Upload
others
View
45
Download
0
Embed Size (px)
Citation preview
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Чужие здесь не ходят
Михаил Кадер
Инженер
00I00I0I00I00I0I00I0II00II00I0 I00I 0I00 I00I 0I0 I000I I0 0I00II 00I0 I0I 00I I0I 00 I0I0I 00I I0I 00 I0I0 0I I00I 0I0I 0I0 0I0I0 I0 0 I0 0 I 0I0 0 I 0 I0I0 0I0I I0I0 I0 0 I00 I0 0I0
0 I0 I00 I 00 I0 0 I 0I0 0I0 0 I0 0 I 0 0I 0I 0I0 I00 I0I0I 00I I0I 00 I0I0 0I I0I0I 0 0I0II0 I00 I0I0I0I00 I0I0 I00 I0I0I 00I I0I 00 I0I0 0I I0I0I 0 0I0II0 I00II0 0I0I0I00 I0I0 I0I0I0I
00I I0I 00 I0I0 0I I0I0I 0 0I0II0 I00 I0I0I0I00 I0I0 I00 I0I0I 00I I0I 00 I0I0 0I I0I0I 0 0I0II0 I00 I0I0I0I00 I0I0 I00 I0I0I 00I I0I 00 I0I0 0I I0I0I 0 0 I0I0I 00I I0I 00 I0I0 0I I
TALOS
Stealth
WatchISE
Внутренняя
инфраструктура
WSA
NGFW
NGIPS
ESA
I0I I0
0I0
00I 0
000I0
0I0
0II0
I 00I0
0I 0
0I0
0II0
I I00I
I0I0
I00I 0
I0I 0
I0 0
I0I0
I0 0
I0 0
I 0I0
0 I 0
I0I0
0I0
I I0I0
I0 0
I00 0
0000I0
0I0
0II0
I 00I0
0I
Интернет
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Преимущества интегрированной архитектуры безопасности, разработанной Cisco
ПОВЕДЕНЧЕСКИЕ IOC • ТРАЕКТОРИЯ ФАЙЛА
КАРАНТИНХОСТА ПО IP
СДЕРЖИВАНИЕПО SGT
CiscopxGrid
Автоматизация управления политиками
Ускорение нейтрализации
Web Security
Email Security
Identity ServicesEngine
Firepower NGFW/NGIPS
Stealthwatch
Осведомленность о контекстеУскорение расследования
AMP Cloud, Cognitive, и Threat Grid
NETFLOW И ENCRYPTED TRAFFIC ANALYTICSХЕШ • АРТЕФАКТ
ДОМЕН • IP • URL
Сетевоеоборудование
Компоненты DNA
AMP for Endpoints
Umbrella NGFW/NGIPS
Steathwatch
Cisco pxGrid
Полный объективный контрольУскорение обнаружения
Threat Intel/Активная защитаЭффективное предотвращение
Cisco Talos
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Содержание
• Введение
• Что такое политика?
• Обеспечение видимости
• Обнаружение и классификация активов
• Определение связей и создание политики
• Заключение
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Политика
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Зачем нужна сегментация?«Благодаря сегментации сети Eataly
удалось изолировать
скомпрометированный терминал POS
в одном из магазинов и предотвратить
потенциальную компрометацию
систем в 26 других филиалах сети в
разных частях света».«Сегментация сети… представляет собой одно из наиболее эффективных средств контроля, которые компания может реализовать для нейтрализации второго этапа вторжения, распространения или горизонтального продвижения угрозы в сети».«Благодаря эффективной
сегментации сети… уменьшается область, в которую злоумышленник может продвинуться в сети».
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сегментация и политика безопасности сети
Статич. ACL
Область DHCP
RAW-адреса
VLAN
Групповая политика
Политика безопасности должна устанавливать иерархию прав на доступ, то есть предоставлять пользователям доступ только к тем ресурсам,
которые необходимы для конкретной работы.
