3 скакуна, несущих информационную безопасность вперед...

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию

Лукацкий Алексей [email protected]

21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.

Что заставляет ИБ (и Cisco) двигаться вперед?

Скакун №1: Угрозы

21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 3

4 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Глобальный рынок кибер-преступности:

$450B-$1T Банковский аккаунт >$1000

зависит от типа и баланса

$

DDoS as a Service

~$7/час

DDoS

Медицинские записи >$50

Мобильное ВПО $150

Разработка ВПО $2500

(коммерческое ВПО)

SSN $1

Аккаунт Facebook $1 за аккаунт с 15 друзьями

Данные кредиток $0.25−$60

Спам $50/500K emails

Эксплойты $100k-$300K

Как хакеры зарабатывают деньги?

Время обнаружения вторжений очень велико

Bitglass

205

Trustwave

188

Mandiant

229

2287 дней – один из самых долгих инцидентов в 2014-м году

Ponemon

206

HP

416 Symantec

305

Один пример: эксплойт-кит Angler

Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014

Скомпрометированная система

Уязвимости Flash

Смена цели

Вымогатели

Angler Непрерывное забрасывание

«крючков в воду» увеличивает шанс на компрометацию

Шифрование тела ВПО Социальный инжиниринг

Смена IP Сайты-однодневки Ежедневн

ые

доработки

TTD

Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email

Теневая инфраструктура устойчива и скрытна

Базовая инфраструктура Angler

Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему.

Уничтожение если обнаружено •  Уничтожение MBR •  После перезагрузки компьютер перестает работать

Получение доступа •  Спам •  Фишинг •  Социальный инжиниринг

Уход от обнаружения •  Записать случайные данные в память 960 миллионов раз

•  Засорение памяти в песочнице

Украсть данные пользователя •  Доставка данных пользователя обратно злоумышленникам

•  Кража любых данных, а не только банковских

Анти-анализ Стойкость Вредоносное поведение

Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.

76110

12/2014 1/2015 2/2015 3/2015 4/2015 5/2015

New URLScheme

Com

prom

ised

Use

rs

Old URLScheme

27425 2404018960 20863

47688

76110

736913163

9010 11958 14730 12008

Постоянная модификация вредоносного кода

Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям

Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL

Новая схема URL драматически опережает старую.

Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add-On для браузера (уже 4000 имен)

Эволюция вымогателей: Цель – данные, а не системы

TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети

$300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна

Личные файлы

Финансовые данные

Email

Фото

Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)

Прямые атаки формируют большие доходы Более эффективные и более прибыльные

Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов

Кампания стартовала

Обнаружена с помощью Outbreak Filters

Антивирусный движок обнаруживает Dridex

Но злоумышленники все равно проникли в систему

Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов

Изменение в поведении атак

Ловкость Адаптация Уничтожение

Инновации, использование старых приемов на новый лад и обход защитных механизмов

Скорость

Дополнительная информация по угрозам

Уже выпущен!

https://www.youtube.com/watch?v=uJOQJuhWR-E https://www.youtube.com/watch?v=dGrgI_S3yOA

Еще больше деталей про угрозы

Скакун №2: Изменение бизнес-моделей


© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18

$

3.3 55%

Мобильность Устройств на работника*

IP-траффик мобильный к 2017**

* Cisco IBSG, ** Cisco 2013 VNI, *** IDC

545 44%

Облака Облачных приложений на организацию* Рост ежегодной облачной нагрузки***

* Skyhigh Networks Industry Report, ** Cisco Global Cloud Index, *** Cisco VNI Global Mobile Data Traffic Forecast,

Рост в M2M IP-траффике 2013–18**

50B Подключенных “умных вещей” к 2020*

36X * Cisco IBSG, ** Cisco VNI: Global Mobile Data Traffic Forecast 2013-2018

IoE

Десктопы Бизнес-приложения

Сетевая инфраструктура

Так было в прошлом

Критическая инфраструктура (Amazon, Rackspace, Windows Azure и т.д.)

Бизнес-приложения (Salesforce, Marketo, DocuSign и т.д.)

Мобильные пользователи

Удаленные пользователи

Десктопы Бизнес-приложения

Сетевая инфраструктура

Что сегодня и завтра?

Операторы связи

Промышленные сети

Что предлагает Cisco?


Гипотезы безопасности Cisco

Консалтинг Интеграция Управление Знание угроз Платформы Видимость

Операционный фокус Нехватка людей

+ Цифровая эволюция

+

Требуются изменения в ИБ

AMP + FirePOWER AMP > управляемая защита от угроз

В центре внимания Cisco — анализ угроз!

Приобретение компании Cognitive Security •  Передовая служба исследований •  Улучшенные технологии поведенческого анализа в режиме реального времени

2013 2015... 2014

Приобретение компании Sourcefire Security •  Ведущие в отрасли СОПВ нового поколения •  Мониторинг сетевой активности •  Advanced Malware Protection •  Разработки отдела по исследованию уязвимостей

(VRT) •  Инновации в ПО с открытым исходным кодом

(технология OpenAppID)

Malware Analysis & Threat Intelligence

Приобретение компании ThreatGRID •  Коллективный анализ вредоносного кода

•  Анализ угроз •  «Песочница»

Коллективные исследования Cisco – подразделение Talos по исследованию и анализу угроз •  Подразделение Sourcefire по исследованию уязвимостей —

VRT •  Подразделене Cisco по исследованию и информированию об угрозах — TRAC

•  Подразделение Cisco по безопасности приложений — SecApps

Cognitive + AMP Коллективный анализ вредоносного кода > Система коллективной информационной безопасности

Приобретение компании OpenDNS •  Анализ DNS/IP-трафика •  Анализ угроз

Приобретение компании Lancope •  Исследования угроз

24 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

CLUS: AMP Data Center

Закрыта сделка по Sourcefire

Security for ACI

RSAC: AMP Everywhere OpenAppID

2014 ASR

Global Security Sales Organization

Приобретена Neohapsis

AMP Everywhere

Приобретена ThreatGRID

Cisco ASA with FirePOWER

Services

Security and Trust

Organization

Managed Threat

Defense

Talos Integrated

Threat Defense

2013 2015

Security Everywhere

Закрыта сделка по OpenDNS

Приобретена Portcullis

Приобретение Lancope

Последние инновации Cisco в области ИБ

Филиалы

ЛВС Периметр

АСУ ТП

ЦОД

Оконечные устройства

Интеграция и максимальное покрытие от уровня сети до оконечных устройств, от ЦОДов до облаков, от ЛВС до

промышленных сегментов – ДО, ВО ВРЕМЯ и ПОСЛЕ

Облака

Повсеместная безопасность

AMP Threat Intelligence

Cloud

Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat

Linux

AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall

with Firepower Services

AMP Private Cloud Virtual Appliance

AMP on Firepower NGIPS Appliance (AMP for Networks)

AMP on Cloud Web Security & Hosted Email

CWS

Threat Grid Malware Analysis + Threat

Intelligence Engine

AMP on ISR with Firepower Services

Повсеместный AMP

ПК ПК

Периметр

сети

AMP for Endpoints

ЦОД

AMP for Endpoints

Удаленные ПК

AMP for Endpoints can be launched from AnyConnect

Сетевые ресурсы Политика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция угроз

Гостевой доступ

Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативам P

Что

Когда

Где

Как

Повсеместно означает также и интеграцию между решениями Cisco ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным

Дверь в сеть

Физическая или виртуальная машина

Контекст контроллер ISE pxGrid

Интеграция с Cisco Mobility Services Engine (MSE)

Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.

Преимущества

Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.

Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE

Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей

Возможности •  Конфигурация иерархии местоположений по всем объектам местоположения •  Применение атрибутов местоположения MSE в политике авторизации

•  Периодическая проверка MSE на предмет изменения местоположения •  Повторное предоставление доступа на основе нового местоположения

Холл Палата Лаборатория Скорая помощь

Врач

Нет доступа к данным пациента

Доступ к данным пациента



Данные пациента

Местоположения для доступа к данным пациента

Палата

Скорая помощь

Лаборатория

Холл

Экосистема быстрого сдерживания распространения угроз

Максимальное использование растущей экосистемы — новые партнеры в рамках pxGrid

Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.

Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco

Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях

Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания

распространения угроз

Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.

Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.

Межсетевой экран и контроль доступа

Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).

Повсеместно… Даже там, где еще нет Cisco. Пока нет J


Что нового в ISE 2.0?

Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей

Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)

Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры

Поставщики совместимых устройств*

Aruba Wireless HP Wireless

Motorola Wireless Brocade Wired

HP Wired Ruckus Wireless

•  Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)

•  Перенаправление CoA and URL-адресов для работы с ISE

•  Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x

Возможности

Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)

ISE 1.0 802.1x

Новое в ISE 2.0

Профилирование

Оценка состояния


BYOD

*Дополнительные сведения см. в Таблице совместимости Cisco

Повсеместно… с учетом жизненного цикла атаки

Защита в момент времени Непрерывная защита

Сеть Терминал Мобильное устройство Виртуальная машина Облако

Исследование Внедрение политик

Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование Восстановление

Жизненный цикл атаки

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

Web Filtering and Reputation

Security Intelligence

File Type Blocking

Application Visibility &

Control Indicators of Compromise

Traffic Intelligence

File Reputation

Cognitive Threat

Analytics

X X X X

До После

www.website.com

Во время

X

File Retrospection

Мобильный пользователь

Отчеты

Работа с логами

Управление

Удаленный офис Allow Warn Block Partial

Block Основной офис

ASA/NGIPS AMP Appliance WSA ESA AMP for

Endpoints Админ Перенапр

авление трафика

Угрозы

HQ

File Sandboxing

X

Пример: Cisco Advanced Malware Protection

www

Mobile User Удаленный офис

www www

Allow Warn Block Partial Block Основной офис

ASA Standalone WSA ISR G2 AnyConnect® Админ Перенаправление трафика

www

HQ

До После Во время

File Retrospection

File Sandboxing

Webpage

Outbreak Intelligence

ISR 4k

Отчеты



X

Web Reputation

and Filtering

SaaS Anomaly Detection

X

File Reputation

X

Anti-Malware

Cognitive Threat

Analytics

X

SaaS Visibility

CAS CAS

X

Cloud Data Loss

Prevention

CAS Application

Visibility and Control


X

SaaS Anomaly Detection

www.website.com

AMP AMP TG CTA

Пример: Cisco Cloud Web Security

Богатый контекст

Василий

Планшет

Здание 7, корпус 2, 1 этаж

11:00 AM Europe/Moscow 11-00 AM

Беспроводная сеть

Повсеместный контекст

Кто

Что

Где

Когда

Как

Отсутствие контекста

IP Address 192.168.1.51

Не известно



Не известно Нужный пользователь с нужным устройством попадет в сеть только из нужного места с необходимыми правами

Любой пользователь. Любое устройство откуда угодно попадает в сеть Результат

Контекст:

4 основных и 2 отраслевых набора решений

•  ASA 5585 •  ASAv •  ISE •  Lancope

•  AnyConnect •  AMP •  CWS •  OpenDNS

•  ISE •  TrustSec •  StealthWatch •  wIPS

•  FirePOWER •  ESA •  WSA •  AMP

Защита периметра

Защита внутренней

сети

Защита ЦОДа Защита пользователей

•  Firepower 9300 •  Cloud Web Security и Cognitive Threat Analytics

•  OpenDNS Umbrella

•  ISA 3000 •  ASA 5506H •  StealthWatch •  ISE •  NGIPS

ICS SP

А также AMP Threat Grid и OpenDNS Investigate для глубокого анализа угроз

А еще различные сервисы по безопасности

От маркетинга к реальным решениям

•  Многие компании имеют множество разных продуктов, часто поглощенных у других игроков рынка

•  Обычно это выглядит так, как будто кто-то вывалил кучу деталей Lego на ковёр

•  Заказчики вынуждены либо использовать продукты неправильно, либо не на полную мощь

Как объединить продукты в решения?

•  Мы не знаем, что нам делать со всеми этими деталями, как нам получить то, что на картинке?

•  Нужны подробные рекомендации по превращению отдельных продуктов в целостную архитектуру, протестированную на совместимость с прикладными решениями

Необходима стройная и понятная архитектура

Заголовок слайда

Пример Cisco SAFE для ритейла

Пример SAFE для защищенного периметра

© 2015 Cisco and/or its affiliates. All rights reserved.

Маршрутизатор ISR S2S VPN, унифицированные коммуникации, Trustsec, CWS, анализ Netflow

Коммутатор Catalyst Контроль доступа + Trustsec, анализ Netflow, ISE

Безопасность хостов Антивирус, AMP for Endpoints

Унифицированная БЛВС Контроль доступа + Trustsec, анализ Netflow, WirelessIPS, ISE

WAN

ASA с сервисами FirePower FW, NGIPS, AVC, AMP, фильтрация URL

Email Security Appliance Централизованная защита email, антиспам, антивирус, DLP, AMP

ISE + Cisco Threat Defense Централизованные ISE и CTD Контроль доступа + Trustsec, Проверка на соответствие, Защита от угро на основе анализа потоков Netflow

Internet

От архитектуры к решению: защищаем филиал

Маршрутизатор ISR ISR 4321

Коммутатор Catalyst Catalyst 3850-48

Безопасность хостов Антивирус, AnyConnect 4.0, AMP for Endpoints

Унифицированная БЛВС WLC 5508, AP3701i,MSEv

ASA с сервисами FirePOWER ASA 5515 w/ FP Services

Email Security Appliance ESA в центральном офисе

ISE ISE в центральном офисе

Vlan 10

G1/1 G2/1

Trunk

G1/2

G1/23

G2/1

10.1.1.0/24

10.1.2.0/24

Vlan 12

12.1.1.0/24

WAN Internet

От решения – к низкоуровневому дизайну

Пример: компоненты защиты периметра

Инфраструктура и протоколы

Сетевой МСЭ

МСЭ нового поколения

IPS нового поколения

Безопасность WEB и контентная фильтрация

Мобильный и удаленный доступ

SSL расшифровка и инспектирование

Безопасность электронной почты

Защита от вредоносного кода

(AMP)

Атрибуция пользователя Анализ сетевого

трафика

На каком этапе развития находитесь вы?

Сеть L2/L3

Управление доступом + TrustSec

к комплексу зданий

Зона общих сервисов

Система предотвра-щения вторжений нового поколения

Зона сервера приложений

Зона соответствия

стандартам PCI

Зона базы данных

Анализ потока

Безопасность хоста

Баланси-ровщик нагрузки

Анализ потока

МСЭ

Антивре-доносное ПО

Анали-тика угроз

Управление доступом + TrustSec

Система предотвра-щения вторжений нового поколения

Межсетевой экран нового поколения Маршрутизатор

Сеть L2/L3 МСЭ VPN

Коммута-тор

МСЭ веб-приложений

Централизованное управление

Политики/ Конфигурация

Мониторинг/ контекст

Анализ/ корреляция

Аналитика

Регистрация в журнале/ отчетность

Аналитика угроз

Управление уязвимостями

Мониторинг

к периметру

Виртуализированные функции

WAN

Пример SAFE для ЦОДа: те же компоненты

FirePOWER Services

Что такое платформа FirePOWER сегодня?

