AnyConnect, NVM и AMP

Безопасность

AnyConnect, NVM и AMP

Василий ТомилинИнженер-консультант

16 ноября 2016 г.

Недостаток квалифицированных специалистов в сфере безопасности

Для многих средств требуетсябольше ресурсов, чем

имеется для выполнения работы

50% компьютеров —мобильные

70% офисов — удаленныеБольшинство мобильных и удаленных

сотрудников не всегда включают VPN, большинство филиалов не обеспечивают обратный транзит трафика, а большая часть новых

оконечных устройств только обнаруживают угрозы

70-90% вредоносного ПО уникально для каждой

организацииСредства на основе сигнатур, реактивный интеллектуальный

анализ угроз и отдельное применение политик безопасности

не могут опередить атаки

Общие проблемы безопасности

3 подхода к защите мобильных пользователей

может требовать дополнительной экспертизы и

ресурсов

Обнаруживать IOCи аномалии в системной

активности

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

может потребовать от пользователей изменения поведения и может быть сложным во внедрении

Изолировать приложенияи данные

в гипервизоре/контейнерах

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по

любому порту, протоколу или приложению

Предотвращать соединения в Интернет-

активности

0 1 0 1 1 1 1 0 1 1 1

0

1 1 0 0 1 1 0 0 0 0 1

1

1 0 1 1 1 0 1 0 0 0 0

1

0 0 0 1 1 0 0 0 0 0 1

0

0 1 0 0 0 0 1 0 0 1 0

0

Необходимость доступа любых устройств из любой точки мира

Больше разных пользователей

Работа из большего количества мест

Использование большего количества устройств

Доступ к большему количеству различных приложений и передача важных данных

Местопо-ложение

Приложение

Устройство

С помощью любого приложения, к любым важным данным, для любого пользователя

Решение Cisco AnyConnect Secure Mobility Solution

Широкая поддержка платформ

• Apple IOS, Android, Blackberry, Windows Phone, Windows 7/8/10, MAC, Linux, ChromeOS

• Работа через клиента и через браузер

Постоянное подключение

• постоянно активное подключение, • выбор оптимального шлюза, • автоматическое восстановление подключения

Унифицированная безопасность и модульность

• Идентификация пользователей и устройств• Проверка соответствия• Интегрированная веб-безопасность• Интеграция с защитой от вредоносного кода• Поддержка VDI

Корпоративныйофис

Безопасный, ПостоянныйДоступ

ASA

Wired Wi-Fi

мобильнаяили Wi-Fi

Мобильный сотрудникДомашнийофис

Филиал

Поддерживаемые платформыУстройства пользователей и инфраструктура

ИнфраструктураКлиенты

Microsoft Windows Mac OS X Linux

Настольное устройство

Мобильные средства связиApple iOS

iPhone и iPad

• HTC• Motorola• Samsung• Версия 4.0 и

более поздние

• HTC• Lenovo• Motorola• Samsung• Версия 4.0 и

более поздние

Бесклиентскиеподключения

BlackBerry

+

AndroidСмартфоны Планшетные

компьютеры

Управление

ASDM CSMCLI

Защищенные соединения

Cisco ISR*

Cisco®

ASA

Cisco ASR*

Коммутаторы IEEE 802.1x

Интернет-безопасность

Cisco WSA

Cisco ISE

Идентификация и политика+

Cisco NAC

Cisco AnyConnectдля web-защитына основе облака

Windows Phone

IPSec, SSL VPN

802.1X

MACSec

Cisco AnyConnect для VPN-доступа

• Клиент полного туннелирования IPsec/SSL VPN• Постоянное подключение и высочайшее удобство работы

пользователей• Управление доступом в сеть• Оценка состояния настольных систем и мобильных устройств• Широкая поддержка платформ ОС настольных систем и

мобильных устройств

• Детализированный контроль доступа• Предоставление пользователям определенных ресурсов• Защищенное хранилище• Широкая поддержка браузеров и приложений

Клиент Cisco AnyConnect Secure Mobility

Портал бесклиентских VPN-подключений по протоколу SSL

Клиент AnyConnect -постоянное подключение

Автоматическое переподключение между сетями Wi-Fi, 3G и разрывах связи

Повторная аутентификация не требуется

Таймер максимальной продолжительности сеанса

Off Premises

Выбор оптимального шлюза

Подключение к наиболее оптимальному головному устройству

Время = 225 мсВремя = 223 мсВремя = 224 мс



МоскваВладивосток

СПб

Пороговое значение времени приостановки (часы)

