Экономическая эффективность систем информационной безопасности
Стратегия Cisco в области информационной безопасности
-
Upload
cisco-russia -
Category
Technology
-
view
824 -
download
13
description
Transcript of Стратегия Cisco в области информационной безопасности
Защита современного предприятия СЕЙЧАС И В БУДУЩЕМ
Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
• Текущий статус
• Проблемы и задачи
• Новая модель безопасности
• Архитектура Cisco по ИБ
• Наши планы
ПЛАН
Что мы анонсировали 25 февраля 2014?!
OpenAppID и Cognitive
Threat Analytics
Новые платформы FirePOWER
Интеграция AMP с защитой контента
WWW
• Новые аппаратные платформы FirePOWER
• «AMP Everywhere» - интеграция AMP с ESA/WSA и CWS
• FireAMP Private Cloud • Интеграция Cognitive Threat
Analytics с CWS • Язык описания приложений
OpenAppID
Что мы анонсировали 30 октября 2013?!
Веб-безопасность
облака
Межсетевой экран нового
поколения
Веб-безопасность и защита эл.
почты
WWW
• Новая версия Cisco ASA NGFW с функцией предотвращения вторжений
• Сервисы ASA NGFW на ASA 5585-X SSP-40, SSP-60
• Новая версия и архитектура Cisco Prime Security Manager
• Новая линейка устройств Cisco в области Web-безопасности и защиты электронной почты серии x80
• Новые возможности Cisco Cloud Web Security
Новые возможности Межсетевой экран нового поколения Cisco ASA 5500-X
• НОВИНКА Межсетевой экран нового поколения с системой защиты от вторжения
• НОВИНКА Сервисы межсетевого экрана нового поколения на ASA 5585-X SSP-40, SSP-60
• НОВИНКА изменение архитектуры приложения Cisco Prime Security Manager
ü Больше, чем просто защита Интернет-периметра
ü Больший масштаб и гибкость развертывания
ü Снижение сложности управления
Новые возможности Устройства Cisco в области веб-безопасности и защиты электронной почты нового поколения
• НОВИНКА! Устройства Cisco в области веб-безопасности и защиты электронной почты серии x80
• Доступно по лицензии GPL начиная с 28 окт. 2013 г.
• На базе платформы Cisco UCS
Линейка продуктов Масштаб Модели
Cisco Web Security Appliance (WSA)
Предприятие C680
Средний бизнес C380
Малый и средний бизнес и филиалы C170
Cisco Email Security Appliance (ESA)
Предприятие S680 Средний бизнес S380 Малый и средний бизнес и филиалы S170
Cisco Content Security Management Appliance (SMA)
Предприятие M680 Средний бизнес M380
Малый и средний бизнес и филиалы M170
Новая серия x80
Но началось все гораздо раньше
Приобретение Cognitive Security ASA Mid-range Appliances
ASA CX и PRSM Новые продукты Secure Data Center
ISE 1.1 & 1.2 / TrustSec 2.1
Ключевые факты
• ASA 9.0 • ASA 1000V • IPS 4500 • CSM 4.3 • AnyConnect 3.1
Q2FY13 Q3FY13 Q4FY13 Q1FY14
Приобретение Cognitive Security
TRIAD организовано
Annual Security Report 2013
Приобретение Sourcefire
pxGrid, SIEM Ecosystem
ISE 1.2
Интеграция ScanSafe GPL
TRAC Team создана
ACI Security Solutions
Объявлена - ASAv
Интеграция IronPort GPL
Новые PRSM и ASA-CX
Новые X80 Appliances
Виртуализация BYOD Advanced Threats Software Defined Networking
Обеспечение ключевых рыночных тенденций и запросов
Появление Virtual ESA & WSA
Наращивание усилий в 2013-м году
Лидер Gartner Magic Quadrant
(Email Security, Web Security, Network Access, SSL VPN)
Существенные инвестиции в R&D, M&A &
людей
#1 на рынке ИБ ЦОДов
(Источник: Infonetics)
#1 на рынке сетевой безопасности
(Источник: Infonetics)
Названа одним из 5-ти основных Приоритетов компании
Cisco Security Momentum
12
Текущие проблемы безопасности
Изменение бизнес-моделей
Динамический ландшафт угроз
Сложность и фрагментация
МОБИЛЬ-НОСТЬ ОБЛАКО УГРОЗЫ
Динамика рынка, ориентированного на потребителя, требует сквозной архитектуры
безопасности
15
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and
Всеобъемлющий Интернет
завтра 2010 2000 2005
Изменение ландшафта угроз
APTs и кибервойны
Черви и вирусы
Шпионское ПО и руткит
Антивирус (Host-Based)
IDS/IPS (Сетевой периметр)
Репутация (Global) и песочница
Разведка и аналитика (Облако)
Ответ предприятия
Угрозы
17
Угроза распространяется по сети и захватывает как можно больше данных
ПРЕДПРИЯТИЕ
ЦОД
Заражение точки входа происходит за пределами предприятия
Интернет и облака
ПУБЛИЧНАЯ СЕТЬ
Продвинутые угрозы обходят средства защиты
периметра
КАМПУС
ПЕРИМЕТР
Анатомия современной угрозы
19
Новая модель безопасности
ДО Обнаружение Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ Контроль
Применение Усиление
Видимость Сдерживание Устранение
Ландшафт угроз
Сеть Оконечные устройства
Мобильные устройства
Виртуальные машины
Облако
В определенный момент Непрерывно
20
От модели к технологиям
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
21
Приобретение Sourcefire дополнило портфель решений Cisco
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis
22
Подход Sourcefire: … непрерывный процесс до, во время и после атаки Вы не можете защитить
то, что не видите Автоматическая настройка системы безопасности
…в режиме реального времени, в любой момент времени
Преобразование данных в информацию
УВИДЕТЬ АДАПТИ-РОВАТЬ
УЧИТЬСЯ ДЕЙСТ- ВОВАТЬ
23
Вы не можете защитить то, что не видите Sourcefire видит БОЛЬШЕ Ширина: кто, что, где, когда Глубина: любая требуемая степень детализации
Все в режиме реального времени, в одном месте
Sourcefire обеспечивает информационное преимущество
Операционная система
Пользо-ватели
Устройства Угрозы Приложения
Файлы Уязвимости
Сеть
УВИДЕТЬ
УВИ-ДЕТЬ
АДАП-ТИРО-ВАТЬ
УЧИТЬ- СЯ
ДЕЙС-ТВО-ВАТЬ
24
Cisco действует также: добавляет контекст и понимание
C I2 I4 A
ЛОКАЛЬНО Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО Ситуационный анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо- действия
APP Приложения
URL Сайты
Реализация безопасности и глобальным контекстом
25
Контекст – это самое важное
Событие: Попытка получения преимущества Цель: 96.16.242.135
Событие: Попытка получения преимущества Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США
Событие: Попытка получения преимущества
Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США Идентификатор пользователя: bobama Ф. И. О. Барак Обама Департамент: административный
Контекст способен фундаментально изменить интерпретацию данных события
26
Использование контекста 100 000 событий
5 000 событий
500 событий
20 событий
+10 событий
3 события
27
Видимость лежит в основе всего!