►  Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений

►  Система гранулярного мониторинга и контроля приложений (Cisco® AVC)

►  Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

►  Фильтрация URL-адресов на основе репутации и классификации

►  Система Advanced Malware Protection с функциями ретроспективной защиты

►  Система управления уязвимостями и SIEM

VPN и политики аутентификации

Фильтрация URL-адресов

(по подписке) FireSIGHT Аналитика и автоматизация

Advanced Malware Protection

(по подписке)

Мониторинг и контроль приложений

Межсетевой экран Маршрутизация и коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI

Встроенное профилирование

сети

Предотвращение вторжений (по подписке)

Устройство ASA ISR Virtual

Внедрение ASAv : виртуальный МСЭ+VPN §  Часто для фильтрации между зонами и тенантами применяется МСЭ в режиме мульти-контекст

§  Для передачи трафика используются транки §  Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3

VM 1

VM 2

VM 3

VM 4

VFW 1

VM 5

VM 6

VM 7

VM 8

VFW 2 VFW 3

§  ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад

§  На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN

§  Масштабируемая терминация VPN S2S и RA §  Поддержка сервисов vNGIPS, vAMP и других Vzone 1 Vzone 2

Multi Context Mode ASA

Видимость и прозрачность всего в сети

Типичный NGFW

Cisco® FirePOWER Services

Типичный IPS

Распознавание приложений

•  Анализ сетевого трафика позволяет распознавать широкий спектр различных приложений, которые затем можно использовать в правилах политики безопасности

•  FirePOWER распознает и «российские» приложения

3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

P2P запрещенное приложение обнаружено

Событие нарушения зафиксировано, пользователь

идентифицирован

Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены.

IT & HR провели с

пользователем работу

Идентификация приложений «на лету»

Блокирование передачи файлов Skype

Описание собственных приложений

•  Приложения могут быть описаны шаблонами

ASCII HEX PCAP-файл

«Черные списки»: свои или централизованные

•  Разрешенные типы и версии ОС

•  Разрешенные клиентские приложения

•  Разрешенные Web-приложения

•  Разрешенные протоколы транспортного и сетевого уровней

•  Разрешенные адреса / диапазоны адресов

•  И т.д.

Создание «белых списков»

За счет анализа происходящего на узлах

Идентифицированная операционная система

и ее версия Серверные приложения и их

версия

Клиентские приложения

Кто на хосте

Версия клиентского приложения

Приложение

Какие еще системы / IP-адреса использует

пользователь? Когда?

3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

Поведение зафиксировано,

уведомления отправлены

IT восстановили

активы

Хосты скомпрометированы

Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT.

Новый актив обнаружен

Поведение обнаружено

Обнаружение посторонних / аномалий

Инвентаризация и профилирование узлов

•  Профиль хоста включает всю необходимую для анализа информацию

•  IP-, NetBIOS-, MAC-адреса

•  Операционная система •  Используемые приложения

•  Зарегистрированные пользователи

•  И т.д.

•  Идентификация и профилирование мобильных устройств

Профилирование протоколов

•  Профиль протокола включает 29+ параметров соединения

•  IP-, NetBIOS-, MAC-адреса •  Сетевой протокол •  Транспортный протокол •  Прикладной протокол •  И т.д.

3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

Событие сохранено

LINUX SERVER

WINDOWS SERVER Linux не

уязвим Windows

server уязвим

Атака блокирована

Атака скоррелирована с целью

Новая Windows-атака направлена на Windows и Linux сервера. Атаки скоррелированы с профилем цели. Событие об атаке сгенерировано.

Встроенная корреляция событий безопасности

Автоматизированная, комплексная защита от угроз

Ретроспективная защита

Сокращение времени между обнаружением и нейтрализацией

PDF Почта

Админ. запрос

PDF

Почта

Админ. запрос

Корреляция между векторами атаки

Раннее предупреждение о современных типах угроз

Узел A

Узел B

Узел C

3 ИК

Адаптация политик к рискам

WWW WWW WWW

Динамические механизмы безопасности

http:// http:// WWW ВЕБ

Корреляция между контекстом и угрозами

Приоритет 1



Оценка вредоносного воздействия

5 ИК

Встроенная система корреляции событий

•  Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных

•  Приложения •  Уязвимости •  Протоколы •  Пользователи •  Операционные системы •  Производитель ОС •  Адреса •  Место в иерархии компании •  Статус узла и т.п.


•  Различные типы события для системы корреляции

•  Атаки / вторжение •  Активность пользователя •  Установлено соединение •  Изменение профиля трафика •  Вредоносный код •  Изменение инвентаризационных данных (например, появление нового узла в сети или ОС на узле)

•  Изменение профиля узла •  Появление новой уязвимости


•  В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции

•  Возможность создания динамических политик безопасности

Автоматизация создания и настройки политик

Анализ сети, протоколов, приложений, сервисов, устройств, ОС, уязвимостей и др. позволяет

автоматизировать создание политик и правил МСЭ и IPS

Оценка вредоносного воздействия

Каждому событию вторжения присваивается уровень воздействия

атаки на объект

1

2

3

4

0

УРОВЕНЬ ВОЗДЕЙСТВИЯ

ДЕЙСТВИЯ АДМИНИСТРАТОРА ПРИЧИНЫ

Немедленно принять меры, опасность

Событие соответствует уязвимости, существующей на данном узле

Провести расследование, потенциальная опасность

Открыт соответствующий порт или используется соответствующий протокол, но уязвимости отсутствуют

Принять к сведению, опасности пока нет

Соответствующий порт закрыт, протокол не используется

Принять к сведению, неизвестный объект

Неизвестный узел в наблюдаемой сети

Принять к сведению, неизвестная сеть

Сеть, за которой не ведется наблюдение

Использование информации об уязвимостях

•  Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности

•  Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFW и Cisco FirePOWER NGIPS

Интеграция с PT MaxPatrol

Признаки (индикаторы) компрометации

События СОВ

Бэкдоры Подключения к серверам

управления и контроля ботнетов

Наборы эксплойтов Получение

администраторских полномочий

Атаки на веб-приложения

События анализа ИБ

Подключения к известным IP серверов

управления и контроля ботнетов

События, связанные с вредоносным кодом

Обнаружение вредоносного кода

Выполнение вредоносного кода

Компрометация Office/PDF/Java

Обнаружение дроппера

Мониторинг общей информации о сети

•  Корреляция событий безопасности, трафика и вредоносного кода

•  Активность конкретных пользователей и их приложений

•  Используемые ОС и активность сетевого обмена

•  Оценка событий по уровню воздействия и приоритета

•  Статистика по вредоносному коду и зараженным файлам

•  Геолокационные данные

•  Категории сайтов и посещаемые URL

Мониторинг сетевых событий

•  Использование сервисов

•  Использование приложений

•  Использование операционных систем

•  Распределение соединений

•  Активность пользователей

•  Уязвимые узлы и приложения

•  И т.д.

Мониторинг событий безопасности

•  Основные нарушители

•  Основные атаки

•  Заблокированные атаки

•  Основные цели

•  Приоритет событий

•  Уровень воздействия

Детализация событий безопасности

•  Подробная информация о событии безопасности

•  Возможность изменения правил реагирования

•  Возможность тюнинга правила / сигнатуры

•  Сетевой дамп

Анализ сетевого дампа

Новые возможности в Firepower Threat Defense 6.0

Инновация борьбы с угрозами Управление Enterprise уровня

DNS инспекция и Sink-holing Сетевой интеллект URL-типа

SSL инспекция ThreatGRID Analysis & Intelligence OpenAppID Application Detectors

Captive Portal and Active Auth File Property Analysis and Local Malware

Checks ISE Identity/Device/SGT in Policy

Домены с ролевым доступом Иерархические политики и

наследование

•  Много режимов развертывания •  Passive Inbound (Известные ключи) •  Inbound Inline (с/без ключей) •  Outbound Inline (без ключей)

•  Гибкая поддержка SSL для HTTPS и приложений StartTLS

Пример: SMTPS, POP3S, FTPS, IMAPS, TelnetS

•  Расшифровка на базе URL категорий и др. аттрибутов

•  Централизованное применение политик сертификатов SSL Пример Блокирование; Самоподписанный шифрованный трафик, SSL версия, типы крипто-алгоритмов, неразрешенные мобильные устройства

Интегрированная SSL Decryption – Теперь и на ASA с Firepower

•  Расширение IP черных списков

•  TALOS динамические обновление, сторонние фиды и списки

•  Множество категорий: Malware, Phishing, CnC,…

•  Множество действий: Allow, Monitor, Block, Interactive Block,…

•  Политики настраиваются либо в Access Rules либо в black-list

•  IoC теги для CnC и Malware URLs

•  Новые Dashboard widget для URL SI

•  Черные/Белые списки URL по одному клику

Основанный на URL метод фильтрации злоумышлеников

URL-SI Категории

•  Security Intelligence поддерживает домены

•  Проблемы с адресов fast-flux доменах

•  Предлагаемые Cisco и настраиваемые пользователем DNS списки: CnC, Spam, Malware, Phishing

•  Множество действий: Block, Domain Not Found, Sinkhole, Monitor

•  Индикаторы компрометации дополнены поддержкой DNS Security Intelligence

•  Новый Dashboard виджет для DNS SI

DNS Инспекция

DNS List Action

OpenAppID Интеграция

Сила Open Source приходит к безопасности уровня приложений

•  Создавайте, обменивайтесь и применяйте собственные правила обнаружения приложений

•  Отдайте контроль в руки клиентов и большого комьюнити ИБ

•  Групповая разработка в рамках комьюнити ускоряет создание сигнатур обнаружения и контроля

Что такое OpenAppID ? •  Open-Source язык: специализированный на

обнаружение приложений

•  > 2500 детекторов привнесено Cisco

•  > 20,000 загрузок пакетов детекторов с прошлого Сентября

•  Поддерживается со стороны Snort комьюнити

•  Простой Язык

•  Уменьшенная зависимость от вендора и его релизов

•  Пишется с использованием скриптового языка Lua

Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям создавать, обмениваться и внедрять собственное обнаружение

приложений.

•  Идентификация популярных и известных примеров вредоносного ПО на appliance

•  Уменьшение необходимости отсылки сэмплов для динамического анализа в облако

•  Локальный анализ контейнерных файлов для обнаружения malware как вложенного контента.

•  Отчет о содержимом файла с анализом уровня риска

•  Расширение типов файлов для динамического анализа: •  PDF •  Office Documents •  Другие: EXE/DLL, MSOLE2…

Анализ параметров файлов и локальные проверки вредоносного ПО

•  Принудительная аутентификация на уровне Appliance

•  Множество методов аутентификации(Passive, Active, Passive с активным Fallback)

•  Различные поддерживаемые типы аутентификации (пример. Basic, NTLM, Advanced, Form)

•  Поддержка гостевого доступа

•  Поддержка различных доменов

Captive портал / Активная аутентификация

Метод Источник LDAP/AD Доверенный?

Active

Принудительная аутентификация на устройстве

LDAP и AD yes

Passive

Identity and IP mapping from AD Agent AD yes

User Discovery Имя пользователя получено из трафика пассивно.

LDAP и AD, пассивно по трафику

no

•  Получение учетных данных через pxGrid / ISE

•  Получение типа устройства/сети Security Group Tags из pxGrid / ISE

•  Возможность применять действия на основе вышеописанных данных •  Такие как блокировка доступа HR пользователей с использованием iPAD

•  Уменьшение размера и сложности ACL

Интеграция с Cisco ISE

UK/London

Иерархия управления

Краснодар Москва

Поддержка до 50 доменов и 3 уровней Доступно всем платформам с 6.0

Сочи

UK/Oxford

1

23

Иерархия политик доступа

Управление сервисами FirePOWER с ASDM

ASDM + Key Firepower Configuration

ASA Firepower

Kenton

Раздельные политики и объекты

Saleen

Spyker

ASA 5506/8/16-X

ASA 5515/12/25/45/55-X

ASA 5585-X

ASDM Расширяет поддержку на большее число платформ

Дополнительная информация по FirePOWER

Cisco Advanced Malware Protection

Почему традиционный периметр не защищает?

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы

А это подтверждение статистики

16 апреля 2015 года http://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/ Дело СОВСЕМ не в названиях компаний, проблема в методологии

Современный ландшафт угроз требует большего, чем просто контроль приложений

54% компрометаций

остаются незамеченными месяцами

60% данных

похищается за несколько часов

Они стремительно атакуют и остаются неуловимыми

Целое сообщество злоумышленников остается нераскрытым, будучи у всех на виду

100% организаций подключаются к доменам, содержащим

вредоносные файлы или службы

•  Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)

•  Высокий уровень доработки продуктов для очередной кампании

•  Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей

•  Известно, что вредоносное ПО будут искать

•  Известно про запуск в песочницах

•  Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности

•  Все лучшие методологии разработки и отладки

Что мы знаем о современном вредоносном ПО?

