Post on 12-Jan-2015
description
Целенаправленные угрозы Апокалипсис грядущий или наставший?!..
Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
2
Текущие проблемы безопасности
Изменение бизнес-моделей
Динамический ландшафт угроз
Сложность и фрагментация
завтра 2010 2000 2005
Изменение ландшафта угроз
APTs и кибервойны
Черви и вирусы
Шпионское ПО и руткит
Антивирус (Host-Based)
IDS/IPS (Сетевой периметр)
Репутация (Global) и песочница
Разведка и аналитика (Облако)
Ответ предприятия
Угрозы
4
APT: Использование нескольких уязвимостей сразу
5
Угроза распространяется по сети и захватывает как можно больше данных
ПРЕДПРИЯТИЕ
ЦОД
Заражение точки входа происходит за пределами предприятия
Интернет и облака
ПУБЛИЧНАЯ СЕТЬ
Продвинутые угрозы обходят средства защиты
периметра
КАМПУС
ПЕРИМЕТР
APT: многовекторность нападения
6
Время не на нашей стороне
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
7
Как бороться?
8
Новая модель безопасности
ДО Обнаружение Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ Контроль
Применение Усиление
Видимость Сдерживание Устранение
Ландшафт угроз
Сеть Оконечные устройства
Мобильные устройства
Виртуальные машины
Облако
В определенный момент Непрерывно
9
От модели к технологиям
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
10
Надо видеть больше, чем обычно
Сетевые сервера
ОС
Рутера и свитчи
Мобильные устройства
Принтеры
VoIP телефоны
Виртуальные машины
Клиентские приложения
Файлы
Пользователи
Web приложения
Прикладные протоколы
Сервисы
Вредоносное ПО
Сервера управления ботнетами
Уязвимости NetFlow
Сетевое поведение
Процессы
11
?
Традиционных подходов уже недостаточно
12
Проблемы с традиционным мониторингом
Admin
Базируется на правилах • Зависимость от сложно создаваемых вручную правил
• Зависимость от человеческого фактора
Зависимость от времени • Занимает недели или месяцы на обнаружение
• Требует постоянного тюнинга
Security Team
Очень сложно • Часто требует квалифицированный персонал для управления и поддержки
111010000 110 0111
Невозможно идти в ногу с последними угрозами
13
Безопасность WWW Сеть
Identity & Политики
Будущее облачной аналитики угроз
Облачная аналитика и исследования угроз
Web Rep
IPS Rep
Email Rep
Репутация
Глобальная аналитика
Портал угроз
Сетевые политики
Телеметрия безопасности
Телеметрия сети
Поведенческий анализ
Глобальные данные об угрозах
CTA
14
Обнаружить, понять и остановить угрозу
?
Аналитика и исследования
угроз
Угроза определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
15
Непрерывная защита и ретроспективный анализ
Как
Что
Кто
Где
Когда
Аналитика и исследования
угроз
История событий
Непрерывный анализ Контекст Блокирование
16
Уход от точечной защиты
сенсоров мест контроля в
реальном времени СЕТЬ КАК СЕНСОР
БЛОКИРОВАНИЕ ТРАФИКА
БЛОКИРОВАНИЕ ЗАРАЖЕННЫХ УЗЛОВ
ПРЕДОТВРАЩЕНИЕ ВРЕДОНОСНОГО ПО
Действуй на всесторонне и быстро
БЛОКИРОВАНИЕ ТРАФИКА
БЛОКИРОВАНИЕ ЗАРАЖЕННЫХ УЗЛОВ
ПРЕДОТВРАЩЕНИЕ ВРЕДОНОСНОГО ПО
Безопасность а не наложена
22
Дальше будет хуже
23
Любое устройство к любому облаку
ЧАСТНОЕ ОБЛАКО
ОБЩЕ-ДОСТУПНОЕ ОБЛАКО
ГИБРИДНОЕ ОБЛАКО
24
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and
Всеобъемлющий Интернет
25
IoT: масштабный рост поверхности атаки
26
Миллиарды целей, миллионы угроз
27