• https://en.wikipedia.org/wiki/Network_security_policy
Частная сеть VLANРезервирование
Маршрутизация
Межсетевой экран
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сегментация – это процесс
Определение задач
Видимость: анализ поведения
Определение кластеров и сегментов
Контроль: это будет работать?
Принудительное применение:активное принудительное
применение
Непрерывный мониторинг и контроль
Утверждение
Непрерывное совершенствование
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Постановка задач и успешная реализация Пример задачи: соответствие установленным нормативным
требованиям и уменьшение поверхности угроз
Кто должен оценивать результаты выполнения этой задачи?
Даже если сегментация работает надлежащим образом, если аудитор недоволен, то задача не выполнена.
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Старт проекта сегментации
Точки принудительного
применения политикиАнализ активов для
защиты
Механизмы
классификации
Пример:
данные о владельцах карт,
медицинские записи,
интеллектуальные данные
Пример:
динамический,
статический и т. д.
• Сегментация ЦОД
(виртуальные/физические
коммутаторы или
виртуальные/физические
межсетевые экраны в ЦОД)
• Контроль доступа
пользователей к ЦОД
• (Выявление задействуемых
коммутаторов или межсетевых
экранов на маршруте)
Методы
распространения
• Встроенное тегирование
• Внеполосное
«наложение»
• Подразумеваемый
• И прочее
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Подход к проектированию
• Начните с поставленных целей, например,• контролируемого доступа к производственным системам или серверам PCI и т. д.
• Помните, что можно применять различные сценарии, адаптировав их к своим потребностям, например следующие.
• Контроль доступа пользователей к ЦОД• BYOD• Контроль доступа подрядчиков• Безопасность экстранета• Упрощение правил межсетевого экрана, доступа к VPN, списков ACL или правил WSA
• Начинать имеет смысл с задач с высокими операционными расходами
• Сложные списки ACL, сложность правил межсетевого экрана – вот хорошие примеры того, где динамические объекты (TrustSec, межсетевой экран с идентификацией и т. д.) могут быть максимально полезны
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Старт проектирования• Прежде всего, определите активы для защиты.
• Данные о владельцах карт, медицинские устройства• Выберите механизмы классификации систем (назначение активам тегов SGT).• Используя цели политик, определите, где требуется принудительное применение
политик, например в следующем.• Сегментация приложений для производственных и непроизводственных зон
• (например, облачные/виртуальные/физические коммутаторы или облачные/виртуальные/физические межсетевые экраны, предназначенные для защиты таких активов)
• Контроль доступа пользователей к ЦОД• (выявление задействуемых коммутаторов или межсетевых экранов на маршруте, в которых можно
активировать функцию начального принудительного применения)
• Выберите объекты для устройств принудительного применения политик в автоматизированном режиме.• Плоскость менеджмента/управления – интерфейсы API REST с pus/sub, PxGrid, SXP и т. д.
• Плоскость данных – TrustSec (VXLAN, DMVPN и т. д.) ACI (VXLAN и т. д.)
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Принтер 1 Принтер 2
Логические группы на основе бизнес-целей
• Бизнес-группы для
согласованного
применения политики
и контроля доступа,
независимо от
топологии сети
• Атрибуты применения,
например,
местоположение и тип
устройства для
определения
назначений в группу
Подрядчики Управление
зданием
Сотрудники
Подрядчик 1
Подрядчик 2
Подрядчик 3 Подрядчик 4
Сотрудник 1 Сотрудник 2 Сотрудник 3
Сотрудник 4
Сервер финансовой службы Принтеры
Фин. 1 Фин. 2
Датчик
температуры 1
Датчик
температуры 2
Устройство
видеонаблюдения 1
Устройство
видеонаблюдения 2
50°
50°
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Упрощение процесса добавления, перемещения
и изменения
Использование групп для
защиты устройств, ошибки
в которых нельзя устранить
Использование групп для
представления подозрительных
устройств на основании
обнаруженного состояния угрозы
Упрощение
процесса
администрирования
Управление
сложностью
Сокращение
операционных
расходов
Более
согласованная
политика
безопасности
Уменьшение
времени на
внесение
изменений
Представление состояния
угрозы или уязвимых устройств
Простые способы добавления политики контроля доступа для
новых объектов
Приобретаемые
компании и партнерства
Облако
Интернет
вещей
BYOD
Групповые политики
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Объекты безопасности сети – начальные соображения
• В отличие от традиционной сегментации/контроля доступа…• Процесс добавления в будущем динамически назначаемых групп должен быть несложным
(TrustSec/SD Access, ID FW и т. д.).• Никакого воздействия на конфигурацию инфраструктуры, процесс настройки групп полностью
централизованный.
