3 скакуна, несущих информационную безопасность вперед...
-
Upload
cisco-russia -
Category
Technology
-
view
752 -
download
20
Transcript of 3 скакуна, несущих информационную безопасность вперед...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию
Лукацкий Алексей [email protected]
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.
Что заставляет ИБ (и Cisco) двигаться вперед?
Скакун №1: Угрозы
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 3
4 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Глобальный рынок кибер-преступности:
$450B-$1T Банковский аккаунт >$1000
зависит от типа и баланса
$
DDoS as a Service
~$7/час
DDoS
Медицинские записи >$50
Мобильное ВПО $150
Разработка ВПО $2500
(коммерческое ВПО)
SSN $1
Аккаунт Facebook $1 за аккаунт с 15 друзьями
Данные кредиток $0.25−$60
Спам $50/500K emails
Эксплойты $100k-$300K
Как хакеры зарабатывают деньги?
Время обнаружения вторжений очень велико
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – один из самых долгих инцидентов в 2014-м году
Ponemon
206
HP
416 Symantec
305
Один пример: эксплойт-кит Angler
Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная система
Уязвимости Flash
Смена цели
Вымогатели
Angler Непрерывное забрасывание
«крючков в воду» увеличивает шанс на компрометацию
Шифрование тела ВПО Социальный инжиниринг
Смена IP Сайты-однодневки Ежедневн
ые
доработки
TTD
Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email
Теневая инфраструктура устойчива и скрытна
Базовая инфраструктура Angler
Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему.
Уничтожение если обнаружено • Уничтожение MBR • После перезагрузки компьютер перестает работать
Получение доступа • Спам • Фишинг • Социальный инжиниринг
Уход от обнаружения • Записать случайные данные в память 960 миллионов раз
• Засорение памяти в песочнице
Украсть данные пользователя • Доставка данных пользователя обратно злоумышленникам
• Кража любых данных, а не только банковских
Анти-анализ Стойкость Вредоносное поведение
Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.
76110
12/2014 1/2015 2/2015 3/2015 4/2015 5/2015
New URLScheme
Com
prom
ised
Use
rs
Old URLScheme
27425 2404018960 20863
47688
76110
736913163
9010 11958 14730 12008
Постоянная модификация вредоносного кода
Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL
Новая схема URL драматически опережает старую.
Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add-On для браузера (уже 4000 имен)
Эволюция вымогателей: Цель – данные, а не системы
TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети
$300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна
Личные файлы
Финансовые данные
Фото
Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)
Прямые атаки формируют большие доходы Более эффективные и более прибыльные
Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов
Кампания стартовала
Обнаружена с помощью Outbreak Filters
Антивирусный движок обнаруживает Dridex
Но злоумышленники все равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
Изменение в поведении атак
Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад и обход защитных механизмов
Скорость
Дополнительная информация по угрозам
Уже выпущен!
https://www.youtube.com/watch?v=uJOQJuhWR-E https://www.youtube.com/watch?v=dGrgI_S3yOA
Еще больше деталей про угрозы
Скакун №2: Изменение бизнес-моделей
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 17
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
$
3.3 55%
Мобильность Устройств на работника*
IP-траффик мобильный к 2017**
* Cisco IBSG, ** Cisco 2013 VNI, *** IDC
545 44%
Облака Облачных приложений на организацию* Рост ежегодной облачной нагрузки***
* Skyhigh Networks Industry Report, ** Cisco Global Cloud Index, *** Cisco VNI Global Mobile Data Traffic Forecast,
Рост в M2M IP-траффике 2013–18**
50B Подключенных “умных вещей” к 2020*
36X * Cisco IBSG, ** Cisco VNI: Global Mobile Data Traffic Forecast 2013-2018
IoE
Десктопы Бизнес-приложения
Сетевая инфраструктура
Так было в прошлом
Критическая инфраструктура (Amazon, Rackspace, Windows Azure и т.д.)
Бизнес-приложения (Salesforce, Marketo, DocuSign и т.д.)
Мобильные пользователи
Удаленные пользователи
Десктопы Бизнес-приложения
Сетевая инфраструктура
Что сегодня и завтра?
Операторы связи
Промышленные сети
Что предлагает Cisco?
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 21
Гипотезы безопасности Cisco
Консалтинг Интеграция Управление Знание угроз Платформы Видимость
Операционный фокус Нехватка людей
+ Цифровая эволюция
+
Требуются изменения в ИБ
AMP + FirePOWER AMP > управляемая защита от угроз
В центре внимания Cisco — анализ угроз!
Приобретение компании Cognitive Security • Передовая служба исследований • Улучшенные технологии поведенческого анализа в режиме реального времени
2013 2015... 2014
Приобретение компании Sourcefire Security • Ведущие в отрасли СОПВ нового поколения • Мониторинг сетевой активности • Advanced Malware Protection • Разработки отдела по исследованию уязвимостей
(VRT) • Инновации в ПО с открытым исходным кодом
(технология OpenAppID)
Malware Analysis & Threat Intelligence
Приобретение компании ThreatGRID • Коллективный анализ вредоносного кода
• Анализ угроз • «Песочница»
Коллективные исследования Cisco – подразделение Talos по исследованию и анализу угроз • Подразделение Sourcefire по исследованию уязвимостей —
VRT • Подразделене Cisco по исследованию и информированию об угрозах — TRAC
• Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMP Коллективный анализ вредоносного кода > Система коллективной информационной безопасности
Приобретение компании OpenDNS • Анализ DNS/IP-трафика • Анализ угроз
Приобретение компании Lancope • Исследования угроз
24 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CLUS: AMP Data Center
Закрыта сделка по Sourcefire
Security for ACI
RSAC: AMP Everywhere OpenAppID
2014 ASR
Global Security Sales Organization
Приобретена Neohapsis
AMP Everywhere
Приобретена ThreatGRID
Cisco ASA with FirePOWER
Services
Security and Trust
Organization
Managed Threat
Defense
Talos Integrated
Threat Defense
2013 2015
Security Everywhere
Закрыта сделка по OpenDNS
Приобретена Portcullis
Приобретение Lancope
Последние инновации Cisco в области ИБ
Филиалы
ЛВС Периметр
АСУ ТП
ЦОД
Оконечные устройства
Интеграция и максимальное покрытие от уровня сети до оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов – ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Повсеместная безопасность
AMP Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
Повсеместный AMP
ПК ПК
Периметр
сети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be launched from AnyConnect
Сетевые ресурсы Политика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция угроз
Гостевой доступ
Ролевой доступ
Идентификация, профилирование и оценка состояния
Кто
Соответствие нормативам P
Что
Когда
Где
Как
Повсеместно означает также и интеграцию между решениями Cisco ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в сеть
Физическая или виртуальная машина
Контекст контроллер ISE pxGrid
Интеграция с Cisco Mobility Services Engine (MSE)
Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.
Преимущества
Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.
Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE
Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей
Возможности • Конфигурация иерархии местоположений по всем объектам местоположения • Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения • Повторное предоставление доступа на основе нового местоположения
Холл Палата Лаборатория Скорая помощь
Врач
Нет доступа к данным пациента
Доступ к данным пациента
Нет доступа к данным пациента
Доступ к данным пациента
Данные пациента
Местоположения для доступа к данным пациента
Палата
Скорая помощь
Лаборатория
Холл
Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы — новые партнеры в рамках pxGrid
Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.
Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco
Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях
Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа
Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).
Повсеместно… Даже там, где еще нет Cisco. Пока нет J
Преимущества
Что нового в ISE 2.0?
Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей
Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)
Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для работы с ISE
• Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco
Повсеместно… с учетом жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование Внедрение политик
Укрепление
Обнаружение Блокирование
Защита
Локализация Изолирование Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
Web Filtering and Reputation
Security Intelligence
File Type Blocking
Application Visibility &
Control Indicators of Compromise
Traffic Intelligence
File Reputation
Cognitive Threat
Analytics
X X X X
До После
www.website.com
Во время
X
File Retrospection
Мобильный пользователь
Отчеты
Работа с логами
Управление
Удаленный офис Allow Warn Block Partial
Block Основной офис
ASA/NGIPS AMP Appliance WSA ESA AMP for
Endpoints Админ Перенапр
авление трафика
Угрозы
HQ
File Sandboxing
X
Пример: Cisco Advanced Malware Protection
www
Mobile User Удаленный офис
www www
Allow Warn Block Partial Block Основной офис
ASA Standalone WSA ISR G2 AnyConnect® Админ Перенаправление трафика
www
HQ
До После Во время
File Retrospection
File Sandboxing
Webpage
Outbreak Intelligence
ISR 4k
Отчеты
Работа с логами
Управление
X
Web Reputation
and Filtering
SaaS Anomaly Detection
X
File Reputation
X
Anti-Malware
Cognitive Threat
Analytics
X
SaaS Visibility
CAS CAS
X
Cloud Data Loss
Prevention
CAS Application
Visibility and Control
Мобильный пользователь
X
SaaS Anomaly Detection
www.website.com
AMP AMP TG CTA
Пример: Cisco Cloud Web Security
Богатый контекст
Василий
Планшет
Здание 7, корпус 2, 1 этаж
11:00 AM Europe/Moscow 11-00 AM
Беспроводная сеть
Повсеместный контекст
Кто
Что
Где
Когда
Как
Отсутствие контекста
IP Address 192.168.1.51
Не известно
Не известно
Не известно
Не известно Нужный пользователь с нужным устройством попадет в сеть только из нужного места с необходимыми правами
Любой пользователь. Любое устройство откуда угодно попадает в сеть Результат
Контекст:
4 основных и 2 отраслевых набора решений
• ASA 5585 • ASAv • ISE • Lancope
• AnyConnect • AMP • CWS • OpenDNS
• ISE • TrustSec • StealthWatch • wIPS
• FirePOWER • ESA • WSA • AMP
Защита периметра
Защита внутренней
сети
Защита ЦОДа Защита пользователей
• Firepower 9300 • Cloud Web Security и Cognitive Threat Analytics
• OpenDNS Umbrella
• ISA 3000 • ASA 5506H • StealthWatch • ISE • NGIPS
ICS SP
А также AMP Threat Grid и OpenDNS Investigate для глубокого анализа угроз
А еще различные сервисы по безопасности
От маркетинга к реальным решениям
• Многие компании имеют множество разных продуктов, часто поглощенных у других игроков рынка
• Обычно это выглядит так, как будто кто-то вывалил кучу деталей Lego на ковёр
• Заказчики вынуждены либо использовать продукты неправильно, либо не на полную мощь
Как объединить продукты в решения?
• Мы не знаем, что нам делать со всеми этими деталями, как нам получить то, что на картинке?
• Нужны подробные рекомендации по превращению отдельных продуктов в целостную архитектуру, протестированную на совместимость с прикладными решениями
Необходима стройная и понятная архитектура
Заголовок слайда
Пример Cisco SAFE для ритейла
Пример SAFE для защищенного периметра
© 2015 Cisco and/or its affiliates. All rights reserved.
Маршрутизатор ISR S2S VPN, унифицированные коммуникации, Trustsec, CWS, анализ Netflow
Коммутатор Catalyst Контроль доступа + Trustsec, анализ Netflow, ISE
Безопасность хостов Антивирус, AMP for Endpoints
Унифицированная БЛВС Контроль доступа + Trustsec, анализ Netflow, WirelessIPS, ISE
WAN
ASA с сервисами FirePower FW, NGIPS, AVC, AMP, фильтрация URL
Email Security Appliance Централизованная защита email, антиспам, антивирус, DLP, AMP
ISE + Cisco Threat Defense Централизованные ISE и CTD Контроль доступа + Trustsec, Проверка на соответствие, Защита от угро на основе анализа потоков Netflow
Internet
От архитектуры к решению: защищаем филиал
Маршрутизатор ISR ISR 4321
Коммутатор Catalyst Catalyst 3850-48
Безопасность хостов Антивирус, AnyConnect 4.0, AMP for Endpoints
Унифицированная БЛВС WLC 5508, AP3701i,MSEv
ASA с сервисами FirePOWER ASA 5515 w/ FP Services
Email Security Appliance ESA в центральном офисе
ISE ISE в центральном офисе
Vlan 10
G1/1 G2/1
Trunk
G1/2
G1/23
G2/1
10.1.1.0/24
10.1.2.0/24
Vlan 12
12.1.1.0/24
WAN Internet
От решения – к низкоуровневому дизайну
Пример: компоненты защиты периметра
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
IPS нового поколения
Безопасность WEB и контентная фильтрация
Мобильный и удаленный доступ
SSL расшифровка и инспектирование
Безопасность электронной почты
Защита от вредоносного кода
(AMP)
Атрибуция пользователя Анализ сетевого
трафика
На каком этапе развития находитесь вы?
Сеть L2/L3
Управление доступом + TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щения вторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщик нагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом + TrustSec
Система предотвра-щения вторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3 МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/ Конфигурация
Мониторинг/ контекст
Анализ/ корреляция
Аналитика
Регистрация в журнале/ отчетность
Аналитика угроз
Управление уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
Пример SAFE для ЦОДа: те же компоненты
FirePOWER Services
Что такое платформа FirePOWER сегодня?
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль приложений
Межсетевой экран Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
Устройство ASA ISR Virtual
Внедрение ASAv : виртуальный МСЭ+VPN § Часто для фильтрации между зонами и тенантами применяется МСЭ в режиме мульти-контекст
§ Для передачи трафика используются транки § Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад
§ На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN
§ Масштабируемая терминация VPN S2S и RA § Поддержка сервисов vNGIPS, vAMP и других Vzone 1 Vzone 2
Multi Context Mode ASA
Видимость и прозрачность всего в сети
Типичный NGFW
Cisco® FirePOWER Services
Типичный IPS
Распознавание приложений
• Анализ сетевого трафика позволяет распознавать широкий спектр различных приложений, которые затем можно использовать в правилах политики безопасности
• FirePOWER распознает и «российские» приложения
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное приложение обнаружено
Событие нарушения зафиксировано, пользователь
идентифицирован
Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены.
