Стратегия Cisco в области информационной безопасности

Защита современного предприятия СЕЙЧАС И В БУДУЩЕМ

Алексей Лукацкий Бизнес-консультант по безопасности, Cisco

•  Текущий статус

•  Проблемы и задачи

•  Новая модель безопасности

•  Архитектура Cisco по ИБ

•  Наши планы

ПЛАН

Текущий статус

Что мы анонсировали 25 февраля 2014?!

OpenAppID и Cognitive

Threat Analytics

Новые платформы FirePOWER

Интеграция AMP с защитой контента

WWW

•  Новые аппаратные платформы FirePOWER

•  «AMP Everywhere» - интеграция AMP с ESA/WSA и CWS

•  FireAMP Private Cloud •  Интеграция Cognitive Threat

Analytics с CWS •  Язык описания приложений

OpenAppID

Что мы анонсировали 30 октября 2013?!

Веб-безопасность

облака

Межсетевой экран нового

поколения

Веб-безопасность и защита эл.

почты

WWW

•  Новая версия Cisco ASA NGFW с функцией предотвращения вторжений

•  Сервисы ASA NGFW на ASA 5585-X SSP-40, SSP-60

•  Новая версия и архитектура Cisco Prime Security Manager

•  Новая линейка устройств Cisco в области Web-безопасности и защиты электронной почты серии x80

•  Новые возможности Cisco Cloud Web Security

Новые возможности Межсетевой экран нового поколения Cisco ASA 5500-X

•  НОВИНКА Межсетевой экран нового поколения с системой защиты от вторжения

•  НОВИНКА Сервисы межсетевого экрана нового поколения на ASA 5585-X SSP-40, SSP-60

•  НОВИНКА изменение архитектуры приложения Cisco Prime Security Manager

ü  Больше, чем просто защита Интернет-периметра

ü  Больший масштаб и гибкость развертывания

ü  Снижение сложности управления

Новые возможности Устройства Cisco в области веб-безопасности и защиты электронной почты нового поколения

•  НОВИНКА! Устройства Cisco в области веб-безопасности и защиты электронной почты серии x80

•  Доступно по лицензии GPL начиная с 28 окт. 2013 г.

•  На базе платформы Cisco UCS

Линейка продуктов Масштаб Модели

Cisco Web Security Appliance (WSA)

Предприятие C680

Средний бизнес C380

Малый и средний бизнес и филиалы C170

Cisco Email Security Appliance (ESA)

Предприятие S680 Средний бизнес S380 Малый и средний бизнес и филиалы S170

Cisco Content Security Management Appliance (SMA)

Предприятие M680 Средний бизнес M380

Малый и средний бизнес и филиалы M170

Новая серия x80

Но началось все гораздо раньше

Приобретение Cognitive Security ASA Mid-range Appliances

ASA CX и PRSM Новые продукты Secure Data Center

ISE 1.1 & 1.2 / TrustSec 2.1

Ключевые факты

•  ASA 9.0 •  ASA 1000V •  IPS 4500 •  CSM 4.3 •  AnyConnect 3.1

Q2FY13 Q3FY13 Q4FY13 Q1FY14

Приобретение Cognitive Security

TRIAD организовано

Annual Security Report 2013

Приобретение Sourcefire

pxGrid, SIEM Ecosystem

ISE 1.2

Интеграция ScanSafe GPL

TRAC Team создана

ACI Security Solutions

Объявлена - ASAv

Интеграция IronPort GPL

Новые PRSM и ASA-CX

Новые X80 Appliances

Виртуализация BYOD Advanced Threats Software Defined Networking

Обеспечение ключевых рыночных тенденций и запросов

Появление Virtual ESA & WSA

Наращивание усилий в 2013-м году

Лидер Gartner Magic Quadrant

(Email Security, Web Security, Network Access, SSL VPN)

Существенные инвестиции в R&D, M&A &

людей

#1 на рынке ИБ ЦОДов

(Источник: Infonetics)

#1 на рынке сетевой безопасности

(Источник: Infonetics)

Названа одним из 5-ти основных Приоритетов компании

Cisco Security Momentum

11

Проблемы и задачи

12

Текущие проблемы безопасности

Изменение бизнес-моделей

Динамический ландшафт угроз

Сложность и фрагментация

МОБИЛЬ-НОСТЬ ОБЛАКО УГРОЗЫ

Динамика рынка, ориентированного на потребителя, требует сквозной архитектуры

безопасности

14

Любое устройство к любому облаку

ЧАСТНОЕ ОБЛАКО

ОБЩЕ-ДОСТУПНОЕ ОБЛАКО

ГИБРИДНОЕ ОБЛАКО

15

The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and

Всеобъемлющий Интернет

завтра 2010 2000 2005

Изменение ландшафта угроз

APTs и кибервойны

Черви и вирусы

Шпионское ПО и руткит

Антивирус (Host-Based)

IDS/IPS (Сетевой периметр)

Репутация (Global) и песочница

Разведка и аналитика (Облако)

Ответ предприятия

Угрозы

17

Угроза распространяется по сети и захватывает как можно больше данных

ПРЕДПРИЯТИЕ

ЦОД

Заражение точки входа происходит за пределами предприятия

Интернет и облака

ПУБЛИЧНАЯ СЕТЬ

Продвинутые угрозы обходят средства защиты

периметра

КАМПУС

ПЕРИМЕТР

Анатомия современной угрозы

18

Новая модель безопасности

19

Новая модель безопасности

ДО Обнаружение Блокирование

Защита

ВО ВРЕМЯ ПОСЛЕ Контроль

Применение Усиление

Видимость Сдерживание Устранение

Ландшафт угроз

Сеть Оконечные устройства

Мобильные устройства

Виртуальные машины

Облако

В определенный момент Непрерывно

20

От модели к технологиям

ДО Контроль


ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование

Защита



Видимость и контекст

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM/NAC

IPS

Anti-Virus

Email/Web

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

21

Приобретение Sourcefire дополнило портфель решений Cisco

ДО Контроль


ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование

Защита



Видимость и контроль

Firewall

NGFW

NAC + Identity Services

VPN

UTM

NGIPS

Web Security

Email Security

Advanced Malware Protection

Network Behavior Analysis

22

Подход Sourcefire: … непрерывный процесс до, во время и после атаки Вы не можете защитить

то, что не видите Автоматическая настройка системы безопасности

…в режиме реального времени, в любой момент времени

Преобразование данных в информацию

УВИДЕТЬ АДАПТИ-РОВАТЬ

УЧИТЬСЯ ДЕЙСТ- ВОВАТЬ

23

Вы не можете защитить то, что не видите Sourcefire видит БОЛЬШЕ Ширина: кто, что, где, когда Глубина: любая требуемая степень детализации

Все в режиме реального времени, в одном месте

Sourcefire обеспечивает информационное преимущество

Операционная система

Пользо-ватели

Устройства Угрозы Приложения

Файлы Уязвимости

Сеть

УВИДЕТЬ

УВИ-ДЕТЬ

АДАП-ТИРО-ВАТЬ

УЧИТЬ- СЯ

ДЕЙС-ТВО-ВАТЬ

24

Cisco действует также: добавляет контекст и понимание

C I2 I4 A

ЛОКАЛЬНО Бизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНО Ситуационный анализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо- действия

APP Приложения

URL Сайты

Реализация безопасности и глобальным контекстом

25

Контекст – это самое важное

Событие: Попытка получения преимущества Цель: 96.16.242.135

Событие: Попытка получения преимущества Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США

Событие: Попытка получения преимущества

Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США Идентификатор пользователя: bobama Ф. И. О. Барак Обама Департамент: административный

Контекст способен фундаментально изменить интерпретацию данных события

26

Использование контекста 100 000 событий

5 000 событий

500 событий

20 событий

+10 событий

3 события

27

Видимость лежит в основе всего!