• Максимально простая процедура поддержки групп при внесении изменений для обеспечения соответствия требованиям политики.
• Простая процедура добавления объектов безопасности в будущем, при необходимости.
• Не обязательно транслировать полностью существующие «сложности», как например, все группы AD, в объекты безопасности (не 1 AD: 1 объект безопасности).
• Цели обеспечения соответствия нормативам, роли, ранее используемые для назначения сетей VLAN, были простыми.
• Учитывать ситуацию, если для всех ролей будет требоваться назначенный объект
безопасности?
• Следует помнить, что членство в группе может изменяться очень часто, но группы
и групповые политики не должны изменяться часто.
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Создание матрицы политик
Исходная группа
Целевая группа
Действие
• Как обнаружить активы?• Как создать группы?• Как выбрать политику?• Как узнать, что моя политика является
верной?• Как убедиться, что она работает?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Область обсуждения: корпоративная политика
Комплекс зданий
ЦОД
Облако
Филиал Общая политика и определения
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Немного практики
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обеспечение видимости
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что значит видимость?
Знание оконечных устройств
Знание взаимосвязей
Сетевыесервера
ОС
Рутера и свитчи
Мобильныеустройства
Принтеры
VoIP телефоны
Виртуальныемашины
Файлы
Пользователи
Web приложения
Прикладныепротоколы
Сервисы
ВредоносноеПО
Серверауправленияботнетами
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Атрибуты хоста
• Роль в транзакции
• Роль в организации
• Тип устройства
• Имя пользователя
• Обратный DNS
• …
• И прочее
Атрибуты хоста
• Роль в транзакции
• Роль в организации
• Тип устройства
• Имя пользователя
• Обратный DNS
• …
• И прочее
Моделирование сетевой транзакции
Атрибуты транзакции
• Время
• Число байт, пакетов
• Протоколы и порты
• Приложение
• Содержимое приложения
• Имя процесса
• …
• И прочее
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обеспечение видимости с помощью телеметрии
Маршрутизаторы
Идентификаторы
Облачные сервисы
…
Сбор данных Анализ
РезультатыИсточники данных
Любые данные, полезные для получения результата
Хранилище
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример оборудования для сбора данных
Cisco Stealthwatch
Cisco Identity Services Engine
Cisco Stealthwatch: модуль сбора и агрегатор сетевых телеметрических данных для анализа и мониторинга системы
безопасности.
Cisco ISE: модуль сбора и агрегатор сетевых телеметрических данных для обеспечения защищенного сетевого доступа
следующего поколения.
