Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной

© 2011 Cisco and/or its affiliates. All rights reserved. 1

Cisco Expo 2012

Рекомендуемая архитектура по внедрению систем защиты от атак в корпоративной сети Оксана Санникова инженер по работе с партнерами CCIE Security #35825

1


Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900.

Как получить подарок:

• внимательно слушать лекции по технологиям Cisco

• посещать демонстрации, включенные в основную программу

• пройти тесты на проверку знаний

Тесты будут открыты:

с 15:00 25 октября по 16:30 26 октября

www.ceq.com.ua

http://www.ceq.com.ua


• Знакомство с IPS и IDS

• Линейка продуктов Cisco

• Место в корпоративной сети

• Периметр

• Кампус

• Филиал

• ЦОД

• Особенности работы IPS

• Детектирование

• Нормализация

• Движки


• Интеллектуальное обнаружение

Сигнатуры для уязвимостей и эксполитов

Обнаружение аномалий в протоколах

Репутационные фильры

• Точное реагирование

Политики на основе управления рисками

Глобальная корреляция событий

Генерация мета-событий

• Гибкое внедрение

Пассивный и/или Inline IDS/IPS

Виртуальные сенсоры

Поддержка физических и логических (VLAN) интерфейсов

Software и Hardware bypass


• AIM/ICQ

• AOL

• MSN

• Sametime

• Yahoo

• BitTorrent

• Kazaa

• eDonkey

• Jabber

• Storm

• Mega-D

• Blaster

• Nimda

• Sasser

• Code Red

• Slammer

• Backdoor Trojan Spirit

• Backdoor Beast

• Fatso Worm

• Kelvir Worm

Reconnaissance

Worm/Virus/Trojan P2P/IM

Email

• POP

• IMAP

• SMTP

• Microsoft Exchange

• ICMP host sweeps

• TCP Port Sweeps

• TCP/UDP Combo Sweeps

• UDP Port Sweeps

Adware/Spyware

DDOS/DOS

Secure Voice

Web Server

• ICMP/UDP/TCP

Floods

• Perfect Keylogger

Activity

• Hotbar Activity

• SIP

• H323

• H225

• Apache

• Internet Information Server (IIS)

Network, L2/3/4 • BGP

• DHCP

• DNS

• TCP/UDP

• IP

• IP Fragment

Защита

IPv4 и

IPv6


Защита бизнеса любого масштаба

IOS IPS

IPS NME

Малый Средний Крупный

Масштаб бизнеса

ISR

Catalyst

6500

IPS серий

4500,

4300 и 4200

ASA серии

5500

ASA серии

5500-X

IDSM2

Catalyst 6500 Комплект IDSM2

IPS 4260

IPS 4270

ASA5510-AIP10

ASA5510-AIP20

ASA5520-AIP10

ASA5520-AIP20

ASA5520-AIP40

ASA5540-AIP20

ASA5540-AIP40

ASA5585-P10S1

ASA5585-P20S20

ASA5585-P40S40

ASA5585-P60S60

ASA 5512-X IPS

ASA 5515-X IPS

ASA 5525-X IPS

ASA 5545-X IPS

ASA 5555-X IPS

IPS 4360

IPS 4345

IPS 4240

IPS 4255

IPS-4510

IPS-4520


• Cisco IPS 4240, 4255, 4260, 4270:

• анонс - 30 октября 2012,

• окончание продаж - 30 апреля 2013

• IDSM-2:

• анонс – 24 ноября 2012,

• окончание продаж – 25 марта 2013

• Модуль AIP для ASA 5500:

• анонс – 18 июля 2012,

• окончание продаж –16 января 2013

• Модуль IPS NME для маршрутизаторов ISR:

• анонс – 22 октября 2012

• окончание продаж – 22 апреля 2013


IPS следующего поколения

• Высочайшая производительность

• Учет контекста сетевого взаимодействия

• Удобные средства управления корпоративного класса

• Пропускная способность более 1 Гбит/с в решении с форм-фактором 1 RU

• Четырехкратное увеличение производительности по сравнению с 4200 в 2 раза дешевле

• Аппаратное ускорение регулярный выражений

• Карты Hw-Bypass будут доступны в начале 2013 г.