Wor
kflo
w (a
utom
atio
n) E
ngin
e
AP
Is
Понять масштабы, локализовать и устранить
Широкая осведомленность о контексте
Внедрение политик для снижение ареала распространения угроз
Сосредоточиться на угрозе: безопасность это обнаружение, понимание и нейтрализация угрозы
Взлом
Контекст
Политика
Угроза
28
Пассивное обнаружение
В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время в режиме
реального времени
29
Видимость позволяет контролировать
Wor
kflo
w (автоматизация
) Eng
ine
Взлом
Контекст
Политика
Угроза
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM / NAC
Видимость Сдерживание Устранение
Обнаружение Блокирование Защита
Контроль Применение Усиление
Определение Мониторинг Инвентаризация Карта
AP
Is
30
Стратегия развития продуктов зависит от современных угроз
Wor
kflo
w (автоматизация
) Eng
ine
Взлом
Контекст
Политика
Угроза
Видимость Сдерживание Устранение
Обнаружение Блокирование Защита
Контроль Применение Усиление
Определение Мониторинг Инвентаризация Карта
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM
ДО ВО ВРЕМЯ ПОСЛЕ
AP
Is
31
Всеобъемлющий портфель решений Cisco в области обеспечения безопасности
IPS и NGIPS • Cisco IPS • Cisco wIPS • Cisco ASA Module • FirePOWER NGIPS
Интернет-безопасность
• Cisco WSA / vWSA • Cisco Cloud Web Security
МСЭ и NGFW • Cisco ASA / ASA-SM • Cisco ISR / ASR Sec • FirePOWER NGFW • Meraki MX
Advanced Malware Protection
• FireAMP • FireAMP Mobile • FireAMP Virtual • AMP для FirePOWER
NAC + Identity Services
• Cisco ISE / vISE • Cisco ACS
Безопасность электронной почты • Cisco ESA / vESA • Cisco Cloud Email Security
UTM • Meraki MX
VPN • Cisco AnyConnect • Cisco ASA • Cisco ISR / RVPN
Policy-based сеть • Cisco TrustSec • Cisco ISE • Cisco ONE
Мониторинг инфраструктуры
• Cisco Cyber Threat Defense
Контроль приложений • Cisco ASA NGFW / AVC • Cisco IOS AVC / NBAR • Cisco SCE / vSCE • FirePOWER NGFW
Secure DC • Cisco ASA / 1000v /
ASAv / VSG • Cisco TrustSec
32
Интеграция в сеть, широкая база сенсоров, контекст и автоматизация
Непрерывная защита от APT-угроз, облачное исследование угроз
Гибкие и открытые платформы, масштабируемость,
всесторонний контроль, управление
Стратегические задачи
Сеть Оконечные устройства
Мобильные устройства
Виртуальные устройства
Облака
Видимость всего и вся Фокус на угрозы Платформы
33
Видимость: Cisco видит больше конкурентов
Сетевые сервера
ОС
Рутера и свитчи
Мобильные устройства
Принтеры
VoIP телефоны
Виртуальные машины
Клиентские приложения
Файлы
Пользователи
Web приложения
Прикладные протоколы
Сервисы
Вредоносное ПО
Сервера управления ботнетами
Уязвимости NetFlow
Сетевое поведение
Процессы
35
Обнаружить, понять и остановить угрозу
?
Аналитика и исследования
угроз
Угроза определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
36
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и исследования
угроз
История событий
Непрерывный анализ Контекст Блокирование
37
Снижение сложности & рост возможностей платформы
Cloud Services Control Platform
Hosted
Аналитика и исследования угроз
Централизованное управление Устройства, Виртуалки
Платформа сетевой безопасности
Платформа контроля устройств
Облачная платформа
Устройства, виртуалки ПК, мобильные, виртуалки Хостинг
39
Мозг архитектуры безопасности Cisco
Действующее соединение SMTP?
(ESA)
Ненадлежащий или нежелательный
контент? (ASA/WSA/CWS)
Место для контроля и
управления? (ASA/WSA)
Вредоносное действие? (ASA/
IPS)
Вредоносный контент на оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование угроз
Регистрация доменов
Проверка контента
Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы
Черные списки и репутация
Партнерство со сторонними разработчиками
Правила и логика для конкретных платформ
Cisco Security Intelligence Operations
40
100 Тбайт 1,6 млн. 13 млрд. Cisco SIO в цифрах
150,000 Ежедневный анализ угроз безопасности
Ежедневные веб-запросы Развернутые устройства защиты
Приложения и микропрограммные приложения
100 Тбайт данных анализа
безопасности
1,6 млн. развернутых устройств
13 млрд. веб-запросов
150 000 микропрограммных
приложений
1 000 приложений
93 млрд. сообщений электронной почты в день
35% корпора-тивная
электронная почта
5 500 сигнатур IPS
150 млн. развернутых оконечных устройств
3-5 мин. Обновления
Security Intelligence Operations: Полная прозрачность Глобальная зона охвата Полноценная защита
5 млрд. подключений к электрон-ной почте в день
4,5 млрд. ежедневно блокируемых электронных сообщений
41
Немного фактов о SIO
Глобальная и локальная корреляция через автоматический и человеческий анализ
АНАЛИТИКА & ДАННЫЕ УГРОЗ
Широкий спектр источников данных об угрозах & уязвимостях
БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ
Контекстуальная политика с распределенным внедрением
ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру-ктура
больших данных
Обновления в реальном времени
Доставка через облако
150M оконечных устройств
14M шлюзов доступа
1.6M устройств безопасности
Самообучающиеся
алгоритмы НИОКР
Open Source Community
42
Проблемы с традиционным мониторингом
Admin
Базируется на правилах • Зависимость от сложно создаваемых вручную правил
• Зависимость от человеческого фактора
Зависимость от времени • Занимает недели или месяцы на обнаружение
• Требует постоянного тюнинга
Security Team
Очень сложно • Часто требует квалифицированный персонал для управления и поддержки
111010000 110 0111
Невозможно идти в ногу с последними угрозами
СОВРЕМЕННЫЕ АЛГОРИТМЫ Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА Теория игр и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ Учет сетевого, Web и Identity контекста
ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ КИБЕР УГРОЗ Поведенческий анализ