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE: создание таблицы сеансов
Профилирование (в режиме сбора данных)• Выполняется инфраструктурой• (DHCP, HTTP и т. д.)• На основе сигнатур
Активная аутентификация(выполняется хостом)• Аутентификация пользователей и устройств • Обходной механизм аутентификации
по MAC-адресам• Веб-портал
Активная аутентификация
Пассивная аутентификация (в режиме сбора данных)• WMI, агент, SPAN, Syslog, REST API, зонд
оконечного устройства
Таблица сеансов
Определения групп
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Профилирование Cisco ISE
Сервис каналов
(онлайн/офлайн)
NetFlow DHCP DNS HTTP RADIUS NMAP SNMP
CDP LLDP DHCP HTTP H323 SIP MDNS
АКТИВНЫЕ ЗОНДЫ
СЕНСОР УСТРОЙСТВ
1,5 мил-лиона
550+
250+
устройств с ‘50’ атрибутами
в каждом (могут храниться)
Высокоуровневые готовые
профили. + Периодические
каналы
Профили медицинских
устройств
Cisco ISE
Сеть Cisco
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Stealthwatch: создание таблицы потоков
NetFlow/IPFIX
Логи
Определения групп
Анализ угроз
Идентификатор пользователя/
устройства
Транзакционный Контекстный
Таблица потоков
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Запись диалогового потока
КтоКтоЧто
Когда
Как
Где
Больше контекста
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
«Декорированная» запись диалогового потока
Телеметрия ISE
NBAR
Применяемая ситуативная осведомленность
Сенсор потоков
Привязка Geo-IP
Анализ угроз
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обнаружение и классификация активов
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Классификация: задача Все активы, подключенные к сети
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Классификация: задача
Не мои вещи
Мои вещи
ФункцияМестоположение
Приложение
СерверыNGFW
……
HQ Филиал
Колокация…
HR Изображения
…
Geo-IP Номера ASN
Исследование угроз
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример подхода: анализ с наложением
• Цель: эффективное создание меток для моделирования политики между бизнес-активами
• Применение телеметрических данных для создания классификации
• «Декорирование» телеметрических данных с помощью данной классификации
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Методы классификации
• Статический:• Хосты сопоставляются с классификацией, которая не
изменяется
• Динамический:• Хосты классифицируются повторно на основании своих
атрибутов
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Принцип классификации: шаг 1
Начните с известных вам вещей
Корпоративные записи:
• IPAM, CMDB
• DNS
• Местоположение и подсеть
• И прочее
Контроллеры
• IOT Historian
• Например, Industrial NetworkDirector
• Контроллеры SD
• Сетевой доступ
• Назначения авторизации
• И прочее
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Динамические механизмы
Статические механизмы
VN
Профиль виртуальн.
порта
IP-адрес Сети VLANПодсети
Интерфейс L3
Порт
ACI (для приложений)
Идеальный вариант для пользователей и мобильных устройств
Оконечные устройства пользователя
Внутренняя ИТ-инфраструктура и политика на основе топологии
Внутренние ресурсы
Внешние партнеры и сторонние подключения
Партнеры и внешн.Ста
тиче
ски
й.
Ди
нам
иче
ски
й
Группа 1
Группа 2
Группа 3
Группа 4
Виртуальные системы
Пассивный ID (Easy
Connect)
MAB,Профили-рование
802.1X.WebAuth
pxGridи интерфейс
REST API
Методы классификации Trustsec/SD-Access
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Интерфейсы API групповой политики
• Обмен информацией о группе для упрощения управления политиками
• Обмен классификациями для сокращения операционных расходов, обеспечения согласованности и упрощения аудита
• Несколько облаков с согласованной политикой
Корпоративные группы безопасности – основа для
Cisco DNA/SDA
APICDC
ACI Группы
оконечных устройств
AWSГруппы
безопасности
Сеть Azure
Группы безопасности
API и интеграция скриптов между контроллерами
Группы безопасности
Группы безопасности
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Цель: согласованные группы безопасности и идентификация, используемые совместно между доменами TrustSec/SD Access и ACI
• Использование групп безопасности TrustSec/SD Access в политиках ACI
• Использование групп оконечных устройств (EPG) ACI в политиках в масштабе предприятия