Wor

kflo

w (a

utom

atio

n) E

ngin

e

AP

Is

Понять масштабы, локализовать и устранить

Широкая осведомленность о контексте

Внедрение политик для снижение ареала распространения угроз

Сосредоточиться на угрозе: безопасность это обнаружение, понимание и нейтрализация угрозы

Взлом

Контекст

Политика

Угроза

28

Пассивное обнаружение

В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете

Хосты

Сервисы

Приложения

Пользователи

Коммуникации

Уязвимости

Все время в режиме

реального времени

29

Видимость позволяет контролировать

Wor

kflo

w (автоматизация

) Eng

ine

Взлом

Контекст

Политика

Угроза

Сеть / Устройства

Пользователи / Приложения

Файлы / Данные

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

IPS

AV

anti-malware

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM / NAC


Обнаружение Блокирование Защита

Контроль Применение Усиление

Определение Мониторинг Инвентаризация Карта

AP

Is

30

Стратегия развития продуктов зависит от современных угроз

Wor

kflo

w (автоматизация

) Eng

ine

Взлом

Контекст

Политика

Угроза


Обнаружение Блокирование Защита

Контроль Применение Усиление

Определение Мониторинг Инвентаризация Карта

Сеть / Устройства

Пользователи / Приложения

Файлы / Данные

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

IPS

AV

anti-malware

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM

ДО ВО ВРЕМЯ ПОСЛЕ

AP

Is

31

Всеобъемлющий портфель решений Cisco в области обеспечения безопасности

IPS и NGIPS •  Cisco IPS •  Cisco wIPS •  Cisco ASA Module •  FirePOWER NGIPS

Интернет-безопасность

•  Cisco WSA / vWSA •  Cisco Cloud Web Security

МСЭ и NGFW •  Cisco ASA / ASA-SM •  Cisco ISR / ASR Sec •  FirePOWER NGFW •  Meraki MX


•  FireAMP •  FireAMP Mobile •  FireAMP Virtual •  AMP для FirePOWER

NAC + Identity Services

•  Cisco ISE / vISE •  Cisco ACS

Безопасность электронной почты •  Cisco ESA / vESA •  Cisco Cloud Email Security

UTM •  Meraki MX

VPN •  Cisco AnyConnect •  Cisco ASA •  Cisco ISR / RVPN

Policy-based сеть •  Cisco TrustSec •  Cisco ISE •  Cisco ONE

Мониторинг инфраструктуры

•  Cisco Cyber Threat Defense

Контроль приложений •  Cisco ASA NGFW / AVC •  Cisco IOS AVC / NBAR •  Cisco SCE / vSCE •  FirePOWER NGFW

Secure DC •  Cisco ASA / 1000v /

ASAv / VSG •  Cisco TrustSec

32

Интеграция в сеть, широкая база сенсоров, контекст и автоматизация

Непрерывная защита от APT-угроз, облачное исследование угроз

Гибкие и открытые платформы, масштабируемость,

всесторонний контроль, управление

Стратегические задачи

Сеть Оконечные устройства


Виртуальные устройства

Облака

Видимость всего и вся Фокус на угрозы Платформы

33

Видимость: Cisco видит больше конкурентов

Сетевые сервера

ОС

Рутера и свитчи


Принтеры

VoIP телефоны


Клиентские приложения

Файлы


Web приложения

Прикладные протоколы

Сервисы

Вредоносное ПО

Сервера управления ботнетами

Уязвимости NetFlow

Сетевое поведение

Процессы

34

?

Фокус на угрозы

35

Обнаружить, понять и остановить угрозу

?

Аналитика и исследования

угроз

Угроза определена

История событий

Как

Что

Кто

Где

Когда

Контекст

Записано

Блокирование

36

Непрерывная защита от целенаправленных угроз

Как

Что

Кто

Где

Когда

Аналитика и исследования

угроз


Непрерывный анализ Контекст Блокирование

37

Снижение сложности & рост возможностей платформы

Cloud Services Control Platform

Hosted

Аналитика и исследования угроз

Централизованное управление Устройства, Виртуалки

Платформа сетевой безопасности

Платформа контроля устройств

Облачная платформа

Устройства, виртуалки ПК, мобильные, виртуалки Хостинг

38

Ключевые особенности архитектуры Cisco по ИБ

39

Мозг архитектуры безопасности Cisco

Действующее соединение SMTP?

(ESA)

Ненадлежащий или нежелательный

контент? (ASA/WSA/CWS)

Место для контроля и

управления? (ASA/WSA)

Вредоносное действие? (ASA/

IPS)

Вредоносный контент на оконечных устройствах?

(AnyConnect)

WWW

Репутация Сигнатуры

Сигнатуры

Исследование угроз

Регистрация доменов

Проверка контента

Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы

Черные списки и репутация

Партнерство со сторонними разработчиками

Правила и логика для конкретных платформ

Cisco Security Intelligence Operations

40

100 Тбайт 1,6 млн. 13 млрд. Cisco SIO в цифрах

150,000 Ежедневный анализ угроз безопасности

Ежедневные веб-запросы Развернутые устройства защиты

Приложения и микропрограммные приложения

100 Тбайт данных анализа


1,6 млн. развернутых устройств

13 млрд. веб-запросов

150 000 микропрограммных

приложений

1 000 приложений

93 млрд. сообщений электронной почты в день

35% корпора-тивная

электронная почта

5 500 сигнатур IPS

150 млн. развернутых оконечных устройств

3-5 мин. Обновления

Security Intelligence Operations: Полная прозрачность Глобальная зона охвата Полноценная защита

5 млрд. подключений к электрон-ной почте в день

4,5 млрд. ежедневно блокируемых электронных сообщений

41

Немного фактов о SIO

Глобальная и локальная корреляция через автоматический и человеческий анализ

АНАЛИТИКА & ДАННЫЕ УГРОЗ

Широкий спектр источников данных об угрозах & уязвимостях

БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ

Контекстуальная политика с распределенным внедрением

ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру-ктура

больших данных

Обновления в реальном времени

Доставка через облако

150M оконечных устройств

14M шлюзов доступа

1.6M устройств безопасности

Самообучающиеся

алгоритмы НИОКР

Open Source Community

42

Проблемы с традиционным мониторингом

Admin

Базируется на правилах •  Зависимость от сложно создаваемых вручную правил

•  Зависимость от человеческого фактора

Зависимость от времени •  Занимает недели или месяцы на обнаружение

•  Требует постоянного тюнинга

Security Team

Очень сложно •  Часто требует квалифицированный персонал для управления и поддержки

111010000 110 0111

Невозможно идти в ногу с последними угрозами

СОВРЕМЕННЫЕ АЛГОРИТМЫ Поведенческие алгоритмы

САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА Теория игр и само-оптимизация

АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ Учет сетевого, Web и Identity контекста

ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ КИБЕР УГРОЗ Поведенческий анализ

СОВРЕМЕННЫЕ АЛГОРИТМЫ ` Поведенческие алгоритмы

САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА Теория игры и само-оптимизация

АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ Учет сетевого, Web, и Identity контекста ОБНАРУЖЕНО

44

Потенциальная угроза

Поведенческий анализ

Обнаружение аномалий

Машинное обучение

Внутренние пользователи

Обнаружение угроз с Cognitive Threat Analytics

45

Безопасность WWW Сеть

Identity & Политики

Будущее облачной аналитики угроз

Облачная аналитика и исследования угроз

Web Rep

IPS Rep

Email Rep

Репутация

Глобальная аналитика

Портал угроз

Сетевые политики

Телеметрия безопасности

Телеметрия сети

Поведенческий анализ

Глобальные данные об угрозах

CTA

46

Решения Cisco в области веб-безопасности и защиты электронной почты

Блокировка фишинговых атак, вирусов и спама Защита от угроз

Безопасность данных

Защита данных транзитного трафика

Прозрачность и контроль приложений

Обнаружение и уменьшение

последствий угроз веб-безопасности

Защита данных в режиме онлайн

Мониторинг и контроль

использования приложений

Веб-безопасность

Безопасность электронной почты

Лидеры рейтинга Magic Quadrant компании Gartner в 2013 году Основные отличительные особенности: ü  Снижение совокупной

стоимости владения

ü  Эффективность и надежность

ü  Гибкое развертывание

47

Строгая защита входящего Web-трафика

WWW

Время запроса

Время ответа

Cisco® SIO

Фильтрация URL

Репутационные фильтры

Dynamic Content Analysis (DCA)

Сигнатурные антивирусные движки


Блокировать

WWW


WWW


WWW

Разрешить

WWW Предупредить

WWW WWW Частично блокировать


WWW


WWW


WWW

48

Анализ репутации и добавление контекста Ценность контента в режиме реального времени

Владелец подозрительного

домена

Сервер в местоположении

с высоким уровнем риска

Динамический IP-адрес

Домен зарегистрирован

< 1 мин. 192.1.0.68 пример

.com Example.org 17.0.2.12 Пекин Лондон Сан-Хосе Киев HTTP SSL HTTPS Домен

зарегистрирован > 2 лет

Домен зарегистрирован

< 1 месяца

Веб-сервер < 1 месяца

Кто Как Где Когда

0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10

Оценка IP репутации

49

1. Сканирование текста

Решения Cisco по контролю использования Web-ресурсов на базе SIO

WWW

База данных URL-адресов

3. Расчет приблизительной категории документа

4. Заключение о наиболее близкой категории

2. Оценка релевантности

Финансы Для взрослых Здоровье

Финансы Для взрослых Здоровье

Разрешено

WWW Предупреж-дение

WWW WWW Частичная блокировка

Блокировка

WWW

5. Применение политики

Если контент неизвестен, страница анализируется

Блокировка

WWW

Предупреж-дение

WWW

Разрешение

WWW

Если контент известен

50

Всесторонний контроль с Cisco Web Security

Стони приложений

Поведение приложений

150,000+ микро-приложений •  Непрерывно обновляемая

база URL, покрывающая свыше 50 миллионов сайтов в мире

•  Динамическая категоризация в реальном времени для неизвестных URL

•  Контроль мобильных, web 2.0 приложений и приложений для взаимодействия

•  Применение политики к пользователям и устройствам

•  Гибкая политика контроля для разных приложений

•  Видимость всей активности по сети

HTTP://

+

Application Visibility and Control (AVC) Фильтрация URL

51

Мониторинг угроз на сетевом уровне

Пользователи Анализ на сетевом уровне

Предотвращение трафика ботнетов (“Phone-home”)

•  Сканирование всего трафика, на всех портах, по всем протоколам

•  Обнаружение вредоносного ПО, обходящего порт 80

•  Предотвращение трафика ботнетов

Мощные данные для борьбы с вредоносным кодом

•  Автоматически обновляемые правила

•  Генерация правил в реальном времени, используя “динамическую идентификацию”

Инспекция пакетов и заголовков

Интернет

52

6,5 млн. вредоносных веб-сайтов блокируется каждый день

Security Intelligence Operations – Cisco для Cisco

Вредоносное ПО, заблокированное за один день: •  441 К - Троян •  61 К - Прочее вредоносное ПО •  29 К - Зашифрованные файлы (отслеживание) •  16,4 К - Рекламные сообщения •  1 К - Загрузчики Трояна •  55 - Фишинговые URL •  22 - Средства наблюдения за коммерческими

системами •  5 - Черви •  3 - Номеронабиратели

Статистика веб-трафика Cisco: •  330-360 млн. посещений веб-сайтов в день

•  6-7 млн. (2%) заблокировано

Транзакции, заблокированные WSA: •  93,5% - Веб-репутация •  4,5% - Категория URL •  2% - Антивредоносное ПО

53

Решения Cisco в области безопасности электронной почты на базе SIO

Устройство Облако Гибридные Управляемые

Защита от угроз Защита о спама и вирусов Целевая защита от угроз

Безопасность данных Предотвращение потери данных

Шифрование

Централизованная прозрачность и контроль

Поддержка нескольких устройств

Виртуальные

54

Защита Cisco Email Security

Cisco® SIO

Репутационная фильтрация SenderBase

Предотвращение спама и и спуфинга

Антивирусное сканирование & AMP

Анализ URL в реальном времени

Доставка Карантин Переписать URL Отбросить

Отбросить

Отбросить/Карантин

Отбросить/Карантин

Карантин/Переписать

55

• Заведомо легитимная почта доставляется

• Подозрительные сообщения ограничиваются по скорости и фильтруются от спама

• Заведомо нежелательная почта блокируется

IronPort Anti-Spam

Входящая почта Хорошие, плохие

и неизвестные сообщения

Фильтрация по репутации

Cisco о Cisco Наш корпоративный опыт работы с электронной почты

Категория сообщения % Сообщения

Остановлено фильтрацией на основе репутации 93.1% 700,876,217

Остановлено по причине недействительных получателей 0.3% 2,280,104

Обнаружен спам 2.5% 18,617,700

Обнаружен вирус 0.3% 2,144,793

Остановлено фильтром контента 0.6% 4,878,312

Общее количество сообщений об угрозах: 96.8% 728,797,126

Чистые сообщения 3.2% 24,102,874

Общее количество сообщений: 752,900,000

Фильтрация репутации SenderBase Предотвращение угроз в реальном времени

56

Блокирование фишинговых атак и скрытых угроз

Репутационный фильтр

Спам-фильтр

Анализ контента сообщение

Черные списки

Защита от спуфинга

Блокирование неожидаемых сообщений

Перенаправление подозрительных ссылок для анализа и выполнения в

защищенное облако Фильтрация плохих URL базируется на репутации web и категориях

57

Строгий исходящий контроль

Шифрование важной почты

Соответствие политикам/

DLP

Контроль числа исходящих сообщений

Проверки AS/AV DKIM/SPF

Отправитель Получатель

58 Каждый день блокируется 35 млн. сообщений электронной почты

Электронные сообщения, заблокированные ESA

Электронных сообщений* в месяц

Электронных сообщений в день

Электронных сообщений на одного работника в день

%

На основании репутации 73 млн. 3,3 млн. 43 94%

На основании содержания спама 4,3 млн. 0,2 млн. 3 5%

На основании недействительных подтверждений

0,4 млн. 0,02 млн. 0.25 1%

Доставленные сообщения электронной почты

Электронных сообщений в месяц

Электронных сообщений в день

Электронных сообщений на одного работника в день

%

Прислано 124 млн. 5,6 млн. 73

Заблокировано 77 млн. 3,5 млн. 46 63%

Доставлено 37 млн. 1,7 млн. 22 30%

Доставлено с отметкой “Маркетинг” 9 млн. 0,4 млн. 5 7%

Устройство защиты электронной почты — Cisco для Cisco

Вредо-носное ПО Спам

59

Централизованное управление & отчеты

Централизованный репортинг

Централизованное управление

Встроенный анализ угроз Расследования инцидентов

Понимание Через угрозы,

данные и приложения

Контроль Соответствующие политики для

офисов и удаленных пользователей

Видимость Видимость через различные

устройства, сервисы и сетевой уровень

Централизованное управление политиками

Делегированное управление

60

Веб-безопасность облака Cisco

§  Ведущий провайдер в области веб-безопасности облака в 2012 г компания Infonetics