AMP Threat Intelligence

Cloud

Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat

Linux

AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall

with Firepower Services

AMP Private Cloud Virtual Appliance

AMP on Firepower NGIPS Appliance (AMP for Networks)

AMP on Cloud Web Security & Hosted Email

CWS

Threat Grid Malware Analysis + Threat

Intelligence Engine

AMP on ISR with Firepower Services

AMP Everywhere

ПК ПК

Периметр

сети

AMP for Endpoints

ЦОД

AMP for Endpoints

Удаленные ПК

AMP for Endpoints can be launched from AnyConnect

Cisco AMP расширяет защиту NGFW и NGIPS

Ретроспективная безопасность Точечное обнаружение

Непрерывная и постоянна защита Репутация файла и анализ его поведения

Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов

Фильтрация по репутации Поведенческое обнаружение

Динамический анализ

Машинное обучение

Нечеткие идентифицирующие

метки

Расширенная аналитика

Идентичная сигнатура

Признаки компрометации

Сопоставление потоков устройств


Обучение компьютеров

Нечеткие идентифицирующие метки



Признаки вторжения


Фильтрация по репутации Поведенческое обнаружение

Collective Security Intelligence Cloud

Сигнатура неизвестного файла анализируется и отправляется в облако

1

Сигнатура файла признана невредоносной и принята 2Сигнатура неизвестного файла анализируется и отправляется в облако

3Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему

4

Фильтрация по репутации основывается на трех функциях

Техника: точные сигнатуры

Сигнатуры («точные»): Очень простой подход, который наверняка реализован в любом решении любого поставщика Точное соответствие файлу Очень легко обходится простыми модификациями с файлом L

•  Так действуют традиционные антивирусы

•  Отпечаток файла снимается с помощью SHA256 и отправляется в облако для сравнения с базой сигнатур

•  Сам файл не отправляется в облако

•  Быстро и аккуратно обнаруживается угроза

•  Снижение нагрузки на другие механизмы обнаружения

Возможность создания собственных сигнатур

1001 1101 1110011 0110011 101000 0110 00

•  Создание собственных сигнатур, например, для контроля перемещения файлов с конфиденциальной информацией или полученных из внешних источников семплов вредоносного кода или даже приложений (для NGFW/NGIPS)










Сигнатура файла анализируется и определяется как вредоносная 1

Доступ вредоносному файлу запрещен 2Полиморфная модификация того же файла пытается получить доступ в систему

3Сигнатуры двух файлов сравниваются и оказываются аналогичными

4Доступ полиморфной модификации запрещен на основании его сходства с известным вредоносным ПО

5

Техника: ядро Ethos

•  ETHOS - ядро формирования нечетких отпечатков с помощью статической/пассивной эвристики

•  Полиморфные варианты угрозы часто имеют общие структурные свойства

•  Не всегда нужно анализировать все содержимое бинарного файла

•  Повышение масштабируемости - обнаруживается и оригинал и модификации

•  Традиционно создаются вручную Лучшие аналитики = несколько общих сигнатур в день

•  У нас полная автоматизация = МАСШТАБИРОВАНИЕ

Ethos: создание обобщенных сигнатур, что опять же достаточно традиционно для отрасли Адресуются семейства вредоносного кода Потенциальное увеличение числа ложных срабатываний










Метаданные неизвестного файла отправляются в облако для анализа 1

Метаданные признаются потенциально вредоносными 2Файл сравнивается с известным вредоносным ПО и подтверждается как вредоносный

3Метаданные второго неизвестного файла отправляются в облако для анализа

4Метаданные аналогичны известному безопасному файлу, потенциально безопасны

5Файл подтверждается как безопасный после сравнения с аналогичным безопасным файлом

6

Дерево решений машинного обучения

Потенциально безопасный файл

Потенциально вредоносное ПО

Подтвержденное вредоносное ПО

Подтвержденный безопасный файл

Подтвержденный безопасный файл

Подтвержденное вредоносное ПО

Техника: ядро Spero

Метки AMP = более 400 атрибутов, полученных в процессе выполнения •  Сетевые подключения? •  Нестандартные протоколы? •  Использование интерфейсов API (каких)? •  Изменения в файловой системе?

•  Самокопирование •  Самоперенос

•  Запуск других процессов? Автоматизирует классификацию файлов на основе общих схожих признаков Машинное обучение позволяет находить и классифицировать то, что не под силу человеку – из-за возможности анализа больших объемов данных

Дерево принятия решений

Возможно, чистый файл

Возможно, ВПО

Да, ВПО

Да, «чистый»

Да. чистый

Да, ВПО








Поведенческое обнаружение основывается на четырех функциях


Неизвестный файл проанализирован, обнаружены признаки саморазмножения

1

Эти признаки саморазмножения передаются в облако 2Неизвестный файл также производит независимые внешние передачи

3

Это поведение также отправляется в облако 4Об этих действиях сообщается пользователю для идентификации файла как потенциально вредоносного

5

Техника: анализ вредоносных признаков Bad Guys

•  Анализ поведения файла – большое количество анализируемых параметров

•  Требует большего времени на анализ, чем сигнатуры

•  Потенциально ложные срабатывания

•  Подробная информация о причинах принятия того или иного решения

•  Выдача финального Threat Score

Уровень угрозы может быть настроен

104

На примере Cisco AMP for Content Security (WSA)









Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде

1

Два файла определяются как вредоносные, один подтвержден как безопасный

2

Сигнатуры вредоносных файлов обновляются в облаке информации и добавляются в пользовательскую базу

3

Collective Security Intelligence Cloud Коллективная

пользователь-ская база

Техника: динамический анализ Bad Guys

•  Файлы для динамического анализа (песочница) могут быть загружены автоматически или в ручном режиме

•  Загрузка файла осуществляется только в случае его неизвестности (неизвестен статус и Threat Score) «Чистые», уже проверенные ранее файлы или вредоносное ПО с вычисленным Threat Score в песочницу не загружаются, чтобы не снижать производительность решения

•  Файлы могут загружать через прокси-сервера

•  Результат представляется в виде обзора и детального анализа

Анализ в облаке может занимать время

На примере Cisco AMP for Content Security (ESA)









Получает информацию о неопознанном ПО от устройств фильтрации по репутации

1

Анализирует файл в свете полученной информации и контекста

3

Идентифицирует вредоносное ПО и добавляет новую сигнатуру в пользовательскую базу

4

Получает контекст для неизвестного ПО от коллективной пользовательской базы

2 Коллективная пользователь- ская база


Индикаторы компрометации

•  Индикатор компрометации – объединение нескольких связанных событий безопасности в единое мета-событие

•  IOC “CNC Connected” (узел вероятно находится под чужим управлением)

Узел подключился к серверу C&C

Сработала система обнаружения вторжений по сигнатуре “Malware-CNC”

На узле запущено приложение, которое установило соединение с сервером C&C

•  Встроенные и загружаемые индикаторы компрометации

На примере Cisco AMP for Endpoint

На примере Cisco AMP for Networks










Обнаруживаются два неизвестных файла, связывающихся с определенным IP-адресом

2

Один передает информацию за пределы сети, другой получает команды с этого IP-адреса

3

Collective Security Intelligence Cloud распознает внешний IP-адрес как подтвержденный вредоносный сайт

4

Из-за этого неизвестные файлы идентифицируются как вредоносные 5

IP-адрес: 64.233.160.0

Сопоставление потоков устройств производит мониторинг источника и приемника входящего/исходящего трафика в сети

1

•  Мониторятся внутренние и внешние сети

•  Данные по репутации IP-адресов

•  Регистрация URL / доменов

•  Временные метки

•  Передаваемые файлы

Техника: Анализ потоков устройств

111

Корреляция потоков устройств: Анализ сетевых потоков на уровне ядра. Позволяет блокировать или предупреждать о любых сетевых действия Cisco обеспечивает: Известные сервера CnC, фишинговые сайты, сервера ZeroAccess CnC, и т.д. Пользовательские списки

Сила в комбинации методов обнаружения

•  На оконечных узлах не хватает ресурсов для анализа все усложняющегося вредоносного кода

•  Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки

•  Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным

7 методов обнаружения в Cisco AMP повышают эффективность защиты!!!

Почему необходима непрерывная защита?

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

Непрерывная подача

Непрерывный анализ

Поток телеметрических

данных

Интернет

WWW

Оконечные устройства Сеть Эл. почта

Устройства

Система предотвращения вторжений IPS

Идентифицирующие метки и метаданные файла Файловый и сетевой ввод/вывод

Информация о процессе

Объем и контрольные точки

Почему необходима непрерывная защита?

Контекст Применение Непрерывный анализ

Кто Что

Где Когда

Как

История событий

Collective Security Intelligence

Cisco AMP обеспечивает ретроспективную защиту

Траектория Поведенческие признаки вторжения

Поиск нарушений

Ретроспектива Создание цепочек атак




Ретроспективная безопасность основана на…

Выполняет анализ при первом обнаружении файлов

1 Постоянно анализирует файл с течением времени, чтобы видеть изменения ситуации

2 Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО

3





Использует ретроспективные возможности тремя способами:

Ретроспективный анализ файлов Записывает траекторию ПО от устройства к устройству

Ретроспективный анализ файлов 1

Ретроспектива процесса 2

Ретроспектива связи 3

Ретроспектива процесса Производит мониторинг активности ввода/вывода для всех устройств в системе

Ретроспектива связей Производит мониторинг, какие приложения выполняют действия

Создание цепочки атак Анализирует данные, собранные ретроспекцией файлов, процессов и связи для обеспечения нового уровня интеллектуальных средств мониторинга угроз

Пример ретроспективы файла и связей

На примере Cisco AMP for Content Security (ESA)

На примере Cisco AMP for Networks

Пример ретроспективы процессов

На примере Cisco AMP for Endpoints





Поведенческие признаки вторжения используют ретроспективу для мониторинга систем на наличие подозрительной и неожиданной активности

Неизвестный файл допущен в сеть 1

Неизвестный файл копирует себя на несколько машин

2 Копирует содержимое с жесткого диска 3

Отправляет скопированное содержимое на неизвестный IP-адрес

4

С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам файлов





Траектория файла автоматически записывает время, способ, входную точку, затронутые системы и распространение файла

Неизвестный файл загружается на устройство 1

Сигнатура записывается и отправляется в облако для анализа 2

Неизвестный файл перемещается по сети на разные устройства

3

Аналитики изолированной зоны определяют, что файл вредоносный, и уведомляют все устройства

4

Траектория файла обеспечивает улучшенную наглядность масштаба заражения

5 Вычислительные ресурсы

Виртуальная машина

Мобильные системы


Виртуальная машина

Вычислительные ресурсы

Сеть







Вычислительные ресурсы

Неизвестный файл загружается на конкретное устройство 1

Файл перемещается на устройстве, выполняя различные операции 2При этом траектория устройства записывает основную причину, происхождение и действия файлов на машине

3

Эти данные указывают точную причину и масштаб вторжения на устройство 4


Диск 1 Диск 2 Диск 3

Пример траектории файла

Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox


В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8


Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)


Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)


Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие


Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПО и поместило в карантин только что определенное вредоносное ПО


Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано


Что делать в случае обнаружения вредоносного кода? •  Вариант реагирования на обнаруженный вредоносный код зависит от варианта реализации AMP

•  AMP for Endpoints Режим аудита – разрешить запускать вредоносный код

Пассивный режим – не ждать ответа из облака и запустить вредоносный код (блокировать после)

Активный режим – ждать ответа из облака, не запуская файл

•  AMP for Content Security Пропустить, заблокировать или поместить в карантин (для ESA)

•  AMP for Networks Пропустить, заблокировать или сохранить вредоносный код

Какие файлы можно анализировать?

•  Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно захватывать и сохранять для дальнейшего анализа

Обнаружение известного вредоносного кода

Полная информация о вредоносном коде

Увеличение числа устройств с вредоносным ПО

Анализ вредоносного ПО и атак

Подтверждение атаки и заражения

•  С чего начать?

•  Насколько тяжела ситуация?

•  Какие системы были затронуты?

•  Что сделала угроза?

•  Как можно восстановить?

•  Как можно предотвратить ее повторение?

Исправление Поиск сетевого трафика

Поиск журналов устройств

Сканирование устройств

Задание правил (из профиля)

Создание системы испытаний

Статический анализ

Анализ устройств

Сетевой анализ

Анализ увеличения числа

устройств

Уведомление Карантин Сортировка

Профиль вредоносного

ПО

Стоп

Не удалось обнаружить заражение

Заражение обнаруж

ено

Поиск повторного заражения

Обновление профиля

Подтверждение

Заражение отсутствует

Вопрос не в том, произойдет ли заражение, а как скоро мы его обнаружим, устраним и поймем причины?

Ретроспективный анализ файлов позволяет определить •  Какие системы были инфицированы?

•  Кто был инфицирован?

•  Когда это произошло?

•  Какой процесс был отправной точкой?

•  Почему это произошло?

•  Что еще произошло?

Ретроспективный анализ процессов позволяет определить •  Как угроза попала на узел?

•  Что плохого происходит на моем узле?

•  Как угроза взаимодействует с внешними узлами?

•  Чего я не знаю на своем узле?

•  Какова последовательность событий?

Трекинг каждого вредоносного файла

Пользователи и IP, которые загрузили вредоносный файл к себе

SHA-256

Вопросы конфиденциальности: AMP Private Cloud 2.0

AMP Threat Grid Dynamic Analysis Appliance

Windows, Mac Endpoint

Cisco FirePOWER Sensor

Cisco Web Security Appliance

Cisco Email Security Appliance

Cisco ASA with FirePOWER Services

Talos

Cisco AMP Private Cloud Appliance 2.x

Федерированные данные

Хэши файлов

Анализируемые файлы

Опционально

Планы

Поддержка “air gap”

А можно анализировать вручную?

1001 1101 1110011 0110011 101000 0110 00

•  Нередко бывает необходимость анализировать файлы, попавшие в службу безопасности на флешках или иных носителях, а также проводить более глубокий анализ обнаруженных с помощью Cisco AMP вредоносных программ

•  Не у всех бывает реализована автоматическая защита с помощью Cisco AMP

•  Организация может захотеть создать собственную службу Threat Intelligence или Security Operations Center

Cisco AMP Threat Grid

1001 1101 1110011 0110011 101000 0110 00

•  Платформа для глубокого анализа вредоносного кода Доступ через портал, выделенное устройство или с помощью API

•  Может применяться при построении собственных систем Threat Intelligence или SOC

•  Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.