• Упрощенное управление устройствами безопасности с помощью классификаций TrustSec/SD Access и ACI
Создание групповых политик на предприятии
Интернет Прил. БДФабрика ACI
ЦОДДомен политик APIC
APIC
Домен политик EPGДомен политик SGT
ISE 2.1+
Домен TrustSec/SD Access
Голос Сотрудники Поставщик BYOD
Комплекс зданий/филиал/ЦОД не типа ACIДомен политик TrustSec/SD Access
ГолосVLAN
ДанныеVLAN
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Группы безопасности, подготовленные в ACI
ISE динамически подготавливает теги SGT в фабрике ACI как группы EPG
ACITrustSec/SD Access/SD Access
Теги группы безопасности/масштабируемой группы
Теги SGT, представленные в видевнешних групп EPG
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE динамически узнает о группах EPG и привязках ВМ из фабрики ACI
ACI
ВМ 1
ВМ 1000
Домен TrustSec/SD Access
TrustSec/SD Access
Фабрика ACI
Контроль политик Доступ к ЦОД ACI
Домен TrustSec/SD Access/SD Access автоматически узнает о серверах приложений ACI
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Облако IaaS – атрибуты
Получили теги?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Атрибуты рабочей нагрузки в облаке
IP 10.20.5.135
API
APIIP-адрес рабочей нагрузки Назначенная масштабируемая группа
10.20.5.135 Prod_Srvr
Сопоставление
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Определение политики классификации
Атрибуты AWS (теги AWS, группы безопасности)
Информация, представляемая в сеть Cisco как SGT
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Группы хостов Stealthwatch
Список, диапазон, блок IP-адресов
Иерархическая структура
Примеры:
• Мои серверы DNS – 10.1.1.10 и 10.1.1.11
• Все мои терминалы POS – 10.20.20.0/24
• Мой HQ – 10.0.0.0/8
• И прочее
• Хост может присутствовать в нескольких группах хостов
• Хост не может быть одновременно внутренним и внешним
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Построение групп
Определения групп как телеметрия через API• IPAM• Анализ угроз• И прочее
Вручную• Ввод данных• Поиск
Автоматически• Классификатор
хоста
Постоянно помните о своих целях!
Группы удобны для аналитических заданий, но все сразу классифицировать
не нужно.
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Автоматизация групп хостов
Базы данных ASN:IP
IPAM
Исследование угроз
И прочее
Контекстные определения IP-адресов
Преобразование в группы хостов с помощью скриптов
https://cisco.box.com/v/stealthwatch-hg-scripts
TetrationAnalytics
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: преобразование инвентарного реестра IND в группу Stealthwatch
Инвентарный реестр активов IND
Промежуточное ПО выполняет запланированный скрипт:
• для вызова API в IND для поиска в инвентарном реестре;
• для преобразования в файл Stealthwatch XML;
• для отправки нового XML-файла в SMC через API.
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Принцип классификации: шаг 2
Определение местоположения активов на основе их поведения
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обнаружение серверов на основе поведения
• Поиск основных узлов, обслуживающих трафик
• Фильтрация по интересующим службам/приложениям
• Начните с хорошо известных сервисов
• DNS (UDP/53)
• Почтовые серверы (imap4, smtp)
• Контроллеры доменов
• Kerberos и NetBIOS и SMB и LDAP
• Файловые серверы и серверы резервного копирования (nfs, smb)
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример обнаружения серверов DNS
Проанализируйте объем
Предположительно серверы DNS: необходимо проверить
Мошенничество или неправильная конфигурация
Резкое уменьшение
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Приложение Stealthwatch Host Classifier
• Формирование предложений по размещению неклассифицированных хостов в группы
• Пользователь может рассматривать и подтверждать предложения, отклонять или исключать
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проверка достоверности классификации сервера
Утверждение
10.1.1.15
–
Сервер архива изображений
Проверка корпоративных записей
• Сравнение с любым IPAM
• Обратный DNS
• Проверка достоверности корпоративного владения
• Местоположение и подсеть
Какие клиенты?
• Тип клиента (ISE)
• Конечные пользователиДругие действия
• Что еще он обслуживает?