Пороговое значение повышения производительности (%)

Параметры профиля:

Астана

Поддержка публикации:

• Внутренних веб-сайтов

• Веб-ориентированных приложений

• Файловых ресурсов NT/Active Directory

• Почтовых ресурсов POP3S, IMAP4S, and SMTPS. Microsoft Outlook Web Access Exchange Server 2000, 2003, and 2007, 2010.

• Поддержка плагинов для RDP, VNC SSH (Java/ActiveX)

• Подключение любых TCP-ориентированных приложений c технологией SmartTunnel на совместимых платформах

Безклиентский доступ по SSL

http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html

AnyConnect – больше чем просто VPN

SSL / DTLS VPNIPsec VPN

Оценка состояния

(HostScan/ISE)

Cloud Web Security/OpenDNS

L2 саппликант

(Win Only)

Коммутаторы и контроллеры

WLC

ASA WSAISE/ACS Cloud Web Security + AMP

Центральные устройства

ASR/CSR

ISR

Базовый VPN Расширенный VPN Другие сервисы

Модуль сетевой

видимостиAMP

Enabler

Обеспечение интернет-безопасности с помощью Cisco WSA

Новости

Эл. почта

Социальные сети

Корпоративное ПОкак услуга (SaaS)

Устройство корпоративного доступаПользователи

вне сети

Пользователь проходит

аутентификацию

Устройство web-защиты Cisco

Устройство корпоративного

доступа

Cisco®

ASA

Идентификационные данные пользователя

WCCP

Доверенная сетьНедоверенная сеть

Клиент Cisco AnyConnect™Secure Mobility

Интернет-коммуникации

Внутренние коммуникации

Обеспечение интернет-безопасности с помощью решения Cisco Cloud Web Security/OpenDNS Umbrella

Cisco AnyConnect для web-защиты на основе облака

Cisco AnyConnectИнтернет-безопасность для Cisco Cloud Web Security

• Облачная служба — постоянно функционирует и всегда защищена

• Предоставляет политики допустимого использования;

защиту от угроз со стороны вредоносного ПО;

возможности управления использованием приложений;

возможность выбора пользователем систем защиты во время поездок (исключаются проблемы с языком).

• Может использоваться вместе с устройством обеспечения безопаснсти web-трафикаCisco® или отдельно.

Cisco AnyConnect для web-защиты на основе облака

Cisco Network Access Manager – управление проводным и беспроводным подключением

• Управление корпоративными подключениями

• Проводное (802.3) и беспроводное (802.11) подключение с помощью одной структуры аутентификации

• Аутентификация пользователей и устройств уровня 2:

–Продвинутый саппликант 802.1X, 802.1X-REV

–802.1AE (MACsec: проводное шифрование)

–Поддержка нескольких типов EAP

–802.11i (сеть с повышенной безопасностью)

• Поддержка конфигураций сети для администратора (офис) и пользователя (дом)

Локализация

• Cisco AnyConnect™ GUI и инсталлятор поддерживают локализацию на множество языков

• Некоторые поддерживаемые языки: Русский

Japanese

French (Canadian)

German

Chinese

Korean

Spanish (Latin American)

Czech

Polish

• Возможно делать кастомизированные локализации под задачи организации

Поддерживает оценку состояния для разных способов доступа

Упрощает управление с единым агентом

Предотвращает подключение несоответствующих устройств (проверка патчей, ключей реестра, антивирусов….)