Мультигегабитная производительность

• Учет контекста сетевого взаимодействия

• Аппаратная обработка регулярных выражений

• ЦОД или ядро корпоративной сети

• 1 GigE и 10GigE интерфейсы/SFP слоты

• Модуль IPS в шасси 5585-X

• 3 Гбит/сек (4510) – цель от 2 до 5 Гбит/сек

• 6 Гбит/сек (4520) – от 4 до 11 Гбит/сек

• Использование новой методологии тестирования


Одно шасси для всех

продуктов ASA 5585

28 кг с двумя модулями и

двумя источниками питания

Модули полной длины:

ASA SSP для слота 0

IPS SSP опционально в слот 1

2RU 19in шасси для монтажа в стойке:

2 модуля полной длины

1 модуль полной длины и 2

половинной длины

Слот-1

Слот-0

IPS-SSP имеет свой консольный порт (как 4260/4270)


5 новых моделей, отвечающих различным требованиям к пропускной способности

ASA 5512-X Пропускная

способность

межсетевого экрана 1

Гбит/с



межсетевого экрана 1,2

Гбит/с



межсетевого экрана

2 Гбит/с




3 Гбит/с




4 Гбит/с

1. Пропускная способность на

уровне нескольких Гбит/с Для удовлетворения растущих

требований к пропускной способности

2. Встроенные средства ускорения

сервисов

(дополнительное оборудование не

требуется) Для поддержки меняющихся

потребностей бизнеса

3. Платформа с поддержкой

сервисов нового поколения Для защиты инвестиций


(в Mbps)

SKU Транзакционный Медиа

ASA 5512-X IPS 165 240

ASA 5515-X IPS 310 480

ASA 5525-X IPS 615 950

ASA5545-X IPS 841 1270

ASA 5555-X IPS 1050 1500

IPS 4345 1800 1940

IPS 4360 2300 2500

ASA 5585-10 IPS 1350 2400

ASA 5585-20 IPS 2100 3700

ASA5585-40 IPS 3500 7000

ASA 5585-60 IPS 6700 10200

IPS 4510 5017 N/A

IPS 4520 7341 N/A


Производительность IPS при обработке HTTP-транзакций

ASA5512-X IPS

ASA5515-X IPS

ASA5525-X IPS

ASA5545-X IPS

ASA5555-X IPS

IPS 4345

IPS 4360

ASA5585-S10P10

ASA5585-S20P20

ASA5585-S40P40

ASA5585-S60P60

Пр

оп

ускн

ая с

посо

бн

ость

150 Мбит/с

250 Мбит/с

500 Мбит/с

Филиал

1,5 Гбит/с

1 Гбит/с

Комплекс зданий

Интернет-периметр ЦОД

2 Гбит/с

3 Гбит/с

5 Гбит/с


Сенсор IPS

Интернет Компьютер

Сенсорный интерфейс получает копию трафика с порта SPAN, от хаба, или VACL Capture. Он не находится на пути прохождения трафика. (Не имеет IP адреса)

Интерфейс

управления. Сетевой

трафик не проходит

через этот интерфейс.

(Имеет IP адрес)

Сеть

управления


IPS Sensor Internet Host

Сенсор находится на пути прохождения трафика и

может блокировать трафик при необходимости.

Интерфейс не имеет IP адреса.

Cisco IPS работает на канальном уровне (Layer 2) по

принципу “умный провод”.

Интерфейс

управления. Сетевой

трафик не проходит

через этот интерфейс.

(Имеет IP адрес)

Management

Network


IPS IDS Перегрузка сенсора может повлиять на проходящий сетевой трафик

Неисправность сенсора напрямую влияет на проходящий трафик

Ограниченная защита

Выше риски пропуска атаки

Может остановить атаку, блокируя пакеты

Можен нормализовать сетевой трафик для более качественного инспектирования

Не влияет на сеть, не вносит дополнительную задержку

Допускается более высокий уровень ложных срабатываний


• Часто при тестировании для отладки работы политик IPS не ставят на пути реального трафика.

• Можно развернуть IDS в in-line режиме.

• Почему: Простая миграция с IDS (для тестирования и настройки) на IPS.

19 © 2011 Cisco and/or its affiliates. All rights reserved.


• Варианты применения

• Прозрачность, Отчеты

• Защита серверов в DMZ от

Интернета

• Защита серверов в DMZ от

Интранета

• Защита Интранета от

пользователей VPN

• Продукты

• ASA 5500-X

• IPS 4300

• ASA5585 + модуль IPS

”Большой

плохой

Интернет”

Интранет DMZ


Шлюз VPN должен расшифровывать трафик до

инспекции трафика IPS, иначе IPS не увидит атаки на

уровне приложений

Интранет Интернет


Располагая IPS до МСЭ, можно получить больше

информации об атаках/угрозах из Интернета. IPS

будет видеть атаки, которые иначе были бы

заблокированы МСЭ.