§  Лидер рейтинга Magic Quadrant компании Gartner в 2013 году

§  Время безотказной работы сервисов 99,998%

§  Экономия затрат 30–40% по сравнению с решениями локального развертывания

§  Лучшее решение по веб-безопасности с централизованным управлением для распределенных организаций

§  ISR G2 с управляемой доступностью до Q3FY14

CWS

Защита от

нового

вредоносного

ПО

Прозрачность

и контроль

приложений

Защита

пользователей

в роуминге

(A

nyC

onne

ct)

Inte

llige

nce

Net

wor

k C

onne

ctor

s

Обеспечение


на

базе

облака

Гибкое развертывание

ISR G2* ASA Устройства веб-безопасности

(WSA)

Облако VPN

61

AMP на Cisco Email и Web Security •  Поддерживается

На Cisco Email Security Appliance На Cisco Web Security Appliance На Cisco Cloud Web Security

File Sandboxing

Анализ поведения неизвестных файлов

File Retrospection

Ретроспективный анализ после атаки

File Reputation

Блокирование вредоносных файлов

62

За горизонтом события ИБ

Антивирус Песочница

Начальное значение = Чисто

Точечное обнаружение

Начальное значение = Чисто

AMP

Пропущены атаки

Актуальное значение = Плохо = Поздно!!

Регулярный возврат к ретроспективе Видимость и контроль – это ключ

Не 100% Анализ остановлен

Sleep Techniques Unknown Protocols

Encryption

Polymorphism

Актуальное значение = Плохо = Блокировано

Ретроспективное обнаружение, анализ продолжается

63

Интеграция AMP & VRT & ESA/WSA/CWS

AMP клиент – единый модуль, который применяется в WSA и ESA

Web/Sender Reputation

Web/ Email

Proxy

VRT Sandboxing

WSA/ESA/CWS

Amp connector

Локальные AV-сканеры

Запрос репутации файла

AMP Cloud

Неизвестный файл, загрузка в песочницу

Обновление репутации файлов

Sandbox connector

AMP Client

Local Cache

Обновление ретроспективы

64

File SHA Hash ‘Fingerprint’

Неизвестно 1->100

Файл распознан

Файл неизвестен

Отправить в песочницу?

Да

Нет

1->59 : чисто

60->100: заражено

Вердикт «Чисто»

Вердикт «Заражено»

Реакция по политики ESA / WSA

Amp Service

Amp Cloud Service

Вердикт «Чисто» + отправить

в песочницу

Вердикт «Чисто»

Amp Client

Чисто

Заражено

Вердикт Рейтинг

Нет рейтинга

Принятие решений в связке AMP и ESA/WSA/CWS

65

Архитектура безопасности Cisco Управление Общие политики безопасности и управление безопасностью

API управления безопасностью

API Cisco ONE API платформы API интеллектуальных

ресурсов облака

Координация

Физическое устройство Виртуальные Облако

Уровень элементов инфраструктуры

Платформа сервисов безопасности

Безопасность Услуги и Приложения

API устройства – OnePK, OpenFlow, CLI

Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)

Уровень данных ASIC Уровень данных ПО Маршрутизация – коммутация – вычисление

Управление доступом

Учет контекста

Анализ контекста

Прозрачность приложений

Предотвращение угроз

Приложения Cisco в сфере безопасности Сторонние приложения

API API

66

Платформа сервисов безопасности ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

Маршрутизаторы и коммутаторы Cisco

Общедоступное и частное облако

ВЕРТИКАЛЬНОЕ МАСШТАБИРОВАНИЕ

ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ

ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ

Устройства обеспечения безопасности

Виртуализированное устройство | автоматическое масштабирование | многопользовательская среда

Устройство обеспечения безопасности, действующее как программируемый сетевой контроллер

Межсетевой экран нового поколения Cisco ASA 5500-X. Он единственный у Cisco?

•  В 4 раза быстрее чем прежние модели ASA 5500

•  Лучший в отрасли межсетевой экран ASA и решение AnyConnect

•  Сервисы межсетевого экрана нового поколения

•  Различные расширенные сервисы безопасности, не снижающие производительность

App

licat

ion

Visi

bilit

y &

C

ontro

l (AV

C)

Intru

sion

P

reve

ntio

n (IP

S)

Sec

ure

Rem

ote

Acc

ess

(Any

Con

nect

)

Web

Sec

urity

E

ssen

tials

(W

SE

)

Веб

-безопасность

облака

Сервисы Cisco ASA NGFW (программное обеспечение)

Межсетевой экран нового поколения Cisco ASA серии 5500-X (на аппаратной платформе)

Межсетевые экраны: вертикальное и горизонтальное масштабирование

Cisco 7600 Routers ISR Routers

Catalyst 6500 Switches Nexus Switches

ASA Meraki MX

ASA 1000v VSG CWS

Sourcefire FW

ASAv

ASR Routers

69

Безопасность подразумевает обнаружение, понимание и блокирование угроз

Высокоскоростная проверка контента

123.45.67.89

Johnson-PC

Операционная система: Windows 7 имя хоста: laptop1 Пользователь: jsmith IP 12.134.56.78

12.122.13.62

SQL

Реальность: сегодня основой безопасности является предотвращение угроз

Реальность сегодня: 612 нарушений безопасности в 2012 г.

•  92% происходит от внешний агентов

•  52% используют какую-либо из форм хакерства

•  40% приходится на долю вредоносных программ

•  78% атак не отличаются высокой сложностью

Утечка данных Verizon в 2013 г. Отчет о расследовании

70

Решения безопасности Sourcefire

ИНТЕЛЛЕКТУ-АЛЬНАЯ СИСТЕМА КОЛЛЕКТИВНОЙ БЕЗОПАСНОСТИ

Центр управления УСТРОЙСТВА | ВИРТУАЛЬНЫЕ

МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ

ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ НОВОГО

ПОКОЛЕНИЯ

РАСШИРЕННАЯ ЗАЩИТА ОТ

ВРЕДОНОСНЫХ ПРОГРАММ

ЗАВИСИМОСТЬ ОТ КОНТЕКСТА ХОСТЫ | ВИРТУАЛЬНЫЕ МОБИЛЬНЫЕ

УСТРОЙСТВА | ВИРТУАЛЬНЫЕ

71

FirePOWER™: single-pass, высокопроизводительное, с низкой задержкой

•  Гибкая интеграция в программное обеспечение

NGIPS,NGFW, AMP Все вышеперечисленные (просто выбрать соответствующий размер)

