инфраструктуры

•  Cisco Cyber Threat Defense

Контроль приложений •  Cisco ASA NGFW / AVC •  Cisco IOS AVC / NBAR •  Cisco SCE / vSCE •  FirePOWER NGFW

Secure DC •  Cisco ASA / 1000v /

ASAv / VSG •  Cisco TrustSec

Cisco не выделяет APT в отдельный класс проблем

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10

Но ключевыми решениями для борьбы с APT являются Cisco ASA with

FirePOWER Services

•  МСЭ + IPS следующего поколения

•  Устанавливается в ключевых точках сети

Cisco Cyber Threat Defense

•  Система мониторинга аномальной активности

•  Собирает статистику с сетевого оборудования

Cisco Advanced Malware Protection

•  Система борьбы с вредоносным кодом

•  Работает на уровне сети, контента и оконечных устройств

FireSIGHT

•  Система мониторинга и корреляций событий ИБ, расследования инцидентов

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11

Пишите на security-request@cisco.com

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12

Благодарю за внимание