IT & HR провели с
пользователем работу
Идентификация приложений «на лету»
Блокирование передачи файлов Skype
Описание собственных приложений
• Приложения могут быть описаны шаблонами
ASCII HEX PCAP-файл
«Черные списки»: свои или централизованные
• Разрешенные типы и версии ОС
• Разрешенные клиентские приложения
• Разрешенные Web-приложения
• Разрешенные протоколы транспортного и сетевого уровней
• Разрешенные адреса / диапазоны адресов
• И т.д.
Создание «белых списков»
За счет анализа происходящего на узлах
Идентифицированная операционная система
и ее версия Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует
пользователь? Когда?
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение зафиксировано,
уведомления отправлены
IT восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT.
Новый актив обнаружен
Поведение обнаружено
Обнаружение посторонних / аномалий
Инвентаризация и профилирование узлов
• Профиль хоста включает всю необходимую для анализа информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система • Используемые приложения
• Зарегистрированные пользователи
• И т.д.
• Идентификация и профилирование мобильных устройств
Профилирование протоколов
• Профиль протокола включает 29+ параметров соединения
• IP-, NetBIOS-, MAC-адреса • Сетевой протокол • Транспортный протокол • Прикладной протокол • И т.д.
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие сохранено
LINUX SERVER
WINDOWS SERVER Linux не
уязвим Windows
server уязвим
Атака блокирована
Атака скоррелирована с целью
Новая Windows-атака направлена на Windows и Linux сервера. Атаки скоррелированы с профилем цели. Событие об атаке сгенерировано.
Встроенная корреляция событий безопасности
Автоматизированная, комплексная защита от угроз
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDF Почта
Админ. запрос
Почта
Админ. запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWW WWW WWW
Динамические механизмы безопасности
http:// http:// WWW ВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Приоритет 2
Приоритет 3
Оценка вредоносного воздействия
5 ИК
Встроенная система корреляции событий
• Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных
• Приложения • Уязвимости • Протоколы • Пользователи • Операционные системы • Производитель ОС • Адреса • Место в иерархии компании • Статус узла и т.п.
Встроенная система корреляции событий
• Различные типы события для системы корреляции
• Атаки / вторжение • Активность пользователя • Установлено соединение • Изменение профиля трафика • Вредоносный код • Изменение инвентаризационных данных (например, появление нового узла в сети или ОС на узле)
• Изменение профиля узла • Появление новой уязвимости
Встроенная система корреляции событий
• В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции
• Возможность создания динамических политик безопасности
Автоматизация создания и настройки политик
Анализ сети, протоколов, приложений, сервисов, устройств, ОС, уязвимостей и др. позволяет
автоматизировать создание политик и правил МСЭ и IPS
Оценка вредоносного воздействия
Каждому событию вторжения присваивается уровень воздействия
атаки на объект
1
2
3
4
0
УРОВЕНЬ ВОЗДЕЙСТВИЯ
ДЕЙСТВИЯ АДМИНИСТРАТОРА ПРИЧИНЫ
Немедленно принять меры, опасность
Событие соответствует уязвимости, существующей на данном узле
Провести расследование, потенциальная опасность
Открыт соответствующий порт или используется соответствующий протокол, но уязвимости отсутствуют
Принять к сведению, опасности пока нет
Соответствующий порт закрыт, протокол не используется
Принять к сведению, неизвестный объект
Неизвестный узел в наблюдаемой сети
Принять к сведению, неизвестная сеть
Сеть, за которой не ведется наблюдение
Использование информации об уязвимостях
• Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности
• Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFW и Cisco FirePOWER NGIPS
Интеграция с PT MaxPatrol
Признаки (индикаторы) компрометации
События СОВ
Бэкдоры Подключения к серверам
управления и контроля ботнетов
Наборы эксплойтов Получение
администраторских полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP серверов
управления и контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
Мониторинг общей информации о сети
• Корреляция событий безопасности, трафика и вредоносного кода
• Активность конкретных пользователей и их приложений
• Используемые ОС и активность сетевого обмена
• Оценка событий по уровню воздействия и приоритета
• Статистика по вредоносному коду и зараженным файлам
• Геолокационные данные
• Категории сайтов и посещаемые URL
Мониторинг сетевых событий
• Использование сервисов
• Использование приложений
• Использование операционных систем
• Распределение соединений
• Активность пользователей
• Уязвимые узлы и приложения
• И т.д.
Мониторинг событий безопасности
• Основные нарушители
• Основные атаки
• Заблокированные атаки
• Основные цели
• Приоритет событий
• Уровень воздействия
Детализация событий безопасности
• Подробная информация о событии безопасности
• Возможность изменения правил реагирования
• Возможность тюнинга правила / сигнатуры
• Сетевой дамп
Анализ сетевого дампа
Новые возможности в Firepower Threat Defense 6.0
Инновация борьбы с угрозами Управление Enterprise уровня
DNS инспекция и Sink-holing Сетевой интеллект URL-типа
SSL инспекция ThreatGRID Analysis & Intelligence OpenAppID Application Detectors
Captive Portal and Active Auth File Property Analysis and Local Malware
Checks ISE Identity/Device/SGT in Policy
Домены с ролевым доступом Иерархические политики и
наследование
• Много режимов развертывания • Passive Inbound (Известные ключи) • Inbound Inline (с/без ключей) • Outbound Inline (без ключей)
• Гибкая поддержка SSL для HTTPS и приложений StartTLS
Пример: SMTPS, POP3S, FTPS, IMAPS, TelnetS
• Расшифровка на базе URL категорий и др. аттрибутов
• Централизованное применение политик сертификатов SSL Пример Блокирование; Самоподписанный шифрованный трафик, SSL версия, типы крипто-алгоритмов, неразрешенные мобильные устройства
Интегрированная SSL Decryption – Теперь и на ASA с Firepower
• Расширение IP черных списков
• TALOS динамические обновление, сторонние фиды и списки
• Множество категорий: Malware, Phishing, CnC,…
• Множество действий: Allow, Monitor, Block, Interactive Block,…
• Политики настраиваются либо в Access Rules либо в black-list
• IoC теги для CnC и Malware URLs
• Новые Dashboard widget для URL SI
• Черные/Белые списки URL по одному клику
Основанный на URL метод фильтрации злоумышлеников
URL-SI Категории
• Security Intelligence поддерживает домены
• Проблемы с адресов fast-flux доменах
• Предлагаемые Cisco и настраиваемые пользователем DNS списки: CnC, Spam, Malware, Phishing
• Множество действий: Block, Domain Not Found, Sinkhole, Monitor
• Индикаторы компрометации дополнены поддержкой DNS Security Intelligence
• Новый Dashboard виджет для DNS SI
DNS Инспекция
DNS List Action
OpenAppID Интеграция
Сила Open Source приходит к безопасности уровня приложений
• Создавайте, обменивайтесь и применяйте собственные правила обнаружения приложений
• Отдайте контроль в руки клиентов и большого комьюнити ИБ
• Групповая разработка в рамках комьюнити ускоряет создание сигнатур обнаружения и контроля
Что такое OpenAppID ? • Open-Source язык: специализированный на
обнаружение приложений
• > 2500 детекторов привнесено Cisco
• > 20,000 загрузок пакетов детекторов с прошлого Сентября
• Поддерживается со стороны Snort комьюнити
• Простой Язык
• Уменьшенная зависимость от вендора и его релизов
• Пишется с использованием скриптового языка Lua
Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям создавать, обмениваться и внедрять собственное обнаружение
приложений.
• Идентификация популярных и известных примеров вредоносного ПО на appliance
• Уменьшение необходимости отсылки сэмплов для динамического анализа в облако
• Локальный анализ контейнерных файлов для обнаружения malware как вложенного контента.
• Отчет о содержимом файла с анализом уровня риска
• Расширение типов файлов для динамического анализа: • PDF • Office Documents • Другие: EXE/DLL, MSOLE2…
Анализ параметров файлов и локальные проверки вредоносного ПО
• Принудительная аутентификация на уровне Appliance
• Множество методов аутентификации(Passive, Active, Passive с активным Fallback)
• Различные поддерживаемые типы аутентификации (пример. Basic, NTLM, Advanced, Form)
• Поддержка гостевого доступа
• Поддержка различных доменов
Captive портал / Активная аутентификация
Метод Источник LDAP/AD Доверенный?
Active
Принудительная аутентификация на устройстве
LDAP и AD yes
Passive
Identity and IP mapping from AD Agent AD yes
User Discovery Имя пользователя получено из трафика пассивно.
LDAP и AD, пассивно по трафику
no
• Получение учетных данных через pxGrid / ISE
• Получение типа устройства/сети Security Group Tags из pxGrid / ISE
• Возможность применять действия на основе вышеописанных данных • Такие как блокировка доступа HR пользователей с использованием iPAD
• Уменьшение размера и сложности ACL
Интеграция с Cisco ISE
UK/London
Иерархия управления
Краснодар Москва
Поддержка до 50 доменов и 3 уровней Доступно всем платформам с 6.0
Сочи
UK/Oxford
1
23
Иерархия политик доступа
Управление сервисами FirePOWER с ASDM
ASDM + Key Firepower Configuration
ASA Firepower
Kenton
Раздельные политики и объекты
Saleen
Spyker
ASA 5506/8/16-X
ASA 5515/12/25/45/55-X
ASA 5585-X
ASDM Расширяет поддержку на большее число платформ
Дополнительная информация по FirePOWER
Cisco Advanced Malware Protection
Почему традиционный периметр не защищает?
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
А это подтверждение статистики
16 апреля 2015 года http://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/ Дело СОВСЕМ не в названиях компаний, проблема в методологии
Современный ландшафт угроз требует большего, чем просто контроль приложений
54% компрометаций
остаются незамеченными месяцами
60% данных
похищается за несколько часов
Они стремительно атакуют и остаются неуловимыми
Целое сообщество злоумышленников остается нераскрытым, будучи у всех на виду
100% организаций подключаются к доменам, содержащим
вредоносные файлы или службы
• Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном вредоносном ПО?
AMP Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
AMP Everywhere
ПК ПК
Периметр
сети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be launched from AnyConnect
Cisco AMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасность Точечное обнаружение
Непрерывная и постоянна защита Репутация файла и анализ его поведения
Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие
метки
Расширенная аналитика
Идентичная сигнатура
Признаки компрометации
Сопоставление потоков устройств
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации Поведенческое обнаружение
Collective Security Intelligence Cloud
Сигнатура неизвестного файла анализируется и отправляется в облако
1
Сигнатура файла признана невредоносной и принята 2Сигнатура неизвестного файла анализируется и отправляется в облако
3Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему
4
Фильтрация по репутации основывается на трех функциях
Техника: точные сигнатуры
Сигнатуры («точные»): Очень простой подход, который наверняка реализован в любом решении любого поставщика Точное соответствие файлу Очень легко обходится простыми модификациями с файлом L
• Так действуют традиционные антивирусы
• Отпечаток файла снимается с помощью SHA256 и отправляется в облако для сравнения с базой сигнатур
• Сам файл не отправляется в облако
• Быстро и аккуратно обнаруживается угроза
• Снижение нагрузки на другие механизмы обнаружения
Возможность создания собственных сигнатур
1001 1101 1110011 0110011 101000 0110 00
• Создание собственных сигнатур, например, для контроля перемещения файлов с конфиденциальной информацией или полученных из внешних источников семплов вредоносного кода или даже приложений (для NGFW/NGIPS)
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации основывается на трех функциях
Collective Security Intelligence Cloud
Сигнатура файла анализируется и определяется как вредоносная 1
Доступ вредоносному файлу запрещен 2Полиморфная модификация того же файла пытается получить доступ в систему
3Сигнатуры двух файлов сравниваются и оказываются аналогичными
4Доступ полиморфной модификации запрещен на основании его сходства с известным вредоносным ПО
5
Техника: ядро Ethos
• ETHOS - ядро формирования нечетких отпечатков с помощью статической/пассивной эвристики
• Полиморфные варианты угрозы часто имеют общие структурные свойства
• Не всегда нужно анализировать все содержимое бинарного файла
• Повышение масштабируемости - обнаруживается и оригинал и модификации
• Традиционно создаются вручную Лучшие аналитики = несколько общих сигнатур в день
• У нас полная автоматизация = МАСШТАБИРОВАНИЕ
Ethos: создание обобщенных сигнатур, что опять же достаточно традиционно для отрасли Адресуются семейства вредоносного кода Потенциальное увеличение числа ложных срабатываний
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации основывается на трех функциях
Collective Security Intelligence Cloud
Метаданные неизвестного файла отправляются в облако для анализа 1
Метаданные признаются потенциально вредоносными 2Файл сравнивается с известным вредоносным ПО и подтверждается как вредоносный
3Метаданные второго неизвестного файла отправляются в облако для анализа
4Метаданные аналогичны известному безопасному файлу, потенциально безопасны
5Файл подтверждается как безопасный после сравнения с аналогичным безопасным файлом
6
Дерево решений машинного обучения
Потенциально безопасный файл
Потенциально вредоносное ПО
Подтвержденное вредоносное ПО
Подтвержденный безопасный файл
Подтвержденный безопасный файл
Подтвержденное вредоносное ПО
Техника: ядро Spero
Метки AMP = более 400 атрибутов, полученных в процессе выполнения • Сетевые подключения? • Нестандартные протоколы? • Использование интерфейсов API (каких)? • Изменения в файловой системе?