•  Гибкая интеграция в аппаратное обеспечение Масштабируемость: 50 Мбит/с ->40 Гбит/с Стекирование для масштабирования, кластеризация для отказоустойчивости

•  Экономичность Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs

До 320 ядер RISC До 40 Гбит/с (система предотвращения вторжений)

72

•  Все устройства включают: Интегрированное дистанционное управление Технологию ускорения Sourcefire ЖК-дисплей

SSL2000

SSL1500

SSL8200

Устройства FirePOWER

73

Производительность и масштабируемость

системы

предотвращения

вторжений

Центр обработки данных

Комплекс зданий Филиал

Малый/домаш-ний офис

Интернет-периметр

FirePOWER 7100 Series 500 Мбит/с – 1 Гбит/с

FirePOWER 7120/7125/8120 1 - 2 Гбит/с

FirePOWER 8100/8200 2 - 10 Гбит/с

FirePOWER серии 8200 10 – 40 Гбит/с

Платформы и размещение в сети

FirePOWER 7000 Series 50 – 250 Мбит/с

74

7010 7020 7030

1U, половинная ширина 1U, половинная ширина 1U, половинная ширина

50 Мбит/с 100 Мбит/с 250 Мбит/с

8 портов 1 Гбит/с, медь



Один источник питания пер. тока

Мощность


Мощность


Мощность

Все устройства серии 7000 поддерживают стационарные конфигурации сетевых портов, дистанционное управление, твердотельные диски и ЖК-‐интерфейс.

Устройства 7000 Series FirePOWER

75

7110 7120 7115 7125

1U 1U 1U 1U

500 Мбит/с 1 Гбит/с 750 Мбит/с 1,25 Гбит/с


или оптоволокно


или оптоволокно

4 стационар., 1 Гбит/с, медь 8 SFP

4 стационар., 1 Гбит/с, медь 8 SFP

Резервный источник питания пер.

тока

Резервный источник питания пер.

тока

Резервный источник питания пер. тока

Резервный источник питания пер. тока

Все устройства 7100 поддерживают дистанционное управление, твердотельные диски и ЖК-‐интерфейс.


____ * SFP НЕ поддерживают настраиваемый обход; они относятся к типу «закрыть при отказе».

76

8120 8130 8140 1U 1U 1U

2 Гбит/с 4 Гбит/с 6 Гбит/с

3 слота 3 слота 3 слота

До 12 портов До 12 портов До 12 портов

1U Комплект для стекирования

В устройство 8140 можно добавить один дополнительный стекирующий модуль для повышения общей производительности системы.


Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-‐интерфейс.

77

Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-‐интерфейс.

8250 8260 8270 8290

2U 4U 6U 8U

10 Гбит/с 20 Гбит/с 30 Гбит/с 40 Гбит/с

7 слотов 6 слотов 5 слотов 4 слота

До 28 портов До 24 портов До 20 портов До 16 портов

____ Устройства 8270 и 8290 поддерживают соединения 40G. Для этого необходимо приобрести сетевые модули 40G Для устройств 8250 и 8260 требуется модуль коммутации 40G, обеспечивающий поддержку соединений 40G, после чего необходимо установить сетевые модули 40G Примечание. Для сетевого модуля 40G требуется 2 слота


78

Новые устройства серии FirePOWER 8300

•  Та же платформа, что и серия 8200 •  Та же стекируемая архитектура, что

и серия 8200

•  ~50% больше вычислительных ядер vs. серии 8200

8370

8360

8350

30 Gbps

15 Gbps

IPS Throughput

60 Gbps

45 Gbps

8390

Sourcefire Proprietary & Confiden�al

79

Виртуальный сенсор

Виртуальные сенсоры

Виртуальный центр защиты •  Встроенное или пассивное развертывание

•  Полный набор функциональных возможностей системы предотвращения вторжений нового поколения

•  Развертывается как виртуальное устройство

•  Сценарии использования Преобразование SNORT Небольшие / удаленные площадки Виртуализированные рабочие нагрузки (PCI)

•  Управляет до 25 сенсорами физические и виртуальные одно окно

•  Сценарии использования Быстрая оценка Предварительное тестирование перед производством Операторы связи

ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.

DC

80

УСТРОЙСТВА | ВИРТУАЛЬНЫЕ

NGFW NGIPS AMP

Одна платформа служит для обработки всеv жизненным циклом атаки

ДО Вы видите,

вы контролируете

ВО ВРЕМЯ Интеллектуальные и с учетом контекста

ПОСЛЕ Ретроспективные

средства безопасности

Ценностная архитектура системы предотвращения вторжений нового поколения

Информирование пользователей

Осведомленность об угрозах

DAQ

Осведомлённость о состоянии сети

Инструменты обнаружения

Инструмент корреляции

Инструмент создания правил

Инструмент создания презентаций

Сопоставление каталогов Службы каталогов

Сервисы репутации

Пользовательский интерфейс

Инструмент создания отчетов

Сервисы определения местоположения

Сервисы восстановления

Обнаружение аномалий

«Отправлять мне SMS-сообщение только в случае реальной атаки на телефон Android одного из наших исполнительных директоров».

Оповещения

Корреляция

Идентификация Осведомленность

82

Межсетевой экран нового поколения: на базе системы предотвращения вторжений нового поколения

•  Ресурсы и пользователи, сопоставленные с помощью FireSIGHT

•  Нарушения правил доступа, обнаруженные встроенными системами предотвращения вторжений нового поколения

•  Контроль приложений и контроль доступа, коммутация и маршрутизация, обеспечиваемые межсетевым экраном нового поколения

•  ЕДИНСТВЕННЫЙ межсетевой экран нового поколения, который содержит полнофункциональную систему предотвращения вторжений нового поколения

83

Межсетевой экран нового поколения Sourcefire Ориентирован на угрозы

•  Система предотвращения вторжений нового поколения – проверка содержимого

•  FireSIGHT – учет контекста

•  Интеллектуальная система безопасности – управление черным списком

•  Полный контроль доступа По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу

•  И все эти компоненты прекрасно интегрируются друг с другом Используются политики системы предотвращения вторжений

Политики контроля файлов

Политика межсетевого экрана

Политика в отношении системы предотвращения вторжений нового поколения

Политика в отношении файлов

Политика в отношении вредоносных программ

Контролируемый трафик

Коммутация, маршрутизация, сеть VPN, высокая доступность

Осведомленность об URL-адресах

Интеллектуальная система безопасности

Определение местоположения по IP-адресу

84

Лицензирование Sourcefire Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование

Асимметричная многопроцессорная

обработка

Система предотвращения вторжений нового

поколения Межсетевой экран нового

поколения

Стандартные функции устройства

Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓

Регистрация подключений / потока ✓ ✓ ✓ ✓

Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓

Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓

Защита

Ведущая система предотвращения вторжений NSS

Расширенная лицензия

* ✓ ✓

Комплексное предотвращение угроз * ✓ ✓

Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓

Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓

Базовое предотвращение потери данных в правилах IPS (SSN, кредитные карты и пр.) * ✓ ✓

Контроль [1]

