Контроль доступа к Интернет - Cisco · • Контроль не-web...
Transcript of Контроль доступа к Интернет - Cisco · • Контроль не-web...
![Page 1: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/1.jpg)
Контроль доступа к Интернет
Лукацкий Алексей[email protected]
10.10.16 © 2015 Cisco and/or its affiliates. All rights reserved.
![Page 2: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/2.jpg)
Решения Cisco по защите и контролю доступа в Интернет
ASA с FirePOWER Services / Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance(Physical & Virtual)
Cisco ISR с FirePOWERServices
![Page 3: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/3.jpg)
Фильтрация Web - WSA/CWS & FirePOWER
• Фильтрация URL• Репутация Web
• Web-приложения (Facebook, LinkedIn, Twitter и т.д.)
• Идентификация пользователей
• Действия с политиками: Allow/Warn/Block• Предупреждение пользователей• Продвинутая генерация отчетов
• AMP/Advanced Malware Protection• Мониторинг трафика L4
• Кеширование (WSA)• Ограничение полосы пропускания
• Сигнатурные антивирусы• Расшифрование высокого % HTTPS• Data Loss Prevention (WSA)• Прозрачный / явный прокси (WSA)
• FTP & SOCKS Proxy (WSA)• Мобильные пользователи (CWS)
• Расширенные функции Web-прокси• SSO для приложений SaaS
• Inline Stateful Firewall• Контроль не-web приложений (Skype, Oracle)• Сетевые протоколы (SMTP, DNS, ICMP)
• Контроль доступа L3-7
• Сетевые возможности (NAT, Routing, VPN, TCP Intercept и т.д.)
• NGIPS (File Trajectory, IoC)
WSA / CWS ASA с FirePOWER
Корпоративный Web Proxy NGFW
![Page 4: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/4.jpg)
Web Filtering
Cloud Access Security
Web Reputation
Application Visibility and
ControlParallel AV Scanning
Data-LossPrevention
File Reputation
Cognitive Threat
Analytics*
XX X X
ДоПослеВо время
X
File Retrospection
www
Мобильный пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial BlockОсновной офис
WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client АдминПеренаправле-ниетрафика
www
HQ
File Sandboxing
X
Client Authentication
Technique
* Roadmap feature: Projected release 2H CY15
XCisco® ISE
Cisco Web Security Appliance
![Page 5: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/5.jpg)
1. Сканируем текст
Cisco Web Usage ControlsURL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к эталонным документам
4. Возвращаем самое близкое значение категории
2. Вычисляем релевантность
FinanceAdultHealth
Finance Adult Health
AllowWWW WarnWWW WWW Partial Block BlockWWW
5. Enforces policy
If Unknown, the Page Is Analyzed
BlockWWW
WarnWWW
AllowWWW
If Known
![Page 6: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/6.jpg)
Репутационный анализСила контекста реального времени
Suspicious Domain Owner
Server in High Risk Location
Dynamic IP Address
Domain Registered
< 1 Min192.1.0.68example.comExample.org17.0.2.12 BeijingLondonSan JoseКиев HTTPSSLHTTPS
Domain Registered > 2 Year
Domain Registered < 1 Month
Web сервер < 1 места
Who HowWhere When
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 1110100111010010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10IP значение репутации
![Page 7: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/7.jpg)
Сканирование malware в реальном времениDynamic Vectoring and Streaming
Сигнатурный и эвристический анализЭвристическое обнаружениеИдентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверкаИдентификация известного поведения
Множество механизмов
сканирования malware
Оптимизация эффективности и уровня обнаружения с интеллектуальным мультисканированием
Расширение сигнатурного покрытия с использованием нескольких механизмов
Улучшение впечатления с помощью параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного трафика с помощью перехвата и расшифровки SSL соединений
![Page 8: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/8.jpg)
Эмуляция в реальном времени
Sandbox реального времениАнализ для защиты от атак 0-day
![Page 9: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/9.jpg)
Layer 4 Traffic MonitorОбнаружение зараженных узлов
Пользователи
Cisco®
S-Series
Network -Layer
Analysis
Мощные данные antimalwareПредотвращение трафика“Phone-Home”
§ Сканирует весь трафик, все порты и все протоколы
§ Обнаружение malware, обходящее порт 80§ Предотвращение трафика botnet
§ Автоматически обновляемые правила§ Генерация правил в реальном времени
с помощью “dynamic discovery”
Инспекция пакетов и
заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter
![Page 10: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/10.jpg)