• Самокопирование • Самоперенос
• Запуск других процессов? Автоматизирует классификацию файлов на основе общих схожих признаков Машинное обучение позволяет находить и классифицировать то, что не под силу человеку – из-за возможности анализа больших объемов данных
Дерево принятия решений
Возможно, чистый файл
Возможно, ВПО
Да, ВПО
Да, «чистый»
Да. чистый
Да, ВПО
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основывается на четырех функциях
Collective Security Intelligence Cloud
Неизвестный файл проанализирован, обнаружены признаки саморазмножения
1
Эти признаки саморазмножения передаются в облако 2Неизвестный файл также производит независимые внешние передачи
3
Это поведение также отправляется в облако 4Об этих действиях сообщается пользователю для идентификации файла как потенциально вредоносного
5
Техника: анализ вредоносных признаков Bad Guys
• Анализ поведения файла – большое количество анализируемых параметров
• Требует большего времени на анализ, чем сигнатуры
• Потенциально ложные срабатывания
• Подробная информация о причинах принятия того или иного решения
• Выдача финального Threat Score
Уровень угрозы может быть настроен
104
На примере Cisco AMP for Content Security (WSA)
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основывается на четырех функциях
Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде
1
Два файла определяются как вредоносные, один подтвержден как безопасный
2
Сигнатуры вредоносных файлов обновляются в облаке информации и добавляются в пользовательскую базу
3
Collective Security Intelligence Cloud Коллективная
пользователь-ская база
Техника: динамический анализ Bad Guys
• Файлы для динамического анализа (песочница) могут быть загружены автоматически или в ручном режиме
• Загрузка файла осуществляется только в случае его неизвестности (неизвестен статус и Threat Score) «Чистые», уже проверенные ранее файлы или вредоносное ПО с вычисленным Threat Score в песочницу не загружаются, чтобы не снижать производительность решения
• Файлы могут загружать через прокси-сервера
• Результат представляется в виде обзора и детального анализа
Анализ в облаке может занимать время
На примере Cisco AMP for Content Security (ESA)
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основывается на четырех функциях
Получает информацию о неопознанном ПО от устройств фильтрации по репутации
1
Анализирует файл в свете полученной информации и контекста
3
Идентифицирует вредоносное ПО и добавляет новую сигнатуру в пользовательскую базу
4
Получает контекст для неизвестного ПО от коллективной пользовательской базы
2 Коллективная пользователь- ская база
Collective Security Intelligence Cloud
Индикаторы компрометации
• Индикатор компрометации – объединение нескольких связанных событий безопасности в единое мета-событие
• IOC “CNC Connected” (узел вероятно находится под чужим управлением)
Узел подключился к серверу C&C
Сработала система обнаружения вторжений по сигнатуре “Malware-CNC”
На узле запущено приложение, которое установило соединение с сервером C&C
• Встроенные и загружаемые индикаторы компрометации
На примере Cisco AMP for Endpoint
На примере Cisco AMP for Networks
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основывается на четырех функциях
Collective Security Intelligence Cloud
Обнаруживаются два неизвестных файла, связывающихся с определенным IP-адресом
2
Один передает информацию за пределы сети, другой получает команды с этого IP-адреса
3
Collective Security Intelligence Cloud распознает внешний IP-адрес как подтвержденный вредоносный сайт
4
Из-за этого неизвестные файлы идентифицируются как вредоносные 5
IP-адрес: 64.233.160.0
Сопоставление потоков устройств производит мониторинг источника и приемника входящего/исходящего трафика в сети
1
• Мониторятся внутренние и внешние сети
• Данные по репутации IP-адресов
• Регистрация URL / доменов
• Временные метки
• Передаваемые файлы
Техника: Анализ потоков устройств
111
Корреляция потоков устройств: Анализ сетевых потоков на уровне ядра. Позволяет блокировать или предупреждать о любых сетевых действия Cisco обеспечивает: Известные сервера CnC, фишинговые сайты, сервера ZeroAccess CnC, и т.д. Пользовательские списки
Сила в комбинации методов обнаружения
• На оконечных узлах не хватает ресурсов для анализа все усложняющегося вредоносного кода
• Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки
• Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным
7 методов обнаружения в Cisco AMP повышают эффективность защиты!!!
Почему необходима непрерывная защита?
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Непрерывный анализ
Поток телеметрических
данных
Интернет
WWW
Оконечные устройства Сеть Эл. почта
Устройства
Система предотвращения вторжений IPS
Идентифицирующие метки и метаданные файла Файловый и сетевой ввод/вывод
Информация о процессе
Объем и контрольные точки
Почему необходима непрерывная защита?
Контекст Применение Непрерывный анализ
Кто Что
Где Когда
Как
История событий
Collective Security Intelligence
Cisco AMP обеспечивает ретроспективную защиту
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Ретроспективная безопасность основана на…
Выполняет анализ при первом обнаружении файлов
1 Постоянно анализирует файл с течением времени, чтобы видеть изменения ситуации
2 Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО
3
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Ретроспективная безопасность основана на…
Использует ретроспективные возможности тремя способами:
Ретроспективный анализ файлов Записывает траекторию ПО от устройства к устройству
Ретроспективный анализ файлов 1
Ретроспектива процесса 2
Ретроспектива связи 3
Ретроспектива процесса Производит мониторинг активности ввода/вывода для всех устройств в системе
Ретроспектива связей Производит мониторинг, какие приложения выполняют действия
Создание цепочки атак Анализирует данные, собранные ретроспекцией файлов, процессов и связи для обеспечения нового уровня интеллектуальных средств мониторинга угроз
Пример ретроспективы файла и связей
На примере Cisco AMP for Content Security (ESA)
На примере Cisco AMP for Networks
Пример ретроспективы процессов
На примере Cisco AMP for Endpoints
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Ретроспективная безопасность основана на…
Поведенческие признаки вторжения используют ретроспективу для мониторинга систем на наличие подозрительной и неожиданной активности
Неизвестный файл допущен в сеть 1
Неизвестный файл копирует себя на несколько машин
2 Копирует содержимое с жесткого диска 3
Отправляет скопированное содержимое на неизвестный IP-адрес
4
С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам файлов
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Ретроспективная безопасность основана на…
Траектория файла автоматически записывает время, способ, входную точку, затронутые системы и распространение файла
Неизвестный файл загружается на устройство 1
Сигнатура записывается и отправляется в облако для анализа 2
Неизвестный файл перемещается по сети на разные устройства
3
Аналитики изолированной зоны определяют, что файл вредоносный, и уведомляют все устройства
4
Траектория файла обеспечивает улучшенную наглядность масштаба заражения
5 Вычислительные ресурсы
Виртуальная машина
Мобильные системы
Мобильные системы
Виртуальная машина
Вычислительные ресурсы
Сеть
Мобильные системы
Мобильные системы
Collective Security Intelligence Cloud
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Вычислительные ресурсы
Неизвестный файл загружается на конкретное устройство 1
Файл перемещается на устройстве, выполняя различные операции 2При этом траектория устройства записывает основную причину, происхождение и действия файлов на машине
3
Эти данные указывают точную причину и масштаб вторжения на устройство 4
Ретроспективная безопасность основана на…
Диск 1 Диск 2 Диск 3
Пример траектории файла
Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox
Пример траектории файла
В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8
Пример траектории файла
Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)
Пример траектории файла
Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)
Пример траектории файла
Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие
Пример траектории файла
Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПО и поместило в карантин только что определенное вредоносное ПО
Пример траектории файла
Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано
Пример траектории файла
Что делать в случае обнаружения вредоносного кода? • Вариант реагирования на обнаруженный вредоносный код зависит от варианта реализации AMP
• AMP for Endpoints Режим аудита – разрешить запускать вредоносный код
Пассивный режим – не ждать ответа из облака и запустить вредоносный код (блокировать после)
Активный режим – ждать ответа из облака, не запуская файл
• AMP for Content Security Пропустить, заблокировать или поместить в карантин (для ESA)
• AMP for Networks Пропустить, заблокировать или сохранить вредоносный код
Какие файлы можно анализировать?
• Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно захватывать и сохранять для дальнейшего анализа
Обнаружение известного вредоносного кода
Полная информация о вредоносном коде
Увеличение числа устройств с вредоносным ПО
Анализ вредоносного ПО и атак
Подтверждение атаки и заражения
• С чего начать?
• Насколько тяжела ситуация?
• Какие системы были затронуты?
• Что сделала угроза?
• Как можно восстановить?
• Как можно предотвратить ее повторение?
Исправление Поиск сетевого трафика
Поиск журналов устройств
Сканирование устройств
Задание правил (из профиля)
Создание системы испытаний
Статический анализ
Анализ устройств
Сетевой анализ
Анализ увеличения числа
устройств
Уведомление Карантин Сортировка
Профиль вредоносного
ПО
Стоп
Не удалось обнаружить заражение
Заражение обнаруж
ено
Поиск повторного заражения
Обновление профиля
Подтверждение
Заражение отсутствует
Вопрос не в том, произойдет ли заражение, а как скоро мы его обнаружим, устраним и поймем причины?
Ретроспективный анализ файлов позволяет определить • Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло?
• Что еще произошло?
Ретроспективный анализ процессов позволяет определить • Как угроза попала на узел?
• Что плохого происходит на моем узле?
• Как угроза взаимодействует с внешними узлами?
• Чего я не знаю на своем узле?
• Какова последовательность событий?
Трекинг каждого вредоносного файла
Пользователи и IP, которые загрузили вредоносный файл к себе
SHA-256
Вопросы конфиденциальности: AMP Private Cloud 2.0
AMP Threat Grid Dynamic Analysis Appliance
Windows, Mac Endpoint
Cisco FirePOWER Sensor
Cisco Web Security Appliance
Cisco Email Security Appliance
Cisco ASA with FirePOWER Services
Talos
Cisco AMP Private Cloud Appliance 2.x
Федерированные данные
Хэши файлов
Анализируемые файлы
Опционально
Планы
Поддержка “air gap”
А можно анализировать вручную?
1001 1101 1110011 0110011 101000 0110 00
• Нередко бывает необходимость анализировать файлы, попавшие в службу безопасности на флешках или иных носителях, а также проводить более глубокий анализ обнаруженных с помощью Cisco AMP вредоносных программ
• Не у всех бывает реализована автоматическая защита с помощью Cisco AMP
• Организация может захотеть создать собственную службу Threat Intelligence или Security Operations Center
Cisco AMP Threat Grid
1001 1101 1110011 0110011 101000 0110 00
• Платформа для глубокого анализа вредоносного кода Доступ через портал, выделенное устройство или с помощью API
• Может применяться при построении собственных систем Threat Intelligence или SOC
• Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.
