Cisco Security Insight: зарисовки о внутренней …...Supply Chain Security...
71
Cisco Security Insight: зарисовки о внутренней кухне ИБ Лукацкий Алексей Бизнес-консультант по безопасности Cisco
Transcript of Cisco Security Insight: зарисовки о внутренней …...Supply Chain Security...
Cisco Security Insight: зарисовки о внутренней кухне ИБ
Лукацкий Алексей
Бизнес-консультант по безопасности
Cisco
Disclaimer
За 60 минут нельзя рассказать о том, как построена ИБ внутри Cisco.
Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы не являются полным описанием того, что делается внутри ИБ компании Cisco.
Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы изменяются с течением времени (в том числе и в данный момент)
Презентация базируется на публичной информации, раскрытие которой разрешено службой ИБ компании Cisco
Что такое Cisco сегодня?
3
• ИТ-компания
• Производственное предприятие
• Финансовая компания
• Облачный провайдер / провайдер услуг
• Издательство
• Учебный центр
• Телекомпания
B
4
16 основных Internet соединений
~47 TB пропускная способность
1350 лабораторий
200+ поглощений
300 соединений с партнерами
500+ CSPs
WebEx, Meraki, OpenDNS и растущий портфель поглощаемых
• 133K работников
• 170 стран
• 193K устройств пользователей
• ~1.5M IP-адресов
• 217K устройств
• 275K всего узлов
• 2500+ IT-приложений
• 26K подключенныхCisco Virtual Offices
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Наши инвестиции в безопасность
175+международных
сертификаций
150+Продуктовых линеек
Cisco с Trustworthy
Technologies
80+ Red Team
20 НИОКР в 5 странах
70,000+сотрудников
подписали
Code
of Conduct
every year
14,
230
Политик ИБ и защиты
данных,
аудитов
Security Advocates900+
35K+ Security Ninjas
Incident Responders100+
Обязательный Secure Development Lifecycle
Программа Value Chain Security
Программа защиты данных
Operationalize Security
Cloud Security Ops and Technology
Trustworthy Systems
Customer Data Protection and Privacy
Supply Chain Security
Transparency and Validation
Security & Trust Organization (STO)
Разные виды
ИБ в Cisco
Security challenge inside Cisco
Угрозы наCisco за один день
1.2 триллионаСобытий безопасности в день по всей сети
28 миллиардаNetflows анализируется в день (Stealthwatch)
47 ТБInternet-трафика инспектируется
7.6 миллиардаDNS-запросов в день (Umbrella)
13.4 миллионаСрабатываний NGIPS в день
4.4 миллионаEmails получается в день (ESA)
1000 фишинговых писем от службы ИБ
Никто не справится с
этим вручную
Security challenge inside Cisco
Результаты за один день
Уровни автоматической защиты
6.25 MillionDNS-запросов блокируется
Umbrella
2.0 MillionWeb-транзакций блокируется
WSA
2.5 MillionEmail блокируется в день
ESA
17,000файлов анализируется в день
ThreatGrid& AMP
22управляемых инцидента
CSIRT
2 / неделя Blackholed streams
CSIRT
Миссия NASA InSight
Я надеюсь, что озвученные мной инициативы и проекты Cisco стимулируют появление у вас новых мыслей по защите ваших предприятий. По каждому из описанных разделов презентации мы сможем поговорить с вами более подробно!
Подход Trusted Enterprise
В Cisco данным разрешено перемещаться между…
Любыми
пользователямиСотрудники
Контрактники
Партнеры
Любыми
устройствамиКорпоративные
Собственные
IoT
Любыми
приложениямиЦОД
Мультиоблако
SaaS
В любых
местахВнутри сети
Через VPN
Вне сети
4 столпа доверенного предприятия в Cisco
12
B
R
Secure Administration
Identity Services Engine (ISE)
Software Defined Access
Доверенный доступ
Single Sign On
802.1x
Multi-Factor Authentication
Доверенная идентичность
Trusted Endpoint
Trusted Server
Trusted Network
Network ServicesOrchestrator
Доверенная инфраструктура
Internal App security baselines
SaaS security baselines
IaaS security baselines
Доверенные сервисы
Три технологии доверенной идентичности
Microsoft Active Directory
• Аутентификация пользователей в Windows, Macintosh и Linux
• Клиентские приложения: Outlook Email и Calendar, SharePoint, …
Аутентификация 802.1x
• Для проводных и беспроводных сетей, VPN
и домашних офисов
• Cisco Identity Services Engine (ISE)
Управление идентификацией
• Для мобильных, облачных и корпоративных приложений
• Многофакторная аутентификация и Single Sign on.