Предотвращение утечек данныхСнижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd-pary вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
РасширенныйDLP
Базовый DLP
Dropbox
Microsoft Outlook
Gmail
![Page 11: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/11.jpg)
Cisco Web Security Полное управление пользователями
Data-Loss Prevention (DLP)
Application Visibility and Control (AVC)
Admin
AllowWWW
Централизованное управление и
отчетностьPolicy
Защита от угрозПользователь
Cisco® Web Usage Controls
Partial Block
WWW
BlockWWW
![Page 12: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/12.jpg)
Что делать с мобильными пользователями?Cisco AnyConnect Secure Mobility Client
Пользователь с ноутбуком, планшетом или телефоном
Роуминг-пользователь с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Delivers Verdict
WSA веб безопасность
Расположение web безопасности
CWS web безопасность
Router or firewall re-route traffic to WSA or CWS
Перенаправление web трафика
Работа с WWW через VPN
Перенаправление трафика на ближайший web прокси
Cisco AnyConnect®
Client
VPN
ACWS
VPN
![Page 13: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/13.jpg)
Унифицированный репортинг
Унифицированное управление и репортинг
Унифицированные политики
Роуминговый пользователь HQ
Облачный GUI поWeb-безопасности
WSA
Роуминговый пользователь HQ
Приложение длягенерации отчетов
WSA
ü
üüü
![Page 14: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/14.jpg)
Высокопроизводительная платформа прокси, Интегрированная аутентификация
Многоядерная оптимизация Интегрированная идентификация и аутентификация
§ Отсутствие проблем, связанных с задержкой при антивирусном сканировании
§ Включание функционала мультисканирования для увеличения эффективности безопасности
§ Оптимизация для сложного веб контента
§ Политики идентификации§ Прозрачная, single sign-on (SSO)
аутентификация в Active Directory§ Гостевые политики, реавторизация§ Поддержка нескольких не связанных между
собой деревьев
NTLM/Active Directory
LDAP
Secure LDAP
CRES0
1
2
3
4
5
6
1-Core 2-Cores 4-Cores
Burdened System Capacity(Web Transactions/Hour)M
illio
ns
![Page 15: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/15.jpg)
Дополнительная информация по WSA
![Page 16: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/16.jpg)
Требования клиентов ASA FirePOWER WSA/CWS OpenDNS Umbrella Meraki MX
Качество URL фильтрации
Advanced Malware Protection
Next Generation IPS
Роуминг/защита вне сетевых пользователей
Web использование и compliance
Web/HR отчетность
Унифицированная платформа (UTM/NGFW)
Облако
Облачное управление
Простота развертывания
Относительная стоимость решения
Domain Name
Full Tunnel VPN + AMP
CWS
CWS
AMP скороCognitive Threat Analytics + AMP API Driven – e.g. FireEye Integration
![Page 17: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/17.jpg)
Алгоритм выбора решений по безопасности Web
Это замена web-прокси?
Да
Нужна защита для мобильных пользователей Web?
Да
Нет
Это SMB-заказчик?
Да
Нет Они готовы коблачному решению?
Да
Нет
Cloud Web Security
Meraki MX
Централизован ли Интернет-трафик?
Отдается предпочтение комбинации защите Web с NGFW/UTM?
Да
Нет
Web Security Appliance
ASA with Firepower Services
Да
Нет
ASA with Firepower Services
Web Security Appliance
Cloud Web Security
OpenDNS
Meraki MX
OpenDNS
Нет
ASA with Firepower ServicesRegardless
Add-on OpenDNS Umbrellafor DNS Threat Protection
Add-on OpenDNS Investigatefor Enhance Web Threat Intel
OpenDNS
![Page 18: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/18.jpg)
Cisco Cognitive Threat Analytics
![Page 19: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/19.jpg)
Реалии современных киберугроз
Злоумышленники вероятнее всего будутконтролировать вашу
инфраструктурой черезweb
Вероятнее всего вас взломают через
Ваше окружение будет взломано
![Page 20: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/20.jpg)
Вредоносный код: обнаружение и обход
Техники обнаружения Техники обхода
Известные сайты и узлы в Интернет Смена узлов / страницыперенаправления
Песочница Обнаружение виртуализации
Антивирус Обнаружение антивируса / безфайловое инфицирование
Сигнатурные системы (IDS/IPS) Обфускация файлов / полиморфный код
![Page 21: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/21.jpg)
Что может быть использовано для обнаружения Web-угроз? Разве это все?!
Анализ файлов в Web-трафике на лету
Отправка файлов для анализа в
песочнице
Анализ DNS-запросов и ответов
Категоризация и контроль репутации
URL
ThreatGRIDWSA/CWS
![Page 22: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/22.jpg)
Как работает CTA?