Детальный анализ вредоносного ПО в AMP Threat Grid
Типовые сценарии использования AMP Threat Grid
• Доступ к порталу • Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода • Приватная маркировка загружаемых семплов (опционально) • Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в облако
• Интеграция с решениями Cisco • AMP for Endpoints • AMP for Networks (FP / ASA) • AMP for WSA / CWS • AMP for ESA / CES
• API для автоматизации передачи семплов в Threat Grid включен во все лицензии с подпиской
Развертывание вне облака – на территории заказчика
§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid § В целях соблюдения нормативных требований все данные остаются на территории заказчика § Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для актуализации контекста
§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§ TG5000: § Анализ до 1500 образцов в день § Cisco UCS C220 M3 Chasis (1U) § 6 x 1TB SAS HDD (аппаратный RAID)
§ TG5500: § Анализ до 5000 образцов в день § Cisco UCS C220 M3 Chasis (1U) § 6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты
Отличия портала от локального устройства AMP Threat Grid
• Масштабируемость • Отсутствуют ограничения на число загружаемых для анализа семплов (в устройстве – до 5000 в день)
• Скорость обработки семплов • Обработка 1000 семплов занимает около 30 минут. На устройстве такое же количество семплов обрабатывается за 4 часа
• Стоимость • Устройство стоит дороже доступа к порталу
• Анализ угроз • Сопоставление угроз в облаке осуществляется со всеми семплами, загруженными в него и помеченными как публичные. На устройстве сопоставление осуществляется только с локальными семплами
• Обновления поведенческих индикаторов • Обновления для устройства выпускаются каждый квартал, а для портала – каждые 2 недели
Преимущества и недостатки локального устройства
Преимущества
• Конфиденциальность данных • Возможность работы в изолированной сети
• Независимость от наличия Интернет-канала
Недостатки
• Обновления поведенческих индикаторов приходят с задержкой
• Невозможность полного анализа Интернет-активности вредоносного ПО
• Невозможность сопоставления данных с другими публичными семплами
Повсеместный AMP Threat Grid
Подозрительный файл
Отчет
Периметр
ПК
Firewall & UTM
Email Security
Analytics
Web Security
Endpoint Security
Network Security
3rd Party Integration
S E C U R I T Y
Security monitoring platforms
Deep Packet Inspection
Gov, Risk, Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный файл
Premium content feeds
Security Teams
Cisco Web Security Appliance
Решения Cisco по защите и контролю доступа в Интернет
ASA с FirePOWER Services / Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance (Physical & Virtual)
Cisco ISR с FirePOWER Services
Web Filtering
Cloud Access Security
Web Reputation
Application Visibility and
Control Parallel AV Scanning
Data-Loss Prevention
File Reputation
Cognitive Threat
Analytics*
X X X X
До После Во время
X
File Retrospection
www
Мобильный пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial Block Основной офис
WCCP Explicit/PAC Load Balancer PBR AnyConnect® Client Админ Перенаправле-ние трафика
www
HQ
File Sandboxing
X
Client Authentication
Technique
* Roadmap feature: Projected release 2H CY15
X Cisco® ISE
Cisco Web Security Appliance
1. Сканируем текст
Cisco Web Usage Controls URL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к эталонным документам
4. Возвращаем самое близкое значение категории
2. Вычисляем релевантность
Finance Adult Health
Finance Adult Health
Allow
WWW Warn
WWW WWW Partial Block
Block
WWW
5. Enforces policy
If Unknown, the Page Is Analyzed
Block
WWW
Warn
WWW
Allow
WWW
If Known
Репутационный анализ Сила контекста реального времени
Suspicious Domain Owner
Server in High Risk Location
Dynamic IP Address
Domain Registered
< 1 Min 192.1.0.68 example.com Example.org 17.0.2.12 Beijing London San Jose Киев HTTP SSL HTTPS
Domain Registered > 2 Year
Domain Registered < 1 Month
Web сервер < 1 места
Who How Where When
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10 IP значение репутации
Сканирование malware в реальном времени Dynamic Vectoring and Streaming
Сигнатурный и эвристический анализ Эвристическое обнаружение Идентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверка Идентификация известного поведения
Множество механизмов сканирования
malware
Оптимизация эффективности и уровня обнаружения с интеллектуальным мультисканированием
Расширение сигнатурного покрытия с использованием нескольких механизмов
Улучшение впечатления с помощью параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного трафика с помощью перехвата и расшифровки SSL соединений
Эмуляция в реальном времени
Sandbox реального времени Анализ для защиты от атак 0-day
Layer 4 Traffic Monitor Обнаружение зараженных узлов
Пользователи
Cisco® S-Series
Network -Layer
Analysis
Мощные данные antimalware Предотвращение трафика “Phone-Home”
§ Сканирует весь трафик, все порты и все протоколы
§ Обнаружение malware, обходящее порт 80 § Предотвращение трафика botnet
§ Автоматически обновляемые правила § Генерация правил в реальном времени с помощью “dynamic discovery”
Инспекция пакетов и заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter
Предотвращение утечек данных Снижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd-pary вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
Расширенный DLP
Базовый DLP
Dropbox
Microsoft Outlook
Gmail
Cisco Web Security Полное управление пользователями
Data-Loss Prevention (DLP)
Application Visibility and Control (AVC)
Admin
Allow
WWW
Централизованное управление и отчетность
Policy
Защита от угроз Пользователь
Cisco® Web Usage Controls
Partial Block
WWW
Block
WWW
Что делать с мобильными пользователями? Cisco AnyConnect Secure Mobility Client
Пользователь с ноутбуком, планшетом или телефоном
Роуминг-пользователь с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Delivers Verdict
WSA веб безопасность
Расположение web безопасности
CWS web безопасность
Router or firewall re-route traffic to WSA or CWS
Перенаправление web трафика
Работа с WWW через VPN
Перенаправление трафика на ближайший web прокси
Cisco AnyConnect®
Client
VPN
ACWS
VPN
Централизованное управление и отчетность Завершенное решение для вариантов локального и облачного развертывания
Централизованная отчетоность Централизованное управление
Делегированное администрирование
Централизованное управление политиками
Глубокий обзор гуроз Обширные возможности для расследования
Просмотр Угрозы, данные, приложения
Управление Согласованные политики между офисами и
удаленными пользователями
Обзор Обзор разных устройств, сервисов и
сетевых уровней
Analyze, Troubleshoot, and Refine Security Policies
Высокопроизводительная платформа прокси, Интегрированная аутентификация
Многоядерная оптимизация Интегрированная идентификация и аутентификация
§ Отсутствие проблем, связанных с задержкой при антивирусном сканировании
§ Включание функционала мультисканирования для увеличения эффективности безопасности
§ Оптимизация для сложного веб контента
§ Политики идентификации § Прозрачная, single sign-on (SSO) аутентификация в Active Directory
§ Гостевые политики, реавторизация § Поддержка нескольких не связанных между собой деревьев
NTLM/Active Directory
LDAP
Secure LDAP
CRES 0
1
2
3
4
5
6
1-Core 2-Cores 4-Cores
Burdened System Capacity (Web Transactions/Hour) M
illio
ns
Дополнительная информация по WSA
Cisco Email Security Appliance
Защита от угроз Cisco Email Полная защита от угроз
Cisco® Talos Репутационная фильтрация SenderBase
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Drop
Drop/Quarantine
Антивирус Drop/Quarantine
Advanced Malware Protection (AMP) Drop/Quarantine
Quarantine/Rewrite
Deliver Quarantine Rewrite URLs Drop
Обнаружение Graymail Rewrite
Защита от спама Эшелонированная оборона
Входящая хорошая, плохая, неизвестная почта
SBRS
Поддержка Cisco® SIO
What
Cisco Anti-Spam
When Who
How Where
§ Нормальная почта проверяется на спам
§ Подозрительная почта ограничивается и фильтруется
Известная плохая почта блокируется на границе сети
§ Определение URL репутации и контекста
§ > 99% уровень обнаружения § < 1 на 1 миллион – уровень ложных срабатываний
Mail Policies
«Белый» список фильтруется от вирусов
Cisco Anti- spam Engine
Cisco Anti- spam Engine
Anti- spam Engine B
Anti- spam Engine (Future)
Intelligent multiscan (IMS)
Эшелонированная оборона от вирусов
Cisco Anti-Spam
§ Sophos § McAfee § Или оба -- Sophos и McAfee
Выбор антивирусов
Антивирусные механизмы Антиспам
Защита от malware нулевого дня Advanced Malware Protection
Outbreak Filters Advanced Malware Protection
Репутация файлов
Известная репутация
«песочница»
Неизвестные файлы загружаются в песочницу (archived, Windows PE, PDF, MS Office)
Cisco® AMP интеграция
Обновление репутации
Защита от атак нулевого дня Outbreak Filters
Advanced Malware Protection
Облачное детектирование malware 0-day
Обнаружение вирусов и malware 0-day
§ Среднее опережение*: более 13 часов § Атаки заблокированы*: 291 атака § Всего инкрементальная защита*: более 157 дней
Преимущества Outbreak Filters
Outbreak Filters
Cisco® Talos
Вирусный фильтр
Динамический каранин
«Линия обороны» URL Интеграция безопасности Email и Web
Email содержит URL Cisco® Talos
URL репутация и категоризация
Замена
Defang/Block
Перезапись Перенаправить в облако
§ BLOCKEDwww.playboy.comBLOCKED
§ BLOCKEDwww.proxy.orgBLOCKED
“This URL is blocked by policy”
Top вредоносных URL
Пользователей кликнуло
Дата/время, причина перезаписи, URL действие
Отслеживание взаимодействия с Web Отслеживание URL, перезаписанное политикой
URL перезаписан
Пользователь кликает на перезаписанный
URL
На базе Email ID На базе LDAP группы
На основе IP адреса
Остановка 0-day
Динамическая информация
Образование пользователей
Отчет о перезаписанных URL
Список пользователей, получивших доступ к перезаписанным URL
Добавление вредоносного URL к списку
Безопасность Cisco Email Обеспечение полного контроля исходящих
Ограничение потока
AS/AV проверки
Соответствие/DLP
Шифрование чувствительных
данных DKIM/SPF
Ограничение исходящих Ограничение по домену или же по полю Mail From
Получение предупреждений, которые идентифицируют возможно инфицированных отправителей
Ограничения могут быть более высокими для отправителей, которые отноятся к категории «маркетинг» или же «техподдержка»
Пользователи отправляют до 100 сообщений в час
Администраторы могут устанавливать ограничения индивидуально для каждого пользователя
Policy
Admin
1-100 Emails 101-1000 Emails
Alert admin when limit is hit
!
!
Typical User
Known High-Volume Sender
Malicious Sender
§ Работает с Email
§ Защита от угроз
§ Email сканирование
§ Применение политик
§ Определение политики риска
§ Advanced Incident Workflow
§ Fingerprinting
DLP и соответствие Отдельное или часть полного решения DLP
Локальный RSA DLP
Интеграция с RSA Enterprise DLP
Data-Loss Prevention
Инциденты Политики
Точно, просто, расширяемо
Интеграция с RSA Enterprise Manager Интеграция Cisco ESA в корпоративное решение DLP
В решении RSA Enterprise DLP, Cisco ESA заменяет:
§ SMTP перехватчик
§ Сервер шифрования
§ SMTP smart host
В решении RSA Enterprise DLP, Cisco ESA обеспечивает:
§ Непрерывный поток почты
§ Полный обзор потока почты
§ Встроенное обнаружение и реагирование
§ Меньше систем для управления и проверки
Fire
wal
l
SMTP
Mail Servers
Enterprise Manager
Network Controller
HTTP/HTTPS/IM Proxy Server
ICAP Server Sensor
SMTP Smart Host Interceptor
Encryption Server
Cisco® Email Security Appliance
Применение политик шифрования TLS настройки на основании Mail From
Применение контрактных обязательств
Предотвращение отправки важных данных в открытом виде
Предотвращение приема чувствительных данных в октрытом виде от неправильно настроенных серверов
Your Company
Шифрование конверта Просто для отправителя
Автоматизированное управление ключами
Не требуется дополнительное ПО на десктопе
Прозрачная отправка на любой Email
Шифрование вклюается + словами | политиками | отправителями | получателями | и т.д.
Sender Controls Recipient
Cisco® Email Security Appliance
Message Key
И просто для получателя
Корпоративная запись (opt)
Открыть вложение
1
Подтвердить личность
2
Посмотреть сообщение
3
Cisco® Registered Envelope Service
DKIM и SPF Аутентификация Email
Блокирование фишинг и спуфинг атак
Применение более либеральных политик к аутентифицированным источникам
Trusted_Partner.com
Trusted_Partner.com
Мошенник
Your Company DK
IM a
nd S
PF
Rec
ords
DNS Server
Signed
Cisco® ESA
Drop/Quarantine
Signed
Verified
DMARC Стандартизация Email аутентификации
Trusted_Partner.com
Trusted_Partner.com
Мошенник Ваша компания D
KIM
and
SP
F R
ecor
ds
Signed
Cisco® ESA
Drop/Quarantine Signed
Verified
Снижение количества фишинг-писем
Объединение вместе DKIM и SPF для того, чтобы нивелировать их недостатки
Определить действия, которые надо предпринять, если аутентификация неправильная для определенных доменов
Отправка агрегированных отчетов для уведомления о диспозиции сообщений
DNS Server
DMARC p=reject
Report
Аутентификация Email DKIM и SPF
Избегайте подделки ваших сообщений
Увеличьте свою репутацию
Избегайте попадания в черные списки
Your Company ISP
DNS Server
Public
Запрос DMARC, DKIM, и SPF Cisco® ESA
From: Your_Company.com From: Your_Company.com
Signed
From: Your_Company.com
Signed
Verified
Аутентификация Email DMARC
Защита против фишинга
Увеличение репутации и уровня доставки
Обзор и контроль над отправленной почтой, в том числе над той, которая отправляется от вашего имени
Your Company ISP
DNS Server
Public
Запрос DMARC, DKIM, и SPF Cisco® ESA Публикация DMARC, DKIM, и SPF
From: Your_Company.com From: Your_Company.com
Signed
From: Your_Company.com
Signed Verified
Report
Простая отчетность и мониторинг
Иерархически отчеты Детальный Message Tracking
Обзор почтовых сообщений Message Tracking
Что случилось с сообщением, которое я отослал 2 часа назад? § Отслеживание индивидуальных сообщений
А кто еще получал подобные сообщения? § Расследования для гарантии соответствия
Всеобъемлющий обзор Унифицированные бизнес-отчеты
Простой вид по всей организации
Просмотр трафика и угроз в режиме «почти» реального времени
Исполняемые иерархические отчеты Консолидированные и
пользовательские отчеты
§ Email Volume § Spam Counters § Policy Violations § Virus Reports § Outgoing Email Data § Reputation Service § System Health View
Множество точек данных
Rest API Варианты использования и обзор
Простой, документированный метод сбора информации об отчетах и состоянии системы
Отправка отчетной информации в существующие системы мониторинга с использованием хорошо известных протоколов и методологий: HTTP/REST и JSON
Простой, ресурсоориентированный дизайн, созданный для программистов
Stateless – каждый вызов аутентифицируется § Поддержка HTTPS + базовая аутентификация
Экономика E-mail Security Appliance § Исходные данные:
§ Число сотрудников (почтовых ящиков) – 7000 § Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) § Объем спама – 60% (42000 сообщений) § Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек § Суммарные дневные затраты на спам – 14,583 человеко-дня § Средняя зарплата сотрудника – $1500
§ Потери компании § В день – $994,29 § В месяц – $21784,5 § В год – $248573,86
§ Выгоден ли антиспам в данной ситуации? § Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности
Больше деталей про экономику
https://www.youtube.com/watch?v=bcQWuKUMeb4
Дополнительная информация по ESA
Cisco ISE
Сейчас труднее чем когда-либо увидеть, кто находится в вашей сети и чем занимаются эти пользователи
?
Нельзя защитить то, что нельзя увидеть
? опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети 90%
компаний подтвердили, что их мобильные устройства были атакованы вредоносным ПО за последние 12 месяцев
75%
189 © Компания Cisco и (или) ее дочерние компании, 2015 г. Все права защищены. Конфиденциальная информация Cisco
?
Сетевые ресурсы Политика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция угроз
Гостевой доступ
Ролевой доступ
Идентификация, профилирование и оценка состояния
Кто
Соответствие нормативам P
Что
Когда
Где
Как
Платформа ISE ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в сеть
Физическая или виртуальная машина
Контекст контроллер ISE pxGrid
Проводная
Филиал
Беспроводная
Контролируйте все из одной точки Сеть, данные, и приложения
Мобильность
Применение политик и использование политик по всей сети
Безопасный доступ отовсюду, независимо от типа подключения
Мониторинг доступа, активностей и соответствие не корпоративных устройств, принимать меры по необходимости
VPN
Партнер
Удаленный сотрудник Центральный
офис
Админ
Контрактник Гость
Профилирование ISE: обнаружение пользователей и устройств
192
CDP/LLDP
RADIUS
NetFlow
HTT
P
NM
AP
Интегрированное профилирование: мониторинг в масштабе
Активное сканирование: большая точность
Веб-канал данных об устройствах: идентификация в масштабе
Сетевая инфраструктура обеспечивает локальную функцию распознавания
Cisco® ISE дополняет информацию пассивной сети данными об активных оконечных устройствах
Производители и партнеры постоянно предоставляют обновления для новых устройств
Сенсор устройств Cisco
Сенсор устройств (функция сети)
Активное сканирование оконечных устройств
Вeб-канал данных об устройствах*
Cisco ISE
Сокращение числа неизвестных устройств в сети в среднем на 74%
Простое и быстрое заведение устройств
• Полный цикл настройки и заведения устройства без поддержки IT службы • Гибкие сценарии с одним или несколькими SSID • Встроенный Certificate authority и портал для упрощения выписки сертификатов. Интегрируется с PKI инфраструктурой
• Портал “Мои устройства” для управления собственными устройствами • Поддержка интеграции с большинством MDM решений включая Cisco Meraki, MobileIron, Citrix, JAMF
Software и многие другие
Возможности
Bring Your own Device (BYOD)
Преимущества
Лучше безопасность Минимизируем риск соединения собственных устройств к сети
Гибкость Работает с проводными и беспроводными устройствами
Улучшить работу сети Снять нагрузку заведения устройств с IT службы
Описание Простой и безопасный доступ в сеть с любого устройства. Простой процесс настройки и заведения устройств.