СОВРЕМЕННЫЕ АЛГОРИТМЫ ` Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА Теория игры и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ Учет сетевого, Web, и Identity контекста ОБНАРУЖЕНО
44
Потенциальная угроза
Поведенческий анализ
Обнаружение аномалий
Машинное обучение
Внутренние пользователи
Обнаружение угроз с Cognitive Threat Analytics
45
Безопасность WWW Сеть
Identity & Политики
Будущее облачной аналитики угроз
Облачная аналитика и исследования угроз
Web Rep
IPS Rep
Email Rep
Репутация
Глобальная аналитика
Портал угроз
Сетевые политики
Телеметрия безопасности
Телеметрия сети
Поведенческий анализ
Глобальные данные об угрозах
CTA
46
Решения Cisco в области веб-безопасности и защиты электронной почты
Блокировка фишинговых атак, вирусов и спама Защита от угроз
Безопасность данных
Защита данных транзитного трафика
Прозрачность и контроль приложений
Обнаружение и уменьшение
последствий угроз веб-безопасности
Защита данных в режиме онлайн
Мониторинг и контроль
использования приложений
Веб-безопасность
Безопасность электронной почты
Лидеры рейтинга Magic Quadrant компании Gartner в 2013 году Основные отличительные особенности: ü Снижение совокупной
стоимости владения
ü Эффективность и надежность
ü Гибкое развертывание
47
Строгая защита входящего Web-трафика
WWW
Время запроса
Время ответа
Cisco® SIO
Фильтрация URL
Репутационные фильтры
Dynamic Content Analysis (DCA)
Сигнатурные антивирусные движки
Advanced Malware Protection
Блокировать
WWW
Блокировать
WWW
Блокировать
WWW
Разрешить
WWW Предупредить
WWW WWW Частично блокировать
Блокировать
WWW
Блокировать
WWW
Блокировать
WWW
48
Анализ репутации и добавление контекста Ценность контента в режиме реального времени
Владелец подозрительного
домена
Сервер в местоположении
с высоким уровнем риска
Динамический IP-адрес
Домен зарегистрирован
< 1 мин. 192.1.0.68 пример
.com Example.org 17.0.2.12 Пекин Лондон Сан-Хосе Киев HTTP SSL HTTPS Домен
зарегистрирован > 2 лет
Домен зарегистрирован
< 1 месяца
Веб-сервер < 1 месяца
Кто Как Где Когда
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
Оценка IP репутации
49
1. Сканирование текста
Решения Cisco по контролю использования Web-ресурсов на базе SIO
WWW
База данных URL-адресов
3. Расчет приблизительной категории документа
4. Заключение о наиболее близкой категории
2. Оценка релевантности
Финансы Для взрослых Здоровье
Финансы Для взрослых Здоровье
Разрешено
WWW Предупреж-дение
WWW WWW Частичная блокировка
Блокировка
WWW
5. Применение политики
Если контент неизвестен, страница анализируется
Блокировка
WWW
Предупреж-дение
WWW
Разрешение
WWW
Если контент известен
50
Всесторонний контроль с Cisco Web Security
Стони приложений
Поведение приложений
150,000+ микро-приложений • Непрерывно обновляемая
база URL, покрывающая свыше 50 миллионов сайтов в мире
• Динамическая категоризация в реальном времени для неизвестных URL
• Контроль мобильных, web 2.0 приложений и приложений для взаимодействия
• Применение политики к пользователям и устройствам
• Гибкая политика контроля для разных приложений
• Видимость всей активности по сети
HTTP://
+
Application Visibility and Control (AVC) Фильтрация URL
51
Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика ботнетов (“Phone-home”)
• Сканирование всего трафика, на всех портах, по всем протоколам
• Обнаружение вредоносного ПО, обходящего порт 80
• Предотвращение трафика ботнетов
Мощные данные для борьбы с вредоносным кодом
• Автоматически обновляемые правила
• Генерация правил в реальном времени, используя “динамическую идентификацию”
Инспекция пакетов и заголовков
Интернет
52
6,5 млн. вредоносных веб-сайтов блокируется каждый день
Security Intelligence Operations – Cisco для Cisco
Вредоносное ПО, заблокированное за один день: • 441 К - Троян • 61 К - Прочее вредоносное ПО • 29 К - Зашифрованные файлы (отслеживание) • 16,4 К - Рекламные сообщения • 1 К - Загрузчики Трояна • 55 - Фишинговые URL • 22 - Средства наблюдения за коммерческими
системами • 5 - Черви • 3 - Номеронабиратели
Статистика веб-трафика Cisco: • 330-360 млн. посещений веб-сайтов в день
• 6-7 млн. (2%) заблокировано
Транзакции, заблокированные WSA: • 93,5% - Веб-репутация • 4,5% - Категория URL • 2% - Антивредоносное ПО
53
Решения Cisco в области безопасности электронной почты на базе SIO
Устройство Облако Гибридные Управляемые
Защита от угроз Защита о спама и вирусов Целевая защита от угроз
Безопасность данных Предотвращение потери данных
Шифрование
Централизованная прозрачность и контроль
Поддержка нескольких устройств
Виртуальные
54
Защита Cisco Email Security
Cisco® SIO
Репутационная фильтрация SenderBase
Предотвращение спама и и спуфинга
Антивирусное сканирование & AMP
Анализ URL в реальном времени
Доставка Карантин Переписать URL Отбросить
Отбросить
Отбросить/Карантин
Отбросить/Карантин
Карантин/Переписать
55
• Заведомо легитимная почта доставляется
• Подозрительные сообщения ограничиваются по скорости и фильтруются от спама
• Заведомо нежелательная почта блокируется
IronPort Anti-Spam
Входящая почта Хорошие, плохие
и неизвестные сообщения
Фильтрация по репутации
Cisco о Cisco Наш корпоративный опыт работы с электронной почты
Категория сообщения % Сообщения
Остановлено фильтрацией на основе репутации 93.1% 700,876,217
Остановлено по причине недействительных получателей 0.3% 2,280,104
Обнаружен спам 2.5% 18,617,700
Обнаружен вирус 0.3% 2,144,793
Остановлено фильтром контента 0.6% 4,878,312
Общее количество сообщений об угрозах: 96.8% 728,797,126
Чистые сообщения 3.2% 24,102,874
Общее количество сообщений: 752,900,000
Фильтрация репутации SenderBase Предотвращение угроз в реальном времени
56
Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых сообщений
Перенаправление подозрительных ссылок для анализа и выполнения в
защищенное облако Фильтрация плохих URL базируется на репутации web и категориях