Оценка состояния и безопасный VPN-доступ с унифицированным агентом и Cisco ISE

Подключает только разрешенные приложения через VPN

Избранное туннелирование через VPN

VPN

Обеспечивает безопасный удаленный доступ для выбранных приложений для определенного пользователя, устройства и роли (per-app VPN)

Уменьшает риски неразрешенных приложений, связанные с компрометацией данных

Поддерживает большое количество типов устройств и удаленных пользователей (сотрудники, партнеры, контрактники)

WWW

Схема лицензирования AnyConnect 4.x

Подписки по числу пользователей, 1/3/5 лет, возможность Perpetual для

Plus

Apex

§ Все функции Plus

§ Posture

§ Clientless

§ Suite B

§ NVM

Простая двухуровневая структура позволяет заказчикам экономить средства (лицензирование на базе пользователей, не устройств)

Схема лицензирования стала существенно проще

Лицензирование на уровне организации и возможность развертывания лицензии на любом концентраторе (ASA, ISE, ISR/ASR/CSR, ...) делает всё проще

Plus *

§ PC/Mobile VPN§ Mobile per-app

VPN§ Web security§ NAM

AnyConnect VPN Only

MOBILE License(per ASA model)

ADVANCED ENDPOINT

ASSESSMENT License

(per ASA)

Лицензия СТАРОГО типа(с привязкой к ASA)

Always-On, Clientless,Posture Assessment, Suite B

PREMIUM License(per user for each ASA)

AnyConnect VPN Only

Старая модель лицензированияЛимит: число подключений

(конкретная ASA)Тип: Perpetual

Кванты: 10-10K

Лимит: число подключений(конкретная ASA)

Тип: PerpetualКванты: 25-10K

Много пользователей, низкая активность

PHONELicense(per ASA model)

• Лицензирование по числу пользователей• L-AC-APX-LIC= (Apex): 25 пользователей, 1 год: 380 долларов (GPL)• L-AC-PLS-LIC= (Plus): 25 пользователей, 1 год: 158 долларов (GPL)• L-AC-PLS-P-G (Plus, Perpetual): 25 пользователей, 1136 долларов

(GPL), включая 33 доллара SASU

• Лицензирование по числу соединений на конкретном устройстве• L-AC-VPNO-xxxx=: 25 подключений, 4 994 доллара (GPL), включая

799 долларов SASU

Оценка по порядкам (на текущую дату)

Особенности VPN Onlyo Применяется к конкретной ASAo Учитываются одновременные подключения (НЕ пользователи) o Только сервисы AnyConnect VPN (нет OpenDNS, NVM, ISE Posture, …)o Нет возможности переносить, совместно использовать и т.п.o Не предусмотрен апгрейд до Plus/Apexo Не предусмотрено совместное использование с Plus или Apexo Требуется контракт SASU для доступа к ПО и технической поддержке

Что такое «пользователь»?

Авторизованный пользователь – пользователь, который будет использовать AnyConnect (частота не важна).

Лицензии Plus и Apex продаются на базе общего числа пользователей, НЕ одновременных подключений.

Если у пользователя много устройств, это всё ещё один пользователь.

Каждое «необитаемое» устройство (сервер, IoT, …) – это тоже пользователь.

А если мы собираемся использовать несколько ASA?

Число лицензий AnyConnect Plus и Apex основано на общем числе авторизованных пользователей сервиса, не важно, обслуживает их 1 устройство или 5000 устройств.

В рамках этого разговора мы не рассматриваем вопросы стоимости устройств ;).

Лицензия VPN Only привязывается к конкретной ASA и определяет число одновременно активных VPN-подключений. Для каждой ASA требуется своя лицензия VPN Only.

У нас 2 ASA, как регистрировать лицензииPlus/Apex?

Подписки Plus и Apex (L-AC-PLS-LIC=) / (L-AC-APX-LIC=)Можете сразу указать серийные номера нескольких ASA при начальной регистрации.

Можете воспользоваться функционалом Share (см. http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc57, там есть скриншоты).

Plus perpetualРегистрируйте один серийный номер ASA при начальной регистрации. Для каждой регистрации используется количество 1. Последующие регистрации с помощью PAK.

Все лицензии на AnyConnect типа «подписка» включают доступ к обновлениям/исправлениям AnyConnect, а также технической поддержке в течение срока действия подписки.Все лицензии на AnyConnect типа “perpetual” требуют приобретения дополнительного контракта SASU для получения обновлений, исправлений и технической поддержки.Для поддержки оборудования VPN-концентратора требуется отдельный SMARTnet.

Я запутался с SASU, есть какое-то общее правило

Модуль сетевой видимости

Расширенный контекст об активностях устройства

Коллектор и системы отчетов

Расширяет сбор данных об устройствеинформацией о сетевой активности приложений/пользователей

АналитикаАудитНаблюдаемость

. . .