Эффективно планируйте, управляйте и контролируйте доступ BYOD Пользователь пытается зайти в сеть со своего устройства
ISE идентифицирует пользователя как сотрудника и направляет на портал устройств BYOD
После удачной аутентификации ISE настраивает устройство и выписывает сертификат, применяет политику
Теперь устройство зарегистрировано и получает нужный доступ в сеть
Улучшить работу гостей без ущерба безопасности
Мгновенный, беспарольный доступ напрямую в Интернет
Быстрая, самостоятельная регистрация
Ролевой доступ с помощью сотрудника
Гость
Гость
Гость Спонсор
Интернет
Интернет
Интернет и сеть
Управление гостевым доступом Hotspot
4
44:6D:77:B4:FD:01
Пользователь подключается к открытому SSID.
Пользователь пытается получить доступ в Интернет, Идентифицирован ISE как гость и перенаправляется на портал
После проверки AUP пользователь допускается в сеть
В конце дня пользователь отключается из сети
1 2 3
Конец дня
Описание Мгновенный, доступ без пароля к Hotspot
Гостевой доступ еще проще!
• Встроенный шаблон для HotSpot, саморегистрации и др.
• Создавайте брендированные порталы за минуты.
• Поддержка многих языков • Поддержка разных порталов • Hotspot поддерживает пароль
Функции
Secret
code:
chemist
Управление гостевым доступом Саморегистрация
44:6D:77:B4:FD:01
Гость перенаправляется на портал для саморегистрации
После заполнения информации профиля данные отсылаются через СМС
Гость вводить учетные данные
Гость допускается в сеть
1 2 4
Гибкое, эффективное и масштабируемое решение для Ваших задач
3
Описание Простая и гибкая самостоятельная регистрация для гостей
• Гибкий алгоритм включая саморегистрацию с подтверждением
• Разные методы доставки учетных данных включая печать, СМС, почту и IM
• Поддержка разных языков • Все страницы можно настраивать • Временные рамки и графики обновления аккаунтов
Преимущества
Оценка соответствия устройств Оценка состояния
Убедиться в соответствии политике устройства перед предоставлением доступа Возможности • Различные агенты используются для оценки состояния (Anyconnect + Web Agent)
• Обязательный, опциональные и режим аудита дают гибкость в развертывании
• Возможность построения детальных правил с использование разных критериев.
• Поддержка периодической проверки и автоматического исправления
AnyConnect
Оценка соответствия устройств Интеграция решений MDM
Проверка соответствия мобильных устройств
• Позволяет делать мультивендорную интеграцию в ISE инфраструктуре
• Макро и микро-уровень оценки (Pin Lock, Jailbroken status)
• MDM атрибуты доступны как опциив политике (Производитель, Модель, IMEI, Серийный номер, ОС Версия, Номер телефона)
• Контроль устройства в ISE из портала Мои устройства (Device Stolen àWipe Corporate data)
Возможности
Интернет
4
1 2
3
Регистрация в ISE
Разрешить интернет доступ
Регистрация в MDM
Разрешить доступ в корп. сеть
Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).
Обеспечение такого же высокого уровня безопасности, но для большого количества устройств
Преимущества
Что нового в ISE 2.0?
Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей
Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)
Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для работы с ISE
• Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
Интеграция с устройствами сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco
Упрощение управления защищенным доступом
Возможности • Мониторинг активных сессия через AD и Network log-ins
• Поддержка сессий клиентов Wired MAB и NADs
• Уведовление справочников через PxGrid
• Назначение VLANs, dACLs, SGTs и других для пользователей, авторизованных через EWA
Identity mapping
Более безопасно с интегрированным 802.1x, сапликантом и сертификатами
Базовый с whitelisting
Access
Security
Лучше и гибче С ISE Easy Wired Access
Возможности
Что нового в ISE 2.0? Расширение Easy Wired Access (EWA) предлагает заказчикам расширение защиты проводных сетей с помощью ISE
С ISE Easy Wired Access (EWA)
Лучшая видимость в активных сетевых сессиях, аутентифицированных через AD
Расширенный контроль с опцией для Monitoring-only Mode или Enforcement-Mode
Гибкое внедрение которое больше не требует сапликанта или PKI, позволяя ISE использовать COA для повышения уровня защиты
Complexity
Identity
mapping
Monitor-only mode Enforcement–Mode User 1
Active Directory Login
User 1
Network Login
Publish to pxGrid
Admin 1
ISE
Access Security
Complexity
Access
Security Complexity
EWA, безопасная альтернатива «белым спискам» (whitelisting)
Оптимизация управления благодаря единому рабочему пространству
• Новые сервисы и консоль администратора TrustSec – Инструментальная панель TrustSec – Изменение матрицы
– Автоматической создание SGT – ISE как спикер/слушатель SXP
• Обновленный интерфейс пользователя
– Улучшенная структура меню для облегчения навигации
– Возможность поиска в графическом интерфейсе • Улучшенные возможности отчетности
– Заново включены опции печати в формате PDF и локальное хранение
– Усовершенствованный фильтр для регистрации и создания отчетов в реальном времени
Возможности
Интуитивно простой рабочий центр и матрица политики доступа
Что нового в ISE 2.0? Обновленный пользовательский интерфейс TrustSec, основанный на новом рабочем центре, позволяет осуществлять простое и быстрое развертывание, устранение неполадок и контроль. .
Преимущества
Простое управление благодаря выделенным рабочим центрам, позволяющим визуализировать, понимать и управлять политикой из одного интерфейса.
Быстрое включение TrustSec для базовых сценариев использования, включая управление доступом пользователя к центру обработки данных и межпользовательскую сегментацию
Новый пользовательский интерфейс TrustSec
Автоматическая конфигурация новых политик SGT и правил авторизации
Рабочий центр TrustSec
Матрица политики доступа
Гостевой доступ
Подрядчик
Сотрудник
Зараженный
Источник
Назначение
Интернет
Ресурсы подрядчика
Сервер отдела кадров
Человеческие ресурсы
Восстановление
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Включите средство унифицированного реагирования с обменом контекста Cisco Platform Exchange Grid (pxGrid)
Когда
Где
Кто
Как
Что
Cisco и партнеры Экосистемы
ISE
Cisco сеть
pxGrid controller
ISE собирает контекст из сети 1
Контекст обменивается по технологии pxGRID 2
Партнеры используют контекст для повышения видимости и борьбы с угрозами
3
Партнеры могут запросить ISE о блокировке угрозы
4
ISE использует данные партнера для обновления контекста и политики доступа
5
Контекст
3 2
1
4 5
Netflow
NGIPS
Lancope StealthWatch
AMP
AMP Threat Grid
FireSIGHT Console
CWS
WSA
ESA
FirePOWER Services
ISE это краеугольный камень ваших Cisco решений
ISE
Как Что Кто Где Когда
Во время После До
Обмен телеметрией с помощью PxGrid С Cisco Web Security Appliance (WSA) и Identity Service Engine (ISE)
Улучшите контроль WEB контента со знанием пользователей и устройств Ключевые функции Cisco Web Security Appliance интегрируется с ISE и использует pxGRID для получения данных контекста для политики Web доступа
Преимущества
• Интеграция с Cisco Web Security Appliance для контроля тех кто может ходить в WEB
• Получение данных классификации с ISE через pxGRID. Использование TrustSec для упрощения работы.
• ИспользованиеTrustSec для абстрагирования и классификации политики доступа
Возможности
Проще администрирование Единый источник контекста и данных пользователей. Использование TrustSec для абстрагирования политики делает ее проще для WSA
Соответствие Создавайте политики по типам устройств, которые разрешат или запретят WEB доступ основываясь на состоянии устройства
Кто: Доктор Что: Ноутбук Где: офис
Кто: Доктор Что: iPad Где: Офис
Кто: Гость Что: iPad Где: Офис
Identity Service Engine
WSA
Конфиденциальные записи пациентов
Сеть сотрудников
Лучшая видимость Детализация отчетности для понимания того кто, когда, и с каких устройств получал доступ в Web
Легко интегрируется с партнерскими решениями
Как Что Кто Где Когда
ISE pxGrid controller
Cisco Meraki
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
SIEM EMM/MDM Firewall Vulnerability Assessment
Threat Defense IoT IAM/SSO PCAP Web
Security CASB Performance Management
Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы — новые партнеры pxGrid Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы
Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.
Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco
Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях
Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа
Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)
Быстрое сдерживание распространения угроз с помощью FMC и ISE Что нового в ISE 2.0? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.
Преимущества
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
Возможности
FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный
Доступ запрещается каждой политикой безопасности
Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой
Раннее обнаружение угроз FireSight сканирует активность и публикует события в pxGrid
Корпоративный пользователь загружает файл
Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE
FMC сканирует действия пользователя и файл
В соответствии с новым тегом, ISE распространяет политику по сети
Улучшенный контроль с помощью авторизации на основе местоположения
Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.
Преимущества
Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.
Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE
Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей
Возможности • Конфигурация иерархии местоположений по всем объектам местоположения • Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения • Повторное предоставление доступа на основе нового местоположения
С интеграцией платформы Cisco Mobility Services Engine (MSE)
Холл Палата Лаборатория Скорая помощь
Врач
Нет доступа к данным пациента
Доступ к данным пациента
Нет доступа к данным пациента
Доступ к данным пациента
Данные пациента
Местоположения для доступа к данным пациента
Палата
Скорая помощь
Лаборатория
Холл
Ролевой контроль доступа
Упрощение управления ИБ с ролевым доступом
• Ролевой контроль доступа • Авторизация на уровне команд с подробной регистрацией действий • Выделенный TACACS+ центр для сетевых администратаров • Поддержка основных функций ACS5
Возможности
Управление устройствами TACACS+
Преимущества
Что нового в ISE 2.0? Заказчики сейчас могут использовать TACACS+ в ISE для упрощения управления устройствами и расширения безопасности через гибкий и точный контроль доступа к устройствам.
Упрощенное и централизованное управление Рост безопасности, compliancy, подотчетности для всего спектра задач администрирования
Гибкий и точный контроль Контроль и аудит конфигураций сетевых устройств
Админы ИБ
TACACS+ Work Center
Сетевые админы
TACACS+ Work Center
Поддержка TACACS+ для управления устройствами
Централизованная видимость Получение всесторонней конфигурации TACACS+ через TACACS+ administrator work center
Улучшенный мониторинг обеспечивает полную картину действий оконечных устройств в сети
• Cisco ISE • Портфель сетевых решений
Cisco • Cisco NetFlow • Lancope StealthWatch
Данные
Зона администратора
Зона предприятия
Зона POS
Зона подрядчика
Мониторинг способствует принятию практических решений благодаря сегментации и автоматизации Сеть как регулятор
• Cisco ISE • Портфель сетевых решений Cisco • Cisco NetFlow • Lancope StealthWatch • Программно-определяемая сегментация TrustSec Cisco
Зона сотрудников
Зона разработки
Cisco Cyber Threat Defense
Что объединяет всех?
СЕТЬ Видимость всего трафика
Маршрутизация всех запросов Источники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
Используйте свою сеть Cisco по максимуму
Сеть как сенсор (NaaS)
Динамическая сегментация при обнаружении атаки
Сеть как защитник
(NaaE)
Обнаружение аномалий
Обеспечение видимости всего сетевого трафика
Обнаружение нарушений политик пользователями
Внедрение контроля доступа на критических участках
Динамические политики доступа и контроля
А если вы не можете разместить сенсоры в сети?
Router# show flow monitor CYBER-MONITOR cache … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http …
Одна запись NetFlow дает вам кладезь информации
Кто Кто Что
Когда
Как
Откуда Больше контекста
Высокомасштабиуремый сбор Высокое сжатие => долговременное
хранилище
У нас есть NetFlow, дающий контекст Но уже внутри сети
Cisco Cyber Threat Defense
Внутренняя сеть
NetFlow Capable
VPN Устройств
а
Видимость, Контекст и Контроль
КУДА/ОТКУДА КОГДА
КАК
ЧТО
КТО
Использовать данные NetFlow для обеспечения видимости на
уровне доступа
Унифицировать информацию на единой консоли для
расследований и отчетности
Связать данные потоков с Identity и приложения для создания и
учета контекста
Элементы Cyber Threat Defense
Добавление контекста Объединение данные NetFlow с identity и ID приложений для добавления контекста
Device? User? Events?
65.32.7.45
Posture? Vulnerability AV Patch
Использование телеметрии от инфраструктуры Cisco
Задействование поддерживающих NetFlow коммутаторов и маршрутизаторов Cisco как источников информации по безопасности
Cisco ISE
Cisco Network
Обеспечение привязки к задачам безопасности
Единая консоль, которая унифицирует обнаружение угроз, видимость, расследование инцидентов и отчетность
Cisco ISR G2 + NBAR
+ Application?