Контроль доступа: применение по приложению

Расширенная лицензия

Расширенная лицензия Расширенная лицензия

✓

Контроль доступа: применение по пользователю ✓

Коммутация, маршрутизация и возможности NAT [3] ✓

VPN Сеть VPN «узел-узел» IPSec [2] Расширенная лицензия

Расширенная лицензия Расширенная лицензия ✓

Фильтрация URL-адресов Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год

Защита от вредоносных программ

Подписка на блокирование вредоносных программ, непрерывный анализ файлов, отслеживание траектории движения вредоносных программ в сети Стоимость на год Стоимость на год Стоимость на год Стоимость на год

[1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT “*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок

85

Выделенное устройство Advanced Malware Protection (AMP)

Advanced Malware Protection for FirePOWER (NGIPS, NGFW)

FireAMP для узлов, виртуальных и мобильных устройств

Защита от вредоносного кода (антивирус)

86

Наш подход к расширенной защите от вредоносных программ

SaaS Manager

Сенсор Sourcefire

Центр управления FreeSIGHT

Лицензия на AMP Malware

#

✔ ✖

#

Сервисы обнаружения и анализ больших данных

AMP для сетей AMP для оконечных устройств

SSL:443 | 32137

Пульсация: 80

87


Dedicated Advanced Malware Protection

Appliance

AMP for FirePOWER (NGIPS / NGFW)

AMP for Gateway:

Email Security Appliance

Web Security Appliance

Cloud Web Security

Gateway Network

PC’s

Mac’s

Mobile Devices

Virtual Machines

Endpoint

Public Cloud

Private Cloud

До

В процессе

После

Облачные преимущества:

ü  Коллективная разведка

ü  Непрерывный анализ

ü  Ретроспектива

ü  Отслеживание

ü  Анализ причин

ü  Контроль

88

FireAMP Private Cloud

§ Портал управления для быстрого внедрения и менеджмента

§  Защита на уровне сети и оконечных устройств

§ Обезличенные файлы могут передаваться в глобальное облако

§ Отслеживание эпидемий

89

Операционная архитектура оконечного устройства

Системные данные

Имя хоста

IP-адрес хоста

Пульсация

Имя для входа в систему

Отсутствуют данные, которые могут быть использованы для идентификации личности (PII) Дополнительные PII

Захват сетевого трафика

Регистрация данных подключения для

отслеживаемых файлов

Данные сети

Хэширование отслеживаемых файлов

Проверка локального кэша

Запрос расположения

Блокирование вредоносных расположений

Данные файлов

PII

Условные обозначения

90

Интеллектуальные инструменты размещены на стороне сервера

Тепловая карта

Отчетность

I.O.C.

Траектория

Анализ событий

Активы

Учетная запись

Черные списки

Политика

Управление системой

Программа подкачки данных центра управления FreeSIGHT

Каналы безопасности Кэш/диспетчер по запросу клиента

Контроль эпидемий

Настраиваемое обнаружение

Контроль приложений

Анализ в изолированной программной среде

Веб- Консоль FireAMP

Облако Sourcefire

Инструменты обнаружения

Система управления событиями / механизм больших данных (правила, события)

Система регистрации

Извлечение данных

91

Конкретный (ОДИН К ОДНОМУ)

(•)

Механизмы обнаружения AMP

Общий (ETHOS)

{•••}

Дерево решений (SPERO)

Интегративный (Расширенный

анализ)

∫ 1

пользователи, механизмы

Момент сопротивления при обнаружении

Основной Хэш

Функция Печать

ОДИН К ОДНОМУ Перехватывает «известные» вредоносные программы с помощью первичного сопоставления SHA.

Эквивалентно системе на базе сигнатур.

ETHOS Перехватывает семейства вредоносных программ с помощью «нечеткого хэша»,

встроенного в функцию печати. Противодействует обходу правил вредоносными программами за счет

«битового жонглирования».

SPERO Использует методы технологии

искусственного интеллекта для обнаружения вредоносных программ в режиме реального времени с учетом среды и поведения.

Периодически проверяет хранилище больших данных для выполнения ретроспективного

анализа

РАСШИРЕННЫЙ АНАЛИЗ Интегрирует функции эвристического анализа из среды вредоносной программы, хранилища больших

данных, ETHOS и SPERO позволяют разъяснить результаты признания

программ вредоносными

92

§ Какие системы были заражены? § Почему это произошло? § Где источник заражения? § За что еще он отвечает? § С кем он еще взаимодействовал?

Смотрите в суть: траектория устройства

Смотрите широко: траектория сети

Анализ траектории файла и устройства – поиск источника заражения

93

Время появления

Инфицированные системы

Сетевая траектория файла

94

Анализ траектории файла

95

Комплексная защиты от вредоносных программ

•  Полный набор функций

•  Непрерывный анализ

•  Интегрированные инструменты реагирования

•  Анализ больших данных

•  Контроль и восстановление

Интеллектуальная система коллективной безопасности

96

Sourcefire Defense Center®

•  Настраиваемая инструментальная панель

•  Комплексные отчеты и оповещения

•  Централизованное управление политиками

•  Иерархическое управление

•  Обеспечение высокой доступности

•  Интеграция с существующими системами безопасности

97

Одна консоль – множество ролей

98

DC750 DC1500 DC3500

Макс. число управляемых устройств* 10 35 150

Макс. число событий системы предотвращения вторжений 20 млн. 30 млн. 150 млн.

Система хранения событий 100 Гб 125 Гб 400 Гб

Макс. сетевая карта (хосты | пользователи) 2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.

Макс. скорость потока (потоков/с) 2000 потоков/с 6000 потоков/с 10000 потоков/с

Возможности высокой доступности Дистанционное управление (LOM)

RAID 1, LOM, High Availability

pairing (HA)

RAID 5, LOM, HA, резервный

источник питания пер. тока

Устройства центра обеспечения защиты

* Макс. число устройств зависит от типа сенсора и частоты событий

99

Управление политиками

100

Полный FireSIGHT

Идентифицированная операционная система

и ее версия

Серверные приложения и их версия


Кто на хосте

Версия клиентского приложения

Приложение

Какие еще системы / IP-адреса использует

пользователь? Когда?

101

Автоматизация создания политик и правил

102

103

Инструментальная панель

104

Понимание контекста в FireSIGHT

Просмотр всего трафика приложения...

Поиск приложений с высокой степенью риска... Кто их использует?

Какие использовались операционные системы?

Чем еще занимались эти пользователи?

Как выглядит их трафик за период времени?

105

Различные категории URL

URLs категорированы по уровню рисков

Фильтрация URL

106

Контроль по типам файлов

107

«Черные списки» § Что это?

• Сигналы тревоги и правила блокирования: • Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи • Источники вредоносного ПО, фишинга и спама

• Возможно создание пользовательских списков • Загрузка списков от Sourcefire или иных источников

§ Как это может помочь? • Блокировать каналы вредоносных коммуникаций • Непрерывно отслеживать любые несанкционированные и новые изменения

108

•  Визуализация карт, стран и городов для событий и узлов

Bad Guys

Геолокация

109

•  IP –адреса должны быть маршрутизируемыми

•  Два типа геолокационных данных Страна – включено по умолчаниюt Full – Может быть загружено после установки Почтовый индекс, координаты, TZ, ASN, ISP, организация, доменное имя и т.д.