• Пользователи могут войти в систему один раз в начале дня и
оставаться в ней пока активна их сессия
Аутентификация 802.1x с помощью Cisco ISE
14
B
R
Корпоративный доступ
Wired, Wireless, VPN, Home Office
Свыше миллиона активных
профилированных “устройств”
Max ~250K параллельных“устройств”
26K домашних офисов;
~60K ПК
639 WLC; ~200K ПК
70 ASA; ~90K ПК
2K коммутаторов доступа
~200K ПК
8 DivBiz сегментов; ~8K ПК
98 стран
580 офисов
122K пользователей
Только Интернет
~14K гостей/неделя
Central Web Auth
Взаимодействие ИТ и ИБ (на примере проекта Cisco ISE)
COO
CTO
SVP IT
VP IT
Any Device Team
SVP
Infra Services
Sr. Dir
Network Services
VP Ops/
Implementation
Sr. Dir
Strategy & Security
Security Services
Directory Services
Sr. Dir
Data Centers
Sr. Dir
Arch/Design
SVP
Security & Trust
VP
InfoSec
Требования и
политики
безопасности
Отвечают за
мобильные
устройства,
ответственны
за проверки
устройств на
соответствие
политикам
ЦОД и
виртуальная
инфраструктура
Отвечают за
поддержку и
разворачивание
сетевых
сервисов
Отвечают за
поддержку и
разворачивание
сетевой
инфраструктуры
Отвечает за
ISE и
остальные
сервисы
безопасности
Инфраструктура и
сервисы Microsoft
Active Directory
Архитектура
решения и
высокоуровневый
дизайн
Operational
Excellence:
99.999%
Availability
Cisco ISE является мощным источником контекста для мониторинга
Условия и права доступа зависят от «идентификации» (контекста доступа) устройства:
• OUI: Вендор + другие атрибуты
• Профилирование и/или DNS
• Почему MFA?• Слабые или украденные учетные записи являются
мощным оружием хакеров, используемым в 95% всех
Web-атак. MFA может предотвратить это
• Цифровой логин• Трансформация традиционного имени + пароль в что-то
более безопасное into something more secure and
бесшовное
• Пароль сам по себе больше не обеспечивает
безопасностьи
• MFA / Multi-Factor Authentication• Больше чем одно устройство или технология
• Пример: приложения могут требовать дополнительный
одноразовый код или биометрию для входа
Многофакторная аутентификация
17 BRKCOC-1012
Yubikey поддержка, только дотронься и
ты вошел!
Генератор
мобильных кодов
Мобильное
приложение
Мобильное
сообщение (SMS)
Голосовой вызов
Приложение на
десктопе
Yubi Key
Duo Push
Опции MFA
Доверенные оконечные устройства
Стандарт доверенного устройства
Регистрация устройства
Anti-malware
Версия ОС
Обновление ПО
Шифрование
Обнаружение root/jailbreak (только для мобильных)
Пароль/Скринсейвер
Удаленная очистка данных
Управление устройством (MDM)
Инвентаризация ПО и железа
Cisco Security Suites
CISCO CYODКУПЛЕНО CISCO
65,344MOBILE
DEVICE
S
121,593CISCO
SUPPLIED
DEVICES
6,230
41,655
13,472
74,947
48,802341
Доверенные сервера
Стандарт доверенного сервера
Регистрация устройства
Управление конфигурацией
Защита ОС
Обновление ОС
Управление уязвимостями ПО и ОС
Защищенное управление
Централизованная аутентификация
Шифрование данных
Защита учетных записей и разделяемых секретов
Anti-malware
Интеграция с SIEM и реагированием на инциденты
Замкнутая программная среда (AWL)
IT UCS
серверов
12,042Виртуальных
машин
47,526
Доверенные сетевые устройства
21
Аутентификация периметра (802.1x)
Защищенное управление
Контроль & автоматизация защищенной
конфигурации (SDN)
Сегментация
MFA для удаленного доступа
Шифрование WAN
Role Based Access Controls (ARBAC)