Насколько важна эта информация?

Мы получим множественные ненужные сообщения

IPS обрабатывает больше состояний, чем МСЭ, и

поэтому может оказаться узким местом в случае

DDOS атаки.



Большинство организаций располагают IPS после

МСЭ.

В это случае IPS не загружен атаками, которые и так

блокирует МСЭ.



Если МСЭ/VPN шлюз – не ASA

Меньше контроля над трафиком SSL

VPN

Нужно учитывать требования к

высокой доступности

”Плохой

Интернет”

Интранет

DMZ


Clientless SSL VPN Proxy

• IPS видит весть входящих трафик, как трафик с IP

адреса прокси

• Меньше контроля, т.к. индивидуальные сессии

пользователей (src,dst) не видны

• Некоторые действия (например ”drop attacker”) не

рекомендуются

Intranet Internet

attacker

10.1.1.1

VPN inside ip = 10.1.1.1


Нужно убедиться в

симметричности трафика,

проходящего через IPS

Есть несколько опций для

высокой доступности

решения с использованием

Software или Hardware

Bypass или сетевого

дизайна (Spanning Tree…)

”Big Bad

Internet”

Intranet


Полный набор функций IPS

Интеграция с VPN, МСЭ

Виртуализация для разделения

политик

Высокая отказоустойчивость

”Плохой

Интернет”

Интранет

DMZ


IPSec VPN site-to-site

SSL VPN (AnyConnect)

Clientless SSL VPN

оригинальный IP адрес сохраняется для IPS


Трафик VPN


Виртуальные сенсоры с

различными настройками

реакции на собития

”Плохой

Интернет”

Интранет

DMZ

Виртаульные

сенсоры VS0 : Internet -> dmz

drop if Risk Rating > 90

VS1 : VPN traffic


ip log if Risk Rating > 80

VS2 : Intranet surf



Администрируется как 1 ASA + 2

IPS

ASA поддерживает синхронизацию

конфигураций

IPS – не поддерживает синхронизацию

конфигураций

Трафик должен проходить

симметрично через активную ASA

Отказоустойчивость без потери

трафика

”Плохой

Интернет”

Интранет

DMZ



SiSi SiSi

SiSi SiSi

Access

Distribution

Core

Задача: Защита сети от беспроводных

клиентов

Продукты: IPS 4500

ASA5585

IDSM2

Services SiSi


Внутр. сеть

WLC

AP

WLAN Client

Аномальный клиентский

трафик в WLAN

Предотврящение угрод на физическом и канальном уровне (layer 1-2)

DOS атаки в 802.11

Посторонные точки доступа

Ad-Hoc сети

радиочастотные помехи

ALARM!

WCS


Внутр. сеть

WLC

AP

WLAN Client

IPS

1) Cisco IPS обнаружил

вредоносный

клиентский трафик

2) Cisco IPS

инициирует

блокировку хоста

3) WLC получает

shun list с IP

адресом

заблокированного

хоста

4) WLC проверяет,

соответствует ли

заблокированный IP

адрес

ассоциированному в

БЛВС клиенту. Если да

– исключает клиента

5) WLC отключает

клиента от БЛВС и

блокирует попытки

переподключения

X



• Задачи

Защита филиала от атак из Интернета (если есть примой доступ в Интернет из филиала)

Защита головного офиса от атак из филиала

Защита серверов в филиале (соответствие PCI)


Cisco IOS IPS

Маршрутизатор Cisco с IPS модулем (AIM, NME)

ASA5500-X

VPN Филиал Головной

офис


• Маленькие филиалы

Нет локальной поддержки ИТ, нежелание добавлять новые компоненты, требующие обслуживания

Выбор - IOS IPS, Маршрутизатор с AIM/NME, ASA с AIP

• Очень много филиалов

Нужно снизить капитальные затраты

Выбор - IOS IPS

• Низкая скорость подключения филиала (E1, 10Mbps)

Не требуется высокая производительность IPS

• Кто управляет маршрутизатором?