Ссылки на карты (Google, Bing и другие)

•  Страна сохраняется в запись о событии Для источника & получателя

Детали по геолокации

110

Дизайнер пользовательских отчетов

111

Платформы ASA и FirePOWER Производительность и размещение в сети

Устройство системы предотвращения вторжений нового поколения

Интегрированный межсетевой экран + система предотвращения вторжений

Домашний офис / небольшой филиал 50-250 Мбит/с FirePOWER 7010/20/30 ASA 5505

Филиал 500 Мбит/с - 1 Гбит/с FirePOWER 7100 ASA 5512/5515

Интернет-периметр 1-2 Гбит/с FirePOWER 7120/7125/8120 ASA 5525/5545

Комплекс зданий 2-10 Гбит/с FirePOWER 8100/8200 ASA 5555 & 5585-10/20

Центр обработки данных, 10-40 Гбит/с FirePOWER 8200 ASA 5585-40/60

Примечание. К автономным системам предотвращения вторжений могут применяться ограничения в отношении использования в домашних офисах и небольших филиалах

112

АЛЬТЕРНАТИВА

ASA 5500-X с межсетевым экраном нового поколения

Межсетевой экран ASA + межсетевой экран и система предотвращения вторжений нового поколения FirePOWER

Межсетевой экран ASA + FirePOWER

Межсетевой экран ASA 5585 с системой предотвращения вторжений

Межсетевой экран ASA 55х5 с системой предотвращения вторжений

Межсетевой экран нового поколения ASA 5500-X



АЛЬТЕРНАТИВА ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ

Позиционирование Межсетевой экран ASA

5585 с системой предотвращения вторжений

Операции безопасности Покупатели для центров обработки данных

{Комплексная безопасность является основным критерием

при покупке}

Операции безопасности Покупатели граничных устройств

{Комплексная безопасность является основным критерием при покупке}

Сетевые операции Покупатели для центров обработки данных

{Консолидация устройств является основным

критерием при покупке}

Сетевые операции Покупатели граничных устройств

{Консолидация устройств

является основным критерием при покупке}

113

Не забывайте: приложения зачастую используют шифрование

•  и по умолчанию используют SSL

•  Преимущества решения внешнего дешифрования Sourcefire Повышенная производительность – ускорение и политика Централизованное управление ключами Поддержка взаимодействия со сторонними продуктами

SSL1500 SSL2000 SSL8200 1,5 Гбит/с 2,5 Гбит/с 3,5 Гбит/с

4 Гбит/с 10 Гбит/с 20 Гбит/с

114

Решение SSL Appliance •  «Известный серверный ключ» для SSL

v2 Требуется доступ к серверному ключу Выполняет дешифрование входящих данных SSL

•  «Повторное подписание сертификата» для SSL v3 Требуется промежуточный сертификат в браузерах Выполняет дешифрование исходящих данных SSL

Метод известного серверного ключа

Метод повторного подписывания сертификата

115

Гибкие варианты развертывания На территории и за пределами территории потребителя

Варианты разверты-вания

Коннекторы / Переадре-сация

На территории потребителя Облако

Облако

МСЭ Маршрутизатор Роуминг

Виртуальное решение

Межсетевой экран нового поколения

Роуминг

Устройство


Клиентские системы

Неявная Явная

МСЭ Маршрутизатор

Неявная Явная

116

Предотвращение потери данных Снижение риска утечки конфиденциальной информации

На территории заказчика

Интеграция политик DLPс использованием протокола ICAP

CWS

Устройства веб-безопасности (WSA)

Облако

Устройство DLP другого производителя

+

Базовая политика DLP

Расширенная политика DLP

Модель открытого программирования

Распределение контекстных атрибутов

Использование меток для активов

Next Generation Encryption

118

Every Platform Needs Context

Every Platform has Context to Share

pxGrid обмен

контекстом

Информация для обмена информацией о безопасности– pxGrid

SIO

Единая инфраструктура

Прямые, защищенные интерфейсы

119

ISE как “context directory service”

Создание экосистемы по безопасности Cisco

Архитектура открытой платформы Разработка экосистемы SSP

Встроенная безопасность в ИТ

Мобильность (MDM), Угрозы (SIEM), облако

Комплексное партнерское решение

Lancope, «Сеть как сенсор» Использование значения Сети

Текущая экосистема партнеров Cisco

Широкий охват и глубина видимости IP-устройств в сети

Платформа для анализа контекста и управления политиками

Cisco Identity Service Engine (ISE)

121

Cisco ISE - унифицированное управление контекстом и сетью

Преимущества унифицированного управления контекстом

Более глубокое понимание вопросов, связанных с сетью и с безопасностью

Более детальное управление BYOD и чувствительными пользователями/группами

Выявление важных сетевых событий и событий безопасности и создание условий для их использования

Унификация пакетов политик

Готовность к Всеобъемлющему Интернет

Кто | Что | Где | Когда | Как

Инфраструктура ИТ или IoT

Cisco ISE

Политики

Совместное использование

контекста

Выполнение сетевых действий

Сеть на базе Cisco

122

123

Тип устройства

Местоположение

Пользователь Оценка Время Метод доступа Прочие атрибуты

Пример политики доступа

124

Cisco ISE и SIEM/защита от угроз

•  Уточнение, на каких событиях в сфере безопасности требуется сосредоточиться

•  Анализ безопасности на базе устройства, пользователя и группы позволяет SIEM/TD тщательно проверить определенные среды, например, BYOD или группы пользователей высокого риска

•  Обеспечение эффективности событий в сфере безопасности в сети

Сетевой карантин для пользователей и устройств с помощью ISE

SIEM & TD ПРИНИМАЮТ МЕРЫ Идентификация, тип устройства, оценка состояния,

уровень авторизации, местоположение

CISCO ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ

Преимущества

125

Security Information and Event Management (SIEM) и Threat Defense

Mobile Device Management

Приоритезация событий, анализ пользователей/устройств

•  ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения

•  Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и привилегий доступа с событиями в SIEM/TD

•  Партнеры могут предпринимать действия к пользователям/устройствам через ISE

Обеспечение защищенного доступа и соответствия устройства

•  ISE является шлюзом политик для сетевого доступа мобильных устройств

•  MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства

•  ISE связывает привилегии доступа с контекстом соответствия

Cisco ISE + pxGrid = экосистема безопасности

126

Пример контроля доступа с интеграцией с MDM

126

Jail Broken PIN Locked

Encryption ISE Registered PIN Locked MDM Registered Jail Broken

127

Sourcefire API Framework для интеграции с другими решениями •  eStreamer – Защищенный канал для передачи данных о событиях ИБ

•  Host Input – Использование 3rd данных об узлах и уязвимостях

•  Remedia�on – Реагирование через решения 3rd фирм

•  JDBC Interface – Запросы по событиям безопасности и узлам

128

Объединенная партнерская программа Sourcefire по категориям

Объединенная ИНФРАСТРУКТУРА API

129

Создать

Купить

Дружить

•  Инвестиции в R&D составляют 13% от оборота по безопасности

•  2000 инженеров по безопасности

•  11,769 патентов

25+ поглощений в области безопасности

Предлагать то, что нужно!