Обработка, близкая к реальному времени
1K-50K инцидентов в день10B запросов в день +/- 1% аномалий 10M событий в день
HTTP(S)Request
Классификатор X
Классификатор A
Классификатор H
Классификатор Z
Классификатор K
Классификатор M
Кластер 1
Кластер 2
Кластер 3
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request HTTP(S)
Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
Кластер 1
Кластер 2
Кластер 3
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)RequestHTTP(S)
Request
HTTP(S)Request
HTTP(S)RequestHTTP(S)
Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)RequestHTTP(S)
Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
Обнаружение аномалий Моделирование доверия Классификация Моделирование сущностей
Моделирование отношений
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)RequestHTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
ПОДТВЕРЖДЕН взлом(нескольких пользователей)
ОБНАРУЖЕНА угроза (unique)
![Page 23: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/23.jpg)
Идентификация аномального web-трафика с помощью статистического анализа
Распознавание атак путем анализа имени доменов в каждом запросе HTTP/HTTPS
Обнаружение инфекций в web-запросах
Обнаружение широкого спектра угроз путем анализа коммуникаций с серверами C2
Определение опасного трафика, тунелированного в HTTP/HTTPS-запросы путем использования IOC
Что может обнаруживать CTA?
Утечки данных Domain Generation Algorithm (DGA)
Exploit KitКоммуникации с C2-серверами
Туннелированиечерез HTTP/S
![Page 24: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/24.jpg)
Cisco WSA (Web Security Appliance)
Внешняя телеметрия (BlueCoat Sec. GW)
Cisco CWS (Cloud Web Security)
CiscoCognitive ThreatAnalytics (CTA)
Confirmed Threats
Detected Threats
Threat Alerts
Реагированиена инциденты
HQ
STIX / TAXII APICTA
CTA
CTA
SIEMs:Splunk, ArcSight, Q1 Radar, ...
HQ
Web Security Gateways
Cloud
Web Security Gateways
CTA a-la-carteATD bundle = CTA & AMPWSP bundle = CWS & ATD
CTA a-la-carte
CTA a-la-carte
Логи Web (входная телеметрия)
Обнаружение взломов &Видимость сложных угроз
Архитектура Cognitive Threat Analytics
![Page 25: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/25.jpg)
Процесс реагированияСила в интеграции с другими решениями Cisco
Подтвержденные взломы:Автоматическое создание тикета, используя существующий SIEM для команды на очистку или переустановку ПК
Подозреваемые взломы и целевые атаки:
Комбинация высокого риска и высокой уверенности с подозреваемой утечкой данных может быть эскалирована на аналитиков 3-го уровня поддержки для ручного анализа
![Page 26: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/26.jpg)
CTA: что происходит после обнаружения
IPS
ISE ИТ-служба
CTA AMP For Endpoint
SIEM
AMP For Endpoint
Обнаружение угрозы Немедленная реакция Финальная реакция
Быстрота и автоматизация
Цель: блокировать каналы, по которым работает ВПО для предотвращения утечки данных
Тщательность и адаптация
Цель: понять причину и источник, оценить потери, обновить политики
![Page 27: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/27.jpg)
CTA: Обнаружение C2 10мин
Обнаружение угрозы Немедленная реакция Финальная реакция
![Page 28: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/28.jpg)
ISE: Карантин пользователя 15мин
Обнаружение угрозы Немедленная реакция Финальная реакция
![Page 29: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/29.jpg)
AMP4E: Блокирование C2-канала 20мин
Обнаружение угрозы Немедленная реакция Финальная реакция
![Page 30: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/30.jpg)
AMP4E: Поиск файлов, генерящих C2 20мин
Обнаружение угрозы Немедленная реакция Финальная реакция
![Page 31: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/31.jpg)
AMP4E: Блокирование ВПО
Unknown
30мин
Обнаружение угрозы Немедленная реакция Финальная реакция
![Page 32: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/32.jpg)
AMP4E и CTA 30мин
Обнаружение угрозы Немедленная реакция Финальная реакция
![Page 33: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/33.jpg)
AMP4E+SIEM: разбор полетов 1 день
Ошибка пользователя? Уязвимое приложение? Новый эксплойт?
Обнаружение угрозы Немедленная реакция Финальная реакция
![Page 34: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/34.jpg)
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/
![Page 35: Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,](https://reader033.fdocuments.us/reader033/viewer/2022060420/5f172027aff9421688325984/html5/thumbnails/35.jpg)
CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.