• К чему еще он подключен?
• Другие приложения
• Порты/протоколы
Поиск потоков
• См. предыдущие 2 слайда
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обнаружение клиентовПоиск наиболее активных узлов, взаимодействующих с группой серверов архива изображений
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Идентификация входящих клиентов
Все входящие клиенты за текущий день
Ранжирование по объему
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Идентификация клиентов приложений
Фильтрация наиболее активных узлов по известным данным о
приложениях (https)
Идентификация потенциальных пользователей рентгеновских
исследований
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проверка достоверности и классификация клиентов
Взгляните, доктор!
Классификация в группу «клиент для рентгеновских
исследований»
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Экспорт и анализ данных
StealthwatchFlow Collector
StealthwatchFlow Collector
StealthwatchFlow Collector
…
Сбор данных
Пример клиента модуля экспорта данных:https://developer.cisco.com/docs/stealthwatch/
ПО/скрипты для анализа данных
Другие источники данных
Классификации
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Анализ кластеров
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Определение связей и создание политики
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Устр. 3 прил. 1
Униф. связь HVAC Биллинг
Гостевые устройства
Пол. 1 прил. 2
ИнтернетГости Партнер
Пол. 1 прил. 1
Пол. 2 прил. 1
Пол. 1 прил. 3
Пол. 1 прил. 4
Нетсоответствия
Админ.Аудит
Внешние
Устройства
Пользователи
Устр. 2Прил. 1
Устр. 1 прил. 3
Устр. 2 прил. 3
Прил. 1
Устр. 1Прил. 2
Прил. 3
Устр. 2 Прил. 3
Униф. связь
Безопасность
HVACСервер ADСетевыеслужбы
Доступ BYOD
Устр. 1Прил. 3
Устр. 1Прил. 1
Приложения/службы
Сопоставление взаимосвязей между объектами безопасности – все группы
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Атрибуты хоста
• Роль в транзакции
• Роль в организации
• Тип устройства
• Имя пользователя
• Обратный DNS
• …
• И прочее
Атрибуты хоста
• Роль в транзакции
• Роль в организации
• Тип устройства
• Имя пользователя
• Обратный DNS
• …
• И прочее
Учет требований бизнес
Атрибуты транзакции
• Время
• Число байт, пакетов
• Протоколы и порты
• Приложение
• Содержимое приложения
• Имя процесса
• …
• И прочее
У нас есть данные. Как они связаны с бизнесом?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Моделирование политик
Группа A Группа BПолитика корректна?
Используйте классификацию и политику как телеметрические данные
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сопоставление в Stealthwatch
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сопоставление в Stealthwatch
Межсистемные связи
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Политики Tetration
Моделирование связи между кластерами
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Агрегирование классификаций и связей
Используйте наши классификации и связи как телеметр. данные
Stealthwatch Cloud
Stealthwatch
Tetration
ISE
Active Directory DNS
и т. п.
ПО дляагрегирование
Cloud Native
Модель связей
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Админ.
Устр. 3 прил. 1
Биллинг
Пол. 1 прил. 1 Пол. 2 прил. 2
Устройства
Пользователи
Устр. 2Прил. 1
Прил. 1 Прил. 2
Устр. 1Прил. 2
Сервер AD
Сетевыеслужбы
Устр. 1Прил. 1
Приложения/службы
Объект безопасности – анализ одного приложения
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: настраиваемое событие системы безопасности Stealthwatch
Тема(атрибуты)
Узел(атрибуты)
Сгенерируйте действие, когда одиночный поток будет соответствовать выбранным условиям
Соединение(атрибуты)
Обеспечивает эффективное моделирование и мониторинг политики
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Stealthwatch CSE, использующий метаданные TrustSec/SD Access
Логическое описание настроенного события
Выполняемое действиеУсловия для темы, соединения и узла
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
CSE, использующее метаданные TrustSec/SD Access: событие
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Детали потока в TrustSec/SD Access CSE
Такой обмен данными
разрешен?Настройка
Да
Реагирование
Нет
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
CSE, использующий TrustSec/SD Access и атрибуты Geo-IP
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
CSE, использующее метаданные TrustSec/SD Access: событие
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Детали потока в TrustSec/SD Access и Geo-IP CSE
?