Детальный анализ вредоносного ПО в AMP Threat Grid

Типовые сценарии использования AMP Threat Grid

•  Доступ к порталу •  Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода •  Приватная маркировка загружаемых семплов (опционально) •  Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в облако

•  Интеграция с решениями Cisco •  AMP for Endpoints •  AMP for Networks (FP / ASA) •  AMP for WSA / CWS •  AMP for ESA / CES

•  API для автоматизации передачи семплов в Threat Grid включен во все лицензии с подпиской

Развертывание вне облака – на территории заказчика

§  Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid §  В целях соблюдения нормативных требований все данные остаются на территории заказчика §  Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для актуализации контекста

§  Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)

§  TG5000: §  Анализ до 1500 образцов в день §  Cisco UCS C220 M3 Chasis (1U) §  6 x 1TB SAS HDD (аппаратный RAID)

§  TG5500: §  Анализ до 5000 образцов в день §  Cisco UCS C220 M3 Chasis (1U) §  6 x 1TB SAS HDD (аппаратный RAID)

Полное соответствие нормативным требованиям и высокий уровень защиты

Отличия портала от локального устройства AMP Threat Grid

•  Масштабируемость •  Отсутствуют ограничения на число загружаемых для анализа семплов (в устройстве – до 5000 в день)

•  Скорость обработки семплов •  Обработка 1000 семплов занимает около 30 минут. На устройстве такое же количество семплов обрабатывается за 4 часа

•  Стоимость •  Устройство стоит дороже доступа к порталу

•  Анализ угроз •  Сопоставление угроз в облаке осуществляется со всеми семплами, загруженными в него и помеченными как публичные. На устройстве сопоставление осуществляется только с локальными семплами

•  Обновления поведенческих индикаторов •  Обновления для устройства выпускаются каждый квартал, а для портала – каждые 2 недели

Преимущества и недостатки локального устройства


•  Конфиденциальность данных •  Возможность работы в изолированной сети

•  Независимость от наличия Интернет-канала

Недостатки

• Обновления поведенческих индикаторов приходят с задержкой

•  Невозможность полного анализа Интернет-активности вредоносного ПО

•  Невозможность сопоставления данных с другими публичными семплами

Повсеместный AMP Threat Grid

Подозрительный файл

Отчет

Периметр

ПК

Firewall & UTM

Email Security

Analytics

Web Security

Endpoint Security

Network Security

3rd Party Integration

S E C U R I T Y

Security monitoring platforms

Deep Packet Inspection

Gov, Risk, Compliance

SIEM


Статический анализ

Threat Intelligence

AMP Threat Grid

Решения Cisco по ИБ Другие решения по ИБ

Подозрительный файл

Premium content feeds

Security Teams

Решения Cisco по защите и контролю доступа в Интернет

ASA с FirePOWER Services / Cisco FirePOWER Appliance

Cloud Web Security

Web Security Appliance (Physical & Virtual)

Cisco ISR с FirePOWER Services

Web Filtering

Cloud Access Security

Web Reputation

Application Visibility and

Control Parallel AV Scanning

Data-Loss Prevention

File Reputation

Cognitive Threat

Analytics*

X X X X

До После Во время

X

File Retrospection

www


Отчеты



Удаленный офис

www www

Allow Warn Block Partial Block Основной офис

WCCP Explicit/PAC Load Balancer PBR AnyConnect® Client Админ Перенаправле-ние трафика

www

HQ

File Sandboxing

X

Client Authentication

Technique

* Roadmap feature: Projected release 2H CY15

X Cisco® ISE


1. Сканируем текст

Cisco Web Usage Controls URL фильтрация и динамический анализ

WWW

URL Database

3. Вычисляем близость к эталонным документам

4. Возвращаем самое близкое значение категории

2. Вычисляем релевантность

Finance Adult Health

Finance Adult Health

Allow

WWW Warn

WWW WWW Partial Block

Block

WWW

5. Enforces policy

If Unknown, the Page Is Analyzed

Block

WWW

Warn

WWW

Allow

WWW

If Known

Репутационный анализ Сила контекста реального времени

Suspicious Domain Owner

Server in High Risk Location

Dynamic IP Address

Domain Registered

< 1 Min 192.1.0.68 example.com Example.org 17.0.2.12 Beijing London San Jose Киев HTTP SSL HTTPS

Domain Registered > 2 Year

Domain Registered < 1 Month

Web сервер < 1 места

Who How Where When

0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10 IP значение репутации

Сканирование malware в реальном времени Dynamic Vectoring and Streaming

Сигнатурный и эвристический анализ Эвристическое обнаружение Идентификация необычного поведения

Сканирование antimalware

Параллельное, потоковое сканирование

Сигнатурная проверка Идентификация известного поведения

Множество механизмов сканирования

malware

Оптимизация эффективности и уровня обнаружения с интеллектуальным мультисканированием

Расширение сигнатурного покрытия с использованием нескольких механизмов

Улучшение впечатления с помощью параллельного потокового сканирования

Обеспечение полного и актуального сигнатурного покрытия с помощью автоматических обновлений

Идентификация зашифрованного вредоносного трафика с помощью перехвата и расшифровки SSL соединений

Эмуляция в реальном времени

Sandbox реального времени Анализ для защиты от атак 0-day

Layer 4 Traffic Monitor Обнаружение зараженных узлов

Пользователи

Cisco® S-Series

Network -Layer

Analysis

Мощные данные antimalware Предотвращение трафика “Phone-Home”

§  Сканирует весь трафик, все порты и все протоколы

§  Обнаружение malware, обходящее порт 80 §  Предотвращение трафика botnet

§  Автоматически обновляемые правила §  Генерация правил в реальном времени с помощью “dynamic discovery”

Инспекция пакетов и заголовков

Internet

Достуно на Cisco ASA как Botnet Traffic Filter

Предотвращение утечек данных Снижение риска утечек чувствительной информации

x

Локально

Интеграция с 3rd-pary вендорами по ICAP

CWS

WSA

Cloud

DLP Vendor Box

WSA

+

Базовый DLP

Расширенный DLP

Базовый DLP

Dropbox

Facebook

Microsoft Outlook

Gmail

Cisco Web Security Полное управление пользователями

Data-Loss Prevention (DLP)

Application Visibility and Control (AVC)

Admin

Allow

WWW

Централизованное управление и отчетность

Policy

Защита от угроз Пользователь

Cisco® Web Usage Controls

Partial Block

WWW

Block

WWW

Что делать с мобильными пользователями? Cisco AnyConnect Secure Mobility Client

Пользователь с ноутбуком, планшетом или телефоном

Роуминг-пользователь с ноутбуком

Клиент развернут на машине

Web пользователи

Block

WWW

Warn

WWW

Allow

WWW

Delivers Verdict

WSA веб безопасность

Расположение web безопасности

CWS web безопасность

Router or firewall re-route traffic to WSA or CWS

Перенаправление web трафика

Работа с WWW через VPN

Перенаправление трафика на ближайший web прокси

Cisco AnyConnect®

Client

VPN

ACWS

VPN

Централизованное управление и отчетность Завершенное решение для вариантов локального и облачного развертывания

Централизованная отчетоность Централизованное управление

Делегированное администрирование

Централизованное управление политиками

Глубокий обзор гуроз Обширные возможности для расследования

Просмотр Угрозы, данные, приложения

Управление Согласованные политики между офисами и

удаленными пользователями

Обзор Обзор разных устройств, сервисов и

сетевых уровней

Analyze, Troubleshoot, and Refine Security Policies

Высокопроизводительная платформа прокси, Интегрированная аутентификация

Многоядерная оптимизация Интегрированная идентификация и аутентификация

§  Отсутствие проблем, связанных с задержкой при антивирусном сканировании

§  Включание функционала мультисканирования для увеличения эффективности безопасности

§  Оптимизация для сложного веб контента

§  Политики идентификации §  Прозрачная, single sign-on (SSO) аутентификация в Active Directory

§  Гостевые политики, реавторизация §  Поддержка нескольких не связанных между собой деревьев

NTLM/Active Directory

LDAP

Secure LDAP

CRES 0

1

2

3

4

5

6

1-Core 2-Cores 4-Cores

Burdened System Capacity (Web Transactions/Hour) M

illio

ns

Дополнительная информация по WSA

Cisco Email Security Appliance

Защита от угроз Cisco Email Полная защита от угроз

Cisco® Talos Репутационная фильтрация SenderBase

Антиспам

Outbreak Filters

Анализ URL в реальном времени

Drop

Drop/Quarantine

Антивирус Drop/Quarantine

Advanced Malware Protection (AMP) Drop/Quarantine

Quarantine/Rewrite

Deliver Quarantine Rewrite URLs Drop

Обнаружение Graymail Rewrite

Защита от спама Эшелонированная оборона

Входящая хорошая, плохая, неизвестная почта

SBRS

Поддержка Cisco® SIO

What

Cisco Anti-Spam

When Who

How Where

§  Нормальная почта проверяется на спам

§  Подозрительная почта ограничивается и фильтруется

Известная плохая почта блокируется на границе сети

§  Определение URL репутации и контекста

§  > 99% уровень обнаружения §  < 1 на 1 миллион – уровень ложных срабатываний

Mail Policies

«Белый» список фильтруется от вирусов

Cisco Anti- spam Engine

Cisco Anti- spam Engine

Anti- spam Engine B

Anti- spam Engine (Future)

Intelligent multiscan (IMS)

Эшелонированная оборона от вирусов

Cisco Anti-Spam

§  Sophos §  McAfee §  Или оба -- Sophos и McAfee

Выбор антивирусов

Антивирусные механизмы Антиспам

Защита от malware нулевого дня Advanced Malware Protection

Outbreak Filters Advanced Malware Protection

Репутация файлов

Известная репутация

«песочница»

Неизвестные файлы загружаются в песочницу (archived, Windows PE, PDF, MS Office)

Cisco® AMP интеграция

Обновление репутации

Защита от атак нулевого дня Outbreak Filters


Облачное детектирование malware 0-day

Обнаружение вирусов и malware 0-day

§  Среднее опережение*: более 13 часов §  Атаки заблокированы*: 291 атака §  Всего инкрементальная защита*: более 157 дней

Преимущества Outbreak Filters

Outbreak Filters

Cisco® Talos

Вирусный фильтр

Динамический каранин

«Линия обороны» URL Интеграция безопасности Email и Web

Email содержит URL Cisco® Talos

URL репутация и категоризация

Замена

Defang/Block

Перезапись Перенаправить в облако

§  BLOCKEDwww.playboy.comBLOCKED

§  BLOCKEDwww.proxy.orgBLOCKED

“This URL is blocked by policy”

Top вредоносных URL

Пользователей кликнуло

Дата/время, причина перезаписи, URL действие

Отслеживание взаимодействия с Web Отслеживание URL, перезаписанное политикой

URL перезаписан

Пользователь кликает на перезаписанный

URL

На базе Email ID На базе LDAP группы

На основе IP адреса

Остановка 0-day

Динамическая информация

Образование пользователей

Отчет о перезаписанных URL

Список пользователей, получивших доступ к перезаписанным URL

Добавление вредоносного URL к списку

Безопасность Cisco Email Обеспечение полного контроля исходящих

Ограничение потока

AS/AV проверки

Соответствие/DLP

Шифрование чувствительных

данных DKIM/SPF

Ограничение исходящих Ограничение по домену или же по полю Mail From

Получение предупреждений, которые идентифицируют возможно инфицированных отправителей

Ограничения могут быть более высокими для отправителей, которые отноятся к категории «маркетинг» или же «техподдержка»

Пользователи отправляют до 100 сообщений в час

Администраторы могут устанавливать ограничения индивидуально для каждого пользователя

Policy

Admin

1-100 Emails 101-1000 Emails

Alert admin when limit is hit

!

!

Typical User

Known High-Volume Sender

Malicious Sender

§  Работает с Email

§  Защита от угроз

§  Email сканирование

§  Применение политик

§  Определение политики риска

§  Advanced Incident Workflow

§  Fingerprinting

DLP и соответствие Отдельное или часть полного решения DLP

Локальный RSA DLP

Интеграция с RSA Enterprise DLP

Data-Loss Prevention

Инциденты Политики

Точно, просто, расширяемо

Интеграция с RSA Enterprise Manager Интеграция Cisco ESA в корпоративное решение DLP

В решении RSA Enterprise DLP, Cisco ESA заменяет:

§  SMTP перехватчик

§  Сервер шифрования

§  SMTP smart host

В решении RSA Enterprise DLP, Cisco ESA обеспечивает:

§  Непрерывный поток почты

§  Полный обзор потока почты

§  Встроенное обнаружение и реагирование

§  Меньше систем для управления и проверки

Fire

wal

l

SMTP

Mail Servers

Enterprise Manager

Network Controller

HTTP/HTTPS/IM Proxy Server

ICAP Server Sensor

SMTP Smart Host Interceptor

Encryption Server

Cisco® Email Security Appliance

Применение политик шифрования TLS настройки на основании Mail From

Применение контрактных обязательств

Предотвращение отправки важных данных в открытом виде

Предотвращение приема чувствительных данных в октрытом виде от неправильно настроенных серверов

Your Company

Шифрование конверта Просто для отправителя

Автоматизированное управление ключами

Не требуется дополнительное ПО на десктопе

Прозрачная отправка на любой Email

Шифрование вклюается + словами | политиками | отправителями | получателями | и т.д.

Sender Controls Recipient

Cisco® Email Security Appliance

Message Key

И просто для получателя

Корпоративная запись (opt)

Открыть вложение

1

Подтвердить личность

2

Посмотреть сообщение

3

Cisco® Registered Envelope Service

DKIM и SPF Аутентификация Email

Блокирование фишинг и спуфинг атак

Применение более либеральных политик к аутентифицированным источникам

Trusted_Partner.com

Trusted_Partner.com

Мошенник

Your Company DK

IM a

nd S

PF

Rec

ords

DNS Server

Signed

Cisco® ESA

Drop/Quarantine

Signed

Verified

DMARC Стандартизация Email аутентификации

Trusted_Partner.com

Trusted_Partner.com

Мошенник Ваша компания D

KIM

and

SP

F R

ecor

ds

Signed

Cisco® ESA

Drop/Quarantine Signed

Verified

Снижение количества фишинг-писем

Объединение вместе DKIM и SPF для того, чтобы нивелировать их недостатки

Определить действия, которые надо предпринять, если аутентификация неправильная для определенных доменов

Отправка агрегированных отчетов для уведомления о диспозиции сообщений

DNS Server

DMARC p=reject

Report

Аутентификация Email DKIM и SPF

Избегайте подделки ваших сообщений

Увеличьте свою репутацию

Избегайте попадания в черные списки

Your Company ISP

DNS Server

Public

Запрос DMARC, DKIM, и SPF Cisco® ESA

From: Your_Company.com From: Your_Company.com

Signed

From: Your_Company.com

Signed

Verified

Аутентификация Email DMARC

Защита против фишинга

Увеличение репутации и уровня доставки

Обзор и контроль над отправленной почтой, в том числе над той, которая отправляется от вашего имени

Your Company ISP

DNS Server

Public

Запрос DMARC, DKIM, и SPF Cisco® ESA Публикация DMARC, DKIM, и SPF

From: Your_Company.com From: Your_Company.com

Signed

From: Your_Company.com

Signed Verified

Report

Простая отчетность и мониторинг

Иерархически отчеты Детальный Message Tracking

Обзор почтовых сообщений Message Tracking

Что случилось с сообщением, которое я отослал 2 часа назад? §  Отслеживание индивидуальных сообщений

А кто еще получал подобные сообщения? §  Расследования для гарантии соответствия

Всеобъемлющий обзор Унифицированные бизнес-отчеты

Простой вид по всей организации

Просмотр трафика и угроз в режиме «почти» реального времени

Исполняемые иерархические отчеты Консолидированные и

пользовательские отчеты

§  Email Volume §  Spam Counters §  Policy Violations §  Virus Reports §  Outgoing Email Data §  Reputation Service §  System Health View

Множество точек данных

Rest API Варианты использования и обзор

Простой, документированный метод сбора информации об отчетах и состоянии системы

Отправка отчетной информации в существующие системы мониторинга с использованием хорошо известных протоколов и методологий: HTTP/REST и JSON

Простой, ресурсоориентированный дизайн, созданный для программистов

Stateless – каждый вызов аутентифицируется §  Поддержка HTTPS + базовая аутентификация

Экономика E-mail Security Appliance §  Исходные данные:

§  Число сотрудников (почтовых ящиков) – 7000 §  Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) §  Объем спама – 60% (42000 сообщений) §  Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек §  Суммарные дневные затраты на спам – 14,583 человеко-дня §  Средняя зарплата сотрудника – $1500

§  Потери компании §  В день – $994,29 §  В месяц – $21784,5 §  В год – $248573,86

§  Выгоден ли антиспам в данной ситуации? §  Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности

Больше деталей про экономику

https://www.youtube.com/watch?v=bcQWuKUMeb4

Дополнительная информация по ESA

Cisco ISE

Сейчас труднее чем когда-либо увидеть, кто находится в вашей сети и чем занимаются эти пользователи

?