Политики защищенного доступа
(SNMP/SSH ACL)
Шифрование канала аутентификации
(TACACS шифрование)
Аутентификация и шифрование уровня
управления (SNMPv3)
Централизованная регистрация событий
Аутентификация и централизация хранилища
identity (TACACS+, LDAP)
Контролируемый защищенный авторитативный
DNS-сервис (pDNS, ODNS)
Защищенный источник времени (NTP)
Мониторинг административного доступа (AAA
Accounting & Logging)
Аутентификация протоколов маршрутизации
Контроль целостности имиджа сетевой ОС
Дифференцированный доступ (политика
динамических пользователей и устройств,
оценка состояния & защита)
Стандарт доверенного сетевого устройства
8,495
LAN Switches
7,607
Routers
653
Wireless LAN
Controllers
30,022
Cisco Virtual
Office
715
Firepower, ASA
Доверенные внутренние приложения
22
Стандарт доверенного приложения
Регистрация приложений (ServiceNow)
Управление конфигурацией
Централизованная аутентификация (SSO)
Оценка воздействия на приватность (GDPR)
Управление уязвимостями и патчами (Qualys, Rapid7)
Защищенное управление
Мониторинг и защита данных (DLP, IRM, шифрование)
Оценка исходного кода приложений (SCAVA)
Базовая и глубокая оценка приложений (BAVA/DAVA)
Управление ключами и шифрование
Защита SOAP, REST и API
Интеграция с SIEM и реагированием на инциденты
3982 внутренних приложений
Сложности• Старые приложения
• Высокая кастомизация
• Поддержка после EOL
• Как управлять рисками
• Автоматизация стандарта
Движение в облака
• ~30% роста из года в год
• Свыше 600 облачных сервисов проанализировано и разрешено к использованию
• Многие обрабатывают данные Highly Confidential илиRestricted
• Необходима совместимость0
100
200
300
400
500
600
700
2012 2013 2014 2015 2016 2017
Доверенные облачные провайдеры
24
(Cloud Assessment and Service Provider Remediation CASPR)
BRKCOC-1012
Privacy and Data Security
Application Security
Infrastructure Security
Authentication and
Authorization
Vulnerability Management
Support and Operations
Incident Analysis and
Response
Business Continuity
Модели
CASPR
Public
Confidential
Highly
Confidential
Restricted
Logging and Auditability
120+ вопросов
Модель зрелости безопасности
Политика на
базе
места/IPвставки
безопасности
Политика на
базе
понимания
App/IDна все
предприятие
Дизайн
потоков от
активов к
даннымпо бизнес-целям
Обнаружение
активов &
данныхпредприятие+3-и
стороны
Непрерывное
обнаружениесеть+облако+ПК
Непрерывная
верификацияпредприятие+3-и
стороны
1
2
3
4
5
6
Усиление инфраструктуры
Управление рисками
Динамический контекст
Эволюция угроз и доверияСтатическое
предотвращение
Распознавание лиц
На примере бета-проекта в Cisco
Cisco Trusted Access
Доверие
пользователь
-устройство
Доверие IoT— И/ИЛИ —
доверие
приложения
м
Доступ
приложений
Сетевой
доступ
Нормализация
политик
Реагирование
на угрозы
1
2
3
4
5
6
Установление SD-
периметра
Автоматические
адаптивные политики
Практичный подход «Zero Trust» к безопасности
Установление
уровня доверия
Cisco iCAM
Cisco iCAM –
Intelligent Context
Aware Monitoring
(UEBA + DLP)
Cisco TIP –
внутренняя
платформа Big Data
Threat Intelligence
and Security Analytics
40 BillionФайлов Cisco
защищено
16,000+серверов
мониторится
10 секундна детект риска
200 TBElasticSearch
Cluster
2,2 PBHadoop Cluster
27 TBпамяти
2848ядер
Users-to-Ops
100,000 : 1
ВНИМАНИЕ
Мы это не продаем!