+ +
+ NetFlow
FlowSensor
FlowCollector StealthWatch Management
Console
CTD добавляет к NetFlow контекст и привязку к ИБ
NAT События
Известные C&C сервера и ботнеты
Данные пользователей
Приложения Приложения & URL
Архитектура Cyber Threat Defense (CTD)
Модель обнаружения поведения и аномалий
Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . . ICMP Flood . . Max Flows Initiated Max Flows Served . Suspect Long Flow Suspect UDP Activity SYN Flood .
События ИБ (94 +)
Категория тревоги Реакция
Concern
Exfiltration
C&C
Recon
Alarm Table
Host Snapshot
Syslog / SIEM
Mitigation
Data Hoarding
Exploitation
DDoS Target
Что позволяет обнаруживать NetFlow?
Отказ в обслуживании SYN Half Open; ICMP/UDP/Port Flood
Распространение червей Инфицированный узел сканирует сеть и соединяется с узлами
по сети; другие узлы начинают повторять эти действия
Фрагментированные атаки Узел отправляет необычный фрагментированный трафик
Обнаружение ботнетов Когда внутренний узел общается с внешним сервером C&C
в течение длительного периода времени
Изменение репутации узла Потенциально скомпрометированные внутренние узлы или
получение ненормального скана или иные аномалии
Сканирование сети Сканирование TCP, UDP, портов по множеству узлов
Утечки данных Большой объем исходящего трафика VS. дневной квоты
• Непонятно • Сложно • Много времени на определение пользователя, устройства и их местоположения
Идентификация инцидентов проходит быстрее с контекстной информаций – пользователь, местоположение, устройство
До Сейчас
Host 1.2.3.4 Scanning Ports of Host 3.3.3.3 Host 1.2.3.4 Scanning Ports of Host 3.3.3.3
VPN
Лэптоп
Ноябрьск
Финансы
POS
Ethernet
СПб
И. Иванов
С добавлением контекста от ISE система становится лучше
Обнаружение нарушений ИБ на базе NetFlow
Что показывает Cisco Cyber Threat Defense?
Встроенные правила
Быстрый показ деталей инцидента
Карта распространения
Возможность реагирования и помещения нарушителя в карантин
Понятная идеология Тревога à Событие ИБ Детали à Узел à Отчет по узлу
Информация об узле
Оповещения
Пользователи
Активность и приложения
Хост
Группы хостов
Потоки
Информация о пользователе
Оповещения
Устройства и сессии
Детали из AD
Пользователь
Обнаружение C&C-серверов и ботнетов
Идентификация подозрительной активности Высокий Concern Index означает излишне большое число подозрительных событий, которые отличаются от установленного
эталона
Группа узлов Узел CI CI% Тревога События ИБ
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
Обнаружение распространения вредоносного кода
232
Тревога показывает, что узел стучится к другому узлу и затем начинает делать тоже самое дальше
Подозрительная активность отображается
IP-адрес
Обнаружение распространения вредоносного кода
Prioritized Threats
Обнаружение распространения вредоносного кода
Обнаружение распространения вредоносного кода
Обнаружение распространения вредоносного кода
Обнаружение распространения вредоносного кода
Более 100 алгоритмов обнаружения
Обнаружение утечек данных
Обнаружение утечек данных
Обнаружение утечек данных
Обнаружение утечек данных
Обнаружение утечек данных
Обнаружение торрентов
Работа с прокси Сбор данных от Web Proxies: • Cisco WSA, Blue Coat, Squid, McAfee
Мы видим нарушение и через прокси
Сбор контекстных данных и привязка к потокам: • URL • Имя пользователя
Идентификация сетевого сканирования
Профиль устройства показывает, что он использует сетевой сканер
Что еще мы можем видеть?
• File Sharing Index: показывает P2P-активность (например, торренты)
• Target Index: показывает узлы, которые вероятно являются жертвами атак
• Неавторизованный доступ: попытка нарушения, запрещенного на МСЭ
• Выкачка данных: подозрительная передача данных через периметр в течение длительного времени
Что еще мы можем видеть?
• Утечка данных – передача большого объема данных через сеть – Suspect Data Hoarding – узел скачивает данные с большого количества внутренних узлов – Target Data Hoarding – узел закачивает необычно большой объем данных на другие узлы
• Исследуйте все узлы, с которыми взаимодействовал инфицированный узел
Масштабируемая система
• Пока реальных информационных потоков между узлами и группами узлов с нужным уровнем детализации карты сети
Визуализация потоков, сервисов и приложений
• Данный механизм позволяет отслеживать ошибки в настройках МСЭ
Визуализация потоков, сервисов и приложений
Собственные политики
Условия по времени
Условия по группам/
приложениям
Условия по пирам
Условия соединения
Cisco TrustSec
Традиционная сегментация
Голос Данные PCI Подрядчик Карантин
Уровень доступа
Уровень агрегации
VLAN Адресация DHCP-охват
Резервирование Маршрутизация Статический ACL
Простая сегментация с 2 сетями VLAN Больше политик с использованием большего числа VLAN
Дизайн необходимо реплицировать на этажи, здания, офисы и другие объекты. Затраты могут быть чрезвычайно высокими
ACL
Стандартные способы уменьшения охвата и связанные с этим проблемы Виртуальная локальная сеть (VLAN)
• Изолированный широковещательный домен (безопасность не обеспечена)
• Необходимы дополнительные средства обеспечения безопасности (списки IP ACL, когда трафик уходит из сети VLAN)
• Отсутствие управления в сети VLAN
• Число политик = числу сетей VLAN
• Большие затраты на обслуживание: изменение политики, изменение сети приводит к изменению VLAN, изменению ACL
Список контроля доступа IP-адресов (ACL)
• Обычный инструмент управления (коммутаторы и маршрутизаторы)
• Политика на основе адресов в сравнении с политикой на основе контекста
• Подверженность человеческим ошибкам (неправильная конфигурация)
• Большие затраты на обслуживание: новое местоположение означает использование нового ACL
access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Гибкое и масштабируемое применение политик
Коммутатор Маршрутизатор Межсетевой экран ЦОД
Коммутатор ЦОД
Автоматизация управления системой безопасности
Повышение эффективности
Упрощенное управление доступом
Технология Cisco TrustSec® Сегментация на основе бизнес-политик
Политика сегментации
Сегментация сети с помощью TrustSec
• Сегментация на основе RBAC, независимо от топологии на основе адресов
• Роль на основе AD, атрибутов LDAP, типа устройства, местоположения, времени, способов доступа и т. д.
• Использование технологии тегирования для представления логической группы, траффик отправляется вместе с тегом
• Внедрение политики на основе тегов для коммутаторов, маршрутизаторов и МСЭ
• Централизованно определяемая политика сегментации, которая может быть применена в любом месте сети
Сегментация TrustSec обеспечивает следующие возможности:
Коммутаторы Маршрутизаторы Межсетевой экран Коммутатор ЦОД ПО гипервизора
Имя пользователя: johnd Группа: управляющие магазинами Местонахождение: офис магазина Время: рабочие часы
SGT: менеджер
Применение политики
Ресурс
Управление доступом пользователя к ЦОД с помощью TrustSec
Голос Сотрудник Поставщики Гость Не соответст- вует требованиям
Тег сотрудника
Тег поставщика
Тег посетителя
Несоответствующий тег
МСЭ ЦОД
Голос
Здание 3 WLAN — Данные — VLAN
Ядро комплекса зданий
ЦОД
Основное здание Данные — VLAN
Сотрудник Не соответст- вует требованиям
Политика (тег группы безопасности (SGT)) применяется к пользователям, устройствам и серверам независимо от тополологии или местоположения. TrustSec упрощает управление ACL-списками для входящего и исходящего трафика VLAN Уровень доступа
Производственные серверы
Производственные серверы База данных HR
Защищенные ресурсы
РАЗРЕШИТЬ ЗАПРЕТИТЬ
Хранение
РАЗРЕШИТЬ ЗАПРЕТИТЬ
Сервера разработки Источник
ЗАПРЕТИТЬ ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ
ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ ЗАПРЕТИТЬ
РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ
Серверы разработки
База данных HR
Хранение
Cisco ISE
База данных HR
Сервера разработки Межсетевой
экран ЦОД Коммутатор
ЦОД
Применение политики
Распространение тегов SGT
Классификация
Сегментация без сетей VLAN
Сегментация ЦОД
258
Сегментация комплекса зданий с помощью TrustSec
259
Голос Сотрудник Гость Карантин
Тег сотрудника
Тег поставщика
Тег посетителя
Тег карантина
МСЭ ЦОД
Голос
Здание 3 Данные — VLAN (200)
Ядро комплекса зданий
ЦОД
Основное здание Данные — VLAN (100)
Сотрудник Карантин
Уровень доступа
Сотрудник
§ Применение политик основано на тегах группы безопасности; можно управлять коммуникациями в той же сети VLAN
Защита ЦОДов
Cisco AnyConnect
Необходимость доступа любых устройств из любого места
Больше разных пользователей
Работа из большего количества мест
Использование большего количества устройств
Доступ к большему количеству различных приложений и передача важных данных
Местопо-ложение
Приложение
Устройство
из любого приложения, к любым важным данным, для любого пользователя
Решение Cisco AnyConnect Secure Mobility Solution
Широкая поддержка платформ
• Apple IOS, Android, Blackberry, Windows Phone, Windows 7/8/10, MAC, Linux, ChromeOS
• Работа через клиента и через браузер
Постоянное подключение
• постоянно активное подключение, • выбор оптимального шлюза, • автоматическое восстановление подключения
Унифицированная безопасность и модульность
• Идентификация пользователей и устройств • Проверка соответствия • Интегрированная веб-безопасность • Интеграция с защитой от вредоносного кода • Поддержка VDI
Корпоративный офис
Безопасный, Постоянный Доступ
ASA
Wired Wi-Fi
мобильная или Wi-Fi
Мобильный сотрудник Домашний офис
Филиал
Поддерживаемые платформы Устройства пользователей и инфраструктура
Инфраструктура Клиенты
Microsoft Windows Mac OS X Linux
Настольное устройство
Мобильные средства связи
Apple iOS iPhone и iPad
• HTC • Motorola • Samsung • Версия 4.0 и более поздние
• HTC • Lenovo • Motorola • Samsung • Версия 4.0 и более поздние
Бесклиентские подключения
BlackBerry
+
Android Смартфоны Планшетные
компьютеры
Управление
ASDM CSM CLI
Защищенные соединения
Cisco ISR*
Cisco® ASA
Cisco ASR*
Коммутаторы IEEE 802.1x
Интернет-безопасность
Cisco WSA
Cisco ISE
Идентификация и политика +
Cisco NAC
Cisco AnyConnect для web-защиты на основе облака
Windows Phone
IPSec, SSL VPN
802.1X
MACSec
Cisco AnyConnect для VPN-доступа
• Клиент полного туннелирования IPsec/SSL VPN • Постоянное подключение и высочайшее удобство работы пользователей
• Управление доступом в сеть • Оценка состояния настольных систем и мобильных устройств • Широкая поддержка платформ ОС настольных систем и мобильных устройств
• Детализированный контроль доступа • Предоставление пользователям определенных ресурсов • Защищенное хранилище • Доступ к виртуальному рабочему столу • Широкая поддержка браузеров и приложений
Клиент Cisco AnyConnect Secure Mobility
Портал бесклиентских VPN-подключений по протоколу SSL
Клиент AnyConnect -постоянное подключение
Автоматическое переподключение между сетями Wi-Fi, 3G и разрывах связи
Повторная аутентификация не требуется
Таймер максимальной продолжительности сеанса
Off Premises
Выбор оптимального шлюза
Подключение к наиболее оптимальному головному устройству
Время = 225 мс Время = 223 мс Время = 224 мс
Время = 110 мс Время = 127 мс Время = 125 мс
Время = 73 мс Время = 75 мс Время = 76 мс
Москва Владивосток
Новосибирск
Пороговое значение времени приостановки (часы)
Пороговое значение повышения производительности (%)
Параметры профиля:
Астана
Поддержка публикации:
• Внутренних веб-сайтов
• Веб-ориентированных приложений
• Файловых ресурсов NT/Active Directory
• Почтовых ресурсов POP3S, IMAP4S, and SMTPS. Microsoft Outlook Web Access Exchange Server 2000, 2003, and 2007, 2010.
• Поддержка плагинов для RDP, VNC SSH (Java/ActiveX)
• Подключение любых TCP-ориентированных приложений c технологией SmartTunnel на совместимых платформах
Безклиентский доступ по SSL
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html
AnyConnect – больше чем просто VPN
SSL / DTLS VPN IPsec VPN
Оценка состояния
(HostScan/ISE)
Cloud Web Security
L2 саппликант
(Win Only)
Switches and Wireless
controllers
ASA WSA ISE/ACS Cloud Web Security + AMP
Центральные устройства
ASR/ CSR
ISR
Базовый VPN Расширенный VPN Другие сервисы
Модуль сетевой видимости
AMP Enabler
Планируется к выходу в 2015 году
в версии 4.2
Обеспечение интернет-безопасности с помощью Cisco WSA
Новости
Эл. почта
Социальные сети
Корпоративное ПО как услуга (SaaS)
Устройство корпоративного доступа Пользователи вне сети
Пользователь проходит
аутентификацию
Устройство web-защиты Cisco
Устройство корпоративного
доступа
Cisco® ASA
Идентификационные данные пользователя
WCCP
Доверенная сеть Недоверенная сеть
Клиент Cisco AnyConnect™
Secure Mobility
Интернет-коммуникации
Внутренние коммуникации
Обеспечение интернет-безопасности с помощью решения Cisco Cloud Web Security
Cisco AnyConnect для web-защиты на основе
облака
Cisco AnyConnect Интернет-безопасность для Cisco Cloud Web Security
• Облачная служба — постоянно функционирует и всегда защищена
• Предоставляет политики допустимого использования;
защиту от угроз со стороны вредоносного ПО;
возможности управления использованием приложений;
возможность выбора пользователем систем защиты во время поездок (исключаются проблемы с языком).