NVM – открытость

http://developer.cisco.com/site/network-visibility-module/

Новые возможности NVM

ParentProcessHash

DestinationHostname

DNSSuffix

L4ByteCountIn

L4ByteCountOut

VirtualStationName

OSName

OSVersion

SystemManufacturer

SystemType

OSEdition

ModuleNameList

ModuleNameHash

InterfaceIndex

InterfaceIndexType

InterfaceIndexName

Гибкая политика

сбора

Новые атрибуты

ПодавлениеBCAST/MCAST

Управление кэшем

Полный списокатрибутов

• vzFlow = Netflow(IPFIX) + дополнительные поля

• Именно vzFlow реализован в AnyConnect NVM

Посмотрим повнимательнее

ИД род. процесса (ID запустившего процесса)

Имя родительского процесса (запустившего iexplore.exe)

Запись Netflow (Source IP, Destination IP, …)

Уникальный Device ID (корреляция записей)

Имя устройства (bsmith-WIN7)

Локальный DNS (starbucks.com), целевой DNS (-> amceco.box.com)

Домен\имя пользователя (AMER\bsmith)

Имя процесса (iexplore.exe)

ИД процесса(ID iexplore.exe)

* Можно включать/отключать сбор полей данных

Контекст в трактовке NVMПриложение – пользователь – устройство – местоположение – цель

StealthwatchManagement

Console

Инфраструктура, передающая

данные о потоках

Набор решений Stealthwatch: лицензии для оконечных устройств и облаков

FlowCollector

EndpointConcentrator

Много клиентов AnyConnect с NVM Серверы в AWS

CloudConcentrator

Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!).

Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.




AMP-активатор расширяет защиту от malware

Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP)

Обеспечивает защиту конечного устройства до туннелирования трафика в сеть

Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения

Больше защиты

Windows/MAC MobileМобильное устройство

Cisco AMP расширяет возможности NGFW и NGIPS

Ретроспективная безопасностьТочечное обнаружение

Непрерывная и постоянна защитаРепутация файла и анализ его поведения

Полная защита среды с помощью Cisco AMP

AMP Защита

Метод

Идеально для

Контент

Лицензия для ESA и WSA, а также для CES и CWS

Пользователей решений Cisco для защиты электронной почты и обеспечения безопасности веб-

трафика

Сеть

Отдельное устройство-или -

Включите AMP на устройствах FirePOWER или ISR G2/4k

Пользователей NGIPS/NGFW иISR

Хост

Установка на стационарные и мобильные устройства, включая

виртуальные

Windows, Mac, Android, VM

Cisco Advanced Malware Protection

Вектор угроз Email и Web Сеть Оконечные устройства

Cisco AMP защищает с помощью репутационнойфильтрации и поведенческого анализа файлов

Фильтрация по репутации Поведенческое обнаружение

Динамический анализ

Машинное обучение

Нечеткие идентифицирующие

метки

Расширенная аналитика

Идентичнаясигнатура

Признаки компрометации

Сопоставление потоков устройств

Cisco AMP обеспечивает ретроспективную защиту

ТраекторияПоведенческиепризнаки

вторжения

Поискнарушений

Ретроспектива Создание цепочек атак

Пример ретроспективы процессов

На примере Cisco AMP for Endpoints

Пример траектории файла

Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox


В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8


Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)


Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)


Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие


Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПОи поместило в карантин только что определенное вредоносное ПО


Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано


Полная информация о вредоносном коде

Ретроспективный анализ процессов позволяет ответить на следующие вопросы

• Как угроза попала на узел?

• Что плохого происходит на моем узле?

• Как угроза взаимодействует с внешними узлами?

• Чего я не знаю на своем узле?

• Какова последовательность событий?

• AnyConnect – многофункциональный клиент для обеспечения комплексной безопасности.

• Схема лицензирования существенно упростилась и стала более прозрачной.

• Комплексные возможности включают не только различные функции предотвращения нарушений безопасности, но и средства мониторинга, а также модуль активации клиента АМР для оконечных устройств.

Резюме

CiscoRu Cisco CiscoRussia CiscoRu

Спасибо

© 2015 Cisco and/or its affiliates. All rights reserved.

Technology

AnyConnect, NVM и AMP