Опыт внутренней разработки Cisco
Часто приходится создавать системы ИИ самостоятельно
30
• Решение iCAMразрабатывалось внутри службы ИБ Cisco для мониторинга утечек информации и анализа поведения пользователей
• Готового решения мы не нашли
iCAM People
Data Identity
Policy Identity
Data Center
Lab
End Points
Public Cloud
User Identity
Device Identity
Applications & Data
InfoSec
End User
HR/Legal
Manager
Raw Events
Corrective Action
Alert
Feedback
CPR
HRMSLDAP
OnRamp
DCE
ISE
EMANCES
PSIRT
BI
DI
DLP
GDM
ARTCEPM
DSPL
iCAM: внутренняя разработка Cisco
Topic
(Services)
Behavior
Rules
События
пользователей
Box
Jive
SFDC
End-User’s
Manager
Уведомление
1
Behavior DB
4
Аномальное
поведение
67
Обратная связь
с менеджером
8
Анализ
поведения
5
Determine and Log the Cisco data at risk
Анализ событий3
Behavior ReconstructionBalance
Security and Productivity
Public Cloud
Обеспечение
контекста
User Identity: DSX, CES, HRMS, CPR
Data Identity: Symantec DLP, DSPL, PSIRT
Device Identity: ISE, DCE, GDM
Network Identity: EMAN
2
iCAM in green
Others in violet
ENG DC
Topic
Alfresco
Private Cloud
CITEIS
ENG Lab
Data Lake
…
…
Процесс работы iCAM в Cisco
• 10 секунд на детектирование
риска
• 24 часа на устранение рискаСкорость
• 4+ миллиардов событий
ежедневно
• ±2000 инцидентов в кварталОбъемы
• 40+ миллиардов файлов Cisco
были защищены
• 16,000+ серверов мониторится
Ценность
для бизнеса
• User-To-Ops: 100,000 : 1
• 90% сигналов тревоги
управляются автоматически
• Только 1% инцидентов требует
ручной поддержки от Ops
Качество
операций
Эффект от iCAM в Cisco
15,2 миллиона долларов ежегодной экономии / сохранности
Cisco SOC
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования
Cisco Security Analytics Suite
NTA
EDR
SIEM
UEBA /
CASB
AMP for Endpoints
Stealthwatch
CloudLock
Инфраструктура под
расследованием
Меры защиты и
восстановлени
я
Системы коммуникаций и
взаимодействия
РасследованиеМониторинг и
реагирование
Обогащение/TI
Телеметрия и
другие
источники
Решения провайдеров
по ИБ
Управление
сервисамиSecurity Analytics
Suite
AV Intel
Providers
Cloud
Infra
Service
Provider
Solutions
Digital
Forensics
Tools
Security
Case
Management
Enrichment
Providers
Threat Intel
Providers
Платформы для разведки
Threat
Intelligence
Malware
Analysis
Knowledg
e Base
Log
Management
Native
Logs
Cyber Security
Controls
Wiki
Comm &
Collab AppsInternal
Infra
Ticketing
Training
Platforms
Physical Security
Controls
Сейчас
Sensor
Telemetry
Other Data
Sources
C облаков мы также берем данные для анализа
Компонент Предпочитаемое решение Альтернатива
Облачный L3-шлюз Cisco CSR Нет данных
Intrusion Detection (IDS) SourceFire for AWS Snort
Сбор NetFlow Stealthwatch Cloud License nfcapd/nfdump
Passive DNS Cisco’s PDNS Tool OpenDNS
PDNS (Open Source Project)
Operational Intelligence Splunk ELK
Захват сетевых пакетов CSIRT’s PCAP Solution В процессе изучения
Прикладные данные CloudLock SkyHigh
Структура CSIRT
39
NetFlow System Logs
Разведка иисследования
4
Аналитики APT
14
Следователи
22/17
Аналитики
User
Attribution
Analysis
ToolsCase Tools Deep
Packet Analysis
Collaboration
ToolsIntel Feeds
Операционные инженеры3/26
THE INTERNET CISCO ASSETS
THREATS PER QUARTER THREAT DEFENCE
1,558,649,099
39,778,560
19,862,979
770,399,963
25,802,498
3,364,087
20,529
1,978 INCIDENTS MANAGED (QTR)
DNS-RPZ
BGP Blackhole
WSA
ESA
ANTIVIRUS
HIPS
ENDPOINT AMP
CSIRT
Prevention
2,417,877,715 = TOTAL THREATS PREVENTED(QTR)
Detection
Сколько инцидентов поступает в CSIRT?