57
Строгий исходящий контроль
Шифрование важной почты
Соответствие политикам/
DLP
Контроль числа исходящих сообщений
Проверки AS/AV DKIM/SPF
Отправитель Получатель
58 Каждый день блокируется 35 млн. сообщений электронной почты
Электронные сообщения, заблокированные ESA
Электронных сообщений* в месяц
Электронных сообщений в день
Электронных сообщений на одного работника в день
%
На основании репутации 73 млн. 3,3 млн. 43 94%
На основании содержания спама 4,3 млн. 0,2 млн. 3 5%
На основании недействительных подтверждений
0,4 млн. 0,02 млн. 0.25 1%
Доставленные сообщения электронной почты
Электронных сообщений в месяц
Электронных сообщений в день
Электронных сообщений на одного работника в день
%
Прислано 124 млн. 5,6 млн. 73
Заблокировано 77 млн. 3,5 млн. 46 63%
Доставлено 37 млн. 1,7 млн. 22 30%
Доставлено с отметкой “Маркетинг” 9 млн. 0,4 млн. 5 7%
Устройство защиты электронной почты — Cisco для Cisco
Вредо-носное ПО Спам
59
Централизованное управление & отчеты
Централизованный репортинг
Централизованное управление
Встроенный анализ угроз Расследования инцидентов
Понимание Через угрозы,
данные и приложения
Контроль Соответствующие политики для
офисов и удаленных пользователей
Видимость Видимость через различные
устройства, сервисы и сетевой уровень
Централизованное управление политиками
Делегированное управление
60
Веб-безопасность облака Cisco
§ Ведущий провайдер в области веб-безопасности облака в 2012 г компания Infonetics
§ Лидер рейтинга Magic Quadrant компании Gartner в 2013 году
§ Время безотказной работы сервисов 99,998%
§ Экономия затрат 30–40% по сравнению с решениями локального развертывания
§ Лучшее решение по веб-безопасности с централизованным управлением для распределенных организаций
§ ISR G2 с управляемой доступностью до Q3FY14
CWS
Защита от
нового
вредоносного
ПО
Прозрачность
и контроль
приложений
Защита
пользователей
в роуминге
(A
nyC
onne
ct)
Inte
llige
nce
Net
wor
k C
onne
ctor
s
Обеспечение
безопасности
на
базе
облака
Гибкое развертывание
ISR G2* ASA Устройства веб-безопасности
(WSA)
Облако VPN
61
AMP на Cisco Email и Web Security • Поддерживается
На Cisco Email Security Appliance На Cisco Web Security Appliance На Cisco Cloud Web Security
File Sandboxing
Анализ поведения неизвестных файлов
File Retrospection
Ретроспективный анализ после атаки
File Reputation
Блокирование вредоносных файлов
62
За горизонтом события ИБ
Антивирус Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат к ретроспективе Видимость и контроль – это ключ
Не 100% Анализ остановлен
Sleep Techniques Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо = Блокировано
Ретроспективное обнаружение, анализ продолжается
63
Интеграция AMP & VRT & ESA/WSA/CWS
AMP клиент – единый модуль, который применяется в WSA и ESA
Web/Sender Reputation
Web/ Email
Proxy
VRT Sandboxing
WSA/ESA/CWS
Amp connector
Локальные AV-сканеры
Запрос репутации файла
AMP Cloud
Неизвестный файл, загрузка в песочницу
Обновление репутации файлов
Sandbox connector
AMP Client
Local Cache
Обновление ретроспективы
64
File SHA Hash ‘Fingerprint’
Неизвестно 1->100
Файл распознан
Файл неизвестен
Отправить в песочницу?
Да
Нет
1->59 : чисто
60->100: заражено
Вердикт «Чисто»
Вердикт «Заражено»
Реакция по политики ESA / WSA
Amp Service
Amp Cloud Service
Вердикт «Чисто» + отправить
в песочницу
Вердикт «Чисто»
Amp Client
Чисто
Заражено
Вердикт Рейтинг
Нет рейтинга
Принятие решений в связке AMP и ESA/WSA/CWS
65
Архитектура безопасности Cisco Управление Общие политики безопасности и управление безопасностью
API управления безопасностью
API Cisco ONE API платформы API интеллектуальных
ресурсов облака
Координация
Физическое устройство Виртуальные Облако
Уровень элементов инфраструктуры
Платформа сервисов безопасности
Безопасность Услуги и Приложения
API устройства – OnePK, OpenFlow, CLI
Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)
Уровень данных ASIC Уровень данных ПО Маршрутизация – коммутация – вычисление
Управление доступом
Учет контекста
Анализ контекста
Прозрачность приложений
Предотвращение угроз
Приложения Cisco в сфере безопасности Сторонние приложения
API API
66
Платформа сервисов безопасности ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Маршрутизаторы и коммутаторы Cisco
Общедоступное и частное облако
ВЕРТИКАЛЬНОЕ МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ
Устройства обеспечения безопасности
Виртуализированное устройство | автоматическое масштабирование | многопользовательская среда
Устройство обеспечения безопасности, действующее как программируемый сетевой контроллер
Межсетевой экран нового поколения Cisco ASA 5500-X. Он единственный у Cisco?
• В 4 раза быстрее чем прежние модели ASA 5500
• Лучший в отрасли межсетевой экран ASA и решение AnyConnect
• Сервисы межсетевого экрана нового поколения
• Различные расширенные сервисы безопасности, не снижающие производительность
App
licat
ion
Visi
bilit
y &
C
ontro
l (AV
C)
Intru
sion
P
reve
ntio
n (IP
S)
Sec
ure
Rem
ote
Acc
ess
(Any
Con
nect
)
Web
Sec
urity
E
ssen
tials
(W
SE
)
Веб
-безопасность
облака
Сервисы Cisco ASA NGFW (программное обеспечение)
Межсетевой экран нового поколения Cisco ASA серии 5500-X (на аппаратной платформе)
Межсетевые экраны: вертикальное и горизонтальное масштабирование
Cisco 7600 Routers ISR Routers
Catalyst 6500 Switches Nexus Switches
ASA Meraki MX
ASA 1000v VSG CWS
Sourcefire FW
ASAv
ASR Routers
69
Безопасность подразумевает обнаружение, понимание и блокирование угроз
Высокоскоростная проверка контента
123.45.67.89
Johnson-PC
Операционная система: Windows 7 имя хоста: laptop1 Пользователь: jsmith IP 12.134.56.78
12.122.13.62
SQL
Реальность: сегодня основой безопасности является предотвращение угроз
Реальность сегодня: 612 нарушений безопасности в 2012 г.