Нельзя защитить то, что нельзя увидеть

? опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети 90%

компаний подтвердили, что их мобильные устройства были атакованы вредоносным ПО за последние 12 месяцев

75%

189 © Компания Cisco и (или) ее дочерние компании, 2015 г. Все права защищены. Конфиденциальная информация Cisco

?

Сетевые ресурсы Политика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция угроз


Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативам P

Что

Когда

Где

Как

Платформа ISE ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным

Дверь в сеть

Физическая или виртуальная машина

Контекст контроллер ISE pxGrid

Проводная

Филиал

Беспроводная

Контролируйте все из одной точки Сеть, данные, и приложения

Мобильность

Применение политик и использование политик по всей сети

Безопасный доступ отовсюду, независимо от типа подключения

Мониторинг доступа, активностей и соответствие не корпоративных устройств, принимать меры по необходимости

VPN

Партнер

Удаленный сотрудник Центральный

офис

Админ

Контрактник Гость

Профилирование ISE: обнаружение пользователей и устройств

192

CDP/LLDP

RADIUS

NetFlow

HTT

P

NM

AP

Интегрированное профилирование: мониторинг в масштабе

Активное сканирование: большая точность

Веб-канал данных об устройствах: идентификация в масштабе

Сетевая инфраструктура обеспечивает локальную функцию распознавания

Cisco® ISE дополняет информацию пассивной сети данными об активных оконечных устройствах

Производители и партнеры постоянно предоставляют обновления для новых устройств

Сенсор устройств Cisco

Сенсор устройств (функция сети)

Активное сканирование оконечных устройств

Вeб-канал данных об устройствах*

Cisco ISE

Сокращение числа неизвестных устройств в сети в среднем на 74%

Простое и быстрое заведение устройств

•  Полный цикл настройки и заведения устройства без поддержки IT службы •  Гибкие сценарии с одним или несколькими SSID •  Встроенный Certificate authority и портал для упрощения выписки сертификатов. Интегрируется с PKI инфраструктурой

•  Портал “Мои устройства” для управления собственными устройствами •  Поддержка интеграции с большинством MDM решений включая Cisco Meraki, MobileIron, Citrix, JAMF

Software и многие другие


Bring Your own Device (BYOD)


Лучше безопасность Минимизируем риск соединения собственных устройств к сети

Гибкость Работает с проводными и беспроводными устройствами

Улучшить работу сети Снять нагрузку заведения устройств с IT службы

Описание Простой и безопасный доступ в сеть с любого устройства. Простой процесс настройки и заведения устройств.

Эффективно планируйте, управляйте и контролируйте доступ BYOD Пользователь пытается зайти в сеть со своего устройства

ISE идентифицирует пользователя как сотрудника и направляет на портал устройств BYOD

После удачной аутентификации ISE настраивает устройство и выписывает сертификат, применяет политику

Теперь устройство зарегистрировано и получает нужный доступ в сеть

Улучшить работу гостей без ущерба безопасности

Мгновенный, беспарольный доступ напрямую в Интернет

Быстрая, самостоятельная регистрация

Ролевой доступ с помощью сотрудника

Гость

Гость

Гость Спонсор

Интернет

Интернет

Интернет и сеть

Управление гостевым доступом Hotspot

4

44:6D:77:B4:FD:01

Пользователь подключается к открытому SSID.

Пользователь пытается получить доступ в Интернет, Идентифицирован ISE как гость и перенаправляется на портал

После проверки AUP пользователь допускается в сеть

В конце дня пользователь отключается из сети

1 2 3

Конец дня

Описание Мгновенный, доступ без пароля к Hotspot

Гостевой доступ еще проще!

•  Встроенный шаблон для HotSpot, саморегистрации и др.

•  Создавайте брендированные порталы за минуты.

•  Поддержка многих языков •  Поддержка разных порталов •  Hotspot поддерживает пароль

Функции

Secret

code:

chemist

Управление гостевым доступом Саморегистрация

44:6D:77:B4:FD:01

Гость перенаправляется на портал для саморегистрации

После заполнения информации профиля данные отсылаются через СМС

Гость вводить учетные данные

Гость допускается в сеть

1 2 4

Гибкое, эффективное и масштабируемое решение для Ваших задач

3

Описание Простая и гибкая самостоятельная регистрация для гостей

•  Гибкий алгоритм включая саморегистрацию с подтверждением

•  Разные методы доставки учетных данных включая печать, СМС, почту и IM

•  Поддержка разных языков •  Все страницы можно настраивать •  Временные рамки и графики обновления аккаунтов


Оценка соответствия устройств Оценка состояния

Убедиться в соответствии политике устройства перед предоставлением доступа Возможности •  Различные агенты используются для оценки состояния (Anyconnect + Web Agent)

•  Обязательный, опциональные и режим аудита дают гибкость в развертывании

•  Возможность построения детальных правил с использование разных критериев.

•  Поддержка периодической проверки и автоматического исправления

AnyConnect

Оценка соответствия устройств Интеграция решений MDM

Проверка соответствия мобильных устройств

•  Позволяет делать мультивендорную интеграцию в ISE инфраструктуре

•  Макро и микро-уровень оценки (Pin Lock, Jailbroken status)

•  MDM атрибуты доступны как опциив политике (Производитель, Модель, IMEI, Серийный номер, ОС Версия, Номер телефона)

•  Контроль устройства в ISE из портала Мои устройства (Device Stolen àWipe Corporate data)


Интернет

4

1 2

3

Регистрация в ISE

Разрешить интернет доступ

Регистрация в MDM

Разрешить доступ в корп. сеть

Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).

Обеспечение такого же высокого уровня безопасности, но для большого количества устройств


Что нового в ISE 2.0?

Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей

Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)

Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры

Поставщики совместимых устройств*

Aruba Wireless HP Wireless

Motorola Wireless Brocade Wired

HP Wired Ruckus Wireless

•  Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)

•  Перенаправление CoA and URL-адресов для работы с ISE

•  Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x


Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)

Интеграция с устройствами сторонних производителей (не Cisco)

ISE 1.0 802.1x

Новое в ISE 2.0

Профилирование



BYOD

*Дополнительные сведения см. в Таблице совместимости Cisco

Упрощение управления защищенным доступом

Возможности •  Мониторинг активных сессия через AD и Network log-ins

•  Поддержка сессий клиентов Wired MAB и NADs

•  Уведовление справочников через PxGrid

•  Назначение VLANs, dACLs, SGTs и других для пользователей, авторизованных через EWA

Identity mapping

Более безопасно с интегрированным 802.1x, сапликантом и сертификатами

Базовый с whitelisting

Access

Security

Лучше и гибче С ISE Easy Wired Access


Что нового в ISE 2.0? Расширение Easy Wired Access (EWA) предлагает заказчикам расширение защиты проводных сетей с помощью ISE

С ISE Easy Wired Access (EWA)

Лучшая видимость в активных сетевых сессиях, аутентифицированных через AD

Расширенный контроль с опцией для Monitoring-only Mode или Enforcement-Mode

Гибкое внедрение которое больше не требует сапликанта или PKI, позволяя ISE использовать COA для повышения уровня защиты

Complexity

Identity

mapping

Monitor-only mode Enforcement–Mode User 1

Active Directory Login

User 1

Network Login

Publish to pxGrid

Admin 1

ISE

Access Security

Complexity

Access

Security Complexity

EWA, безопасная альтернатива «белым спискам» (whitelisting)

Оптимизация управления благодаря единому рабочему пространству

•  Новые сервисы и консоль администратора TrustSec –  Инструментальная панель TrustSec –  Изменение матрицы

–  Автоматической создание SGT –  ISE как спикер/слушатель SXP

•  Обновленный интерфейс пользователя

–  Улучшенная структура меню для облегчения навигации

–  Возможность поиска в графическом интерфейсе •  Улучшенные возможности отчетности

–  Заново включены опции печати в формате PDF и локальное хранение

–  Усовершенствованный фильтр для регистрации и создания отчетов в реальном времени


Интуитивно простой рабочий центр и матрица политики доступа

Что нового в ISE 2.0? Обновленный пользовательский интерфейс TrustSec, основанный на новом рабочем центре, позволяет осуществлять простое и быстрое развертывание, устранение неполадок и контроль. .


Простое управление благодаря выделенным рабочим центрам, позволяющим визуализировать, понимать и управлять политикой из одного интерфейса.

Быстрое включение TrustSec для базовых сценариев использования, включая управление доступом пользователя к центру обработки данных и межпользовательскую сегментацию

Новый пользовательский интерфейс TrustSec

Автоматическая конфигурация новых политик SGT и правил авторизации

Рабочий центр TrustSec

Матрица политики доступа


Подрядчик

Сотрудник

Зараженный

Источник

Назначение

Интернет

Ресурсы подрядчика

Сервер отдела кадров

Человеческие ресурсы

Восстановление

Разрешить использование IP










Отклонить использование IP










© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Включите средство унифицированного реагирования с обменом контекста Cisco Platform Exchange Grid (pxGrid)

Когда

Где

Кто

Как

Что

Cisco и партнеры Экосистемы

ISE

Cisco сеть

pxGrid controller

ISE собирает контекст из сети 1

Контекст обменивается по технологии pxGRID 2

Партнеры используют контекст для повышения видимости и борьбы с угрозами

3

Партнеры могут запросить ISE о блокировке угрозы

4

ISE использует данные партнера для обновления контекста и политики доступа

5

Контекст

3 2

1

4 5

Netflow

NGIPS

Lancope StealthWatch

AMP

AMP Threat Grid

FireSIGHT Console

CWS

WSA

ESA

FirePOWER Services

ISE это краеугольный камень ваших Cisco решений

ISE

Как Что Кто Где Когда

Во время После До

Обмен телеметрией с помощью PxGrid С Cisco Web Security Appliance (WSA) и Identity Service Engine (ISE)

Улучшите контроль WEB контента со знанием пользователей и устройств Ключевые функции Cisco Web Security Appliance интегрируется с ISE и использует pxGRID для получения данных контекста для политики Web доступа


•  Интеграция с Cisco Web Security Appliance для контроля тех кто может ходить в WEB

•  Получение данных классификации с ISE через pxGRID. Использование TrustSec для упрощения работы.

•  ИспользованиеTrustSec для абстрагирования и классификации политики доступа


Проще администрирование Единый источник контекста и данных пользователей. Использование TrustSec для абстрагирования политики делает ее проще для WSA

Соответствие Создавайте политики по типам устройств, которые разрешат или запретят WEB доступ основываясь на состоянии устройства

Кто: Доктор Что: Ноутбук Где: офис

Кто: Доктор Что: iPad Где: Офис

Кто: Гость Что: iPad Где: Офис

Identity Service Engine

WSA

Конфиденциальные записи пациентов

Сеть сотрудников

Лучшая видимость Детализация отчетности для понимания того кто, когда, и с каких устройств получал доступ в Web

Легко интегрируется с партнерскими решениями

Как Что Кто Где Когда

ISE pxGrid controller

Cisco Meraki

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23

SIEM EMM/MDM Firewall Vulnerability Assessment

Threat Defense IoT IAM/SSO PCAP Web

Security CASB Performance Management

Экосистема быстрого сдерживания распространения угроз

Максимальное использование растущей экосистемы — новые партнеры pxGrid Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы

Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.

Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco

Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях

Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания

распространения угроз

Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.

Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.

Межсетевой экран и контроль доступа

Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)

Быстрое сдерживание распространения угроз с помощью FMC и ISE Что нового в ISE 2.0? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.


•  Интеграция с решением Cisco AMP для защиты от вредоносных программ

•  Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE

•  Разрешение или отказ в доступе к порталу подрядчиков


FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный

Доступ запрещается каждой политикой безопасности

Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой

Раннее обнаружение угроз FireSight сканирует активность и публикует события в pxGrid

Корпоративный пользователь загружает файл

Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE

FMC сканирует действия пользователя и файл

В соответствии с новым тегом, ISE распространяет политику по сети

Улучшенный контроль с помощью авторизации на основе местоположения

Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.


Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.

Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE

Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей

Возможности •  Конфигурация иерархии местоположений по всем объектам местоположения •  Применение атрибутов местоположения MSE в политике авторизации

•  Периодическая проверка MSE на предмет изменения местоположения •  Повторное предоставление доступа на основе нового местоположения

С интеграцией платформы Cisco Mobility Services Engine (MSE)

Холл Палата Лаборатория Скорая помощь

Врач





Данные пациента

Местоположения для доступа к данным пациента

Палата

Скорая помощь

Лаборатория

Холл

Ролевой контроль доступа

Упрощение управления ИБ с ролевым доступом

•  Ролевой контроль доступа •  Авторизация на уровне команд с подробной регистрацией действий •  Выделенный TACACS+ центр для сетевых администратаров •  Поддержка основных функций ACS5


Управление устройствами TACACS+


Что нового в ISE 2.0? Заказчики сейчас могут использовать TACACS+ в ISE для упрощения управления устройствами и расширения безопасности через гибкий и точный контроль доступа к устройствам.

Упрощенное и централизованное управление Рост безопасности, compliancy, подотчетности для всего спектра задач администрирования

Гибкий и точный контроль Контроль и аудит конфигураций сетевых устройств

Админы ИБ

TACACS+ Work Center

Сетевые админы

TACACS+ Work Center

Поддержка TACACS+ для управления устройствами

Централизованная видимость Получение всесторонней конфигурации TACACS+ через TACACS+ administrator work center

Улучшенный мониторинг обеспечивает полную картину действий оконечных устройств в сети

•  Cisco ISE •  Портфель сетевых решений

Cisco •  Cisco NetFlow •  Lancope StealthWatch

Данные

Зона администратора

Зона предприятия

Зона POS

Зона подрядчика

Мониторинг способствует принятию практических решений благодаря сегментации и автоматизации Сеть как регулятор

•  Cisco ISE •  Портфель сетевых решений Cisco •  Cisco NetFlow •  Lancope StealthWatch •  Программно-определяемая сегментация TrustSec Cisco

Зона сотрудников

Зона разработки

Cisco Cyber Threat Defense

Что объединяет всех?

СЕТЬ Видимость всего трафика

Маршрутизация всех запросов Источники всех данных

Контроль всех данных

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков

Используйте свою сеть Cisco по максимуму

Сеть как сенсор (NaaS)

Динамическая сегментация при обнаружении атаки

Сеть как защитник

(NaaE)

Обнаружение аномалий

Обеспечение видимости всего сетевого трафика

Обнаружение нарушений политик пользователями

Внедрение контроля доступа на критических участках

Динамические политики доступа и контроля

А если вы не можете разместить сенсоры в сети?