Реагирование CSIRT: пример
41
Следовать процессу
восстановления CSIRT Zeus
Блекхолингатакующих IP
по BGP
Добавление IP и доменов в сигнатуры и
правила средств защиты
Следовать процессу
CSIRT 0-Day
Уведомить владельца
зараженного узла
Отражение атак: BGP RTBH @Cisco
• OER – Optimized Edge Routing
• Также известен как Performance Routing (PfR):
• Немедленно устанавливает null0 route
• Позволяет избежать дорогостоящего изменения правил ACL или на МСЭ
• Использует iBGP и uRPF
• Не требует дополнительной настройки
• Настраивает /32 null0 route:
42
route x.x.x.x 255.255.255.255 null0
iBGP peering
Cisco Threat Mitigation System (TMS)
Единый инструмент для управления DNS RPZ* и BGP BH*** - Response Policy Zones
** - Black Hole
Cisco Threat Mitigation System (TMS)
У нас SOC строится 17+ лет!
Cisco C-Bridge
• Средняя длительность интеграции инфраструктуры покупаемых/поглощаемых компаний составляет около 1 года после официального объявления
• В переходный период новые сотрудники должны иметь доступ к корпоративным ресурсам с помощью VPN (AnyConnect)
• Политика безопасности Cisco запрещает применять разделение туннелей (split-tunneling), что может привести к снижению продуктивности сотрудников, ухудшению опыта, особенно для инженерных команд
• В процессе интеграционного периода нет возможности мониторить недоверенную сеть
Ряд сложностей у крупной компании
Почему Cisco запрещает split tunneling?
Тип компании Размер Да Нет
US Telecom 30,000 X
US Gov 5000 X
US Carrier 25,000 X
US Hardware Mfg 15,000 X
US Telecom 180,000 X *
US Telecom 250,000 X **
US DDoS SP 2,000 X
US Gov 100,000 X
US Aerospace 130,000 X
US Cyber R&D 1,000 X
US SP 43,000 x
• Служба ИБ Cisco InfoSec считает, что split tunneling при подключении пользователя к недоверенной сети приводит к высокому риску
• Угроза исходит из скомпрометированных устройств, через которые внешние злоумышленники могут иметь доступ внутрь Cisco
• Недавний неформальный опрос Cisco CSIRT подтверждает, что это общая практика * Исключение для принтеров на уровне портов
** Локальные LAN только, без Internet
BRKCOC-190048
Что такое C-Bridge?
• Фундаментально C-Bridge – это сетевое решение, использующее маршрутизаторы, коммутаторы и средства защиты Cisco, для предоставления быстрого, защищенного подключения и мониторинга безопасности новых площадок
• Автономное решение, которые задействует управление идентификацией и проверку пользовательских устройств для обеспечения доступа к корпоративным ресурсам без компрометации безопасности предприятия
• Обеспечивает базу для реализации защитных мер и мониторинга старых сетей
• Плотное взаимодействие разных команд Cisco:
• IT Acquisition Integration
• IT Network Services
• InfoSec Architecture
• InfoSec CSIRT
Внешний вид C-Bridge
BRKCOC-1900 50
Физическая безопасность C-Bridge
• Два набора замков (внутри +
снаружи) на внутренней и
внешней «дверцах» C-Bridge
• Закрытые двери не мешают
работать с проводами для их
подключения к сети и питанию
• После подключения внешняя
дверца может быть оставлена
открытой для обеспечения
вентиляции
BRKCOC-1900 51
Наполнение C-Bridge
• Стойка может быть высотой
до 20 RU
• Сейчас стойка заполнена на
16 RU с дополнительными
(запасными) 4 RU
• 4 RU для IT-наполнения, 12
RU для целей безопасности
и мониторинга
BRKCOC-1900 52
Аппаратные компоненты C-Bridge
Маршрутизация• Cisco 4451 Integrated Services Router
• Cisco 2901 Integrated Services Router
Коммутация • Cisco Catalyst 3850 Switches
Безопасность
• Cisco ASA5545-X Adaptive Security Appliance
• Cisco FirePOWER 7150 Appliance with
Advanced Malware Protection
• Cisco NetFlow Generation Appliance 3340
• Cisco StealthWatch Flow Collector
Сервера • Cisco UCS C-Series rack servers
BRKCOC-1900 53
Программные компоненты C-Bridge
• InfoSec CSIRT мониторит весь доступ к/через Интернет
• В дополнение к межсетевому экранированию:• Sourcefire IDS 7150 with AMP for Networks
• vWSA с AMP for Content с интеграцией с ThreatGrid
• Генерация несемплированного Netflow и передача в Cisco Stealthwatch vFlowCollector
• CSIRT PDNS и Cisco Umbrella
• Qualys Vulnerability Scanner (виртуальный)
• BGP Black Hole/Quarantine
• DLP-функциональность
• Сбор Syslog
BRKCOC-1900 54
Облегченная версия C-Bridge
Создание многоуровневой архитектуры C-Bridge :
• Малая: 2RU = ISR4451 с модулем Etherswitch, FTD дляISR (UCS-E) и UCS-E дляCSIRT VMs, до ~300Mbps
• Средняя: 3RU = ISR4451 с модулем коммутации и 2x UCS-E для CSIRT VMs + ASA5555X-FTD, до ~600Mbps
• Большое: стандартноерешение на ½ стойки C-Bridge, 1Gbps+
Vs.