• 92% происходит от внешний агентов
• 52% используют какую-либо из форм хакерства
• 40% приходится на долю вредоносных программ
• 78% атак не отличаются высокой сложностью
Утечка данных Verizon в 2013 г. Отчет о расследовании
70
Решения безопасности Sourcefire
ИНТЕЛЛЕКТУ-АЛЬНАЯ СИСТЕМА КОЛЛЕКТИВНОЙ БЕЗОПАСНОСТИ
Центр управления УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ
ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ НОВОГО
ПОКОЛЕНИЯ
РАСШИРЕННАЯ ЗАЩИТА ОТ
ВРЕДОНОСНЫХ ПРОГРАММ
ЗАВИСИМОСТЬ ОТ КОНТЕКСТА ХОСТЫ | ВИРТУАЛЬНЫЕ МОБИЛЬНЫЕ
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
71
FirePOWER™: single-pass, высокопроизводительное, с низкой задержкой
• Гибкая интеграция в программное обеспечение
NGIPS,NGFW, AMP Все вышеперечисленные (просто выбрать соответствующий размер)
• Гибкая интеграция в аппаратное обеспечение Масштабируемость: 50 Мбит/с ->40 Гбит/с Стекирование для масштабирования, кластеризация для отказоустойчивости
• Экономичность Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISC До 40 Гбит/с (система предотвращения вторжений)
72
• Все устройства включают: Интегрированное дистанционное управление Технологию ускорения Sourcefire ЖК-дисплей
SSL2000
SSL1500
SSL8200
Устройства FirePOWER
73
Производительность и масштабируемость
системы
предотвращения
вторжений
Центр обработки данных
Комплекс зданий Филиал
Малый/домаш-ний офис
Интернет-периметр
FirePOWER 7100 Series 500 Мбит/с – 1 Гбит/с
FirePOWER 7120/7125/8120 1 - 2 Гбит/с
FirePOWER 8100/8200 2 - 10 Гбит/с
FirePOWER серии 8200 10 – 40 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series 50 – 250 Мбит/с
74
7010 7020 7030
1U, половинная ширина 1U, половинная ширина 1U, половинная ширина
50 Мбит/с 100 Мбит/с 250 Мбит/с
8 портов 1 Гбит/с, медь
8 портов 1 Гбит/с, медь
8 портов 1 Гбит/с, медь
Один источник питания пер. тока
Мощность
Один источник питания пер. тока
Мощность
Один источник питания пер. тока
Мощность
Все устройства серии 7000 поддерживают стационарные конфигурации сетевых портов, дистанционное управление, твердотельные диски и ЖК-‐интерфейс.
Устройства 7000 Series FirePOWER
75
7110 7120 7115 7125
1U 1U 1U 1U
500 Мбит/с 1 Гбит/с 750 Мбит/с 1,25 Гбит/с
8 портов 1 Гбит/с, медь
или оптоволокно
8 портов 1 Гбит/с, медь
или оптоволокно
4 стационар., 1 Гбит/с, медь 8 SFP
4 стационар., 1 Гбит/с, медь 8 SFP
Резервный источник питания пер.
тока
Резервный источник питания пер.
тока
Резервный источник питания пер. тока
Резервный источник питания пер. тока
Все устройства 7100 поддерживают дистанционное управление, твердотельные диски и ЖК-‐интерфейс.
Устройства 7100 Series FirePOWER
____ * SFP НЕ поддерживают настраиваемый обход; они относятся к типу «закрыть при отказе».
76
8120 8130 8140 1U 1U 1U
2 Гбит/с 4 Гбит/с 6 Гбит/с
3 слота 3 слота 3 слота
До 12 портов До 12 портов До 12 портов
1U Комплект для стекирования
В устройство 8140 можно добавить один дополнительный стекирующий модуль для повышения общей производительности системы.
Устройства 8100 Series FirePOWER
Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-‐интерфейс.
77
Все устройства серии 8000 поддерживают взаимозаменяемые сетевые модули, дистанционное управление, твердотельные диски, источники питания пер. и пост. тока, резервные источника питания и ЖК-‐интерфейс.
8250 8260 8270 8290
2U 4U 6U 8U
10 Гбит/с 20 Гбит/с 30 Гбит/с 40 Гбит/с
7 слотов 6 слотов 5 слотов 4 слота
До 28 портов До 24 портов До 20 портов До 16 портов
____ Устройства 8270 и 8290 поддерживают соединения 40G. Для этого необходимо приобрести сетевые модули 40G Для устройств 8250 и 8260 требуется модуль коммутации 40G, обеспечивающий поддержку соединений 40G, после чего необходимо установить сетевые модули 40G Примечание. Для сетевого модуля 40G требуется 2 слота
Устройства 8200 Series FirePOWER
78
Новые устройства серии FirePOWER 8300
• Та же платформа, что и серия 8200 • Та же стекируемая архитектура, что
и серия 8200
• ~50% больше вычислительных ядер vs. серии 8200
8370
8360
8350
30 Gbps
15 Gbps
IPS Throughput
60 Gbps
45 Gbps
8390
Sourcefire Proprietary & Confiden�al
79
Виртуальный сенсор
Виртуальные сенсоры
Виртуальный центр защиты • Встроенное или пассивное развертывание
• Полный набор функциональных возможностей системы предотвращения вторжений нового поколения
• Развертывается как виртуальное устройство
• Сценарии использования Преобразование SNORT Небольшие / удаленные площадки Виртуализированные рабочие нагрузки (PCI)
• Управляет до 25 сенсорами физические и виртуальные одно окно
• Сценарии использования Быстрая оценка Предварительное тестирование перед производством Операторы связи
ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.
DC
80
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
NGFW NGIPS AMP
Одна платформа служит для обработки всеv жизненным циклом атаки
ДО Вы видите,
вы контролируете
ВО ВРЕМЯ Интеллектуальные и с учетом контекста
ПОСЛЕ Ретроспективные
средства безопасности
Ценностная архитектура системы предотвращения вторжений нового поколения
Информирование пользователей
Осведомленность об угрозах
DAQ
Осведомлённость о состоянии сети
Инструменты обнаружения
Инструмент корреляции
Инструмент создания правил
Инструмент создания презентаций
Сопоставление каталогов Службы каталогов
Сервисы репутации
Пользовательский интерфейс
Инструмент создания отчетов
Сервисы определения местоположения
Сервисы восстановления
Обнаружение аномалий
«Отправлять мне SMS-сообщение только в случае реальной атаки на телефон Android одного из наших исполнительных директоров».