• Может использоваться вместе с устройством web-защиты Cisco® или отдельно.
Cisco AnyConnect для web-защиты на основе
облака
Cisco Network Access Manager – управление проводным и беспроводным подключением
• Управление корпоративными подключениями
• Проводное (802.3) и беспроводное (802.11) подключение с помощью одной структуры аутентификации
• Аутентификация пользователей и устройств уровня 2:
– Продвинутый саппликант 802.1X, 802.1X-REV
– 802.1AE (MACsec: проводное шифрование)
– Поддержка нескольких типов EAP
– 802.11i (сеть с повышенной безопасностью)
• Поддержка конфигураций сети для администратора (офис) и пользователя (дом)
Локализация
• Cisco AnyConnect™ GUI и инсталлятор поддерживают локализацию на множество языков
• Некоторые поддерживаемые языки: Русский
Japanese
French (Canadian)
German
Chinese
Korean
Spanish (Latin American)
Czech
Polish
• Возможно делать кастомизированные локализации под задачи организации
Поддерживает оценку состояния для разных способов доступа
Упрощает управление с единым агентом
Предотвращает подключение несоответствующих устройств (проверка патчей, ключей реестра, антивирусов….)
Оценка состояния и безопасный VPN доступ с унифицированным агентом и Cisco ISE
Подключает только разрешенные приложения через VPN
Избранное туннелирование через VPN
VPN
Обеспечивает безопасный удаленный доступ для выбранных приложений для определенного пользователя, устройства и роли (per-app VPN)
Уменьшает риски неразрешенных приложений, связанные с компрометацией данных
Поддерживает большое количество типов устройств и удаленных пользователей (сотрудники, партнеры, контрактники)
WWW
AMP активатор расширяет защиту от malware
Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP)
Обеспечивает защиту конечного устройства до туннелирования трафика в сеть
Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения
Больше защиты
Windows/MAC Mobile
Мобильное устройство
Модуль сетевой видимости
Расширенный контекст об активностях устройства
Коллектор и системы отчетов
Расширяет сбор данных об устройстве информацией о сетевой активности приложений/пользователей
Аналитика Аудит Наблюдаемость
. . .
Защита промышленных сегментов
Решения Cisco для индустриальных сетей
Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500 Индустриальные маршрутизаторы ISR 819H, CGR 2000 Индустриальные беспроводные решения Cisco 1550 Outdoor AP Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI Индустриальные системы предотвращения вторжений IPS for SCADA Индустриальные межсетевые экраны и система отражения вредоносного кода
Cat. 6500 Cat. 4500
Cat. 3750
Available COTS Platforms
Available Industrial Platforms 1260 and 3560 APs
ASA
IE 3010
IE 3000 1552 AP
CGR 2010
IE 2000
ISR 819
7925G-EX IP Phone
Потребность в специализированных МСЭ/IPS
Для промышленного применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде
Пассивная защита в промышленной сети
Сложности Ответ Cisco
• Пассивное профилирование сети
• Отсутствие задержек между устройствами и системами, требующими реального времени
• «Белые списки» ожидаемого, предупреждения по аномалиями
• ICS означают статичность, но часто нет возможности проверить это
• ICS построены с минимальным объемом системных ресурсов
• Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы
Обзор решений Cisco по безопасности АСУТП
§ Cisco ASA Firewall для сегментации (и в промышленном исполнении) § Cisco FirePower NGIPS с набором сигнатур для промышленных систем
§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с ретроспективным анализом
§ Cisco AnyConnect для контроля доступа и оценки состояния NAC
§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении неавторизованных подключений, оценка состояния и управление доступом.
§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий с сервисами сквозной авторизации
§ Cisco Cyber Threat Defense (CTD)
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD / Manufacturing Zone
PCN / Cell / Area Zone
?
?
Компоненты Cisco для защиты АСУ ТП
Архитектура ИБ промышленного предприятия
WWW Приложения
DNS FTP
Интернет
Гигабитный канал для определения аварийного переключения
Межсетевой экран
(активный)
Межсетевой экран
(режим ожидания)
Серверы производствен
ных приложений
Коммутатор уровня доступа
Сетевые сервисы
Коммутаторы уровня ядра
Коммутатор уровня агрегации
Управление исправлениями Сервисы для терминального оборудования Зеркало приложений Антивирусный сервер
Ячейка/зона 1 (Резервная топология типа «Звезда»)
Диск
Контроллер
HMI Распределенный ввод-вывод
Контроллер
Диск Диск
HMI
Распределенный ввод-вывод
HMI
Ячейка/зона 2 (Топология типа
«Кольцо»)
Ячейка/зона 3 (Линейная топология)
Коммутатор уровня доступа 2
Контроллер
Ячейка/зона Уровни 0-2
Производственная зона Уровень 3
Демилитаризованная зона Уровень 3.5
Корпоративная сеть Уровни 4-5
Усиленный межсетевой экран Усиленная система предотвращения вторжений (IPS)
Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS)
Защита от угроз в облаке Применение политик для всей сети Контроль доступа (на уровне приложений)
Межсетевой экран с сохранением состояния
Защита и определение вторжений (IPS/IDS) Системы управления физическим доступом
Сервисы
идентификации
ISE
Архитектура ИБ нефтегазового предприятия
Управление и безопасность Уровень 1
Устройство Уровень 0
Центр управления Уровень 3
Устаревшая RTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессы Ethernet-мультисервисы
WAN Беспроводн. соед.
Транспорт RFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель
Системы безопасности
Принтер
Оборудование
SIEMСистема SCADA Головная станция
Рабочие станции оператора и разработчика
Сервер автоматизации процессов системы
SIEM
SIEM
Обработка и распред. ист. данных
Серверы приложений
Операционные бизнес-системы
SIEM
SIEM
SIEM
Надежность и безопасность
Система управления производством (MES)
SIEM
SIEMРаспределенная система управления (DCS)
SIEM
SIEM
Контроллер доменов
Корп. сеть Уровни 4-5
Ист. данные SIEM
Анти- вирус
WSUS
SIEM
SIEMСервер удаленной разработки
SIEM
Сервер терминального оборудования
SIEMДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
Контроль Уровень 2
Системы видеонаблюдения
Контроль доступа
Голос
Мобильные сотрудники
Беспроводн. сенсор
Контроллер
Сенсор Выключатель
Безопасность
Архитектура ИБ транспортного предприятия
PTC
IPICS VSMS / VSOM
IP/MPLS Домен
UCS WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экран Усил. система обнаружения вторжений (IDS)
Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS)
Защита от угроз в облаке Применение политик для всей среды Контроль доступа на уровне приложений
Межсетевой экран с сохранением состояния
Система обнаружения вторжений (IDS) Системы управления физическим доступом
Сервисы
идентификации
Сети безопасности и управления процессами
Offload
VSMS
PTC 3000
TMC
Оборудование Мультисервисные сети
Сеть агрегации FAN ЗОНА 2
Мультисервисная шина ЗОНА 3
Сеть NERC CIP ЗОНА 1
Сеть подстанций
Станционная шина IEC 61850
Шина процессов IEC 61850
Архитектура ИБ предприятия в сфере энергетики
Физическая безопасность
Взаимодействие с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT Прерыватель CT CT PT
Периметр физической безопасности (PSP)
Прерыватель IED MU
Распределенный контроллер HMI
Устаревшая RTU
PT CT
Аппаратный I/O
Сенсор
Устаревшее реле РТЗ
Прерыватель
Частный WiMax или LTE для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр управления доступом
ДМЗ
Центр обработки данных
HMI SCADA FEP EMS
CPAM VSOM
Аналитика ист. данных SIEM PACS
ACS CA LDAP
HMI
Контроллер соединения RTU Защитное
реле Процессор
коммуникаций PMU PDC
Реле РТЗ
Новые модели Cisco ASA with FirePOWER
Desktop Model Integrated Wireless AP
Выше производитель
ность
Для АСУ ТП
100% NGFW - поставляется с AVC
Wi-Fi может управляться локально или через Cisco WLC
1RU; новая платформа – лучшее сочетание
цены и производительности
NGFW для критичных инфраструктур и
объектов
5506-X 5506W-X 5508-X 5516-X
5506H-X
Идеальна для
замены Cisco®
ASA 5505
«Настольная» модель Cisco ASA 5506-X
7.92 x 8.92 x 1.73 in.
Параметр Значение
CPU Многоядерный
RAM 4 Гб
Ускоритель Да
Порты 8x GE портов данных, 1 порт управления с 10/100/1000 BASE-T
Консольный порт RJ-45, Mini USB
USB-порт Type ‘A’ supports 2.0
Память 64-GB mSata
Охлаждение Convection
Питание AC external, No DC
Cisco ASA 5506H-X в защищенном исполнении
*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:
9 x 9.2 x 2.5 in.
Параметр Значение
Порты 4 x портов данных
Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP
Напряжение 5V (*** 5506 is 12V)
Диапазон температур От –20 до 60°C (рабочий) От -40 до 85°C (обычный)
Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount
Специальные сертификаты на Cisco ASA 5506H-X
Сертификаты соответствия
9 x 9.2 x 2.5 in.
IP40 per IEC 60529 KN22 IEC 61850-3 IEC 61000-6-5 IEC 61000-5 IEC 611000-4-18 IEEE 1613.1 IEEE C62.412 IEC 1613 IEC 61850-3 IEC 60068-2
Промышленный МСЭ/IDS Cisco ISA 3000
Основные характеристики Cisco ISA 3000
§ Производительность: 2 Gbps § Кол-во IPSec/SSL VPN: 25
§ IPv4 MAC Security ACE: 1000
§ Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)
§ 4 ядра Intel Rangely, SSD 64 GB
§ 8 GB DRAM, 16 GB Flash
§ Питание DC
§ Рабочая Температура -40 до +74 °C
§ Вес: 1.9 кг
Защитный функционал ASA 5506H-X / ISA 3000
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
Cisco ASA
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль приложений
Межсетевой экран Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
Поддержка промышленных протоколов
§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3
§ Возможность написания собственных сигнатур
§ Свыше сотни встроенных сигнатур CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin Iconics
Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft
ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE
Sielco
ScadaTec
Sinapsi
DATAC
WellinTech
Tridium
Schneider Electric
CODESYS
Отражение атак на промышленные системы
Защита операторов связи
Варианты реализации отражения DDoS-атак
DDoS
Сетевое оборудование с
функциями отражения DDoS
Специализированные устройства для борьбы с DDoS
Защитные устройства с функциями защиты
от DDoS
Сервисы от оператора связи или
специализированного провайдера услуг
• Cisco ASR 9000 VSM
• Firepower 9300
• Cisco ISR • Cisco ASR • Cisco GSR • Cisco CRS
• Cisco ASA 5500-X • Cisco Stealthwatch • Cisco SCE • Cisco NGIPS
SP
SP
Radware Defense Pro
Threat Defense
Firepower 9300
Radware Vision
SP Scrubbing Center Various 3rd Party Options for Hosted : Arbor Cloud, Radware Cloud, Prolexic /Akamai
Radware Defense Pipe
• Complete Enterprise DDoS system can be complemented w/Cisco Lancope Threat Defense
SP Edge Router Based DDoS with ASR – • (Volumetric) on ASR 9K + VSM+ Arbor TMS Peak
Flow . SP Backbone detection and mitigation
SP ASR PE w/PeakFlow
MSSP Services • Various 3rd Party Options for Hosted Services
Firepower 9300
Mobile users
SP Mobility Edge w/FP 9300 and Radware DDoS Applications,
Services & Databases
Enterprise DC
Enterprise Data Center FW Based DDoS with Firepower 9300 • Firepower 9300 + SM running Radware Defense Pro • Application Attack detection and mitigation
Решения компании Cisco по защите от DDoS
Платформа Firepower 9300
Модульная платформа операторского класса с интерфейсами 10, 40, и 100 Гбит/с.