Маршрутизатор может быть под управлением сервис провайдера


• Не требует дополнительного оборудования. Низкие операционные и капитальные затраты делают решение привлекательным для компаний, которые сами управляют маршрутизаторами в филиалах

• Функционал IOS IPS не такой гибкий, как у аппаратных IPS

• С появлением ISR G2 производительность IOS IPS увеличилась больше, чем в 2 раза при той же стоимости устройств


Головной офис

Серверы приложений

Компьютеры

Веб-кластер

Филиал

Cisco 28xx

Туннель IPSec

Компьютеры

Интернет трафик

Интернет

Interface FastEthernet0/0

ip ips ips-policy in

Черви!

Inside Outside

FE0/0 FE0/1

Защита от атак из филиала



• Задачи

Защита серверов

Мониторинг / Уведомление о тревогах с помощью IPS в режиме IDS

Мониторинг трафика виртуальных машин (пока только в режиме IDS)


Cisco IPS 4500 в режиме IPS или IDS

Cisco ASA IPS SSP для ASA 5585

Cisco ASA5500-X

Cisco IDSM2 в режиме IPS или IDS


• Разбиваем серменты на L2-VLANы (без SVI)

• Разрешаем 10 и 20 VLANы в транке в торону IPS

• Добавляем правила мапирования VLANов

• Тарблицы MAC адресов:

Нет STP loop-ов, т.к. записи в разных VLANах

VLAN10

VLAN20

MAC Port

HostA Fa1/10

HostB Gi1/1

Fa1/10

Fa2/42

Gi1/1

MAC Port

HostB Fa2/42

HostA Gi1/1

Host A

Host B


• Позволяет IPS/IDS инспектировать трафик

• Поддерживает балансировку нагрузки на уровне приложений (layer 7)

• Разргрузка SSL с серверов

• Сохранается IP адрес клиентов

• Используется специализированная аппаратная платформа

Модуль Cisco ACE или Cisco ACE4710 терминирует SSL

Интернет

Cisco ACE

Сервера

Cisco IPS HTTPS/SSL

HTTP


Как сделать

span трафика

множеста ВМ с

множеста

серверов ESX?

Что делать с

перемещением

ВМ и VMotion?

Гре

разместить

сенсор?

Как мониторить

трафик между

ВМ на одном

сервере ESX?


Простота управления ВМ и сетевыми политиками

• Подключение ВМ на основе политик

Мобильность сетевых настроек и политик безопансости

• Интеграция с Virtual Center для администраторов серверов

Cisco NX-OS для сетевых администраротов

• Прозрачность работы и контроль политик даже с VMotion

• Совместимость с платформами коммутации

VMW ESX

Server 2

VMW ESX

Server 1

VM #5

VM #8

VM #7

VM #6

VM #4

VM #3

VM #2

VM #1

VMware vSwitch VMware vSwitch Nexus 1000V Nexus 1000V Nexus 1000V DVS

VM #8

VM #7

VM #6

VM #4

VM #3

VM #2

VM #5

VM #1


VMW ESX

Server

Nexus 1000V - VEM

VM

#1

VM

#4

VM

#3

VM

#2

Профили портов

включают:

Настройки VLAN, PVLAN

ACL, Port Security, ACL

Redirect

Cisco TrustSec (SGT)

NetFlow Collection

Rate Limiting

QoS Marking (COS/DSCP)

Remote Port Mirror

(ERSPAN)

Virtual Center

Cisco VSMs


VSS (физика) VSS (логика)

SiSi SiSi

Server

Server

802.3ad 802.3ad

10GE

802.3ad 802.3ad

Cat6500

Sup720-10GE Cat6500

Sup720-10GE

Access Switch or

ToR or Blades Access Switch or

ToR or Blades

MCEC

vPC Peers

MCEC

vPC Peers

vPC


• НЕ РАБОТАЕТ с устройствами IPS (нет поддержки EtherChannel)

• Работает с ASA с версии 8.4.1:

Поддержка EtherChannel

Версия 8.4.2 на ASA 5585-X


• Соединяет IDS систему с VSS шасси с помощью технологии SPAN

• CAT6K поддерживает:

SPAN

RSPAN

ERSPAN

• Nexus 7000 поддерживает:

SPAN

RSPAN



Сигнатуры против экспроитов позволяют определить как известные и протестированные экспроиты, так и еще не написанные эксплоиты (эксплоиты нулевого дня)