Оповещения
Корреляция
Идентификация Осведомленность
82
Межсетевой экран нового поколения: на базе системы предотвращения вторжений нового поколения
• Ресурсы и пользователи, сопоставленные с помощью FireSIGHT
• Нарушения правил доступа, обнаруженные встроенными системами предотвращения вторжений нового поколения
• Контроль приложений и контроль доступа, коммутация и маршрутизация, обеспечиваемые межсетевым экраном нового поколения
• ЕДИНСТВЕННЫЙ межсетевой экран нового поколения, который содержит полнофункциональную систему предотвращения вторжений нового поколения
83
Межсетевой экран нового поколения Sourcefire Ориентирован на угрозы
• Система предотвращения вторжений нового поколения – проверка содержимого
• FireSIGHT – учет контекста
• Интеллектуальная система безопасности – управление черным списком
• Полный контроль доступа По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу
• И все эти компоненты прекрасно интегрируются друг с другом Используются политики системы предотвращения вторжений
Политики контроля файлов
Политика межсетевого экрана
Политика в отношении системы предотвращения вторжений нового поколения
Политика в отношении файлов
Политика в отношении вредоносных программ
Контролируемый трафик
Коммутация, маршрутизация, сеть VPN, высокая доступность
Осведомленность об URL-адресах
Интеллектуальная система безопасности
Определение местоположения по IP-адресу
84
Лицензирование Sourcefire Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование
Асимметричная многопроцессорная
обработка
Система предотвращения вторжений нового
поколения Межсетевой экран нового
поколения
Стандартные функции устройства
Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓
Регистрация подключений / потока ✓ ✓ ✓ ✓
Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓
Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓
Защита
Ведущая система предотвращения вторжений NSS
Расширенная лицензия
* ✓ ✓
Комплексное предотвращение угроз * ✓ ✓
Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓
Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓
Базовое предотвращение потери данных в правилах IPS (SSN, кредитные карты и пр.) * ✓ ✓
Контроль [1]
Контроль доступа: применение по приложению
Расширенная лицензия
Расширенная лицензия Расширенная лицензия
✓
Контроль доступа: применение по пользователю ✓
Коммутация, маршрутизация и возможности NAT [3] ✓
VPN Сеть VPN «узел-узел» IPSec [2] Расширенная лицензия
Расширенная лицензия Расширенная лицензия ✓
Фильтрация URL-адресов Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год
Защита от вредоносных программ
Подписка на блокирование вредоносных программ, непрерывный анализ файлов, отслеживание траектории движения вредоносных программ в сети Стоимость на год Стоимость на год Стоимость на год Стоимость на год
[1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT “*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок
85
Выделенное устройство Advanced Malware Protection (AMP)
Advanced Malware Protection for FirePOWER (NGIPS, NGFW)
FireAMP для узлов, виртуальных и мобильных устройств
Защита от вредоносного кода (антивирус)
86
Наш подход к расширенной защите от вредоносных программ
SaaS Manager
Сенсор Sourcefire
Центр управления FreeSIGHT
Лицензия на AMP Malware
#
✔ ✖
#
Сервисы обнаружения и анализ больших данных
AMP для сетей AMP для оконечных устройств
SSL:443 | 32137
Пульсация: 80
87
Advanced Malware Protection
Dedicated Advanced Malware Protection
Appliance
AMP for FirePOWER (NGIPS / NGFW)
AMP for Gateway:
Email Security Appliance
Web Security Appliance
Cloud Web Security
Gateway Network
PC’s
Mac’s
Mobile Devices
Virtual Machines
Endpoint
Public Cloud
Private Cloud
До
В процессе
После
Облачные преимущества:
ü Коллективная разведка
ü Непрерывный анализ
ü Ретроспектива
ü Отслеживание
ü Анализ причин
ü Контроль
88
FireAMP Private Cloud
§ Портал управления для быстрого внедрения и менеджмента
§ Защита на уровне сети и оконечных устройств
§ Обезличенные файлы могут передаваться в глобальное облако
§ Отслеживание эпидемий
89
Операционная архитектура оконечного устройства
Системные данные
Имя хоста
IP-адрес хоста
Пульсация
Имя для входа в систему
Отсутствуют данные, которые могут быть использованы для идентификации личности (PII) Дополнительные PII
Захват сетевого трафика
Регистрация данных подключения для
отслеживаемых файлов
Данные сети
Хэширование отслеживаемых файлов
Проверка локального кэша
Запрос расположения
Блокирование вредоносных расположений
Данные файлов
PII
Условные обозначения
90
Интеллектуальные инструменты размещены на стороне сервера
Тепловая карта
Отчетность
I.O.C.
Траектория
Анализ событий
Активы
Учетная запись
Черные списки
Политика
Управление системой
Программа подкачки данных центра управления FreeSIGHT
Каналы безопасности Кэш/диспетчер по запросу клиента
Контроль эпидемий
Настраиваемое обнаружение
Контроль приложений
Анализ в изолированной программной среде
Веб- Консоль FireAMP
Облако Sourcefire
Инструменты обнаружения
Система управления событиями / механизм больших данных (правила, события)
Система регистрации
Извлечение данных
91
Конкретный (ОДИН К ОДНОМУ)
(•)
Механизмы обнаружения AMP
Общий (ETHOS)
{•••}
Дерево решений (SPERO)
Интегративный (Расширенный
анализ)
∫ 1
пользователи, механизмы
Момент сопротивления при обнаружении
Основной Хэш
Функция Печать
ОДИН К ОДНОМУ Перехватывает «известные» вредоносные программы с помощью первичного сопоставления SHA.
Эквивалентно системе на базе сигнатур.
ETHOS Перехватывает семейства вредоносных программ с помощью «нечеткого хэша»,
встроенного в функцию печати. Противодействует обходу правил вредоносными программами за счет
«битового жонглирования».
SPERO Использует методы технологии
искусственного интеллекта для обнаружения вредоносных программ в режиме реального времени с учетом среды и поведения.
Периодически проверяет хранилище больших данных для выполнения ретроспективного
анализа
РАСШИРЕННЫЙ АНАЛИЗ Интегрирует функции эвристического анализа из среды вредоносной программы, хранилища больших
данных, ETHOS и SPERO позволяют разъяснить результаты признания
программ вредоносными
92
§ Какие системы были заражены? § Почему это произошло? § Где источник заражения? § За что еще он отвечает? § С кем он еще взаимодействовал?
Смотрите в суть: траектория устройства
Смотрите широко: траектория сети
Анализ траектории файла и устройства – поиск источника заражения
95
Комплексная защиты от вредоносных программ
• Полный набор функций
• Непрерывный анализ
• Интегрированные инструменты реагирования
• Анализ больших данных
• Контроль и восстановление
Интеллектуальная система коллективной безопасности
96
Sourcefire Defense Center®
• Настраиваемая инструментальная панель
• Комплексные отчеты и оповещения
• Централизованное управление политиками
• Иерархическое управление
• Обеспечение высокой доступности
• Интеграция с существующими системами безопасности
98
DC750 DC1500 DC3500
Макс. число управляемых устройств* 10 35 150
Макс. число событий системы предотвращения вторжений 20 млн. 30 млн. 150 млн.
Система хранения событий 100 Гб 125 Гб 400 Гб
Макс. сетевая карта (хосты | пользователи) 2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.
Макс. скорость потока (потоков/с) 2000 потоков/с 6000 потоков/с 10000 потоков/с
Возможности высокой доступности Дистанционное управление (LOM)
RAID 1, LOM, High Availability
pairing (HA)
RAID 5, LOM, HA, резервный
источник питания пер. тока
Устройства центра обеспечения защиты
* Макс. число устройств зависит от типа сенсора и частоты событий
100
Полный FireSIGHT
Идентифицированная операционная система
и ее версия
Серверные приложения и их версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует
пользователь? Когда?
104
Понимание контекста в FireSIGHT
Просмотр всего трафика приложения...
Поиск приложений с высокой степенью риска... Кто их использует?