Router# show flow monitor CYBER-MONITOR cache … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http …

Одна запись NetFlow дает вам кладезь информации

Кто Кто Что

Когда

Как

Откуда Больше контекста

Высокомасштабиуремый сбор Высокое сжатие => долговременное

хранилище

У нас есть NetFlow, дающий контекст Но уже внутри сети

Cisco Cyber Threat Defense

Внутренняя сеть

NetFlow Capable

VPN Устройств

а

Видимость, Контекст и Контроль

КУДА/ОТКУДА КОГДА

КАК

ЧТО

КТО

Использовать данные NetFlow для обеспечения видимости на

уровне доступа

Унифицировать информацию на единой консоли для

расследований и отчетности

Связать данные потоков с Identity и приложения для создания и

учета контекста

Элементы Cyber Threat Defense

Добавление контекста Объединение данные NetFlow с identity и ID приложений для добавления контекста

Device? User? Events?

65.32.7.45

Posture? Vulnerability AV Patch

Использование телеметрии от инфраструктуры Cisco

Задействование поддерживающих NetFlow коммутаторов и маршрутизаторов Cisco как источников информации по безопасности

Cisco ISE

Cisco Network

Обеспечение привязки к задачам безопасности

Единая консоль, которая унифицирует обнаружение угроз, видимость, расследование инцидентов и отчетность

Cisco ISR G2 + NBAR

+ Application?

+ +

+ NetFlow

FlowSensor

FlowCollector StealthWatch Management

Console

CTD добавляет к NetFlow контекст и привязку к ИБ

NAT События

Известные C&C сервера и ботнеты

Данные пользователей

Приложения Приложения & URL

Архитектура Cyber Threat Defense (CTD)

Модель обнаружения поведения и аномалий

Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . . ICMP Flood . . Max Flows Initiated Max Flows Served . Suspect Long Flow Suspect UDP Activity SYN Flood .

События ИБ (94 +)

Категория тревоги Реакция

Concern

Exfiltration

C&C

Recon

Alarm Table

Host Snapshot

Email

Syslog / SIEM

Mitigation

Data Hoarding

Exploitation

DDoS Target

Что позволяет обнаруживать NetFlow?

Отказ в обслуживании SYN Half Open; ICMP/UDP/Port Flood

Распространение червей Инфицированный узел сканирует сеть и соединяется с узлами

по сети; другие узлы начинают повторять эти действия

Фрагментированные атаки Узел отправляет необычный фрагментированный трафик

Обнаружение ботнетов Когда внутренний узел общается с внешним сервером C&C

в течение длительного периода времени

Изменение репутации узла Потенциально скомпрометированные внутренние узлы или

получение ненормального скана или иные аномалии

Сканирование сети Сканирование TCP, UDP, портов по множеству узлов

Утечки данных Большой объем исходящего трафика VS. дневной квоты

•  Непонятно •  Сложно •  Много времени на определение пользователя, устройства и их местоположения

Идентификация инцидентов проходит быстрее с контекстной информаций – пользователь, местоположение, устройство

До Сейчас

Host 1.2.3.4 Scanning Ports of Host 3.3.3.3 Host 1.2.3.4 Scanning Ports of Host 3.3.3.3

VPN

Лэптоп

Ноябрьск

Финансы

POS

Ethernet

СПб

И. Иванов

С добавлением контекста от ISE система становится лучше

Обнаружение нарушений ИБ на базе NetFlow

Что показывает Cisco Cyber Threat Defense?

Встроенные правила

Быстрый показ деталей инцидента

Карта распространения

Возможность реагирования и помещения нарушителя в карантин

Понятная идеология Тревога à Событие ИБ Детали à Узел à Отчет по узлу

Информация об узле

Оповещения

Пользователи

Активность и приложения

Хост

Группы хостов

Потоки

Информация о пользователе

Оповещения

Устройства и сессии

Детали из AD

Пользователь

Обнаружение C&C-серверов и ботнетов

Идентификация подозрительной активности Высокий Concern Index означает излишне большое число подозрительных событий, которые отличаются от установленного

эталона

Группа узлов Узел CI CI% Тревога События ИБ

Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan

Обнаружение распространения вредоносного кода

232

Тревога показывает, что узел стучится к другому узлу и затем начинает делать тоже самое дальше

Подозрительная активность отображается

IP-адрес


Prioritized Threats


Более 100 алгоритмов обнаружения

Обнаружение утечек данных

Обнаружение торрентов

Работа с прокси Сбор данных от Web Proxies: •  Cisco WSA, Blue Coat, Squid, McAfee

Мы видим нарушение и через прокси

Сбор контекстных данных и привязка к потокам: •  URL •  Имя пользователя

Идентификация сетевого сканирования

Профиль устройства показывает, что он использует сетевой сканер

Что еще мы можем видеть?

•  File Sharing Index: показывает P2P-активность (например, торренты)

•  Target Index: показывает узлы, которые вероятно являются жертвами атак

•  Неавторизованный доступ: попытка нарушения, запрещенного на МСЭ

•  Выкачка данных: подозрительная передача данных через периметр в течение длительного времени

Что еще мы можем видеть?

•  Утечка данных – передача большого объема данных через сеть –  Suspect Data Hoarding – узел скачивает данные с большого количества внутренних узлов –  Target Data Hoarding – узел закачивает необычно большой объем данных на другие узлы

•  Исследуйте все узлы, с которыми взаимодействовал инфицированный узел

Масштабируемая система

•  Пока реальных информационных потоков между узлами и группами узлов с нужным уровнем детализации карты сети

Визуализация потоков, сервисов и приложений

•  Данный механизм позволяет отслеживать ошибки в настройках МСЭ

Визуализация потоков, сервисов и приложений

Собственные политики

Условия по времени

Условия по группам/

приложениям

Условия по пирам

Условия соединения

Cisco TrustSec

Традиционная сегментация

Голос Данные PCI Подрядчик Карантин

Уровень доступа

Уровень агрегации

VLAN Адресация DHCP-охват

Резервирование Маршрутизация Статический ACL

Простая сегментация с 2 сетями VLAN Больше политик с использованием большего числа VLAN

Дизайн необходимо реплицировать на этажи, здания, офисы и другие объекты. Затраты могут быть чрезвычайно высокими

ACL

Стандартные способы уменьшения охвата и связанные с этим проблемы Виртуальная локальная сеть (VLAN)

•  Изолированный широковещательный домен (безопасность не обеспечена)

•  Необходимы дополнительные средства обеспечения безопасности (списки IP ACL, когда трафик уходит из сети VLAN)

•  Отсутствие управления в сети VLAN

•  Число политик = числу сетей VLAN

•  Большие затраты на обслуживание: изменение политики, изменение сети приводит к изменению VLAN, изменению ACL

Список контроля доступа IP-адресов (ACL)

•  Обычный инструмент управления (коммутаторы и маршрутизаторы)

•  Политика на основе адресов в сравнении с политикой на основе контекста

•  Подверженность человеческим ошибкам (неправильная конфигурация)

•  Большие затраты на обслуживание: новое местоположение означает использование нового ACL

access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467

Гибкое и масштабируемое применение политик

Коммутатор Маршрутизатор Межсетевой экран ЦОД

Коммутатор ЦОД

Автоматизация управления системой безопасности

Повышение эффективности

Упрощенное управление доступом

Технология Cisco TrustSec® Сегментация на основе бизнес-политик

Политика сегментации

Сегментация сети с помощью TrustSec

•  Сегментация на основе RBAC, независимо от топологии на основе адресов

•  Роль на основе AD, атрибутов LDAP, типа устройства, местоположения, времени, способов доступа и т. д.

•  Использование технологии тегирования для представления логической группы, траффик отправляется вместе с тегом

•  Внедрение политики на основе тегов для коммутаторов, маршрутизаторов и МСЭ

•  Централизованно определяемая политика сегментации, которая может быть применена в любом месте сети

Сегментация TrustSec обеспечивает следующие возможности:

Коммутаторы Маршрутизаторы Межсетевой экран Коммутатор ЦОД ПО гипервизора

Имя пользователя: johnd Группа: управляющие магазинами Местонахождение: офис магазина Время: рабочие часы

SGT: менеджер

Применение политики

Ресурс

Управление доступом пользователя к ЦОД с помощью TrustSec

Голос Сотрудник Поставщики Гость Не соответст- вует требованиям

Тег сотрудника

Тег поставщика

Тег посетителя

Несоответствующий тег

МСЭ ЦОД

Голос

Здание 3 WLAN — Данные — VLAN

Ядро комплекса зданий

ЦОД

Основное здание Данные — VLAN

Сотрудник Не соответст- вует требованиям

Политика (тег группы безопасности (SGT)) применяется к пользователям, устройствам и серверам независимо от тополологии или местоположения. TrustSec упрощает управление ACL-списками для входящего и исходящего трафика VLAN Уровень доступа

Производственные серверы

Производственные серверы База данных HR

Защищенные ресурсы

РАЗРЕШИТЬ ЗАПРЕТИТЬ

Хранение

РАЗРЕШИТЬ ЗАПРЕТИТЬ

Сервера разработки Источник

ЗАПРЕТИТЬ ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ

ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ ЗАПРЕТИТЬ

РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ

Серверы разработки

База данных HR

Хранение

Cisco ISE

База данных HR

Сервера разработки Межсетевой

экран ЦОД Коммутатор

ЦОД

Применение политики

Распространение тегов SGT

Классификация

Сегментация без сетей VLAN

Сегментация ЦОД

258

Сегментация комплекса зданий с помощью TrustSec

259

Голос Сотрудник Гость Карантин

Тег сотрудника

Тег поставщика

Тег посетителя

Тег карантина

МСЭ ЦОД

Голос

Здание 3 Данные — VLAN (200)

Ядро комплекса зданий

ЦОД

Основное здание Данные — VLAN (100)

Сотрудник Карантин

Уровень доступа

Сотрудник

§  Применение политик основано на тегах группы безопасности; можно управлять коммуникациями в той же сети VLAN

Защита ЦОДов

Cisco AnyConnect

Необходимость доступа любых устройств из любого места

Больше разных пользователей

Работа из большего количества мест

Использование большего количества устройств

Доступ к большему количеству различных приложений и передача важных данных

Местопо-ложение

Приложение

Устройство

из любого приложения, к любым важным данным, для любого пользователя

Решение Cisco AnyConnect Secure Mobility Solution

Широкая поддержка платформ

•  Apple IOS, Android, Blackberry, Windows Phone, Windows 7/8/10, MAC, Linux, ChromeOS

•  Работа через клиента и через браузер

Постоянное подключение

•  постоянно активное подключение, •  выбор оптимального шлюза, •  автоматическое восстановление подключения

Унифицированная безопасность и модульность

•  Идентификация пользователей и устройств •  Проверка соответствия •  Интегрированная веб-безопасность •  Интеграция с защитой от вредоносного кода •  Поддержка VDI

Корпоративный офис

Безопасный, Постоянный Доступ

ASA

Wired Wi-Fi

мобильная или Wi-Fi

Мобильный сотрудник Домашний офис

Филиал

Поддерживаемые платформы Устройства пользователей и инфраструктура

Инфраструктура Клиенты

Microsoft Windows Mac OS X Linux

Настольное устройство

Мобильные средства связи

Apple iOS iPhone и iPad

•  HTC •  Motorola •  Samsung •  Версия 4.0 и более поздние

•  HTC •  Lenovo •  Motorola •  Samsung •  Версия 4.0 и более поздние

Бесклиентские подключения

BlackBerry

+

Android Смартфоны Планшетные

компьютеры


ASDM CSM CLI

Защищенные соединения

Cisco ISR*

Cisco® ASA

Cisco ASR*

Коммутаторы IEEE 802.1x

Интернет-безопасность

Cisco WSA

Cisco ISE

Идентификация и политика +

Cisco NAC

Cisco AnyConnect для web-защиты на основе облака

Windows Phone

IPSec, SSL VPN

802.1X

MACSec

Cisco AnyConnect для VPN-доступа

•  Клиент полного туннелирования IPsec/SSL VPN •  Постоянное подключение и высочайшее удобство работы пользователей

•  Управление доступом в сеть •  Оценка состояния настольных систем и мобильных устройств •  Широкая поддержка платформ ОС настольных систем и мобильных устройств

•  Детализированный контроль доступа •  Предоставление пользователям определенных ресурсов •  Защищенное хранилище •  Доступ к виртуальному рабочему столу •  Широкая поддержка браузеров и приложений

Клиент Cisco AnyConnect Secure Mobility

Портал бесклиентских VPN-подключений по протоколу SSL

Клиент AnyConnect -постоянное подключение

Автоматическое переподключение между сетями Wi-Fi, 3G и разрывах связи

Повторная аутентификация не требуется

Таймер максимальной продолжительности сеанса

Off Premises

Выбор оптимального шлюза

Подключение к наиболее оптимальному головному устройству

Время = 225 мс Время = 223 мс Время = 224 мс



Москва Владивосток

Новосибирск

Пороговое значение времени приостановки (часы)

Пороговое значение повышения производительности (%)

Параметры профиля:

Астана

Поддержка публикации:

•  Внутренних веб-сайтов

•  Веб-ориентированных приложений

•  Файловых ресурсов NT/Active Directory

•  Почтовых ресурсов POP3S, IMAP4S, and SMTPS. Microsoft Outlook Web Access Exchange Server 2000, 2003, and 2007, 2010.

•  Поддержка плагинов для RDP, VNC SSH (Java/ActiveX)

•  Подключение любых TCP-ориентированных приложений c технологией SmartTunnel на совместимых платформах

Безклиентский доступ по SSL

http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html

AnyConnect – больше чем просто VPN

SSL / DTLS VPN IPsec VPN


(HostScan/ISE)

Cloud Web Security

L2 саппликант

(Win Only)

Switches and Wireless

controllers

ASA WSA ISE/ACS Cloud Web Security + AMP

Центральные устройства

ASR/ CSR

ISR

Базовый VPN Расширенный VPN Другие сервисы

Модуль сетевой видимости

AMP Enabler

Планируется к выходу в 2015 году

в версии 4.2

Обеспечение интернет-безопасности с помощью Cisco WSA

Новости

Эл. почта

Социальные сети

Корпоративное ПО как услуга (SaaS)

Устройство корпоративного доступа Пользователи вне сети

Пользователь проходит

аутентификацию

Устройство web-защиты Cisco

Устройство корпоративного

доступа

Cisco® ASA

Идентификационные данные пользователя

WCCP

Доверенная сеть Недоверенная сеть

Клиент Cisco AnyConnect™

Secure Mobility

Интернет-коммуникации

Внутренние коммуникации

Обеспечение интернет-безопасности с помощью решения Cisco Cloud Web Security

Cisco AnyConnect для web-защиты на основе

облака

Cisco AnyConnect Интернет-безопасность для Cisco Cloud Web Security

• Облачная служба — постоянно функционирует и всегда защищена

• Предоставляет   политики допустимого использования;

  защиту от угроз со стороны вредоносного ПО;

  возможности управления использованием приложений;

  возможность выбора пользователем систем защиты во время поездок (исключаются проблемы с языком).

• Может использоваться вместе с устройством web-защиты Cisco® или отдельно.