3000 сигнарут

против

уязвимостей

30,000

известных

эксплоитов

Бессчетное

количество еще

не написанных

эксплоитов


Simple Pattern Matching напр. atomic / проверка содежимого одного пакета

Stateful Pattern Matching напр. фрагментированные TCP пакеты

Context Stateful Pattern Matching напр. Данные FTP или в канале управления

Protocol Decode-Based Analysis напр. несоответствие RFC, длина полей в пакетах определенных типов

Anomaly Based Analysis напр. отличие трафика от “нормального” поведения

Reputation Based Analysis (Глобальная корреляция)


© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56

Модуль

нормализации

трафика

Обновления

сигнатур Обновления

модулей

Cisco SIO

IN

ГК

Модули

анализа

Внутренний

модуль

корреляции

Управление

политиками

на основании

рисков

Регистрация

данных

(forensics)

Отражение

и формирование

тревог

Выбор

виртуального

сенсора

OUT

Защита

АСУ

Фильтр

репутации


Что такое виртуальные сенсоры?

• Несколько экземпляров сенсора в рамках одного устройства IPS

• Поддерживаются до 4 виртуальных сенсоров

Сенсор (VS0)

Сенсор (VS1) Сенсор (VS2)

Сеть A

Сеть B Сеть C

Атакующие


Модуль


трафика



модулей

Cisco SIO

IN

ГК

Модули

анализа


модуль





рисков


данных

(forensics)

Отражение


тревог

Выбор


сенсора

OUT

Защита

АСУ

Фильтр

репутации


Фильтр репутации Cisco IPS:

• Удаление пакетов, поступающих от известных источников вредоносного ПО, без анализа сигнатур.

• БД фильтров репутации постоянно обновляется

• Защита от атак известных ботнетов

• Отражение на основании контекста (отправителя), а не только контента

• Быстрее, чем традиционный «только сигнатурный» подход

Фильтры репутации IPS

Анализ по сигнатурам

Обнаружение аномалий

Глобальн. корреляция

Ядро принятия решений

Анализ по сигнатурам

Предварительная обработка

...

58.65.232.0/21

58.83.8.0/22

58.83.12.0/22

62.122.32.0/21

...


Модуль


трафика



модулей

Cisco SIO

IN

ГК

Модули

анализа


модуль





рисков


данных

(forensics)

Отражение


тревог

Выбор


сенсора

OUT

Защита

АСУ

Фильтр

репутации


Дополнительная функция анализа, позволяющая:

• Предотвратить передачу аномального трафика через сенсор

• Противодействовать маскировке атак (anti-evasion)

• “Поддерживать” действия по другим сигнатурам в ходе длительных атак


Как модуль нормализации решает эти задачи?

• Строгий контроль состояния конечного автомата TCP

• Строгий контроль порядковых номеров

• Отслеживание неподтвержденного проанализированного контента

• Проверка контрольных сумм, обнаружение недопустимых флагов

• Поддержка модификации TTL

• …

USER root

HDR USER TCP: HDR root

HDR US HDR ER HDR HDR HDR ro HDR ot IP:


GET http://…U/*Con*/NI/*fused*/ON

GET http://…UNION

Вплоть до L7-

обфускации

Анализ по сигнатуре


Модуль


трафика



модулей

Cisco SIO

IN

ГК

Модули

анализа


модуль





рисков


данных

(forensics)

Отражение


тревог

Выбор


сенсора

OUT

Защита

АСУ

Фильтр

репутации


Что такое блоки анализа?

• Компонент сенсора, поддерживающий категорию сигнатур

• Каждый модуль характеризуется набором параметров, для которых существуют допустимые диапазоны и наборы значений

• Настраиваемые параметры модулей позволяют оптимизировать сигнатуры/выполнять их тонкую настройку или создавать новые сигнатуры.

Типы блоков сигнатур

• AIC

• Atomic

• Flood

• Meta

• Multi String

• Normalizer

• Service

• State

• Sweep

• Traffic Anomaly

• Trojan

• …


• Сигнатура IPS описывает отличительные особенности трафика

• Сигнатуры связаны с определенным модулем

• Постоянно выпускаются новые сигнатуры, также обновляются существующие сигнатуры.