Какие использовались операционные системы?
Чем еще занимались эти пользователи?
Как выглядит их трафик за период времени?
107
«Черные списки» § Что это?
• Сигналы тревоги и правила блокирования: • Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи • Источники вредоносного ПО, фишинга и спама
• Возможно создание пользовательских списков • Загрузка списков от Sourcefire или иных источников
§ Как это может помочь? • Блокировать каналы вредоносных коммуникаций • Непрерывно отслеживать любые несанкционированные и новые изменения
109
• IP –адреса должны быть маршрутизируемыми
• Два типа геолокационных данных Страна – включено по умолчаниюt Full – Может быть загружено после установки Почтовый индекс, координаты, TZ, ASN, ISP, организация, доменное имя и т.д.
Ссылки на карты (Google, Bing и другие)
• Страна сохраняется в запись о событии Для источника & получателя
Детали по геолокации
111
Платформы ASA и FirePOWER Производительность и размещение в сети
Устройство системы предотвращения вторжений нового поколения
Интегрированный межсетевой экран + система предотвращения вторжений
Домашний офис / небольшой филиал 50-250 Мбит/с FirePOWER 7010/20/30 ASA 5505
Филиал 500 Мбит/с - 1 Гбит/с FirePOWER 7100 ASA 5512/5515
Интернет-периметр 1-2 Гбит/с FirePOWER 7120/7125/8120 ASA 5525/5545
Комплекс зданий 2-10 Гбит/с FirePOWER 8100/8200 ASA 5555 & 5585-10/20
Центр обработки данных, 10-40 Гбит/с FirePOWER 8200 ASA 5585-40/60
Примечание. К автономным системам предотвращения вторжений могут применяться ограничения в отношении использования в домашних офисах и небольших филиалах
112
АЛЬТЕРНАТИВА
ASA 5500-X с межсетевым экраном нового поколения
Межсетевой экран ASA + межсетевой экран и система предотвращения вторжений нового поколения FirePOWER
Межсетевой экран ASA + FirePOWER
Межсетевой экран ASA 5585 с системой предотвращения вторжений
Межсетевой экран ASA 55х5 с системой предотвращения вторжений
Межсетевой экран нового поколения ASA 5500-X
Межсетевой экран ASA + межсетевой экран и система предотвращения вторжений нового поколения FirePOWER
Межсетевой экран ASA + межсетевой экран и система предотвращения вторжений нового поколения FirePOWER
АЛЬТЕРНАТИВА ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ
Позиционирование Межсетевой экран ASA
5585 с системой предотвращения вторжений
Операции безопасности Покупатели для центров обработки данных
{Комплексная безопасность является основным критерием
при покупке}
Операции безопасности Покупатели граничных устройств
{Комплексная безопасность является основным критерием при покупке}
Сетевые операции Покупатели для центров обработки данных
{Консолидация устройств является основным
критерием при покупке}
Сетевые операции Покупатели граничных устройств
{Консолидация устройств
является основным критерием при покупке}
113
Не забывайте: приложения зачастую используют шифрование
• и по умолчанию используют SSL
• Преимущества решения внешнего дешифрования Sourcefire Повышенная производительность – ускорение и политика Централизованное управление ключами Поддержка взаимодействия со сторонними продуктами
SSL1500 SSL2000 SSL8200 1,5 Гбит/с 2,5 Гбит/с 3,5 Гбит/с
4 Гбит/с 10 Гбит/с 20 Гбит/с
114
Решение SSL Appliance • «Известный серверный ключ» для SSL
v2 Требуется доступ к серверному ключу Выполняет дешифрование входящих данных SSL
• «Повторное подписание сертификата» для SSL v3 Требуется промежуточный сертификат в браузерах Выполняет дешифрование исходящих данных SSL
Метод известного серверного ключа
Метод повторного подписывания сертификата
115
Гибкие варианты развертывания На территории и за пределами территории потребителя
Варианты разверты-вания
Коннекторы / Переадре-сация
На территории потребителя Облако
Облако
МСЭ Маршрутизатор Роуминг
Виртуальное решение
Межсетевой экран нового поколения
Роуминг
Устройство
Устройство
Клиентские системы
Неявная Явная
МСЭ Маршрутизатор
Неявная Явная
116
Предотвращение потери данных Снижение риска утечки конфиденциальной информации
На территории заказчика
Интеграция политик DLPс использованием протокола ICAP
CWS
Устройства веб-безопасности (WSA)
Облако
Устройство DLP другого производителя
+
Базовая политика DLP
Расширенная политика DLP
Модель открытого программирования
Распределение контекстных атрибутов
Использование меток для активов
Next Generation Encryption
118
Every Platform Needs Context
Every Platform has Context to Share
pxGrid обмен
контекстом
Информация для обмена информацией о безопасности– pxGrid
SIO
Единая инфраструктура
Прямые, защищенные интерфейсы
119
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM), облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор» Использование значения Сети
Текущая экосистема партнеров Cisco
Широкий охват и глубина видимости IP-устройств в сети
Платформа для анализа контекста и управления политиками
Cisco Identity Service Engine (ISE)
121
Cisco ISE - унифицированное управление контекстом и сетью
Преимущества унифицированного управления контекстом
Более глубокое понимание вопросов, связанных с сетью и с безопасностью
Более детальное управление BYOD и чувствительными пользователями/группами
Выявление важных сетевых событий и событий безопасности и создание условий для их использования
Унификация пакетов политик
Готовность к Всеобъемлющему Интернет
Кто | Что | Где | Когда | Как
Инфраструктура ИТ или IoT
Cisco ISE
Политики
Совместное использование
контекста
Выполнение сетевых действий
Сеть на базе Cisco
123
Тип устройства
Местоположение
Пользователь Оценка Время Метод доступа Прочие атрибуты
Пример политики доступа
124
Cisco ISE и SIEM/защита от угроз
• Уточнение, на каких событиях в сфере безопасности требуется сосредоточиться
• Анализ безопасности на базе устройства, пользователя и группы позволяет SIEM/TD тщательно проверить определенные среды, например, BYOD или группы пользователей высокого риска
• Обеспечение эффективности событий в сфере безопасности в сети
Сетевой карантин для пользователей и устройств с помощью ISE
SIEM & TD ПРИНИМАЮТ МЕРЫ Идентификация, тип устройства, оценка состояния,
уровень авторизации, местоположение
CISCO ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ
Преимущества
125
Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения
• Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства
• ISE связывает привилегии доступа с контекстом соответствия
Cisco ISE + pxGrid = экосистема безопасности
126
Пример контроля доступа с интеграцией с MDM
126
Jail Broken PIN Locked
Encryption ISE Registered PIN Locked MDM Registered Jail Broken
127
Sourcefire API Framework для интеграции с другими решениями • eStreamer – Защищенный канал для передачи данных о событиях ИБ
• Host Input – Использование 3rd данных об узлах и уязвимостях
• Remedia�on – Реагирование через решения 3rd фирм
• JDBC Interface – Запросы по событиям безопасности и узлам
129
Создать
Купить
Дружить
• Инвестиции в R&D составляют 13% от оборота по безопасности
• 2000 инженеров по безопасности
• 11,769 патентов
25+ поглощений в области безопасности
Предлагать то, что нужно!