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Уточнение связей
Группа A
Группа B
Группа C
Связь A<->B Связь A<->C Связь B<->C
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример матрицы политик
✓ o o ✗ o o o o ✗ ✗ ✗ ✗ ✗ o o o ✗ ✗ o ✗ ✗
o ✓ o o o o o o o o o o o o o o o o o o o
o o ✓ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ o o o ✗ ✗ ✗ ✗ ✓
✗ o ✗ ✓ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗
o o ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✓ ✗ ✓ ✗ ✗ ✗ o ✗ ✗ ✗
o o ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ o ✗ ✓ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗
o o ✗ ✗ ✗ ✗ o ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗
o o o ✗ ✗ ✗ ✗ ✓ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o ✗
✗ o ✗ o ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o
✗ o ✗ ✗ ✗ ✗ o o ✗ ✓ ✗ ✗ ✗ o o o ✗ ✗ ✗ ✗ ✗
✗ o ✓ ✗ ✓ o ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
✗ o ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
✗ o ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
o o o ✗ ✓ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ o o o ✗ o ✗ ✗ o
o o o ✗ ✗ ✓ ✗ ✗ ✗ o ✗ ✗ ✗ o o o ✗ o ✗ ✗ o
o o o ✗ ✗ ✗ ✓ ✗ ✗ o ✗ ✗ ✗ o o o ✗ o ✗ ✗ o
✗ o ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗
✗ o ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o o o ✗ o ✗ ✗ ✗
o o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o ✗ ✗
✗ o ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o ✗
✗ o ✓ ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ o o o ✗ ✗ ✗ ✗ o
Дом
ен у
прав
лени
я Ц
ОД
Серверы AD
Сетевые службы
Униф. коммуникации
HVAC
Прил. 1
Прил. 2
Корпоративный домен управления
Безо
пасн
ость
Кара
нтин
Устр
. 1 п
рил.
1
Устр
. 2 п
рил.
1
Устр
. 1 п
рил.
2
Пол.
1 п
рил.
1
Пол.
1 п
рил.
2
Пол.
1 п
рил.
3
HVAC
Дост
уп B
YOD
Пол. 1 прил. 1
Пол. 1 прил. 2
Пол. 1 прил. 3
HVAC
Униф
.
ком
мун
икац
ии
Прил. 3
Приложения безопасности
Прил
ожен
ия
безо
пасн
ости
Дом
ен у
прав
лени
я VD
I пар
тнер
а
ДМЗ
в Ин
терн
ете
Прил
. 1
Прил
. 3
Домен управления VDI партнера
ДМЗ в Интернете
Целе
вая
груп
па
Дом
ен у
прав
лени
я ко
рпор
атив
ным
сай
том
Серв
еры
AD
Сете
вые
служ
бы
Униф
.
ком
мун
икац
ии
Исходная группа
Домен управления ЦОД
Доступ BYOD
Карантин
Безопасность
Униф. коммуникации
Прил
. 2
Устр. 2 прил. 1
Устр. 1 прил. 2
HVAC
Устр. 1 прил. 1
Запрещено
Разрешено
ACL
Условные обозначения
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Заключение
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Итак
81
Технологии Cisco могутобеспечивать видимость
пользователей, устройств и действий
Политику безопасности можно эффективно
моделировать и проверять
Для создания эффективной политики безопасности нужны данные
Спасибо за внимание!
www.facebook.com/CiscoRu
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
www.vk.com/cisco
Оцените данную сессию в мобильном приложении конференции
Контакты:
Тел.: +7 495 9611410www.cisco.com