• Cisco позволяет заказчикам разрабатывать собственные сигнатуры

• Сигнатуры, разработанные Cisco, привязаны к уязвимостям


Уникальный модуль, созданный для платформ, поддерживающих аппаратное ускорение обработки Regex

Модули String – это модули поиска шаблонов при анализе ICMP-, TCP- и UDP трафика

Новые модули “string-xl”:

• string-xl-tcp

• string-xl-udp

• string-xl-icmp


Большинство модулей поддерживают как IPv4, так и IPv6

Исключения:

• Действие modify-packet для нормализации трафика

• Модули, связанные с обработкой ICMP

• Модуль AIC

• Block host, Block connection, and Rate limiting

• Обнаружение аномалий


Модуль


трафика



модулей

Cisco SIO

IN

ГК

Модули

анализа


модуль





рисков


данных

(forensics)

Отражение


тревог

Выбор


сенсора

OUT

Защита

АСУ

Фильтр

репутации


Нормализация трафика ИД попытки

обхода

Анализ

протокола

Для принятия решения об атаке требуется полный контроль различных сигнатур, сведений о пользователях,

протоколах и т. п.

Мета- сигнатура X

Сигнатура A 10:17 Сигнатура B 10:19 Сигнатура C 10:19


Модуль META

• Позволяет определять связанные события, которые произошли в течение «скользящего» интервала времени

• Обрабатывает события, а не пакеты

• Генерирует событие сигнатуры после того, как выполнены все требования (обнаружены все компоненты) объекта


Инновации в управлении угрозами

Нормализация и анализ

по сигнатурам

Обнаружение известных

шаблонов

Глобальный анализ

Повышение RR для характерных сочетаний

Ядро

принятия

решений

Block, Alert,

Permit, Limit

Фильтры репутации

Блокируют худших и известных


• Средства анализа глобальной корреляции позволяют корректировать RR событий на основании репутации атакующего и исходного значения RR.

Влияние глобальной корреляции на рейтинг риска

Reputation Effect on Risk Rating

Standard Mode Reputation of AttackerBlue Deny Packet Red Deny Attacker

-1 -2 -3 -4 -5 -6 -7 -8 -9 -10

Initial 80 80 87 92 95 98 99 100 100 100 100

Risk 81 81 87 92 96 98 100 100 100 100 100

Rating 82 82 88 93 96 98 100 100 100 100 100

83 83 88 93 96 99 100 100 100 100 100

84 84 89 94 97 99 100 100 100 100 100

85 85 90 94 97 99 100 100 100 100 100

86 86 90 94 97 99 100 100 100 100 100

87 87 91 95 98 100 100 100 100 100 100

88 88 91 95 98 100 100 100 100 100 100

89 89 92 96 98 100 100 100 100 100 100

90 90 92 96 99 100 100 100 100 100 100

91 91 93 97 99 100 100 100 100 100 100

92 92 93 97 99 100 100 100 100 100 100

93 93 94 97 100 100 100 100 100 100 100

94 94 95 98 100 100 100 100 100 100 100

95 95 95 98 100 100 100 100 100 100 100

96 96 96 99 100 100 100 100 100 100 100

97 97 97 99 100 100 100 100 100 100 100

98 98 98 100 100 100 100 100 100 100 100

99 99 99 100 100 100 100 100 100 100 100

100 100 100 100 100 100 100 100 100 100 100


Известные риски для определенных отраслей


Векторы прямых/косвенных угроз

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Terminal Services

Patch Management AV Server

Application Mirror

Web Services Operations

Application Server

Enterprise Network

Site Business Planning and Logistics Network E-Mail, Intranet, etc.

FactoryTalk Application

Server

FactoryTalk Directory

Engineering Workstation

Domain Controller

FactoryTalk Client

Operator Interface

FactoryTalk Client

Engineering Workstation

Operator Interface

Batch Control

Discrete Control

Drive Control

Continuous Process Control

Safety Control

Sensors Drives Actuators Robots

Enterprise Zone

ДМЗ

Зона производства

Cell/Area Zone

Web E-Mail

CIP

Firewall

Firewall

Site Manufacturing Operations and Control

Area Supervisory Control

Basic Control

Process

Purd

ue R

efe

rence M

odel, I

SA

-95

ISA

-99

Modbus

Modbus

Руткит

Руткит


Решения Cisco для защиты АСУ ТП обеспечивают безопасность при разумном подходе

• Снижение рисков непредвиденных простоев в результате атаки

• Существенное снижение затрат за счет упрощения процедур пакетной установки патчей

Дилемма обновления компонентов АСУ ТП

Новая уязвимость

Патч готов ?