Преимущества C-Bridge
56
BR
СкоростьОбеспечение параллельного доступа к
корпоративным ресурсам и
недоверенным сетям на 10 месяцев
быстрее
МасштабируемостьРешение может быть внедрено на одной
или нескольких площадках
Сетевая безопасностьВозможность мониторить Интернет и
внутренний трафик в недоверенной сети
для обнаружения потенциальных угроз
Cisco on CiscoПочти полностью состоит из оборудования
Cisco, включая Stealthwatch, NGIPS,
Umbrella
Повторное использованиеОдна стойка может быть повторно
использована в новых проектах
Продуктивность сотрудниковУстраняет необходимость применения
AnyConnect для доступа к локальным
ресурсам
Мониторинг DNS
Внедрение Umbrella
58
(Апрель 2017)
AnyConnect модуль: 78k клиентов за первую неделю,
100k клиентов за 2 недели, 3 кейса
Первая неделя внедрения роумингового клиента:
431k дополнительных блокировок на 12.2k
уникальных узлов (10% от всего)
Верхние 100 пользователей генерят 70%
роуминговых блокировок
Облегченная защита для устройств не защищенных в
Cisco
Покрывает все порты и протоколы, не только web или
Аудит DNS-запросов из устройств, когда они не
подключены к Cisco
Результаты внедрения Umbrella
59
• Решение очень простое для внедрения• Добавляет безопасности
• Облегченное внедрение без внесения изменений в сеть,
обновление через DHCP или статику
• Планирование и управление изменениями 90 дней
• 30 минут на внедрение!
“Все, что нужно, - распространить 4 строки
кода на несколько DNS серверов.”
• 166k событий ВПО блокировано в первые 24 часа,
снижая нагрузку на WSA:
• 62% меньше блокировок “bad web reputation”
• 96% меньше блокировок “bad URL category”
• 82% меньше блокировок“malware”
INTERNET
MALWARE
BOTNETS/C2
PHISHING
& HERE!
LANCOPE
WSA (+ESA)
FIREPOWER
AMP
AMP
AMP
AMP
AMP
AMP
AMP
AMP
MERAKI
AMP
AMP
ASA
HER
E
HER
EHERE
HER
E
HER
E
HQ
Branch Branch
Mobile
Mobile
Cisco Security Ninja
Как обучить 20 тысяч сотрудников основам ИБ?
Различные программы
Несколько десятков модулей
Геймификация при донесении информации
Не только обучение (на высоких уровнях)
Признание и вовлечение
Результаты внедрения программы
Ключевые факторы успеха
• Не более 20 минут на модуль; а еще лучше десять
• Когорта экспертов
• Вирусный маркетинг
• Проектировщики учебных курсов
• Соревнование
• Ломайте правила
• Креативные люди
• Вовлечение руководства
• Геймификация
Подводя итоги
Что приходится мониторить в 6 направлениях Cisco STO?
122K человек/170 стран
26,000 домашних офисов
1,350 лабораторий
2,500 приложений/500 облачных
сервисов
3M IP-адресов/40K
маршрутизаторов
425 устройств, обнаруживающих
инциденты ИБ
350+ сотрудников службы ИБ
(включая расширенный состав)
4TБ данных собирается и
анализируется ежедневно
1.2трлн сетевых событий
15млрд потоков NetFlows
4.7млрд DNS-записей
75млн Web-транзакций• Блокируется – 1.2M (WSA)
94% входящих e-mail блокируется
на периметре (ESA)
47TБ трафика инспектируется• эквивалентно 3.8K часов видео blu-ray
5
Спасибо за внимание!
www.facebook.com/CiscoRu
© 2019 Cisco and/or its affiliates. All rights reserved.
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
www.vk.com/cisco
Оцените данную сессию в мобильном приложении конференции
Контакты:
Тел.: +7 495 9611410www.cisco.com