Объединение сервисов безопасности компании Cisco и других компаний
Эластичная масштабируемость за счет кластеризации
Ускоренная обработка для доверенных приложений
Функции ПО Cisco ASA для операторов связи § Эффективная защита на сетевом и транспортном уровне § Трансляция адресов операторского класса (Carrier-grade NAT) § Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1) § Анализ SCTP и Diameter в планах
Обзор платформы Cisco Firepower 9300
Модуль управления
§ Внедрение и управление приложениями § Сетевые интерфейсы и распределение трафика § Кластеризация для сервисов Cisco® ASA и прочих
1
3
2
Модули безопасности
§ Встроенный классификатор пакетов и потоков, а также ускоритель шифрования § Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка) § Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер)
Firepower 9300 изменяет модель интеграции сервисов
Унифицированная платформа сервисов безопасности
Данные 1001
00010111100010
1110 SSL FW WAF NGIPS DDoS AMP
Максимальная защита Высокая эффективность Масштабируемость Гибкость
Обозначения:
Сервисы Cisco
Сервисы партнеров
• Radware vDP – первое из приложений 3-х компаний, ставшее элементом новый архитектуры
• Защита от DDoS работает на входных интерфейсах Firepower 9300
OpenDNS
Недостаток квалифицированных специалистов в сфере безопасности
Для многих средств требуется больше ресурсов, чем имеется для выполнения
работы
50% компьютеров — мобильные
70% офисов — удаленные Большинство мобильных и удаленных сотрудников не всегда включают VPN,
большинство филиалов не обеспечивают обратный транзит трафика, а большая часть новых оконечных устройств только обнаруживают угрозы
70-90% вредоносного ПО уникально для каждой
организации Средства на основе сигнатур, реактивный интеллектуальный анализ угроз и отдельное
применение политик безопасности не могут опередить атаки
Общие проблемы безопасности
3 подхода к защите мобильных пользователей
может требовать дополнительной экспертизы и
ресурсов
Обнаруживать IOCs & аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от пользователей изменения поведения и может быть сложным во внедрении
Изолировать приложения & данные
в гипервизоре/контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или
приложению
Предотвращать соединения в Интернет-
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
OpenDNS: эволюция бизнес-модели
Content Provider Безопасный
Internet
Образование
Security Provider Прогнозирование
Fortune 500
Security Platform Расширенная защита
За пределами периметра
DNS Provider Быстрый Internet
50M домашних юзеров
ПРОДУКТЫ И ТЕХНОЛОГИИ
UMBRELLA Применение Служба сетевой безопасности защищает любое устройство, в любом месте
INVESTIGATE Аналитика Обнаружение и прогнозирование атак до того, как они происходят
208.67.222.222
MALWARE
BOTNET
PHISHING
Новый уровень обнаружения проникновений с возможностью внутри сети видеть то, что обычно видно только в Интернет
Расширение ATDs (AMP Threat Grid, FireEye, Check Point) за периметром и получение немедленного ответа на ваши IOCs
Обнаружение целевых атак на вашу компанию по сравнению с тем, что происходит в мире
Расследование атак, используя «живую» карту Интернет-активности
OpenDNS UMBRELLA
Уникальная аналитика для классификации
Анализ Статистические модели и человеческий интеллект
Идентификация вероятно вредоносных
сайтов
Захват С миллионов точек данных за секунды
a.ru
b.cn
7.7.1.3
e.net
5.9.0.1
p.com/jpg
DNS запросов в день
80B BGP пиринговых партнеров
500
Ежедневно использующих пользователей
65M Корпоративных заказчиков
10K
Масштаб имеет значение
Предотвращение угроз Не просто обнаружение угроз
Защита внутри и вне сети Не ограничивается устройствами, передающими трафик через локальные устройства
Интеграция с партнерским и пользовательским ПО Не требует услуг профессионалов при настройке
Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443
Постоянное обновление Устройству не нужно обращаться к VPN на локальном сервере для получения обновлений
UMBRELLA Применение политик
Новый уровень защиты от вторжений
ИНТЕРНЕТ
ВНУТРИ СЕТИ
ВЕСЬ ПРОЧИЙ ТРАФИК
ВЕБ- ТРАФИК
ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ
ИНТЕРНЕТ
ВЕСЬ ПРОЧИЙ ТРАФИК
ВЕБ- ТРАФИК
ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ
ВНЕ СЕТИ
ASA блокировка в сети по IP-адресу, URL -адресу или пакету
ESA/CES блокировка
по отправителю или контенту
WSA/CWS блокировка по URL-адресу или контенту через прокси-сервер
ESA/CES блокировка
по отправителю или контенту
CWS блокировка по URL-адресу или контенту через прокси-сервер
Umbrella блокировка по домену а также по IP-адресу или URL -адресу
Umbrella блокировка по домену а также по IP-адресу или URL -адресу
Место Umbrella в инфраструктуре Cisco
Как Umbrella дополняет AMP
Через различные технологии & оба
защищают на уровне IP Туннели на клиенте блокируют некоторые соединения с DNS в облаке, а AMP фиксирует
соединения & блокирует соединения на устройстве
*Клиент получает обновления IP-списка каждые 5 мин, а AMP получает IP-списки
ежедневно
Cisco AMP Connector защищает на уровне
файлов облачная репутация будет блокировать & помещать в
карантин вредоносные файлы на лету и в ретроспективе
*email-вложения обходят OpenDNS, а не-файловые web-эксплойты обходят
AMP
OpenDNS клиент защищается на уровне
DNS перед установкой IP-соединения & часто перед загрузкой файлов. Мы также блокируем вредоносные
домены
*DNS–запросы, использующие не-HTTP, будут обходить AMP
DNS
Компрометация системы Утечка данных
IP DNS IP ФАЙЛ
Интеграция на базе API
АНАЛИТИКА/ФИДЫ ОБ УГРОЗАХ
ПЛАТФОРМЫ АНАЛИЗА УГРОЗ
Другие +
СВОИ +
Индикаторы компрометации
ОБНАРУЖЕНИЕ УГРОЗ
Другие +
UMBRELLA Enforcement & Visibility
Логи или заблокированные
домены отправляются из систем партнеров или
заказчиков
Живая карта DNS запросов и других контекстных данных
Корреляция и статистические модели
Обнаружение & прогнозирование вредоносных доменов
Интеграция данных ИБ с глобальной информацией
Console API
OpenDNS INVESTIGATE
INVESTIGATE
WHOIS record data
ASN attribution
IP geolocation
IP reputation scores
Domain reputation scores
Domain co-occurrences Anomaly detection (DGAs, FFNs) DNS request patterns/geo. distribution
Passive DNS database
Типы предоставляемой информации
ЗАКАЗЧИК
СООБЩЕСТВО ЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ
AMP Threat Grid
UMBRELLA Применение политик и мониторинг
Автоматический захват вновь обнаруженных вредоносных доменов за считанные минуты
Регистрация или блокировка всей Интернет-активности, предназначенной для этих доменов
файлы домены
Интеграция AMP Threat Grid и OpenDNS
OpenDNS Umbrella
OpenDNS Investigate OpenDNS Investigate
опережение будущих атак с помощью блокировки вредоносных доменов,
IP-адресов и ASN
блокировка обратных вызовов и утечки с любого порта, протокола
или приложения на уровне DNS и IP
анализ угроз на основе запросов в реальном времени всех доменов и IP-адресов
в Интернете
ДО Обнаружение Внедрение политик Усиление
ПОСЛЕ Определение масштаба
Сдерживание Восстановление
Обнаружение Блокировка Защита
ВО ВРЕМЯ
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
OpenDNS поддерживает весь жизненный цикл атаки
А если я маленький, но хочу OpenDNS? Используйте Cisco Threat Awareness Service
Изменение бизнес-моделей
Сложность и фрагментация
Динамика ландшафта угроз
Производителей средств защиты
на RSA
Возросла потребность в кадрах ИБ
373 12x Среднее число вендоров
у корпоративного заказчика
50
Сложность Люди Фрагментация
Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют
Обеспечивает взгляд на угрозы, исходящие из своей компании, и направленной на нее
Постоянно отслеживает новые угрозы
Предлагает меры нейтрализации
Доступная всегда, каждый день
Проста в настройке и использовании
Это важно для сохранения сети в безопасности
Заказчики хотят Threat Intelligence которая:
Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. • Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной активности
• Идентификация скомпрометированных сетей и подозрительного поведения
• Помогает компаниям быстро идентифицировать скомпрометированные системы
• Обеспечение рекомендаций • Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации • Позволяет улучшить общую защищенность
Cisco Threat Awareness Service
Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: • Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence
Интеграция с отечественными разработчиками
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 325
Cisco Security API
OpenDNS API MDM API
eStreamer API
Threat Grid API
ESA API ASAv/ASA API ISIS API
Host Input API Remediation API
Развитие интеграционных решений
Инфраструктура API
ДО Политика и контроль
ПОСЛЕ Анализ и
восстановление Обнаружение и блокирование
ВО ВРЕМЯ
Инфраструктура & Мобильность
NAC Управление уязвимостями
Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEM Визуализация Network Access Taps
Развитие NME-RVPN: доверенная платформа UCS-EN
• Доверенная платформа UCS-EN120SRU • Производится в России
• Поддерживается на Cisco ISR 29xx/39xx/4xxx
• Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ:
• СКЗИ S-Terra CSP VPN Gate • СКЗИ ViPNet Координатор • СКЗИ Dionis NX • МСЭ прикладного уровня Positive Technologies Application Firewall • СОВ ViPNet IDS • Базовый доверенный модуль (БДМ) Элвис+ • TSS VPN • Ведутся работы и с рядом других российских разработчиков
Интеграция с PT MaxPatrol
• Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности
• Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFW и Cisco FirePOWER NGIPS
В заключение
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 330
Злоумышленники атакуют точечные решения с возрастающей скоростью
NGIPS
Malware Sandbox
IAM
Antivirus
IDS Firewall
VPN
NGFW
Данные
Бездумная трата денег на новинки вместо того, чтобы сесть и подумать о целостной системе защиты
Данные
Злоумышленники атакуют точечные решения с возрастающей скоростью
NGIPS
Malware Sandbox
IAM
Antivirus
IDS Firewall
VPN
NGFW
Время обнаружения:
200 дней
RansomwareNow targeting data
DomainShadowingOn the rise
Dridex850 unique mutations
identified first half 2015
SPAM
RombertikEvolves to evadeand destroy
AnglerConstantly upgradingand innovating
MalvertisingMutating to avoid detection
Только интегрированная защита может идти в ногу с угрозами
Данные
Systemic Response
Con
trol
Visibility Context Intelligence
Время обнаружения:
46 часов
Варианты демонстрации по безопасности
• Физические продукты из демо-пула
• Виртуальные версии
• Интерактивное демо в dCloud
dCloud это портал Cisco для интерактивных демонстраций
Охватывает все архитектуры
Простота бронирования и использования
Доступен 24/7 для наших партнеров и заказчиков
https://dcloud.cisco.com
Доступные в dCloud демонстрации по безопасности
• Cyber Threat Defense (= Stealthwatch от Lancope)
• Cisco Content Security - WSA+AMP, ESA и WSA+ASA
• Cisco Enterprise Branch Lite (ISR G2)
• Cisco ASA with FirePOWER, Cisco FireSIGHT, Cisco Sourcefire
• Cisco Trustsec User to Datacenter
• Cisco Unified Access
• Cisco ISE for MDM, for BYOD, for Guest Management
• Cisco Cloud Web Security
• Splunk with Cisco Security
• Cisco AnyConnect 4.1 with AMP
• Cisco Self Learning Networks – DDoS Prevention
• Cisco Hosted Security as a Service
• Cisco IWAN – Secure Connectivity
Законодательство
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 336
2008
2010
2012 2013 2014
2015 2011
2000-е
ПДн СТОv4 382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБ АСУ ТП КИИ
ПДн СТОv5
СТО/РС СТР-К ПКЗ
Краткий обзор развития законодательства по ИБ
2016: • ГИС • 382-П • СОПКА • КИИ (?)
Меры по защите информации Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации: что может добавиться Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы ФСТЭК Первое полугодие 2016-го года – утверждение новой редакции 17-го приказа
Унификация перечня защитных мер для всех трех приказов
Выход на 2-хлетний цикл обновления приказов
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №17 по защите ГИС/МИС
17-й приказ ФСТЭК и решения Cisco
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №21 по защите персональных данных
21-й приказ ФСТЭК и решения Cisco
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №31 по защите автоматизированных систем управления технологическими процессами
• Эти решения могут быть применены как в самом промышленном сегменте, так и на стыке с корпоративной сетью или Интернет
31-й приказ ФСТЭК и решения Cisco
Отличия в оценке соответствия
Особенность Приказ №21 Приказ №17 Приказ №31 Оценка соответствия В любой форме (нечеткость
формулировки и непонятное ПП-330)
Только сертификация в системах сертификации ФСТЭК или ФСБ
В любой форме (в соответствии с ФЗ-184)
Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация
Обязательна Возможна, но не обязательна
Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
~650 ФСБ НДВ 34 123 Сертификатов ФСТЭК на
продукцию Cisco
Сертифицировала решения Cisco
(совместно с С-Терра СиЭсПи)
---- Ждем еще ряд важных
анонсов
Отсутствуют в ряде продуктовых линеек Cisco
---- На сертификацию поданы новые продукты
Линейки продукции Cisco
прошли сертификацию по схеме «серийное производство»
Продуктовых линеек Cisco
сертифицированы во ФСТЭК
Сертификация решений Cisco
• Многофункциональные защитные устройства • Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 • Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X • Cisco ASA SM
• Системы предотвращения вторжений • Cisco IPS 4200/4300/4500, AIP-SSM-10/20, IDSM2, IPS SSP10/20/40
• Межсетевые экраны • Cisco Pix 501, 506, 515, 520, 525, 535 • Cisco FWSM • Cisco 676, 871, 881, 891, 1750, 1751, 1760-V, 1800, 2800, 3800, 7200, 7600, 1811, 1841, 2509,
26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 2911R, 2921, 2951, 3640, 3661, 3662, 3725, 3745, 3750, 3825, 3845, 3925, 3925E, 3925, 3945E, 7201, 7206, 7301, 7604
• ASR 1001/1002, GSR 12404, CGR2000, CGS2500 • Sourcefire 3D System
Какие решения Cisco имеют сертификаты ФСТЭК?
• Коммутаторы • Cisco Catalyst 2912, 2924, 2948, 2950G, 2960, 2960C, 2960S, 2970, 29xx, 3508G, 3512, 3524,
3548, 3550, 3560, 3750, 3750G, 3750X, 4003, 4503, 4506, 4507R, 4510R, 4900, 4ххх, 6006, 6504, 6506, 6509, 6509E, 6513, 65xx
• IE-3000-8TC • Cisco Nexus 1110, 1010, 5548, 2000, 5000, 7010
• Системы управления • CiscoWorks Monitoring Center • Cisco Security Manager 3.2, 3.3 • Cisco Secure ACS 4.x • Cisco Secure ACS 1121 • CS MARS 20, 25, 50, 100, 110
• Прочее • Cisco AS5350XM
Какие решения Cisco имеют сертификаты ФСТЭК?
• Маршрутизаторы • Cisco 2911R (на НДВ) • Cisco 2921, 2951
• Коммутаторы • Cisco Catalyst 3560C, 3850
• Системы предотвращения вторжений • Cisco FirePOWER NGIPS
• Межсетевые экраны • Cisco ASAv • Cisco Virtual Security Gateway
• Cisco UCS
Какие решения Cisco поданы на сертификацию? (по открытой информации)
Дополнительные сведения
Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/
Дополнительные сведения
Раздел «Брошюры» на сайте www.cisco.ru
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.