Y

(редко) N

(обычно)

Принимаем риск? Ставим патч ?

Убытки/ время/работа

Риски нарушения

работоспособности

Принимаем риск ?

Y N


Отдельный класс сигнатур для АСУ ТП

• Обновление в рамках обычного еженедельного обновления сигнатур

• Отдельная лицензия

• Решено большинство типовых проблем промышленных сред (например, MODBUS)

Решение Cisco


Что уже сделано?

Экстенсивная защита

• Типовые отраслевые системы АСУ ТП

Начальная отрасль: нефтегазовая

• Как добыча, так и переработка

• Поддержка сигнатур и их разработка продолжаются

Планы

• Энергораспределительные системы

• Производство

• Добыча полезных ископаемых

Ориентация на отрасли

Все типы оборудования

• SCADA

• DCS

• PLC

• SIS

• EMS

Все основные поставщики

• Schneider

• Siemens

• Rockwell

• GE, ABB

• Yokogawa

• Motorola

• Emerson

• Invensys

• Honeywell

• SEL

и список пополняется...


Модуль


трафика



модулей

Cisco SIO

IN

ГК

Модульные

блоки анализа


модуль





рисков


данных

(forensics)

Отражение


тревог

Выбор


сенсора

OUT

Защита

АСУ

Фильтр

репутации


• Для каждого события вычисляется RR

• Контекст учитывается (глобальная корреляция)

• Политика обработки событий основана на категориях рисков

• Фильтрация для известных триггеров

Рейтинг риска (RR)

Серьез-ность

Достов. сигнатуры

Релевант-ность атаки Ценность цели атаки

Опасность угрозы?

Насколько низки ложные срабатывания?

Опасность для цели?

Насколько важна безопасность цели?

= Рейтинг риска

+

+

+

Контекст

Оценка дополнительныхсведений?

+


Модуль


трафика



модулей

Cisco SIO

IN

ГК

Модульные



модуль





рисков


данных

(forensics)

Отражение


тревог

Выбор


сенсора

OUT

Защита

АСУ

Фильтр

репутации


• Средства журналирования IP-трафика обеспечивают регистрацию пакетов, связанных с атакой

• Информация для расследования инцидентам

• Может инициироваться по сигнатуре или вручную

• При запуске журналирования вручную можно регистрировать весь трафик от определенного хоста.

Журналирование


Модуль


трафика



модулей

Cisco SIO

IN

ГК

Модульные



модуль





рисков


данных

(forensics)

Отражение

атаки


тревог

Выбор


сенсора

OUT

Защита

АСУ

Фильтр

репутации


• К сигнатуре можно применить до 16 различных действий при наступлении события.

• Действия Deny

• Действия Alert

• Действия Logging

• Действия Remote Blocking

• Действия Other

• Дополнительные действия могут выполняться в соответствии с рейтингом риска (Event Action Override)

• События могут также не выполняться в соответствии с различными параметрами (Event Action Override).

Действия при наступлении события



• IPS 7.1.(4)E4 Release

• CSM 4.3

• IPS Device Manager 7.1(4)

• IME 7.2.1


• Единое интегрированное приложение

• Унифицированный графический интерфейс для управления политиками и устранения неполадок МСЭ, IPS и VPN-платформ

• Система SDM корпоративного класса

• Управление сотнями решений Cisco для обеспечения ИБ

• IPS серии 4300 поддерживаются с версии CSM 4.3

• Мониторинг работоспособности и производительности (ASA/IPS)

• Управление образами (ASA)


• Поддержка сенсоров IPS, модулей IPS и IOS IPS

• Автоматическое обновление ПО и сигнатур сенсоров IPS в соответствии с политикой

• Мастер обновления сигнатур позволяет контролировать (и корректировать) сигнатуры перед их развертыванием


Более 20 готовых отчетов

Графика и данные, настройка

Экспорт в PDF / Excel

Генерация по расписанию

Пользовательские отчеты


• Мониторинг в реальном времени

• Анализ истории

• Переход от события к политике

• Консолидация журналов

• Фильтры и сортировка

• Уже заданные и пользовательские представления

• Высокая производительность


• Мониторинг устройств в режиме реального времени

• ASA и IPS

• ЦП, память, интерфейсы,…

• Уже заданные и настраиваемые представления

• Уведомления о состоянии по электронной почте

Спасибо!

Technology

Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной