Современная архитектура защиты банков от киберугроз

1-3 марта 2016, Международная банковская конференция

Владимир ИлибманМенеджер по ИБ, компания Cisco

Контроль доступа как ответ на современные вызовы безопасности

Сейчас труднее, чем когда-либо, увидеть, кто находится

в вашей сети и чем занимаются эти пользователи

?

Нельзя защитить то, что нельзя увидеть

?опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети

90%компаний подтвердили, что их устройства были атакованы вредоносным ПО за последние 12 месяцев

75%3

?

Как происходит типичный взлом?

РазведкаЖертва открывает

ссылку/файл

Забрасывается вредоносное ПО

Продвижение по сети

Эскалация полномочий до администратора

Воровство данных/нанесение ущерба

Информация монетизируется после

взлома

Вы не можете защитить то, что не знаете от того, что не видите

60% данных воруются заЧАСЫ

85%взломов выявляются в теченииНЕДЕЛЬ

54%взломов невидныМЕСЯЦАМИ

Службы безопасности уступают по

скорости реакции злоумышленникам

“A community that hides in plain sight avoids detection and attacks swiftly”*Cisco Security Annual Security Report

Сейчас ИБ концентрируется на наблюдаемости и защите периметра

192.168.19.3

10.85.232.4

10.4.51.5

192.168.132.99

10.43.223.221

10.200.21.110

10.51.51.0/2410.51.52.0/2410.51.53.0/24

Internet

Есть наблюдаемость только для Интернет-трафика

Внутренний трафик остается вне контроля

На самом деле 80% трафика находится внутри сети

192.168.19.3

10.85.232.4

10.4.51.5

192.168.132.99

10.43.223.221

10.200.21.110

10.51.51.0/2410.51.52.0/2410.51.53.0/24

Internet

Меняющиеся адреса и потоки

Тяжело мониторить и внедрять политику в таких условиях

Цель – наблюдаемость и контроль с учетом контекста

Сотрудник

Сотрудник

Поставщик

Карантин

Общий сервер

Сервер

Сегмент PCI DSS

Интернет

Сеть

Разрешенный трафикЗапрещенный трафик

Понимание потоков трафика с учетом контекста

Легкость применение политик и сегментация сети

Сетевые ресурсыПолитика доступаТрадиционная TrustSec

Доступ BYOD

Быстрая изоляция угроз

Гостевой доступ

Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативам

Что

Когда

Где

Как

Решение по контролю доступа от CiscoЕдиный централизованный КОНТРОЛЬ ДОСТУПАкак СНАРУЖИ, так и ИЗНУТРИ проводной и беспроводной сети

Дверь всеть

Cisco Identity Services Engine

Контекст ISE

Александр ТимошикДиректор департамента ИБРайффайзен Банк Аваль

Проект внедрения системы контроля доступа в Райффайзен

Банке Аваль

Единый центр управления политиками доступа

Проблематика:• Отсутствие единого центра

управления политиками безопасности

• Предоставление доступа в сеть на основании контекста пользователя или устройства

Рабочая среда:• Сетевое оборудование

Cisco Switches & Routers, ASA, WLC

• Системы контроля доступа Cisco ACS/ISE

Предлагаемое решение:• Система контроля

доступа Cisco ACS/ISE

Proof of Value

Единая консоль управления политиками

Разграничение доступа для пользователей и устройств

Управление гостевым доступомПрофилирование сетевых устройствИнтеграция со сторонними решениями безопасности

Единый мониторинг всех сессий аутентификации

Результат:• Единый центр

управления политиками доступа в корпоративную сеть на основании контекста пользователя

Контролируйте все из одной точкиСеть, данные, приложения

Безопасный доступ отовсюду, независимо от типа подключения

Применение политик и использование политик по всей сети

Мониторинг доступа, активностей и соответствие не корпоративных устройств, принимать меры по необходимости

Проводная

Филиал

Беспроводная

Мобильность

VPN

Партнер

Удаленный сотрудникЦентральны

й офис

КонтрактникГость

Аутентификация пользователей по 802.1х

Проводные подключения

Беспроводные подключения

Аутентификация пользователя/устройства

Применение профиля подключения:- Номер Vlan- dACL- SGT метка

Корпоративная сеть

Система контроля доступа

Cisco ACS/ISE

Политики доступа для пользователей или устройств на основании их атрибутов

Управление гостевым доступом

4

Пользователь подключается к открытому SSID.