Cisco AnyConnect для web-защиты на основе

облака

Cisco Network Access Manager – управление проводным и беспроводным подключением

•  Управление корпоративными подключениями

• Проводное (802.3) и беспроводное (802.11) подключение с помощью одной структуры аутентификации

• Аутентификация пользователей и устройств уровня 2:

– Продвинутый саппликант 802.1X, 802.1X-REV

– 802.1AE (MACsec: проводное шифрование)

– Поддержка нескольких типов EAP

– 802.11i (сеть с повышенной безопасностью)

• Поддержка конфигураций сети для администратора (офис) и пользователя (дом)

Локализация

•  Cisco AnyConnect™ GUI и инсталлятор поддерживают локализацию на множество языков

•  Некоторые поддерживаемые языки:   Русский

  Japanese

  French (Canadian)

  German

  Chinese

  Korean

  Spanish (Latin American)

  Czech

  Polish

•  Возможно делать кастомизированные локализации под задачи организации

Поддерживает оценку состояния для разных способов доступа

Упрощает управление с единым агентом

Предотвращает подключение несоответствующих устройств (проверка патчей, ключей реестра, антивирусов….)

Оценка состояния и безопасный VPN доступ с унифицированным агентом и Cisco ISE

Подключает только разрешенные приложения через VPN

Избранное туннелирование через VPN

VPN

Обеспечивает безопасный удаленный доступ для выбранных приложений для определенного пользователя, устройства и роли (per-app VPN)

Уменьшает риски неразрешенных приложений, связанные с компрометацией данных

Поддерживает большое количество типов устройств и удаленных пользователей (сотрудники, партнеры, контрактники)

WWW

AMP активатор расширяет защиту от malware

Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP)

Обеспечивает защиту конечного устройства до туннелирования трафика в сеть

Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения

Больше защиты

Windows/MAC Mobile

Мобильное устройство

Модуль сетевой видимости

Расширенный контекст об активностях устройства

Коллектор и системы отчетов

Расширяет сбор данных об устройстве информацией о сетевой активности приложений/пользователей

Аналитика Аудит Наблюдаемость

. . .

Защита промышленных сегментов

Решения Cisco для индустриальных сетей

Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500 Индустриальные маршрутизаторы ISR 819H, CGR 2000 Индустриальные беспроводные решения Cisco 1550 Outdoor AP Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI Индустриальные системы предотвращения вторжений IPS for SCADA Индустриальные межсетевые экраны и система отражения вредоносного кода

Cat. 6500 Cat. 4500

Cat. 3750

Available COTS Platforms

Available Industrial Platforms 1260 and 3560 APs

ASA

IE 3010

IE 3000 1552 AP

CGR 2010

IE 2000

ISR 819

7925G-EX IP Phone

Потребность в специализированных МСЭ/IPS

Для промышленного применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде

Пассивная защита в промышленной сети

Сложности Ответ Cisco

•  Пассивное профилирование сети

•  Отсутствие задержек между устройствами и системами, требующими реального времени

•  «Белые списки» ожидаемого, предупреждения по аномалиями

•  ICS означают статичность, но часто нет возможности проверить это

•  ICS построены с минимальным объемом системных ресурсов

•  Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы

Обзор решений Cisco по безопасности АСУТП

§ Cisco ASA Firewall для сегментации (и в промышленном исполнении) § Cisco FirePower NGIPS с набором сигнатур для промышленных систем

§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с ретроспективным анализом

§ Cisco AnyConnect для контроля доступа и оценки состояния NAC

§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении неавторизованных подключений, оценка состояния и управление доступом.

§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий с сервисами сквозной авторизации

§ Cisco Cyber Threat Defense (CTD)

VPN

VDI

WSA

IPS

NGFW

FW

ISE

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Level 3½

Enterprise Zone

DMZ

PCD / Manufacturing Zone

PCN / Cell / Area Zone

?

?

Компоненты Cisco для защиты АСУ ТП

Архитектура ИБ промышленного предприятия

WWW Приложения

DNS FTP

Интернет

Гигабитный канал для определения аварийного переключения

Межсетевой экран

(активный)

Межсетевой экран

(режим ожидания)

Серверы производствен

ных приложений

Коммутатор уровня доступа

Сетевые сервисы

Коммутаторы уровня ядра

Коммутатор уровня агрегации

Управление исправлениями Сервисы для терминального оборудования Зеркало приложений Антивирусный сервер

Ячейка/зона 1 (Резервная топология типа «Звезда»)

Диск

Контроллер

HMI Распределенный ввод-вывод


Диск Диск

HMI

Распределенный ввод-вывод

HMI

Ячейка/зона 2 (Топология типа

«Кольцо»)

Ячейка/зона 3 (Линейная топология)

Коммутатор уровня доступа 2


Ячейка/зона Уровни 0-2

Производственная зона Уровень 3

Демилитаризованная зона Уровень 3.5

Корпоративная сеть Уровни 4-5

Усиленный межсетевой экран Усиленная система предотвращения вторжений (IPS)

Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами

VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS)

Защита от угроз в облаке Применение политик для всей сети Контроль доступа (на уровне приложений)

Межсетевой экран с сохранением состояния

Защита и определение вторжений (IPS/IDS) Системы управления физическим доступом

Сервисы

идентификации

ISE

Архитектура ИБ нефтегазового предприятия

Управление и безопасность Уровень 1

Устройство Уровень 0

Центр управления Уровень 3

Устаревшая RTU

Сети безопасности и управления процессами Мультисервисные сети

Ист. данные HMI

Отсек питания

Безопасность

Процесс

Питание

Процесс

Контроллер Контроллер Контроллер

Серийные и неразъемные соед.

Ethernet-процессы Ethernet-мультисервисы

WAN Беспроводн. соед.

Транспорт RFID

SIEM

Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель

Системы безопасности

Принтер

Оборудование

SIEMСистема SCADA Головная станция

Рабочие станции оператора и разработчика

Сервер автоматизации процессов системы

SIEM

SIEM

Обработка и распред. ист. данных

Серверы приложений

Операционные бизнес-системы

SIEM

SIEM

SIEM

Надежность и безопасность

Система управления производством (MES)

SIEM

SIEMРаспределенная система управления (DCS)

SIEM

SIEM

Контроллер доменов

Корп. сеть Уровни 4-5

Ист. данные SIEM

Анти- вирус

WSUS

SIEM

SIEMСервер удаленной разработки

SIEM

Сервер терминального оборудования

SIEMДМЗ

Уровень 3.5

Телекоммуникации на операционном уровне

Беспроводн. сети

Интернет

Контроль Уровень 2

Системы видеонаблюдения

Контроль доступа

Голос

Мобильные сотрудники

Беспроводн. сенсор


Сенсор Выключатель

Безопасность

Архитектура ИБ транспортного предприятия

PTC

IPICS VSMS / VSOM

IP/MPLS Домен

UCS WAN/ Ядро

Центр управления

Трансп. зона

Усиленный межсетевой экран Усил. система обнаружения вторжений (IDS)

Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами

VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS)

Защита от угроз в облаке Применение политик для всей среды Контроль доступа на уровне приложений

Межсетевой экран с сохранением состояния

Система обнаружения вторжений (IDS) Системы управления физическим доступом

Сервисы

идентификации

Сети безопасности и управления процессами

Offload

VSMS

PTC 3000

TMC

Оборудование Мультисервисные сети

Сеть агрегации FAN ЗОНА 2

Мультисервисная шина ЗОНА 3

Сеть NERC CIP ЗОНА 1

Сеть подстанций

Станционная шина IEC 61850

Шина процессов IEC 61850

Архитектура ИБ предприятия в сфере энергетики

Физическая безопасность

Взаимодействие с сотрудниками

Серийные, C37.94, E&M

Периметр электронной безопасности (ESP)

PT Прерыватель CT CT PT

Периметр физической безопасности (PSP)

Прерыватель IED MU

Распределенный контроллер HMI

Устаревшая RTU

PT CT

Аппаратный I/O

Сенсор

Устаревшее реле РТЗ

Прерыватель

Частный WiMax или LTE для полевой сети

Точка электронного доступа

Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP

Центр управления доступом

ДМЗ

Центр обработки данных

HMI SCADA FEP EMS

CPAM VSOM

Аналитика ист. данных SIEM PACS

ACS CA LDAP

HMI

Контроллер соединения RTU Защитное

реле Процессор

коммуникаций PMU PDC

Реле РТЗ

Новые модели Cisco ASA with FirePOWER

Desktop Model Integrated Wireless AP

Выше производитель

ность

Для АСУ ТП

100% NGFW - поставляется с AVC

Wi-Fi может управляться локально или через Cisco WLC

1RU; новая платформа – лучшее сочетание

цены и производительности

NGFW для критичных инфраструктур и

объектов

5506-X 5506W-X 5508-X 5516-X

5506H-X

Идеальна для

замены Cisco®

ASA 5505

«Настольная» модель Cisco ASA 5506-X

7.92 x 8.92 x 1.73 in.

Параметр Значение

CPU Многоядерный

RAM 4 Гб

Ускоритель Да

Порты 8x GE портов данных, 1 порт управления с 10/100/1000 BASE-T

Консольный порт RJ-45, Mini USB

USB-порт Type ‘A’ supports 2.0

Память 64-GB mSata

Охлаждение Convection

Питание AC external, No DC

Cisco ASA 5506H-X в защищенном исполнении

*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:

9 x 9.2 x 2.5 in.

Параметр Значение

Порты 4 x портов данных

Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP

Напряжение 5V (*** 5506 is 12V)

Диапазон температур От –20 до 60°C (рабочий) От -40 до 85°C (обычный)

Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount

Специальные сертификаты на Cisco ASA 5506H-X

Сертификаты соответствия

9 x 9.2 x 2.5 in.

IP40 per IEC 60529 KN22 IEC 61850-3 IEC 61000-6-5 IEC 61000-5 IEC 611000-4-18 IEEE 1613.1 IEEE C62.412 IEC 1613 IEC 61850-3 IEC 60068-2

Промышленный МСЭ/IDS Cisco ISA 3000

Основные характеристики Cisco ISA 3000

§ Производительность: 2 Gbps §  Кол-во IPSec/SSL VPN: 25

§  IPv4 MAC Security ACE: 1000

§  Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)

§  4 ядра Intel Rangely, SSD 64 GB

§  8 GB DRAM, 16 GB Flash

§ Питание DC

§ Рабочая Температура -40 до +74 °C

§ Вес: 1.9 кг

Защитный функционал ASA 5506H-X / ISA 3000

►  Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений

►  Система гранулярного мониторинга и контроля приложений (Cisco® AVC)

►  Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

►  Фильтрация URL-адресов на основе репутации и классификации

►  Система Advanced Malware Protection с функциями ретроспективной защиты

►  Система управления уязвимостями и SIEM

Cisco ASA

VPN и политики аутентификации

Фильтрация URL-адресов

(по подписке) FireSIGHT Аналитика и автоматизация


(по подписке)

Мониторинг и контроль приложений

Межсетевой экран Маршрутизация и коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI

Встроенное профилирование

сети

Предотвращение вторжений (по подписке)

Поддержка промышленных протоколов

§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3

§ Возможность написания собственных сигнатур

§ Свыше сотни встроенных сигнатур CitectSCADA

OMRON

Kingview

IGSS

Tecnomatix

RealWin Iconics

Genesis

Siemens

IntelliCom

Cogent

RSLogix

DAQFactory

Beckhoff

Measuresoft

ScadaPro

Broadwin

Progea Movicon

Microsys

Sunway

Moxa

GE

Sielco

ScadaTec

Sinapsi

DATAC

WellinTech

Tridium

Schneider Electric

CODESYS

Отражение атак на промышленные системы

Защита операторов связи

Варианты реализации отражения DDoS-атак

DDoS

Сетевое оборудование с

функциями отражения DDoS

Специализированные устройства для борьбы с DDoS

Защитные устройства с функциями защиты

от DDoS

Сервисы от оператора связи или

специализированного провайдера услуг

•  Cisco ASR 9000 VSM

•  Firepower 9300

•  Cisco ISR •  Cisco ASR •  Cisco GSR •  Cisco CRS

•  Cisco ASA 5500-X •  Cisco Stealthwatch •  Cisco SCE •  Cisco NGIPS

SP

SP

Radware Defense Pro

Threat Defense

Firepower 9300

Radware Vision

SP Scrubbing Center Various 3rd Party Options for Hosted : Arbor Cloud, Radware Cloud, Prolexic /Akamai

Radware Defense Pipe

•  Complete Enterprise DDoS system can be complemented w/Cisco Lancope Threat Defense

SP Edge Router Based DDoS with ASR – •  (Volumetric) on ASR 9K + VSM+ Arbor TMS Peak

Flow . SP Backbone detection and mitigation

SP ASR PE w/PeakFlow

MSSP Services •  Various 3rd Party Options for Hosted Services

Firepower 9300

Mobile users

SP Mobility Edge w/FP 9300 and Radware DDoS Applications,

Services & Databases

Enterprise DC

Enterprise Data Center FW Based DDoS with Firepower 9300 •  Firepower 9300 + SM running Radware Defense Pro •  Application Attack detection and mitigation

Решения компании Cisco по защите от DDoS

Платформа Firepower 9300

Модульная платформа операторского класса с интерфейсами 10, 40, и 100 Гбит/с.