131

Sourcefire FireSIGHT видит «все» КАТЕГОРИИ

ПРИМЕРЫ

SOURCEFIRE СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ И МЕЖСЕТВЫЕ ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ

СТАНДАРТНАЯ СИСТЕМА

ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ

СТАНДАРТНЫЙ МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ

Угрозы Атаки, аномалии ✔ ✔ ✔

Пользователи AD, LDAP, POP3 ✔ ✗ ✔

Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔

Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔

Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔

Вредоносное ПО Conficker, Flame ✔ ✗ ✗

Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗

Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗

Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗

Операционные системы Windows, Linux ✔ ✗ ✗

Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗

Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗

Принтеры HP, Xerox, Canon ✔ ✗ ✗

VoIP-телефоны Avaya, Polycom ✔ ✗ ✗

Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗

132

Инструментальная панель

Новый уровень в сети

сенсоров мест контроля в

реальном времени СЕТЬ КАК СЕНСОР

БЛОКИРОВАНИЕ ТРАФИКА

БЛОКИРОВАНИЕ ЗАРАЖЕННЫХ УЗЛОВ

ПРЕДОТВРАЩЕНИЕ ВРЕДОНОСНОГО ПО

Действуй на всесторонне и быстро Безопасность а не наложена

138

TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers, и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Flow

Телеметрия NetFlow Cisco Switches, Routers и ASA 5500

Данные о контексте угрозы Cisco Identity, Device, Posture, Application

Cyber Threat Defense обеспечивает внутренние контроль и защиту

139

Компоненты решения Cyber Threat Defense

Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

StealthWatch FlowSensor

StealthWatch FlowSensor VE

Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Другие коллекторы

https

https

NBAR NSEL

140

Cat 3K-X w/ Service Module

Line-Rate NetFlow

Cat 4K Sup7E, Sup7L-E

Line-Rate NetFlow

ISR, ASR Scale

NetFlow NBAR2

Adds NetFlow

Доступ

Доступ

/ распределение

Периметр

Cat 6K Sup2T

Cat 2K-X the only L2 w/Netflow

Откуда мы берем данные для анализа?

ASA

141

Cisco CTD: обнаружение угроз без сигнатур

Что делает 10.10.101.89?

Политика Время начала Тревога Источник Source Host Groups

Цель Детали

Desktops & Trusted Wireless

Янв 3, 2013 Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Множество хостов Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб

142

Cisco CTD: обнаружение угроз без сигнатур Высокий Concern Index показывает значительное

количество подозрительных событий

Группа узлов Узел CI CI% Тревога Предупреждения

Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan

Слежение за активностью как одного узла, так и группы узлов

143

Cisco CTD и Cisco ISE: сила в единстве

Политика Время старта

Тревога Источник Группа хостов источника

Имя пользователя Тип устройства Цель

Desktops & Trusted Wireless

Янв 3, 2013 Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Джон Смит Apple-iPad Множество хостов

144

Cisco Cyber Threat Defense

145

Cisco Cyber Threat Defense

146

Cisco Cyber Threat Defense: крупным планом

Обнаружение разных типов атак, включая DDoS

Детальная статистика о всех атаках, обнаруженных в сети

147

Сеть и безопасность: синергия обеспечивает эффективность

Кластеризация сервиса центра обработки данных обеспечивает непревзойденные возможности масштабирования

Автоматическая сетевая переадресация

Единообразное, комплексное обеспечение безопасности Реализация политик

Мобильность и использование BYOD: ускорение / обеспечение возможности реализации

Ускорение обработки больших наборов данных Обнаружение угроз

Безопасность

Сеть

Реализация масштабирования

Ускорение обнаружения

Агрегация уникального контекста

ПРОСТРАНСТВО ПРИЛОЖЕНИЙ ПРОСТРАНСТВО СЕТИ

150

7%

17%

76%

Трафик между ЦОДами Восток – Запад С

евер – Юг

ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ

151

ТРАДИЦИОННАЯ СЕТЕВАЯ МОДЕЛЬ

ТЕКУЩАЯ МОДЕЛЬ SDN В ЦОДАХ

БУДУЩАЯ ОТКРЫТАЯ МОДЕЛЬ

Сеть узлов Виртуализация SDN Application Centric Infrastructure

Виртуализированные МСЭ Cisco ASA 1000V / VSG

Cisco ONE / eXtensible Network Controller

Cisco vESA / vWSA Imperva WAF / Citrix NetScaler

Традиционные решения по защите ЦОД Межсетевой экран

«север-юг» Предотвращение

вторжений

Cisco ACI Cisco Application

Programmable Interface Controller (APIC)

Cisco ASAv

Эволюция ЦОДов

152

ВИРТУАЛЬНАЯ ФИЗИЧЕСКАЯ

ASA 5585-X

Кластеризация с поддержкой состояния Масштабирование до 640 Гбит/с

ASAv

Полный набор функций ASA Независимость от гипервизора Масштабирование

ASA Новое решение – Cisco ASAv

153

Cisco IPS for SCADA Все типы оборудования

•  SCADA •  DCS •  PLC •  SIS •  RTU

•  Все основные вендоры •  Schneider •  Siemens •  GE, ABB •  Yokogawa •  Motorola •  Emerson •  Invensys •  Honeywell

•  И больше..

154

Защита индустриальных систем с помощью Sourcefire •  2 препроцессора для Modbus и DNP3

•  Возможность написания собственных сигнатур

•  Свыше сотни встроенных сигнатур CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent

RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa GE

Sielco ScadaTec Sinapsi DATAC WellinTech Tridium Schneider Electric CODESYS

155

Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры

Сообщение Modbus TCP -Unauthorized Write Request to a PLC

Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502 (flow:from_client,established; content:”|00 00|”; offset:2; depth:2; pcre:”/[\S\s]{3}(\x05|\x06|\x0F|\x10|\x15|\x16)/iAR”; msg:”Modbus TCP –Unauthorized Write Request to a PLC”; reference:scada,1111007.htm; classtype:bad-unknown; sid:1111007; rev:1; priority:1;)

Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или иное устройства

Воздействие Целостность системы Отказ в обслуживании

Информация

Подверженные системы PLC и другие устройства с Modbus TCP сервером

156


Сообщение Unauthorized communications with HMI

Сигнатура alert tcp192.168.0.97 any <> ![192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;)

Резюме Попытка неавторизованной системы подключиться к HMI

Воздействие Компрометация системы


Подверженные системы PLC;RTU;HMI;DMZ-Web

157


Сообщение Unauthorized to RTU Telnet/FTP

Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshow-IDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;)

Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу

Воздействие Сканирование Компрометация системы управления


Подверженные системы RTU

158

РЕЗЮМИРУЯ

160

Смотреть надо ШИРЕ и Cisco делает это

Сетевые сервера

Операционные системы

Роутеры и свитчи


Принтеры

VoIP телефоны



Файлы


Web приложений

Протоколы приложений

Сервисы

Malware

Командные сервера

Уязвимости Netflow

Поведение сети

Процессы

ISE для Политики & Identity AMP на оконечных устройствах Сеть дает контекст

161

?

Блокирование известных угроз

162

Обнаружение и блокирование продвинутых угроз

?

Разведывательные данные

Угроза обнаружена


Как

Что

Кто

Где / откуда

Когда

ISE + Сеть, Устройства (NGFW/NGIPS) Контекст

FireAMP, CWS (Cognitive), Устройства

Записано

Реализация политики

КОНТРОЛЬ ДОСТУПА Firewall

ОСОЗНАНИЕ КОНТЕНТА Приложения

ОСОЗНАНИЕ КОНТЕКСТА Identity, Данные, Место

ОСОЗНАНИЕ УГРОЗ Malware, APT

Firewall Контентные шлюзы Интегрированная платформа

Виртуализация Облако


ЦОД

Сеть

Интегрированная платформа для защиты Стратегия Cisco

Решение по безопасности, встроенное, а не пристроенное

165

Technology

Стратегия Cisco в области информационной безопасности