Пользователь пытается получить доступ в Интернет, Идентифицирован ISE как гость и перенаправляется на портал

После проверки AUP пользователь допускается в сеть

В конце дня пользователь отключается из сети

1

2 3

Конец дня

Механизм Hotspot портала

Механизм саморегистрации

Мгновенный, доступ без пароля к Hotspot

Простая и гибкая самостоятельная регистрация для гостей

Две опции подключения:1. Ввод полученных от сотрудников Банка логина/пароля

Гость вводить учетные данные

Гость допускается в сеть

2

3 54

Гость перенаправляется на портал для саморегистрации

2. Саморегистрация.После заполнения информации профиля данные отсылаются через СМС

Профилирование ISE: обнаружение пользователей и устройств

15

DHCP

CDP/LLDP

SNMP

RADIUS

DNS N

etFlow

HTT

P

NM

AP

Интегрированное профилирование: мониторинг в масштабе

Активное сканирование: большая точность

Веб-канал данных об устройствах: идентификация в масштабе

Сетевая инфраструктура обеспечивает локальную функцию распознавания

Cisco® ISE дополняет информацию пассивной сети данными об активных оконечных устройствах

Привязка профиля устройства к политике МАВ.

Сенсор устройств Cisco

Сенсор устройств(функция сети)

Активное сканирование

оконечных устройств

Вeб-канал данных

об устройствах*

Cisco ISE

Сокращение числа неизвестных устройств в сети в среднем на 74%

Обеспечение безопасности для МАВ сессий

Cisco Identity Services EngineИнтеграция с партнерскими

решениями

Контекст пользователя

Как

ЧтоКто

ГдеКогда

Единые политики доступа для проводного, беспроводного и VPN

Политики доступа

PxGrid

Александр РуденкоВедущий инженер Департамента телекоммуникацийКомпания «ИТ-Интегратор»

Концепция Network as a Sensor/Enforcer

Концепция Network as a Sensor

pxGrid

Видимость в реальном

времени на всех уровнях

Cisco ISEz

Подавление атаки

Контекстная информация

NetFlow

Мифы про Netflow:

1. NetFlow снижает производительность

2. NetFlow влияет на полосу пропускания

Корпоративная сеть

Сотрудник

Сотрудник

Партнер

Карантин

Общие ресурсы

Сервер

Сегмент DCI DSS

Internet

Cisco ISE

Концепция Network as a Enforcer

Сегментация начинается с видимости

Задача Cisco ISE определить кто в сети

Задача Lancope определить что он делает

Host Reputation

ChangeХост внутри сети

скомпрометирован

Denial of Service

SYN Half Open; ICMP/UDP/Port Flood

BotnetDetection

Уст-ва внутри сети пытаются получить

доступ к С&C

Fragmentation Attack

Хост отправляет аномальное кол-во

«искаженных» фрагментов

WormPropagationРаспространение

вредоносной активности

Объем данных переданных

«наружу» больше обычного

DataExfiltration

NetworkScanning

Сканирование TCP, UDP портов, ICMP

NaaS/NaaE помогает решить следующие проблемы безопасности

Архитектура Network as a Sensor/Enforcer

Network Sensor(Lancope)

Campus/DCSwitches/WLC

Cisco Routers / 3rd Vendor Devices

Угрозы

pxGRID

Network Sensors Network EnforcersPolicy & ContextSharing

TrustSecSoftware-Defined

Segmentation

Cisco Collective Security

Intelligence

Конфиденциальные данные

NGIPSpxGRID

ISE

NGFW

Спасибо за внимание!