Объединение сервисов безопасности компании Cisco и других компаний

Эластичная масштабируемость за счет кластеризации

Ускоренная обработка для доверенных приложений

Функции ПО Cisco ASA для операторов связи §  Эффективная защита на сетевом и транспортном уровне §  Трансляция адресов операторского класса (Carrier-grade NAT) §  Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1) §  Анализ SCTP и Diameter в планах

Обзор платформы Cisco Firepower 9300

Модуль управления

§  Внедрение и управление приложениями §  Сетевые интерфейсы и распределение трафика §  Кластеризация для сервисов Cisco® ASA и прочих

1

3

2

Модули безопасности

§  Встроенный классификатор пакетов и потоков, а также ускоритель шифрования §  Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка) §  Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер)

Firepower 9300 изменяет модель интеграции сервисов

Унифицированная платформа сервисов безопасности

Данные 1001

00010111100010

1110 SSL FW WAF NGIPS DDoS AMP

Максимальная защита Высокая эффективность Масштабируемость Гибкость

Обозначения:

Сервисы Cisco

Сервисы партнеров

•  Radware vDP – первое из приложений 3-х компаний, ставшее элементом новый архитектуры

•  Защита от DDoS работает на входных интерфейсах Firepower 9300

OpenDNS

Недостаток квалифицированных специалистов в сфере безопасности

Для многих средств требуется больше ресурсов, чем имеется для выполнения

работы

50% компьютеров — мобильные

70% офисов — удаленные Большинство мобильных и удаленных сотрудников не всегда включают VPN,

большинство филиалов не обеспечивают обратный транзит трафика, а большая часть новых оконечных устройств только обнаруживают угрозы

70-90% вредоносного ПО уникально для каждой

организации Средства на основе сигнатур, реактивный интеллектуальный анализ угроз и отдельное

применение политик безопасности не могут опередить атаки

Общие проблемы безопасности

3 подхода к защите мобильных пользователей

может требовать дополнительной экспертизы и

ресурсов

Обнаруживать IOCs & аномалии в системной

активности

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

может потребовать от пользователей изменения поведения и может быть сложным во внедрении

Изолировать приложения & данные

в гипервизоре/контейнерах

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или

приложению

Предотвращать соединения в Интернет-

активности

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

OpenDNS: эволюция бизнес-модели

Content Provider Безопасный

Internet

Образование

Security Provider Прогнозирование

Fortune 500

Security Platform Расширенная защита

За пределами периметра

DNS Provider Быстрый Internet

50M домашних юзеров

ПРОДУКТЫ И ТЕХНОЛОГИИ

UMBRELLA Применение Служба сетевой безопасности защищает любое устройство, в любом месте

INVESTIGATE Аналитика Обнаружение и прогнозирование атак до того, как они происходят

208.67.222.222

MALWARE

BOTNET

PHISHING

Новый уровень обнаружения проникновений с возможностью внутри сети видеть то, что обычно видно только в Интернет

Расширение ATDs (AMP Threat Grid, FireEye, Check Point) за периметром и получение немедленного ответа на ваши IOCs

Обнаружение целевых атак на вашу компанию по сравнению с тем, что происходит в мире

Расследование атак, используя «живую» карту Интернет-активности

OpenDNS UMBRELLA

Уникальная аналитика для классификации

Анализ Статистические модели и человеческий интеллект

Идентификация вероятно вредоносных

сайтов

Захват С миллионов точек данных за секунды

a.ru

b.cn

7.7.1.3

e.net

5.9.0.1

p.com/jpg

DNS запросов в день

80B BGP пиринговых партнеров

500

Ежедневно использующих пользователей

65M Корпоративных заказчиков

10K

Масштаб имеет значение

Предотвращение угроз Не просто обнаружение угроз

Защита внутри и вне сети Не ограничивается устройствами, передающими трафик через локальные устройства

Интеграция с партнерским и пользовательским ПО Не требует услуг профессионалов при настройке

Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443

Постоянное обновление Устройству не нужно обращаться к VPN на локальном сервере для получения обновлений

UMBRELLA Применение политик

Новый уровень защиты от вторжений

ИНТЕРНЕТ

ВНУТРИ СЕТИ

ВЕСЬ ПРОЧИЙ ТРАФИК

ВЕБ- ТРАФИК

ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ

ИНТЕРНЕТ

ВЕСЬ ПРОЧИЙ ТРАФИК

ВЕБ- ТРАФИК

ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ

ВНЕ СЕТИ

ASA блокировка в сети по IP-адресу, URL -адресу или пакету

ESA/CES блокировка

по отправителю или контенту

WSA/CWS блокировка по URL-адресу или контенту через прокси-сервер

ESA/CES блокировка

по отправителю или контенту

CWS блокировка по URL-адресу или контенту через прокси-сервер

Umbrella блокировка по домену а также по IP-адресу или URL -адресу

Umbrella блокировка по домену а также по IP-адресу или URL -адресу

Место Umbrella в инфраструктуре Cisco

Как Umbrella дополняет AMP

Через различные технологии & оба

защищают на уровне IP Туннели на клиенте блокируют некоторые соединения с DNS в облаке, а AMP фиксирует

соединения & блокирует соединения на устройстве

*Клиент получает обновления IP-списка каждые 5 мин, а AMP получает IP-списки

ежедневно

Cisco AMP Connector защищает на уровне

файлов облачная репутация будет блокировать & помещать в

карантин вредоносные файлы на лету и в ретроспективе

*email-вложения обходят OpenDNS, а не-файловые web-эксплойты обходят

AMP

OpenDNS клиент защищается на уровне

DNS перед установкой IP-соединения & часто перед загрузкой файлов. Мы также блокируем вредоносные

домены

*DNS–запросы, использующие не-HTTP, будут обходить AMP

DNS

Компрометация системы Утечка данных

IP DNS IP ФАЙЛ

Интеграция на базе API

АНАЛИТИКА/ФИДЫ ОБ УГРОЗАХ

ПЛАТФОРМЫ АНАЛИЗА УГРОЗ

Другие +

СВОИ +

Индикаторы компрометации

ОБНАРУЖЕНИЕ УГРОЗ

Другие +

UMBRELLA Enforcement & Visibility

Логи или заблокированные

домены отправляются из систем партнеров или

заказчиков

Живая карта DNS запросов и других контекстных данных

Корреляция и статистические модели

Обнаружение & прогнозирование вредоносных доменов

Интеграция данных ИБ с глобальной информацией

Console API

OpenDNS INVESTIGATE

INVESTIGATE

WHOIS record data

ASN attribution

IP geolocation

IP reputation scores

Domain reputation scores

Domain co-occurrences Anomaly detection (DGAs, FFNs) DNS request patterns/geo. distribution

Passive DNS database

Типы предоставляемой информации

ЗАКАЗЧИК

СООБЩЕСТВО ЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ

AMP Threat Grid

UMBRELLA Применение политик и мониторинг

Автоматический захват вновь обнаруженных вредоносных доменов за считанные минуты

Регистрация или блокировка всей Интернет-активности, предназначенной для этих доменов

файлы домены

Интеграция AMP Threat Grid и OpenDNS

OpenDNS Umbrella

OpenDNS Investigate OpenDNS Investigate

опережение будущих атак с помощью блокировки вредоносных доменов,

IP-адресов и ASN

блокировка обратных вызовов и утечки с любого порта, протокола

или приложения на уровне DNS и IP

анализ угроз на основе запросов в реальном времени всех доменов и IP-адресов

в Интернете

ДО Обнаружение Внедрение политик Усиление

ПОСЛЕ Определение масштаба

Сдерживание Восстановление

Обнаружение Блокировка Защита

ВО ВРЕМЯ

ЖИЗНЕННЫЙ ЦИКЛ АТАКИ

OpenDNS поддерживает весь жизненный цикл атаки

А если я маленький, но хочу OpenDNS? Используйте Cisco Threat Awareness Service

Изменение бизнес-моделей

Сложность и фрагментация

Динамика ландшафта угроз

Производителей средств защиты

на RSA

Возросла потребность в кадрах ИБ

373 12x Среднее число вендоров

у корпоративного заказчика

50

Сложность Люди Фрагментация

Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют

Обеспечивает взгляд на угрозы, исходящие из своей компании, и направленной на нее

Постоянно отслеживает новые угрозы

Предлагает меры нейтрализации

Доступная всегда, каждый день

Проста в настройке и использовании

Это важно для сохранения сети в безопасности

Заказчики хотят Threat Intelligence которая:

Cisco Threat Awareness Service

Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. •  Использование одной из лучших в мире баз данных угроз

•  Оперативное обнаружение вредоносной активности

•  Идентификация скомпрометированных сетей и подозрительного поведения

•  Помогает компаниям быстро идентифицировать скомпрометированные системы

•  Обеспечение рекомендаций •  Помогает ИТ/ИБ идентифицировать угрозы

•  Анализирует сетевой, исходящий из организации •  Позволяет улучшить общую защищенность

Cisco Threat Awareness Service

Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: •  Капитальных вложений

•  Изменений конфигурации

•  Сетевых инструментов

•  Новых внедрений ПО

•  Сенсоров в сети заказчика

•  Дополнительных людских ресурсов

Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence

Интеграция с отечественными разработчиками


Cisco Security API

OpenDNS API MDM API

eStreamer API

Threat Grid API

ESA API ASAv/ASA API ISIS API

Host Input API Remediation API

Развитие интеграционных решений

Инфраструктура API

ДО Политика и контроль

ПОСЛЕ Анализ и

восстановление Обнаружение и блокирование

ВО ВРЕМЯ

Инфраструктура & Мобильность

NAC Управление уязвимостями

Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты

SIEM Визуализация Network Access Taps

Развитие NME-RVPN: доверенная платформа UCS-EN

•  Доверенная платформа UCS-EN120SRU •  Производится в России

•  Поддерживается на Cisco ISR 29xx/39xx/4xxx

•  Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ:

•  СКЗИ S-Terra CSP VPN Gate •  СКЗИ ViPNet Координатор •  СКЗИ Dionis NX •  МСЭ прикладного уровня Positive Technologies Application Firewall •  СОВ ViPNet IDS •  Базовый доверенный модуль (БДМ) Элвис+ •  TSS VPN •  Ведутся работы и с рядом других российских разработчиков

Интеграция с PT MaxPatrol

•  Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности

•  Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFW и Cisco FirePOWER NGIPS

В заключение


Злоумышленники атакуют точечные решения с возрастающей скоростью

NGIPS

Malware Sandbox

IAM

Antivirus

IDS Firewall

VPN

Email

NGFW

Данные

Бездумная трата денег на новинки вместо того, чтобы сесть и подумать о целостной системе защиты

Данные

Злоумышленники атакуют точечные решения с возрастающей скоростью

NGIPS

Malware Sandbox

IAM

Antivirus

IDS Firewall

VPN

Email

NGFW

Время обнаружения:

200 дней

RansomwareNow targeting data

DomainShadowingOn the rise

Dridex850 unique mutations

identified first half 2015

SPAM

RombertikEvolves to evadeand destroy

AnglerConstantly upgradingand innovating

MalvertisingMutating to avoid detection

Только интегрированная защита может идти в ногу с угрозами

Данные

Systemic Response

Con

trol

Visibility Context Intelligence

Время обнаружения:

46 часов

Варианты демонстрации по безопасности

•  Физические продукты из демо-пула

•  Виртуальные версии

•  Интерактивное демо в dCloud

dCloud это портал Cisco для интерактивных демонстраций

Охватывает все архитектуры

Простота бронирования и использования

Доступен 24/7 для наших партнеров и заказчиков

https://dcloud.cisco.com

Доступные в dCloud демонстрации по безопасности

•  Cyber Threat Defense (= Stealthwatch от Lancope)

•  Cisco Content Security - WSA+AMP, ESA и WSA+ASA

•  Cisco Enterprise Branch Lite (ISR G2)

•  Cisco ASA with FirePOWER, Cisco FireSIGHT, Cisco Sourcefire

•  Cisco Trustsec User to Datacenter

•  Cisco Unified Access

•  Cisco ISE for MDM, for BYOD, for Guest Management

•  Cisco Cloud Web Security

•  Splunk with Cisco Security

•  Cisco AnyConnect 4.1 with AMP

•  Cisco Self Learning Networks – DDoS Prevention

•  Cisco Hosted Security as a Service

•  Cisco IWAN – Secure Connectivity

Законодательство


2008

2010

2012 2013 2014

2015 2011

2000-е

ПДн СТОv4 382-П АСУ ТП

ПДн

БДУ

ГИС

ПДн

ПДн

CERTы

СОПКА

МИБ АСУ ТП КИИ

ПДн СТОv5

СТО/РС СТР-К ПКЗ

Краткий обзор развития законодательства по ИБ

2016: •  ГИС •  382-П •  СОПКА •  КИИ (?)

Меры по защите информации Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +

Меры по защите информации: что может добавиться Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +

•  Планы ФСТЭК Первое полугодие 2016-го года – утверждение новой редакции 17-го приказа

Унификация перечня защитных мер для всех трех приказов

Выход на 2-хлетний цикл обновления приказов

•  Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №17 по защите ГИС/МИС

17-й приказ ФСТЭК и решения Cisco

•  Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №21 по защите персональных данных


•  Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №31 по защите автоматизированных систем управления технологическими процессами

•  Эти решения могут быть применены как в самом промышленном сегменте, так и на стыке с корпоративной сетью или Интернет


Отличия в оценке соответствия

Особенность Приказ №21 Приказ №17 Приказ №31 Оценка соответствия В любой форме (нечеткость

формулировки и непонятное ПП-330)

Только сертификация в системах сертификации ФСТЭК или ФСБ

В любой форме (в соответствии с ФЗ-184)

Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация

Обязательна Возможна, но не обязательна

Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)

ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)

~650 ФСБ НДВ 34 123 Сертификатов ФСТЭК на

продукцию Cisco

Сертифицировала решения Cisco

(совместно с С-Терра СиЭсПи)

---- Ждем еще ряд важных

анонсов

Отсутствуют в ряде продуктовых линеек Cisco

---- На сертификацию поданы новые продукты

Линейки продукции Cisco

прошли сертификацию по схеме «серийное производство»

Продуктовых линеек Cisco

сертифицированы во ФСТЭК

Сертификация решений Cisco

•  Многофункциональные защитные устройства •  Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 •  Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X •  Cisco ASA SM

•  Системы предотвращения вторжений •  Cisco IPS 4200/4300/4500, AIP-SSM-10/20, IDSM2, IPS SSP10/20/40

•  Межсетевые экраны •  Cisco Pix 501, 506, 515, 520, 525, 535 •  Cisco FWSM •  Cisco 676, 871, 881, 891, 1750, 1751, 1760-V, 1800, 2800, 3800, 7200, 7600, 1811, 1841, 2509,

26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 2911R, 2921, 2951, 3640, 3661, 3662, 3725, 3745, 3750, 3825, 3845, 3925, 3925E, 3925, 3945E, 7201, 7206, 7301, 7604

•  ASR 1001/1002, GSR 12404, CGR2000, CGS2500 •  Sourcefire 3D System

Какие решения Cisco имеют сертификаты ФСТЭК?

•  Коммутаторы •  Cisco Catalyst 2912, 2924, 2948, 2950G, 2960, 2960C, 2960S, 2970, 29xx, 3508G, 3512, 3524,

3548, 3550, 3560, 3750, 3750G, 3750X, 4003, 4503, 4506, 4507R, 4510R, 4900, 4ххх, 6006, 6504, 6506, 6509, 6509E, 6513, 65xx

•  IE-3000-8TC •  Cisco Nexus 1110, 1010, 5548, 2000, 5000, 7010

•  Системы управления •  CiscoWorks Monitoring Center •  Cisco Security Manager 3.2, 3.3 •  Cisco Secure ACS 4.x •  Cisco Secure ACS 1121 •  CS MARS 20, 25, 50, 100, 110

•  Прочее •  Cisco AS5350XM

Какие решения Cisco имеют сертификаты ФСТЭК?

•  Маршрутизаторы •  Cisco 2911R (на НДВ) •  Cisco 2921, 2951

•  Коммутаторы •  Cisco Catalyst 3560C, 3850

•  Системы предотвращения вторжений •  Cisco FirePOWER NGIPS

•  Межсетевые экраны •  Cisco ASAv •  Cisco Virtual Security Gateway

•  Cisco UCS

Какие решения Cisco поданы на сертификацию? (по открытой информации)

Дополнительные сведения

Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/

Дополнительные сведения

Раздел «Брошюры» на сайте www.cisco.ru

Пишите на [email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/

3 скакуна, несущих информационную безопасность вперед...

Technology

Transcript of 3 скакуна, несущих информационную безопасность вперед...