131
Sourcefire FireSIGHT видит «все» КАТЕГОРИИ
ПРИМЕРЫ
SOURCEFIRE СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ И МЕЖСЕТВЫЕ ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ
СТАНДАРТНАЯ СИСТЕМА
ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ
СТАНДАРТНЫЙ МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
БЛОКИРОВАНИЕ ТРАФИКА
БЛОКИРОВАНИЕ ЗАРАЖЕННЫХ УЗЛОВ
ПРЕДОТВРАЩЕНИЕ ВРЕДОНОСНОГО ПО
Действуй на всесторонне и быстро Безопасность а не наложена
138
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
Cyber Threat Defense обеспечивает внутренние контроль и защиту
139
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor VE
Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
140
Cat 3K-X w/ Service Module
Line-Rate NetFlow
Cat 4K Sup7E, Sup7L-E
Line-Rate NetFlow
ISR, ASR Scale
NetFlow NBAR2
Adds NetFlow
Доступ
Доступ
/ распределение
Периметр
Cat 6K Sup2T
Cat 2K-X the only L2 w/Netflow
Откуда мы берем данные для анализа?
ASA
141
Cisco CTD: обнаружение угроз без сигнатур
Что делает 10.10.101.89?
Политика Время начала Тревога Источник Source Host Groups
Цель Детали
Desktops & Trusted Wireless
Янв 3, 2013 Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Множество хостов Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб
142
Cisco CTD: обнаружение угроз без сигнатур Высокий Concern Index показывает значительное
количество подозрительных событий
Группа узлов Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
143
Cisco CTD и Cisco ISE: сила в единстве
Политика Время старта
Тревога Источник Группа хостов источника
Имя пользователя Тип устройства Цель
Desktops & Trusted Wireless
Янв 3, 2013 Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество хостов
146
Cisco Cyber Threat Defense: крупным планом
Обнаружение разных типов атак, включая DDoS
Детальная статистика о всех атаках, обнаруженных в сети
147
Сеть и безопасность: синергия обеспечивает эффективность
Кластеризация сервиса центра обработки данных обеспечивает непревзойденные возможности масштабирования
Автоматическая сетевая переадресация
Единообразное, комплексное обеспечение безопасности Реализация политик
Мобильность и использование BYOD: ускорение / обеспечение возможности реализации
Ускорение обработки больших наборов данных Обнаружение угроз
Безопасность
Сеть
Реализация масштабирования
Ускорение обнаружения
Агрегация уникального контекста
150
7%
17%
76%
Трафик между ЦОДами Восток – Запад С
евер – Юг
ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ
151
ТРАДИЦИОННАЯ СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛЬ SDN В ЦОДАХ
БУДУЩАЯ ОТКРЫТАЯ МОДЕЛЬ
Сеть узлов Виртуализация SDN Application Centric Infrastructure
Виртуализированные МСЭ Cisco ASA 1000V / VSG
Cisco ONE / eXtensible Network Controller
Cisco vESA / vWSA Imperva WAF / Citrix NetScaler
Традиционные решения по защите ЦОД Межсетевой экран
«север-юг» Предотвращение
вторжений
Cisco ACI Cisco Application
Programmable Interface Controller (APIC)
Cisco ASAv
Эволюция ЦОДов
152
ВИРТУАЛЬНАЯ ФИЗИЧЕСКАЯ
ASA 5585-X
Кластеризация с поддержкой состояния Масштабирование до 640 Гбит/с
ASAv
Полный набор функций ASA Независимость от гипервизора Масштабирование
ASA Новое решение – Cisco ASAv
153
Cisco IPS for SCADA Все типы оборудования
• SCADA • DCS • PLC • SIS • RTU
• Все основные вендоры • Schneider • Siemens • GE, ABB • Yokogawa • Motorola • Emerson • Invensys • Honeywell
• И больше..
154
Защита индустриальных систем с помощью Sourcefire • 2 препроцессора для Modbus и DNP3
• Возможность написания собственных сигнатур
• Свыше сотни встроенных сигнатур CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent
RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa GE
Sielco ScadaTec Sinapsi DATAC WellinTech Tridium Schneider Electric CODESYS
155
Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры
Сообщение Modbus TCP -Unauthorized Write Request to a PLC
Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502 (flow:from_client,established; content:”|00 00|”; offset:2; depth:2; pcre:”/[\S\s]{3}(\x05|\x06|\x0F|\x10|\x15|\x16)/iAR”; msg:”Modbus TCP –Unauthorized Write Request to a PLC”; reference:scada,1111007.htm; classtype:bad-unknown; sid:1111007; rev:1; priority:1;)
Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или иное устройства
Воздействие Целостность системы Отказ в обслуживании
Информация
Подверженные системы PLC и другие устройства с Modbus TCP сервером
156
Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры
Сообщение Unauthorized communications with HMI
Сигнатура alert tcp192.168.0.97 any <> ![192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме Попытка неавторизованной системы подключиться к HMI
Воздействие Компрометация системы
Информация
Подверженные системы PLC;RTU;HMI;DMZ-Web
157
Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры
Сообщение Unauthorized to RTU Telnet/FTP
Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshow-IDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;)
Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу
Воздействие Сканирование Компрометация системы управления
Информация
Подверженные системы RTU
160
Смотреть надо ШИРЕ и Cisco делает это
Сетевые сервера
Операционные системы
Роутеры и свитчи
Мобильные устройства
Принтеры
VoIP телефоны
Виртуальные машины
Клиентские приложения
Файлы
Пользователи
Web приложений
Протоколы приложений
Сервисы
Malware
Командные сервера
Уязвимости Netflow
Поведение сети
Процессы
ISE для Политики & Identity AMP на оконечных устройствах Сеть дает контекст
162
Обнаружение и блокирование продвинутых угроз
?
Разведывательные данные
Угроза обнаружена
История событий
Как
Что
Кто
Где / откуда
Когда
ISE + Сеть, Устройства (NGFW/NGIPS) Контекст
FireAMP, CWS (Cognitive), Устройства
Записано
Реализация политики
КОНТРОЛЬ ДОСТУПА Firewall
ОСОЗНАНИЕ КОНТЕНТА Приложения
ОСОЗНАНИЕ КОНТЕКСТА Identity, Данные, Место
ОСОЗНАНИЕ УГРОЗ Malware, APT
Firewall Контентные шлюзы Интегрированная платформа
Виртуализация Облако
Устройство
ЦОД
Сеть
Интегрированная платформа для защиты Стратегия Cisco