3 скакуна, несущих информационную безопасность вперед...
TRANSCRIPT
![Page 1: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/1.jpg)
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию
Лукацкий Алексей [email protected]
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.
![Page 2: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/2.jpg)
Что заставляет ИБ (и Cisco) двигаться вперед?
![Page 3: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/3.jpg)
Скакун №1: Угрозы
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 3
![Page 4: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/4.jpg)
4 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Глобальный рынок кибер-преступности:
$450B-$1T Банковский аккаунт >$1000
зависит от типа и баланса
$
DDoS as a Service
~$7/час
DDoS
Медицинские записи >$50
Мобильное ВПО $150
Разработка ВПО $2500
(коммерческое ВПО)
SSN $1
Аккаунт Facebook $1 за аккаунт с 15 друзьями
Данные кредиток $0.25−$60
Спам $50/500K emails
Эксплойты $100k-$300K
Как хакеры зарабатывают деньги?
![Page 5: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/5.jpg)
Время обнаружения вторжений очень велико
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – один из самых долгих инцидентов в 2014-м году
Ponemon
206
HP
416 Symantec
305
![Page 6: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/6.jpg)
Один пример: эксплойт-кит Angler
Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная система
Уязвимости Flash
Смена цели
Вымогатели
Angler Непрерывное забрасывание
«крючков в воду» увеличивает шанс на компрометацию
Шифрование тела ВПО Социальный инжиниринг
Смена IP Сайты-однодневки Ежедневн
ые
доработки
TTD
Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email
![Page 7: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/7.jpg)
Теневая инфраструктура устойчива и скрытна
Базовая инфраструктура Angler
![Page 8: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/8.jpg)
Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему.
Уничтожение если обнаружено • Уничтожение MBR • После перезагрузки компьютер перестает работать
Получение доступа • Спам • Фишинг • Социальный инжиниринг
Уход от обнаружения • Записать случайные данные в память 960 миллионов раз
• Засорение памяти в песочнице
Украсть данные пользователя • Доставка данных пользователя обратно злоумышленникам
• Кража любых данных, а не только банковских
Анти-анализ Стойкость Вредоносное поведение
![Page 9: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/9.jpg)
Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.
![Page 10: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/10.jpg)
76110
12/2014 1/2015 2/2015 3/2015 4/2015 5/2015
New URLScheme
Com
prom
ised
Use
rs
Old URLScheme
27425 2404018960 20863
47688
76110
736913163
9010 11958 14730 12008
Постоянная модификация вредоносного кода
Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL
Новая схема URL драматически опережает старую.
Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add-On для браузера (уже 4000 имен)
![Page 11: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/11.jpg)
Эволюция вымогателей: Цель – данные, а не системы
TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети
$300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна
Личные файлы
Финансовые данные
Фото
Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)
![Page 12: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/12.jpg)
Прямые атаки формируют большие доходы Более эффективные и более прибыльные
![Page 13: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/13.jpg)
Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов
Кампания стартовала
Обнаружена с помощью Outbreak Filters
Антивирусный движок обнаруживает Dridex
Но злоумышленники все равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
![Page 14: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/14.jpg)
Изменение в поведении атак
Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад и обход защитных механизмов
Скорость
![Page 15: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/15.jpg)
Дополнительная информация по угрозам
Уже выпущен!
![Page 16: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/16.jpg)
https://www.youtube.com/watch?v=uJOQJuhWR-E https://www.youtube.com/watch?v=dGrgI_S3yOA
Еще больше деталей про угрозы
![Page 17: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/17.jpg)
Скакун №2: Изменение бизнес-моделей
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 17
![Page 18: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/18.jpg)
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
$
3.3 55%
Мобильность Устройств на работника*
IP-траффик мобильный к 2017**
* Cisco IBSG, ** Cisco 2013 VNI, *** IDC
545 44%
Облака Облачных приложений на организацию* Рост ежегодной облачной нагрузки***
* Skyhigh Networks Industry Report, ** Cisco Global Cloud Index, *** Cisco VNI Global Mobile Data Traffic Forecast,
Рост в M2M IP-траффике 2013–18**
50B Подключенных “умных вещей” к 2020*
36X * Cisco IBSG, ** Cisco VNI: Global Mobile Data Traffic Forecast 2013-2018
IoE
![Page 19: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/19.jpg)
Десктопы Бизнес-приложения
Сетевая инфраструктура
Так было в прошлом
![Page 20: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/20.jpg)
Критическая инфраструктура (Amazon, Rackspace, Windows Azure и т.д.)
Бизнес-приложения (Salesforce, Marketo, DocuSign и т.д.)
Мобильные пользователи
Удаленные пользователи
Десктопы Бизнес-приложения
Сетевая инфраструктура
Что сегодня и завтра?
Операторы связи
Промышленные сети
![Page 21: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/21.jpg)
Что предлагает Cisco?
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 21
![Page 22: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/22.jpg)
Гипотезы безопасности Cisco
Консалтинг Интеграция Управление Знание угроз Платформы Видимость
Операционный фокус Нехватка людей
+ Цифровая эволюция
+
Требуются изменения в ИБ
![Page 23: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/23.jpg)
AMP + FirePOWER AMP > управляемая защита от угроз
В центре внимания Cisco — анализ угроз!
Приобретение компании Cognitive Security • Передовая служба исследований • Улучшенные технологии поведенческого анализа в режиме реального времени
2013 2015... 2014
Приобретение компании Sourcefire Security • Ведущие в отрасли СОПВ нового поколения • Мониторинг сетевой активности • Advanced Malware Protection • Разработки отдела по исследованию уязвимостей
(VRT) • Инновации в ПО с открытым исходным кодом
(технология OpenAppID)
Malware Analysis & Threat Intelligence
Приобретение компании ThreatGRID • Коллективный анализ вредоносного кода
• Анализ угроз • «Песочница»
Коллективные исследования Cisco – подразделение Talos по исследованию и анализу угроз • Подразделение Sourcefire по исследованию уязвимостей —
VRT • Подразделене Cisco по исследованию и информированию об угрозах — TRAC
• Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMP Коллективный анализ вредоносного кода > Система коллективной информационной безопасности
Приобретение компании OpenDNS • Анализ DNS/IP-трафика • Анализ угроз
Приобретение компании Lancope • Исследования угроз
![Page 24: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/24.jpg)
24 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CLUS: AMP Data Center
Закрыта сделка по Sourcefire
Security for ACI
RSAC: AMP Everywhere OpenAppID
2014 ASR
Global Security Sales Organization
Приобретена Neohapsis
AMP Everywhere
Приобретена ThreatGRID
Cisco ASA with FirePOWER
Services
Security and Trust
Organization
Managed Threat
Defense
Talos Integrated
Threat Defense
2013 2015
Security Everywhere
Закрыта сделка по OpenDNS
Приобретена Portcullis
Приобретение Lancope
Последние инновации Cisco в области ИБ
![Page 25: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/25.jpg)
Филиалы
ЛВС Периметр
АСУ ТП
ЦОД
Оконечные устройства
Интеграция и максимальное покрытие от уровня сети до оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов – ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Повсеместная безопасность
![Page 26: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/26.jpg)
AMP Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
Повсеместный AMP
ПК ПК
Периметр
сети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be launched from AnyConnect
![Page 27: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/27.jpg)
Сетевые ресурсы Политика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция угроз
Гостевой доступ
Ролевой доступ
Идентификация, профилирование и оценка состояния
Кто
Соответствие нормативам P
Что
Когда
Где
Как
Повсеместно означает также и интеграцию между решениями Cisco ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в сеть
Физическая или виртуальная машина
Контекст контроллер ISE pxGrid
![Page 28: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/28.jpg)
Интеграция с Cisco Mobility Services Engine (MSE)
Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.
Преимущества
Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.
Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE
Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей
Возможности • Конфигурация иерархии местоположений по всем объектам местоположения • Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения • Повторное предоставление доступа на основе нового местоположения
Холл Палата Лаборатория Скорая помощь
Врач
Нет доступа к данным пациента
Доступ к данным пациента
Нет доступа к данным пациента
Доступ к данным пациента
Данные пациента
Местоположения для доступа к данным пациента
Палата
Скорая помощь
Лаборатория
Холл
![Page 29: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/29.jpg)
Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы — новые партнеры в рамках pxGrid
Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.
Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco
Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях
Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа
![Page 30: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/30.jpg)
Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).
Повсеместно… Даже там, где еще нет Cisco. Пока нет J
Преимущества
Что нового в ISE 2.0?
Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей
Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)
Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для работы с ISE
• Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco
![Page 31: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/31.jpg)
Повсеместно… с учетом жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование Внедрение политик
Укрепление
Обнаружение Блокирование
Защита
Локализация Изолирование Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
![Page 32: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/32.jpg)
Web Filtering and Reputation
Security Intelligence
File Type Blocking
Application Visibility &
Control Indicators of Compromise
Traffic Intelligence
File Reputation
Cognitive Threat
Analytics
X X X X
До После
www.website.com
Во время
X
File Retrospection
Мобильный пользователь
Отчеты
Работа с логами
Управление
Удаленный офис Allow Warn Block Partial
Block Основной офис
ASA/NGIPS AMP Appliance WSA ESA AMP for
Endpoints Админ Перенапр
авление трафика
Угрозы
HQ
File Sandboxing
X
Пример: Cisco Advanced Malware Protection
![Page 33: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/33.jpg)
www
Mobile User Удаленный офис
www www
Allow Warn Block Partial Block Основной офис
ASA Standalone WSA ISR G2 AnyConnect® Админ Перенаправление трафика
www
HQ
До После Во время
File Retrospection
File Sandboxing
Webpage
Outbreak Intelligence
ISR 4k
Отчеты
Работа с логами
Управление
X
Web Reputation
and Filtering
SaaS Anomaly Detection
X
File Reputation
X
Anti-Malware
Cognitive Threat
Analytics
X
SaaS Visibility
CAS CAS
X
Cloud Data Loss
Prevention
CAS Application
Visibility and Control
Мобильный пользователь
X
SaaS Anomaly Detection
www.website.com
AMP AMP TG CTA
Пример: Cisco Cloud Web Security
![Page 34: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/34.jpg)
Богатый контекст
Василий
Планшет
Здание 7, корпус 2, 1 этаж
11:00 AM Europe/Moscow 11-00 AM
Беспроводная сеть
Повсеместный контекст
Кто
Что
Где
Когда
Как
Отсутствие контекста
IP Address 192.168.1.51
Не известно
Не известно
Не известно
Не известно Нужный пользователь с нужным устройством попадет в сеть только из нужного места с необходимыми правами
Любой пользователь. Любое устройство откуда угодно попадает в сеть Результат
Контекст:
![Page 35: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/35.jpg)
4 основных и 2 отраслевых набора решений
• ASA 5585 • ASAv • ISE • Lancope
• AnyConnect • AMP • CWS • OpenDNS
• ISE • TrustSec • StealthWatch • wIPS
• FirePOWER • ESA • WSA • AMP
Защита периметра
Защита внутренней
сети
Защита ЦОДа Защита пользователей
• Firepower 9300 • Cloud Web Security и Cognitive Threat Analytics
• OpenDNS Umbrella
• ISA 3000 • ASA 5506H • StealthWatch • ISE • NGIPS
ICS SP
А также AMP Threat Grid и OpenDNS Investigate для глубокого анализа угроз
А еще различные сервисы по безопасности
![Page 36: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/36.jpg)
От маркетинга к реальным решениям
![Page 37: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/37.jpg)
• Многие компании имеют множество разных продуктов, часто поглощенных у других игроков рынка
• Обычно это выглядит так, как будто кто-то вывалил кучу деталей Lego на ковёр
• Заказчики вынуждены либо использовать продукты неправильно, либо не на полную мощь
Как объединить продукты в решения?
![Page 38: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/38.jpg)
• Мы не знаем, что нам делать со всеми этими деталями, как нам получить то, что на картинке?
• Нужны подробные рекомендации по превращению отдельных продуктов в целостную архитектуру, протестированную на совместимость с прикладными решениями
Необходима стройная и понятная архитектура
![Page 39: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/39.jpg)
Заголовок слайда
![Page 40: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/40.jpg)
Пример Cisco SAFE для ритейла
![Page 41: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/41.jpg)
Пример SAFE для защищенного периметра
© 2015 Cisco and/or its affiliates. All rights reserved.
![Page 42: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/42.jpg)
Маршрутизатор ISR S2S VPN, унифицированные коммуникации, Trustsec, CWS, анализ Netflow
Коммутатор Catalyst Контроль доступа + Trustsec, анализ Netflow, ISE
Безопасность хостов Антивирус, AMP for Endpoints
Унифицированная БЛВС Контроль доступа + Trustsec, анализ Netflow, WirelessIPS, ISE
WAN
ASA с сервисами FirePower FW, NGIPS, AVC, AMP, фильтрация URL
Email Security Appliance Централизованная защита email, антиспам, антивирус, DLP, AMP
ISE + Cisco Threat Defense Централизованные ISE и CTD Контроль доступа + Trustsec, Проверка на соответствие, Защита от угро на основе анализа потоков Netflow
Internet
От архитектуры к решению: защищаем филиал
![Page 43: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/43.jpg)
Маршрутизатор ISR ISR 4321
Коммутатор Catalyst Catalyst 3850-48
Безопасность хостов Антивирус, AnyConnect 4.0, AMP for Endpoints
Унифицированная БЛВС WLC 5508, AP3701i,MSEv
ASA с сервисами FirePOWER ASA 5515 w/ FP Services
Email Security Appliance ESA в центральном офисе
ISE ISE в центральном офисе
Vlan 10
G1/1 G2/1
Trunk
G1/2
G1/23
G2/1
10.1.1.0/24
10.1.2.0/24
Vlan 12
12.1.1.0/24
WAN Internet
От решения – к низкоуровневому дизайну
![Page 44: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/44.jpg)
Пример: компоненты защиты периметра
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
IPS нового поколения
Безопасность WEB и контентная фильтрация
Мобильный и удаленный доступ
SSL расшифровка и инспектирование
Безопасность электронной почты
Защита от вредоносного кода
(AMP)
Атрибуция пользователя Анализ сетевого
трафика
На каком этапе развития находитесь вы?
![Page 45: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/45.jpg)
Сеть L2/L3
Управление доступом + TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щения вторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщик нагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом + TrustSec
Система предотвра-щения вторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3 МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/ Конфигурация
Мониторинг/ контекст
Анализ/ корреляция
Аналитика
Регистрация в журнале/ отчетность
Аналитика угроз
Управление уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
Пример SAFE для ЦОДа: те же компоненты
![Page 46: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/46.jpg)
FirePOWER Services
![Page 47: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/47.jpg)
Что такое платформа FirePOWER сегодня?
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль приложений
Межсетевой экран Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
Устройство ASA ISR Virtual
![Page 48: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/48.jpg)
Внедрение ASAv : виртуальный МСЭ+VPN § Часто для фильтрации между зонами и тенантами применяется МСЭ в режиме мульти-контекст
§ Для передачи трафика используются транки § Проблема – масштабирование фильтрации Запад-Восток требует ресурсов МСЭ и масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и может обеспечивать фильтрацию Восток-Запад
§ На каждого тенанта или зону можно развернуть одну или несколько ASAv для FW + VPN
§ Масштабируемая терминация VPN S2S и RA § Поддержка сервисов vNGIPS, vAMP и других Vzone 1 Vzone 2
Multi Context Mode ASA
![Page 49: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/49.jpg)
Видимость и прозрачность всего в сети
Типичный NGFW
Cisco® FirePOWER Services
Типичный IPS
![Page 50: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/50.jpg)
Распознавание приложений
• Анализ сетевого трафика позволяет распознавать широкий спектр различных приложений, которые затем можно использовать в правилах политики безопасности
• FirePOWER распознает и «российские» приложения
![Page 51: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/51.jpg)
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное приложение обнаружено
Событие нарушения зафиксировано, пользователь
идентифицирован
Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены.
IT & HR провели с
пользователем работу
Идентификация приложений «на лету»
![Page 52: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/52.jpg)
Блокирование передачи файлов Skype
![Page 53: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/53.jpg)
Описание собственных приложений
• Приложения могут быть описаны шаблонами
ASCII HEX PCAP-файл
![Page 54: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/54.jpg)
«Черные списки»: свои или централизованные
![Page 55: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/55.jpg)
• Разрешенные типы и версии ОС
• Разрешенные клиентские приложения
• Разрешенные Web-приложения
• Разрешенные протоколы транспортного и сетевого уровней
• Разрешенные адреса / диапазоны адресов
• И т.д.
Создание «белых списков»
![Page 56: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/56.jpg)
За счет анализа происходящего на узлах
Идентифицированная операционная система
и ее версия Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует
пользователь? Когда?
![Page 57: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/57.jpg)
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение зафиксировано,
уведомления отправлены
IT восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT.
Новый актив обнаружен
Поведение обнаружено
Обнаружение посторонних / аномалий
![Page 58: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/58.jpg)
Инвентаризация и профилирование узлов
• Профиль хоста включает всю необходимую для анализа информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система • Используемые приложения
• Зарегистрированные пользователи
• И т.д.
• Идентификация и профилирование мобильных устройств
![Page 59: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/59.jpg)
Профилирование протоколов
• Профиль протокола включает 29+ параметров соединения
• IP-, NetBIOS-, MAC-адреса • Сетевой протокол • Транспортный протокол • Прикладной протокол • И т.д.
![Page 60: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/60.jpg)
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие сохранено
LINUX SERVER
WINDOWS SERVER Linux не
уязвим Windows
server уязвим
Атака блокирована
Атака скоррелирована с целью
Новая Windows-атака направлена на Windows и Linux сервера. Атаки скоррелированы с профилем цели. Событие об атаке сгенерировано.
Встроенная корреляция событий безопасности
![Page 61: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/61.jpg)
Автоматизированная, комплексная защита от угроз
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDF Почта
Админ. запрос
Почта
Админ. запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWW WWW WWW
Динамические механизмы безопасности
http:// http:// WWW ВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Приоритет 2
Приоритет 3
Оценка вредоносного воздействия
5 ИК
![Page 62: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/62.jpg)
Встроенная система корреляции событий
• Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных
• Приложения • Уязвимости • Протоколы • Пользователи • Операционные системы • Производитель ОС • Адреса • Место в иерархии компании • Статус узла и т.п.
![Page 63: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/63.jpg)
Встроенная система корреляции событий
• Различные типы события для системы корреляции
• Атаки / вторжение • Активность пользователя • Установлено соединение • Изменение профиля трафика • Вредоносный код • Изменение инвентаризационных данных (например, появление нового узла в сети или ОС на узле)
• Изменение профиля узла • Появление новой уязвимости
![Page 64: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/64.jpg)
Встроенная система корреляции событий
• В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции
• Возможность создания динамических политик безопасности
![Page 65: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/65.jpg)
Автоматизация создания и настройки политик
Анализ сети, протоколов, приложений, сервисов, устройств, ОС, уязвимостей и др. позволяет
автоматизировать создание политик и правил МСЭ и IPS
![Page 66: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/66.jpg)
Оценка вредоносного воздействия
Каждому событию вторжения присваивается уровень воздействия
атаки на объект
1
2
3
4
0
УРОВЕНЬ ВОЗДЕЙСТВИЯ
ДЕЙСТВИЯ АДМИНИСТРАТОРА ПРИЧИНЫ
Немедленно принять меры, опасность
Событие соответствует уязвимости, существующей на данном узле
Провести расследование, потенциальная опасность
Открыт соответствующий порт или используется соответствующий протокол, но уязвимости отсутствуют
Принять к сведению, опасности пока нет
Соответствующий порт закрыт, протокол не используется
Принять к сведению, неизвестный объект
Неизвестный узел в наблюдаемой сети
Принять к сведению, неизвестная сеть
Сеть, за которой не ведется наблюдение
![Page 67: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/67.jpg)
Использование информации об уязвимостях
![Page 68: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/68.jpg)
• Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности
• Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFW и Cisco FirePOWER NGIPS
Интеграция с PT MaxPatrol
![Page 69: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/69.jpg)
Признаки (индикаторы) компрометации
События СОВ
Бэкдоры Подключения к серверам
управления и контроля ботнетов
Наборы эксплойтов Получение
администраторских полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP серверов
управления и контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
![Page 70: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/70.jpg)
Мониторинг общей информации о сети
• Корреляция событий безопасности, трафика и вредоносного кода
• Активность конкретных пользователей и их приложений
• Используемые ОС и активность сетевого обмена
• Оценка событий по уровню воздействия и приоритета
• Статистика по вредоносному коду и зараженным файлам
• Геолокационные данные
• Категории сайтов и посещаемые URL
![Page 71: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/71.jpg)
Мониторинг сетевых событий
• Использование сервисов
• Использование приложений
• Использование операционных систем
• Распределение соединений
• Активность пользователей
• Уязвимые узлы и приложения
• И т.д.
![Page 72: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/72.jpg)
Мониторинг событий безопасности
• Основные нарушители
• Основные атаки
• Заблокированные атаки
• Основные цели
• Приоритет событий
• Уровень воздействия
![Page 73: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/73.jpg)
Детализация событий безопасности
• Подробная информация о событии безопасности
• Возможность изменения правил реагирования
• Возможность тюнинга правила / сигнатуры
• Сетевой дамп
![Page 74: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/74.jpg)
Анализ сетевого дампа
![Page 75: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/75.jpg)
Новые возможности в Firepower Threat Defense 6.0
Инновация борьбы с угрозами Управление Enterprise уровня
DNS инспекция и Sink-holing Сетевой интеллект URL-типа
SSL инспекция ThreatGRID Analysis & Intelligence OpenAppID Application Detectors
Captive Portal and Active Auth File Property Analysis and Local Malware
Checks ISE Identity/Device/SGT in Policy
Домены с ролевым доступом Иерархические политики и
наследование
![Page 76: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/76.jpg)
• Много режимов развертывания • Passive Inbound (Известные ключи) • Inbound Inline (с/без ключей) • Outbound Inline (без ключей)
• Гибкая поддержка SSL для HTTPS и приложений StartTLS
Пример: SMTPS, POP3S, FTPS, IMAPS, TelnetS
• Расшифровка на базе URL категорий и др. аттрибутов
• Централизованное применение политик сертификатов SSL Пример Блокирование; Самоподписанный шифрованный трафик, SSL версия, типы крипто-алгоритмов, неразрешенные мобильные устройства
Интегрированная SSL Decryption – Теперь и на ASA с Firepower
![Page 77: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/77.jpg)
• Расширение IP черных списков
• TALOS динамические обновление, сторонние фиды и списки
• Множество категорий: Malware, Phishing, CnC,…
• Множество действий: Allow, Monitor, Block, Interactive Block,…
• Политики настраиваются либо в Access Rules либо в black-list
• IoC теги для CnC и Malware URLs
• Новые Dashboard widget для URL SI
• Черные/Белые списки URL по одному клику
Основанный на URL метод фильтрации злоумышлеников
URL-SI Категории
![Page 78: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/78.jpg)
• Security Intelligence поддерживает домены
• Проблемы с адресов fast-flux доменах
• Предлагаемые Cisco и настраиваемые пользователем DNS списки: CnC, Spam, Malware, Phishing
• Множество действий: Block, Domain Not Found, Sinkhole, Monitor
• Индикаторы компрометации дополнены поддержкой DNS Security Intelligence
• Новый Dashboard виджет для DNS SI
DNS Инспекция
DNS List Action
![Page 79: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/79.jpg)
OpenAppID Интеграция
Сила Open Source приходит к безопасности уровня приложений
• Создавайте, обменивайтесь и применяйте собственные правила обнаружения приложений
• Отдайте контроль в руки клиентов и большого комьюнити ИБ
• Групповая разработка в рамках комьюнити ускоряет создание сигнатур обнаружения и контроля
Что такое OpenAppID ? • Open-Source язык: специализированный на
обнаружение приложений
• > 2500 детекторов привнесено Cisco
• > 20,000 загрузок пакетов детекторов с прошлого Сентября
• Поддерживается со стороны Snort комьюнити
• Простой Язык
• Уменьшенная зависимость от вендора и его релизов
• Пишется с использованием скриптового языка Lua
Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям создавать, обмениваться и внедрять собственное обнаружение
приложений.
![Page 80: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/80.jpg)
• Идентификация популярных и известных примеров вредоносного ПО на appliance
• Уменьшение необходимости отсылки сэмплов для динамического анализа в облако
• Локальный анализ контейнерных файлов для обнаружения malware как вложенного контента.
• Отчет о содержимом файла с анализом уровня риска
• Расширение типов файлов для динамического анализа: • PDF • Office Documents • Другие: EXE/DLL, MSOLE2…
Анализ параметров файлов и локальные проверки вредоносного ПО
![Page 81: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/81.jpg)
• Принудительная аутентификация на уровне Appliance
• Множество методов аутентификации(Passive, Active, Passive с активным Fallback)
• Различные поддерживаемые типы аутентификации (пример. Basic, NTLM, Advanced, Form)
• Поддержка гостевого доступа
• Поддержка различных доменов
Captive портал / Активная аутентификация
Метод Источник LDAP/AD Доверенный?
Active
Принудительная аутентификация на устройстве
LDAP и AD yes
Passive
Identity and IP mapping from AD Agent AD yes
User Discovery Имя пользователя получено из трафика пассивно.
LDAP и AD, пассивно по трафику
no
![Page 82: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/82.jpg)
• Получение учетных данных через pxGrid / ISE
• Получение типа устройства/сети Security Group Tags из pxGrid / ISE
• Возможность применять действия на основе вышеописанных данных • Такие как блокировка доступа HR пользователей с использованием iPAD
• Уменьшение размера и сложности ACL
Интеграция с Cisco ISE
![Page 83: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/83.jpg)
UK/London
Иерархия управления
Краснодар Москва
Поддержка до 50 доменов и 3 уровней Доступно всем платформам с 6.0
Сочи
UK/Oxford
1
23
![Page 84: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/84.jpg)
Иерархия политик доступа
![Page 85: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/85.jpg)
Управление сервисами FirePOWER с ASDM
ASDM + Key Firepower Configuration
ASA Firepower
Kenton
Раздельные политики и объекты
Saleen
Spyker
ASA 5506/8/16-X
ASA 5515/12/25/45/55-X
ASA 5585-X
ASDM Расширяет поддержку на большее число платформ
![Page 86: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/86.jpg)
Дополнительная информация по FirePOWER
![Page 87: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/87.jpg)
Cisco Advanced Malware Protection
![Page 88: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/88.jpg)
Почему традиционный периметр не защищает?
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
![Page 89: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/89.jpg)
А это подтверждение статистики
16 апреля 2015 года http://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/ Дело СОВСЕМ не в названиях компаний, проблема в методологии
![Page 90: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/90.jpg)
Современный ландшафт угроз требует большего, чем просто контроль приложений
54% компрометаций
остаются незамеченными месяцами
60% данных
похищается за несколько часов
Они стремительно атакуют и остаются неуловимыми
Целое сообщество злоумышленников остается нераскрытым, будучи у всех на виду
100% организаций подключаются к доменам, содержащим
вредоносные файлы или службы
![Page 91: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/91.jpg)
• Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном вредоносном ПО?
![Page 92: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/92.jpg)
AMP Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
AMP Everywhere
ПК ПК
Периметр
сети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be launched from AnyConnect
![Page 93: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/93.jpg)
Cisco AMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасность Точечное обнаружение
Непрерывная и постоянна защита Репутация файла и анализ его поведения
![Page 94: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/94.jpg)
Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие
метки
Расширенная аналитика
Идентичная сигнатура
Признаки компрометации
Сопоставление потоков устройств
![Page 95: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/95.jpg)
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации Поведенческое обнаружение
Collective Security Intelligence Cloud
Сигнатура неизвестного файла анализируется и отправляется в облако
1
Сигнатура файла признана невредоносной и принята 2Сигнатура неизвестного файла анализируется и отправляется в облако
3Известно, что сигнатура файла является вредоносной; ей запрещается доступ в систему
4
Фильтрация по репутации основывается на трех функциях
![Page 96: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/96.jpg)
Техника: точные сигнатуры
Сигнатуры («точные»): Очень простой подход, который наверняка реализован в любом решении любого поставщика Точное соответствие файлу Очень легко обходится простыми модификациями с файлом L
• Так действуют традиционные антивирусы
• Отпечаток файла снимается с помощью SHA256 и отправляется в облако для сравнения с базой сигнатур
• Сам файл не отправляется в облако
• Быстро и аккуратно обнаруживается угроза
• Снижение нагрузки на другие механизмы обнаружения
![Page 97: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/97.jpg)
Возможность создания собственных сигнатур
1001 1101 1110011 0110011 101000 0110 00
• Создание собственных сигнатур, например, для контроля перемещения файлов с конфиденциальной информацией или полученных из внешних источников семплов вредоносного кода или даже приложений (для NGFW/NGIPS)
![Page 98: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/98.jpg)
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации основывается на трех функциях
Collective Security Intelligence Cloud
Сигнатура файла анализируется и определяется как вредоносная 1
Доступ вредоносному файлу запрещен 2Полиморфная модификация того же файла пытается получить доступ в систему
3Сигнатуры двух файлов сравниваются и оказываются аналогичными
4Доступ полиморфной модификации запрещен на основании его сходства с известным вредоносным ПО
5
![Page 99: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/99.jpg)
Техника: ядро Ethos
• ETHOS - ядро формирования нечетких отпечатков с помощью статической/пассивной эвристики
• Полиморфные варианты угрозы часто имеют общие структурные свойства
• Не всегда нужно анализировать все содержимое бинарного файла
• Повышение масштабируемости - обнаруживается и оригинал и модификации
• Традиционно создаются вручную Лучшие аналитики = несколько общих сигнатур в день
• У нас полная автоматизация = МАСШТАБИРОВАНИЕ
Ethos: создание обобщенных сигнатур, что опять же достаточно традиционно для отрасли Адресуются семейства вредоносного кода Потенциальное увеличение числа ложных срабатываний
![Page 100: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/100.jpg)
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Фильтрация по репутации основывается на трех функциях
Collective Security Intelligence Cloud
Метаданные неизвестного файла отправляются в облако для анализа 1
Метаданные признаются потенциально вредоносными 2Файл сравнивается с известным вредоносным ПО и подтверждается как вредоносный
3Метаданные второго неизвестного файла отправляются в облако для анализа
4Метаданные аналогичны известному безопасному файлу, потенциально безопасны
5Файл подтверждается как безопасный после сравнения с аналогичным безопасным файлом
6
Дерево решений машинного обучения
Потенциально безопасный файл
Потенциально вредоносное ПО
Подтвержденное вредоносное ПО
Подтвержденный безопасный файл
Подтвержденный безопасный файл
Подтвержденное вредоносное ПО
![Page 101: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/101.jpg)
Техника: ядро Spero
Метки AMP = более 400 атрибутов, полученных в процессе выполнения • Сетевые подключения? • Нестандартные протоколы? • Использование интерфейсов API (каких)? • Изменения в файловой системе?
• Самокопирование • Самоперенос
• Запуск других процессов? Автоматизирует классификацию файлов на основе общих схожих признаков Машинное обучение позволяет находить и классифицировать то, что не под силу человеку – из-за возможности анализа больших объемов данных
Дерево принятия решений
Возможно, чистый файл
Возможно, ВПО
Да, ВПО
Да, «чистый»
Да. чистый
Да, ВПО
![Page 102: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/102.jpg)
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основывается на четырех функциях
Collective Security Intelligence Cloud
Неизвестный файл проанализирован, обнаружены признаки саморазмножения
1
Эти признаки саморазмножения передаются в облако 2Неизвестный файл также производит независимые внешние передачи
3
Это поведение также отправляется в облако 4Об этих действиях сообщается пользователю для идентификации файла как потенциально вредоносного
5
![Page 103: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/103.jpg)
Техника: анализ вредоносных признаков Bad Guys
• Анализ поведения файла – большое количество анализируемых параметров
• Требует большего времени на анализ, чем сигнатуры
• Потенциально ложные срабатывания
• Подробная информация о причинах принятия того или иного решения
• Выдача финального Threat Score
![Page 104: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/104.jpg)
Уровень угрозы может быть настроен
104
На примере Cisco AMP for Content Security (WSA)
![Page 105: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/105.jpg)
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основывается на четырех функциях
Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде
1
Два файла определяются как вредоносные, один подтвержден как безопасный
2
Сигнатуры вредоносных файлов обновляются в облаке информации и добавляются в пользовательскую базу
3
Collective Security Intelligence Cloud Коллективная
пользователь-ская база
![Page 106: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/106.jpg)
Техника: динамический анализ Bad Guys
• Файлы для динамического анализа (песочница) могут быть загружены автоматически или в ручном режиме
• Загрузка файла осуществляется только в случае его неизвестности (неизвестен статус и Threat Score) «Чистые», уже проверенные ранее файлы или вредоносное ПО с вычисленным Threat Score в песочницу не загружаются, чтобы не снижать производительность решения
• Файлы могут загружать через прокси-сервера
• Результат представляется в виде обзора и детального анализа
![Page 107: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/107.jpg)
Анализ в облаке может занимать время
На примере Cisco AMP for Content Security (ESA)
![Page 108: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/108.jpg)
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основывается на четырех функциях
Получает информацию о неопознанном ПО от устройств фильтрации по репутации
1
Анализирует файл в свете полученной информации и контекста
3
Идентифицирует вредоносное ПО и добавляет новую сигнатуру в пользовательскую базу
4
Получает контекст для неизвестного ПО от коллективной пользовательской базы
2 Коллективная пользователь- ская база
Collective Security Intelligence Cloud
![Page 109: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/109.jpg)
Индикаторы компрометации
• Индикатор компрометации – объединение нескольких связанных событий безопасности в единое мета-событие
• IOC “CNC Connected” (узел вероятно находится под чужим управлением)
Узел подключился к серверу C&C
Сработала система обнаружения вторжений по сигнатуре “Malware-CNC”
На узле запущено приложение, которое установило соединение с сервером C&C
• Встроенные и загружаемые индикаторы компрометации
На примере Cisco AMP for Endpoint
На примере Cisco AMP for Networks
![Page 110: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/110.jpg)
Динамический анализ
Обучение компьютеров
Нечеткие идентифицирующие метки
Расширенная аналитика
Идентичная сигнатура
Признаки вторжения
Сопоставление потоков устройств
Поведенческое обнаружение основывается на четырех функциях
Collective Security Intelligence Cloud
Обнаруживаются два неизвестных файла, связывающихся с определенным IP-адресом
2
Один передает информацию за пределы сети, другой получает команды с этого IP-адреса
3
Collective Security Intelligence Cloud распознает внешний IP-адрес как подтвержденный вредоносный сайт
4
Из-за этого неизвестные файлы идентифицируются как вредоносные 5
IP-адрес: 64.233.160.0
Сопоставление потоков устройств производит мониторинг источника и приемника входящего/исходящего трафика в сети
1
![Page 111: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/111.jpg)
• Мониторятся внутренние и внешние сети
• Данные по репутации IP-адресов
• Регистрация URL / доменов
• Временные метки
• Передаваемые файлы
Техника: Анализ потоков устройств
111
Корреляция потоков устройств: Анализ сетевых потоков на уровне ядра. Позволяет блокировать или предупреждать о любых сетевых действия Cisco обеспечивает: Известные сервера CnC, фишинговые сайты, сервера ZeroAccess CnC, и т.д. Пользовательские списки
![Page 112: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/112.jpg)
Сила в комбинации методов обнаружения
• На оконечных узлах не хватает ресурсов для анализа все усложняющегося вредоносного кода
• Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки
• Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным
7 методов обнаружения в Cisco AMP повышают эффективность защиты!!!
![Page 113: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/113.jpg)
Почему необходима непрерывная защита?
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Непрерывный анализ
Поток телеметрических
данных
Интернет
WWW
Оконечные устройства Сеть Эл. почта
Устройства
Система предотвращения вторжений IPS
Идентифицирующие метки и метаданные файла Файловый и сетевой ввод/вывод
Информация о процессе
Объем и контрольные точки
![Page 114: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/114.jpg)
Почему необходима непрерывная защита?
Контекст Применение Непрерывный анализ
Кто Что
Где Когда
Как
История событий
Collective Security Intelligence
![Page 115: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/115.jpg)
Cisco AMP обеспечивает ретроспективную защиту
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
![Page 116: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/116.jpg)
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Ретроспективная безопасность основана на…
Выполняет анализ при первом обнаружении файлов
1 Постоянно анализирует файл с течением времени, чтобы видеть изменения ситуации
2 Обеспечивает непревзойденный контроль пути, действий или связей, касающихся конкретного элемента ПО
3
![Page 117: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/117.jpg)
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Ретроспективная безопасность основана на…
Использует ретроспективные возможности тремя способами:
Ретроспективный анализ файлов Записывает траекторию ПО от устройства к устройству
Ретроспективный анализ файлов 1
Ретроспектива процесса 2
Ретроспектива связи 3
Ретроспектива процесса Производит мониторинг активности ввода/вывода для всех устройств в системе
Ретроспектива связей Производит мониторинг, какие приложения выполняют действия
Создание цепочки атак Анализирует данные, собранные ретроспекцией файлов, процессов и связи для обеспечения нового уровня интеллектуальных средств мониторинга угроз
![Page 118: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/118.jpg)
Пример ретроспективы файла и связей
На примере Cisco AMP for Content Security (ESA)
На примере Cisco AMP for Networks
![Page 119: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/119.jpg)
Пример ретроспективы процессов
На примере Cisco AMP for Endpoints
![Page 120: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/120.jpg)
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Ретроспективная безопасность основана на…
Поведенческие признаки вторжения используют ретроспективу для мониторинга систем на наличие подозрительной и неожиданной активности
Неизвестный файл допущен в сеть 1
Неизвестный файл копирует себя на несколько машин
2 Копирует содержимое с жесткого диска 3
Отправляет скопированное содержимое на неизвестный IP-адрес
4
С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам файлов
![Page 121: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/121.jpg)
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Ретроспективная безопасность основана на…
Траектория файла автоматически записывает время, способ, входную точку, затронутые системы и распространение файла
Неизвестный файл загружается на устройство 1
Сигнатура записывается и отправляется в облако для анализа 2
Неизвестный файл перемещается по сети на разные устройства
3
Аналитики изолированной зоны определяют, что файл вредоносный, и уведомляют все устройства
4
Траектория файла обеспечивает улучшенную наглядность масштаба заражения
5 Вычислительные ресурсы
Виртуальная машина
Мобильные системы
Мобильные системы
Виртуальная машина
Вычислительные ресурсы
Сеть
Мобильные системы
Мобильные системы
Collective Security Intelligence Cloud
![Page 122: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/122.jpg)
Траектория Поведенческие признаки вторжения
Поиск нарушений
Ретроспектива Создание цепочек атак
Вычислительные ресурсы
Неизвестный файл загружается на конкретное устройство 1
Файл перемещается на устройстве, выполняя различные операции 2При этом траектория устройства записывает основную причину, происхождение и действия файлов на машине
3
Эти данные указывают точную причину и масштаб вторжения на устройство 4
Ретроспективная безопасность основана на…
Диск 1 Диск 2 Диск 3
![Page 123: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/123.jpg)
Пример траектории файла
![Page 124: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/124.jpg)
Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox
Пример траектории файла
![Page 125: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/125.jpg)
В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8
Пример траектории файла
![Page 126: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/126.jpg)
Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)
Пример траектории файла
![Page 127: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/127.jpg)
Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)
Пример траектории файла
![Page 128: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/128.jpg)
Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие
Пример траектории файла
![Page 129: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/129.jpg)
Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПО и поместило в карантин только что определенное вредоносное ПО
Пример траектории файла
![Page 130: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/130.jpg)
Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано
Пример траектории файла
![Page 131: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/131.jpg)
Что делать в случае обнаружения вредоносного кода? • Вариант реагирования на обнаруженный вредоносный код зависит от варианта реализации AMP
• AMP for Endpoints Режим аудита – разрешить запускать вредоносный код
Пассивный режим – не ждать ответа из облака и запустить вредоносный код (блокировать после)
Активный режим – ждать ответа из облака, не запуская файл
• AMP for Content Security Пропустить, заблокировать или поместить в карантин (для ESA)
• AMP for Networks Пропустить, заблокировать или сохранить вредоносный код
![Page 132: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/132.jpg)
Какие файлы можно анализировать?
• Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно захватывать и сохранять для дальнейшего анализа
![Page 133: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/133.jpg)
Обнаружение известного вредоносного кода
![Page 134: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/134.jpg)
Полная информация о вредоносном коде
![Page 135: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/135.jpg)
Увеличение числа устройств с вредоносным ПО
Анализ вредоносного ПО и атак
Подтверждение атаки и заражения
• С чего начать?
• Насколько тяжела ситуация?
• Какие системы были затронуты?
• Что сделала угроза?
• Как можно восстановить?
• Как можно предотвратить ее повторение?
Исправление Поиск сетевого трафика
Поиск журналов устройств
Сканирование устройств
Задание правил (из профиля)
Создание системы испытаний
Статический анализ
Анализ устройств
Сетевой анализ
Анализ увеличения числа
устройств
Уведомление Карантин Сортировка
Профиль вредоносного
ПО
Стоп
Не удалось обнаружить заражение
Заражение обнаруж
ено
Поиск повторного заражения
Обновление профиля
Подтверждение
Заражение отсутствует
Вопрос не в том, произойдет ли заражение, а как скоро мы его обнаружим, устраним и поймем причины?
![Page 136: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/136.jpg)
Ретроспективный анализ файлов позволяет определить • Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло?
• Что еще произошло?
![Page 137: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/137.jpg)
Ретроспективный анализ процессов позволяет определить • Как угроза попала на узел?
• Что плохого происходит на моем узле?
• Как угроза взаимодействует с внешними узлами?
• Чего я не знаю на своем узле?
• Какова последовательность событий?
![Page 138: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/138.jpg)
Трекинг каждого вредоносного файла
Пользователи и IP, которые загрузили вредоносный файл к себе
SHA-256
![Page 139: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/139.jpg)
Вопросы конфиденциальности: AMP Private Cloud 2.0
AMP Threat Grid Dynamic Analysis Appliance
Windows, Mac Endpoint
Cisco FirePOWER Sensor
Cisco Web Security Appliance
Cisco Email Security Appliance
Cisco ASA with FirePOWER Services
Talos
Cisco AMP Private Cloud Appliance 2.x
Федерированные данные
Хэши файлов
Анализируемые файлы
Опционально
Планы
Поддержка “air gap”
![Page 140: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/140.jpg)
А можно анализировать вручную?
1001 1101 1110011 0110011 101000 0110 00
• Нередко бывает необходимость анализировать файлы, попавшие в службу безопасности на флешках или иных носителях, а также проводить более глубокий анализ обнаруженных с помощью Cisco AMP вредоносных программ
• Не у всех бывает реализована автоматическая защита с помощью Cisco AMP
• Организация может захотеть создать собственную службу Threat Intelligence или Security Operations Center
![Page 141: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/141.jpg)
Cisco AMP Threat Grid
1001 1101 1110011 0110011 101000 0110 00
• Платформа для глубокого анализа вредоносного кода Доступ через портал, выделенное устройство или с помощью API
• Может применяться при построении собственных систем Threat Intelligence или SOC
• Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.
![Page 142: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/142.jpg)
Детальный анализ вредоносного ПО в AMP Threat Grid
![Page 143: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/143.jpg)
Типовые сценарии использования AMP Threat Grid
• Доступ к порталу • Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода • Приватная маркировка загружаемых семплов (опционально) • Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в облако
• Интеграция с решениями Cisco • AMP for Endpoints • AMP for Networks (FP / ASA) • AMP for WSA / CWS • AMP for ESA / CES
• API для автоматизации передачи семплов в Threat Grid включен во все лицензии с подпиской
![Page 144: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/144.jpg)
Развертывание вне облака – на территории заказчика
§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid § В целях соблюдения нормативных требований все данные остаются на территории заказчика § Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для актуализации контекста
§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§ TG5000: § Анализ до 1500 образцов в день § Cisco UCS C220 M3 Chasis (1U) § 6 x 1TB SAS HDD (аппаратный RAID)
§ TG5500: § Анализ до 5000 образцов в день § Cisco UCS C220 M3 Chasis (1U) § 6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты
![Page 145: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/145.jpg)
Отличия портала от локального устройства AMP Threat Grid
• Масштабируемость • Отсутствуют ограничения на число загружаемых для анализа семплов (в устройстве – до 5000 в день)
• Скорость обработки семплов • Обработка 1000 семплов занимает около 30 минут. На устройстве такое же количество семплов обрабатывается за 4 часа
• Стоимость • Устройство стоит дороже доступа к порталу
• Анализ угроз • Сопоставление угроз в облаке осуществляется со всеми семплами, загруженными в него и помеченными как публичные. На устройстве сопоставление осуществляется только с локальными семплами
• Обновления поведенческих индикаторов • Обновления для устройства выпускаются каждый квартал, а для портала – каждые 2 недели
![Page 146: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/146.jpg)
Преимущества и недостатки локального устройства
Преимущества
• Конфиденциальность данных • Возможность работы в изолированной сети
• Независимость от наличия Интернет-канала
Недостатки
• Обновления поведенческих индикаторов приходят с задержкой
• Невозможность полного анализа Интернет-активности вредоносного ПО
• Невозможность сопоставления данных с другими публичными семплами
![Page 147: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/147.jpg)
Повсеместный AMP Threat Grid
Подозрительный файл
Отчет
Периметр
ПК
Firewall & UTM
Email Security
Analytics
Web Security
Endpoint Security
Network Security
3rd Party Integration
S E C U R I T Y
Security monitoring platforms
Deep Packet Inspection
Gov, Risk, Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный файл
Premium content feeds
Security Teams
![Page 148: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/148.jpg)
Cisco Web Security Appliance
![Page 149: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/149.jpg)
Решения Cisco по защите и контролю доступа в Интернет
ASA с FirePOWER Services / Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance (Physical & Virtual)
Cisco ISR с FirePOWER Services
![Page 150: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/150.jpg)
Web Filtering
Cloud Access Security
Web Reputation
Application Visibility and
Control Parallel AV Scanning
Data-Loss Prevention
File Reputation
Cognitive Threat
Analytics*
X X X X
До После Во время
X
File Retrospection
www
Мобильный пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial Block Основной офис
WCCP Explicit/PAC Load Balancer PBR AnyConnect® Client Админ Перенаправле-ние трафика
www
HQ
File Sandboxing
X
Client Authentication
Technique
* Roadmap feature: Projected release 2H CY15
X Cisco® ISE
Cisco Web Security Appliance
![Page 151: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/151.jpg)
1. Сканируем текст
Cisco Web Usage Controls URL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к эталонным документам
4. Возвращаем самое близкое значение категории
2. Вычисляем релевантность
Finance Adult Health
Finance Adult Health
Allow
WWW Warn
WWW WWW Partial Block
Block
WWW
5. Enforces policy
If Unknown, the Page Is Analyzed
Block
WWW
Warn
WWW
Allow
WWW
If Known
![Page 152: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/152.jpg)
Репутационный анализ Сила контекста реального времени
Suspicious Domain Owner
Server in High Risk Location
Dynamic IP Address
Domain Registered
< 1 Min 192.1.0.68 example.com Example.org 17.0.2.12 Beijing London San Jose Киев HTTP SSL HTTPS
Domain Registered > 2 Year
Domain Registered < 1 Month
Web сервер < 1 места
Who How Where When
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10 IP значение репутации
![Page 153: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/153.jpg)
Сканирование malware в реальном времени Dynamic Vectoring and Streaming
Сигнатурный и эвристический анализ Эвристическое обнаружение Идентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверка Идентификация известного поведения
Множество механизмов сканирования
malware
Оптимизация эффективности и уровня обнаружения с интеллектуальным мультисканированием
Расширение сигнатурного покрытия с использованием нескольких механизмов
Улучшение впечатления с помощью параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного трафика с помощью перехвата и расшифровки SSL соединений
![Page 154: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/154.jpg)
Эмуляция в реальном времени
Sandbox реального времени Анализ для защиты от атак 0-day
![Page 155: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/155.jpg)
Layer 4 Traffic Monitor Обнаружение зараженных узлов
Пользователи
Cisco® S-Series
Network -Layer
Analysis
Мощные данные antimalware Предотвращение трафика “Phone-Home”
§ Сканирует весь трафик, все порты и все протоколы
§ Обнаружение malware, обходящее порт 80 § Предотвращение трафика botnet
§ Автоматически обновляемые правила § Генерация правил в реальном времени с помощью “dynamic discovery”
Инспекция пакетов и заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter
![Page 156: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/156.jpg)
Предотвращение утечек данных Снижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd-pary вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
Расширенный DLP
Базовый DLP
Dropbox
Microsoft Outlook
Gmail
![Page 157: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/157.jpg)
Cisco Web Security Полное управление пользователями
Data-Loss Prevention (DLP)
Application Visibility and Control (AVC)
Admin
Allow
WWW
Централизованное управление и отчетность
Policy
Защита от угроз Пользователь
Cisco® Web Usage Controls
Partial Block
WWW
Block
WWW
![Page 158: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/158.jpg)
Что делать с мобильными пользователями? Cisco AnyConnect Secure Mobility Client
Пользователь с ноутбуком, планшетом или телефоном
Роуминг-пользователь с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Delivers Verdict
WSA веб безопасность
Расположение web безопасности
CWS web безопасность
Router or firewall re-route traffic to WSA or CWS
Перенаправление web трафика
Работа с WWW через VPN
Перенаправление трафика на ближайший web прокси
Cisco AnyConnect®
Client
VPN
ACWS
VPN
![Page 159: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/159.jpg)
Централизованное управление и отчетность Завершенное решение для вариантов локального и облачного развертывания
Централизованная отчетоность Централизованное управление
Делегированное администрирование
Централизованное управление политиками
Глубокий обзор гуроз Обширные возможности для расследования
Просмотр Угрозы, данные, приложения
Управление Согласованные политики между офисами и
удаленными пользователями
Обзор Обзор разных устройств, сервисов и
сетевых уровней
Analyze, Troubleshoot, and Refine Security Policies
![Page 160: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/160.jpg)
Высокопроизводительная платформа прокси, Интегрированная аутентификация
Многоядерная оптимизация Интегрированная идентификация и аутентификация
§ Отсутствие проблем, связанных с задержкой при антивирусном сканировании
§ Включание функционала мультисканирования для увеличения эффективности безопасности
§ Оптимизация для сложного веб контента
§ Политики идентификации § Прозрачная, single sign-on (SSO) аутентификация в Active Directory
§ Гостевые политики, реавторизация § Поддержка нескольких не связанных между собой деревьев
NTLM/Active Directory
LDAP
Secure LDAP
CRES 0
1
2
3
4
5
6
1-Core 2-Cores 4-Cores
Burdened System Capacity (Web Transactions/Hour) M
illio
ns
![Page 161: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/161.jpg)
Дополнительная информация по WSA
![Page 162: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/162.jpg)
Cisco Email Security Appliance
![Page 163: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/163.jpg)
Защита от угроз Cisco Email Полная защита от угроз
Cisco® Talos Репутационная фильтрация SenderBase
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Drop
Drop/Quarantine
Антивирус Drop/Quarantine
Advanced Malware Protection (AMP) Drop/Quarantine
Quarantine/Rewrite
Deliver Quarantine Rewrite URLs Drop
Обнаружение Graymail Rewrite
![Page 164: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/164.jpg)
Защита от спама Эшелонированная оборона
Входящая хорошая, плохая, неизвестная почта
SBRS
Поддержка Cisco® SIO
What
Cisco Anti-Spam
When Who
How Where
§ Нормальная почта проверяется на спам
§ Подозрительная почта ограничивается и фильтруется
Известная плохая почта блокируется на границе сети
§ Определение URL репутации и контекста
§ > 99% уровень обнаружения § < 1 на 1 миллион – уровень ложных срабатываний
Mail Policies
«Белый» список фильтруется от вирусов
Cisco Anti- spam Engine
Cisco Anti- spam Engine
Anti- spam Engine B
Anti- spam Engine (Future)
Intelligent multiscan (IMS)
![Page 165: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/165.jpg)
Эшелонированная оборона от вирусов
Cisco Anti-Spam
§ Sophos § McAfee § Или оба -- Sophos и McAfee
Выбор антивирусов
Антивирусные механизмы Антиспам
![Page 166: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/166.jpg)
Защита от malware нулевого дня Advanced Malware Protection
Outbreak Filters Advanced Malware Protection
Репутация файлов
Известная репутация
«песочница»
Неизвестные файлы загружаются в песочницу (archived, Windows PE, PDF, MS Office)
Cisco® AMP интеграция
Обновление репутации
![Page 167: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/167.jpg)
Защита от атак нулевого дня Outbreak Filters
Advanced Malware Protection
Облачное детектирование malware 0-day
Обнаружение вирусов и malware 0-day
§ Среднее опережение*: более 13 часов § Атаки заблокированы*: 291 атака § Всего инкрементальная защита*: более 157 дней
Преимущества Outbreak Filters
Outbreak Filters
Cisco® Talos
Вирусный фильтр
Динамический каранин
![Page 168: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/168.jpg)
«Линия обороны» URL Интеграция безопасности Email и Web
Email содержит URL Cisco® Talos
URL репутация и категоризация
Замена
Defang/Block
Перезапись Перенаправить в облако
§ BLOCKEDwww.playboy.comBLOCKED
§ BLOCKEDwww.proxy.orgBLOCKED
“This URL is blocked by policy”
![Page 169: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/169.jpg)
Top вредоносных URL
Пользователей кликнуло
Дата/время, причина перезаписи, URL действие
Отслеживание взаимодействия с Web Отслеживание URL, перезаписанное политикой
URL перезаписан
Пользователь кликает на перезаписанный
URL
На базе Email ID На базе LDAP группы
На основе IP адреса
Остановка 0-day
Динамическая информация
Образование пользователей
Отчет о перезаписанных URL
Список пользователей, получивших доступ к перезаписанным URL
Добавление вредоносного URL к списку
![Page 170: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/170.jpg)
Безопасность Cisco Email Обеспечение полного контроля исходящих
Ограничение потока
AS/AV проверки
Соответствие/DLP
Шифрование чувствительных
данных DKIM/SPF
![Page 171: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/171.jpg)
Ограничение исходящих Ограничение по домену или же по полю Mail From
Получение предупреждений, которые идентифицируют возможно инфицированных отправителей
Ограничения могут быть более высокими для отправителей, которые отноятся к категории «маркетинг» или же «техподдержка»
Пользователи отправляют до 100 сообщений в час
Администраторы могут устанавливать ограничения индивидуально для каждого пользователя
Policy
Admin
1-100 Emails 101-1000 Emails
Alert admin when limit is hit
!
!
Typical User
Known High-Volume Sender
Malicious Sender
![Page 172: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/172.jpg)
§ Работает с Email
§ Защита от угроз
§ Email сканирование
§ Применение политик
§ Определение политики риска
§ Advanced Incident Workflow
§ Fingerprinting
DLP и соответствие Отдельное или часть полного решения DLP
Локальный RSA DLP
Интеграция с RSA Enterprise DLP
Data-Loss Prevention
Инциденты Политики
Точно, просто, расширяемо
![Page 173: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/173.jpg)
Интеграция с RSA Enterprise Manager Интеграция Cisco ESA в корпоративное решение DLP
В решении RSA Enterprise DLP, Cisco ESA заменяет:
§ SMTP перехватчик
§ Сервер шифрования
§ SMTP smart host
В решении RSA Enterprise DLP, Cisco ESA обеспечивает:
§ Непрерывный поток почты
§ Полный обзор потока почты
§ Встроенное обнаружение и реагирование
§ Меньше систем для управления и проверки
Fire
wal
l
SMTP
Mail Servers
Enterprise Manager
Network Controller
HTTP/HTTPS/IM Proxy Server
ICAP Server Sensor
SMTP Smart Host Interceptor
Encryption Server
Cisco® Email Security Appliance
![Page 174: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/174.jpg)
Применение политик шифрования TLS настройки на основании Mail From
Применение контрактных обязательств
Предотвращение отправки важных данных в открытом виде
Предотвращение приема чувствительных данных в октрытом виде от неправильно настроенных серверов
Your Company
![Page 175: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/175.jpg)
Шифрование конверта Просто для отправителя
Автоматизированное управление ключами
Не требуется дополнительное ПО на десктопе
Прозрачная отправка на любой Email
Шифрование вклюается + словами | политиками | отправителями | получателями | и т.д.
Sender Controls Recipient
Cisco® Email Security Appliance
Message Key
![Page 176: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/176.jpg)
И просто для получателя
Корпоративная запись (opt)
Открыть вложение
1
Подтвердить личность
2
Посмотреть сообщение
3
Cisco® Registered Envelope Service
![Page 177: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/177.jpg)
DKIM и SPF Аутентификация Email
Блокирование фишинг и спуфинг атак
Применение более либеральных политик к аутентифицированным источникам
Trusted_Partner.com
Trusted_Partner.com
Мошенник
Your Company DK
IM a
nd S
PF
Rec
ords
DNS Server
Signed
Cisco® ESA
Drop/Quarantine
Signed
Verified
![Page 178: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/178.jpg)
DMARC Стандартизация Email аутентификации
Trusted_Partner.com
Trusted_Partner.com
Мошенник Ваша компания D
KIM
and
SP
F R
ecor
ds
Signed
Cisco® ESA
Drop/Quarantine Signed
Verified
Снижение количества фишинг-писем
Объединение вместе DKIM и SPF для того, чтобы нивелировать их недостатки
Определить действия, которые надо предпринять, если аутентификация неправильная для определенных доменов
Отправка агрегированных отчетов для уведомления о диспозиции сообщений
DNS Server
DMARC p=reject
Report
![Page 179: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/179.jpg)
Аутентификация Email DKIM и SPF
Избегайте подделки ваших сообщений
Увеличьте свою репутацию
Избегайте попадания в черные списки
Your Company ISP
DNS Server
Public
Запрос DMARC, DKIM, и SPF Cisco® ESA
From: Your_Company.com From: Your_Company.com
Signed
From: Your_Company.com
Signed
Verified
![Page 180: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/180.jpg)
Аутентификация Email DMARC
Защита против фишинга
Увеличение репутации и уровня доставки
Обзор и контроль над отправленной почтой, в том числе над той, которая отправляется от вашего имени
Your Company ISP
DNS Server
Public
Запрос DMARC, DKIM, и SPF Cisco® ESA Публикация DMARC, DKIM, и SPF
From: Your_Company.com From: Your_Company.com
Signed
From: Your_Company.com
Signed Verified
Report
![Page 181: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/181.jpg)
Простая отчетность и мониторинг
Иерархически отчеты Детальный Message Tracking
![Page 182: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/182.jpg)
Обзор почтовых сообщений Message Tracking
Что случилось с сообщением, которое я отослал 2 часа назад? § Отслеживание индивидуальных сообщений
А кто еще получал подобные сообщения? § Расследования для гарантии соответствия
![Page 183: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/183.jpg)
Всеобъемлющий обзор Унифицированные бизнес-отчеты
Простой вид по всей организации
Просмотр трафика и угроз в режиме «почти» реального времени
Исполняемые иерархические отчеты Консолидированные и
пользовательские отчеты
§ Email Volume § Spam Counters § Policy Violations § Virus Reports § Outgoing Email Data § Reputation Service § System Health View
Множество точек данных
![Page 184: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/184.jpg)
Rest API Варианты использования и обзор
Простой, документированный метод сбора информации об отчетах и состоянии системы
Отправка отчетной информации в существующие системы мониторинга с использованием хорошо известных протоколов и методологий: HTTP/REST и JSON
Простой, ресурсоориентированный дизайн, созданный для программистов
Stateless – каждый вызов аутентифицируется § Поддержка HTTPS + базовая аутентификация
![Page 185: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/185.jpg)
Экономика E-mail Security Appliance § Исходные данные:
§ Число сотрудников (почтовых ящиков) – 7000 § Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) § Объем спама – 60% (42000 сообщений) § Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек § Суммарные дневные затраты на спам – 14,583 человеко-дня § Средняя зарплата сотрудника – $1500
§ Потери компании § В день – $994,29 § В месяц – $21784,5 § В год – $248573,86
§ Выгоден ли антиспам в данной ситуации? § Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности
![Page 186: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/186.jpg)
Больше деталей про экономику
https://www.youtube.com/watch?v=bcQWuKUMeb4
![Page 187: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/187.jpg)
Дополнительная информация по ESA
![Page 188: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/188.jpg)
Cisco ISE
![Page 189: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/189.jpg)
Сейчас труднее чем когда-либо увидеть, кто находится в вашей сети и чем занимаются эти пользователи
?
Нельзя защитить то, что нельзя увидеть
? опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети 90%
компаний подтвердили, что их мобильные устройства были атакованы вредоносным ПО за последние 12 месяцев
75%
189 © Компания Cisco и (или) ее дочерние компании, 2015 г. Все права защищены. Конфиденциальная информация Cisco
?
![Page 190: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/190.jpg)
Сетевые ресурсы Политика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция угроз
Гостевой доступ
Ролевой доступ
Идентификация, профилирование и оценка состояния
Кто
Соответствие нормативам P
Что
Когда
Где
Как
Платформа ISE ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в сеть
Физическая или виртуальная машина
Контекст контроллер ISE pxGrid
![Page 191: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/191.jpg)
Проводная
Филиал
Беспроводная
Контролируйте все из одной точки Сеть, данные, и приложения
Мобильность
Применение политик и использование политик по всей сети
Безопасный доступ отовсюду, независимо от типа подключения
Мониторинг доступа, активностей и соответствие не корпоративных устройств, принимать меры по необходимости
VPN
Партнер
Удаленный сотрудник Центральный
офис
Админ
Контрактник Гость
![Page 192: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/192.jpg)
Профилирование ISE: обнаружение пользователей и устройств
192
CDP/LLDP
RADIUS
NetFlow
HTT
P
NM
AP
Интегрированное профилирование: мониторинг в масштабе
Активное сканирование: большая точность
Веб-канал данных об устройствах: идентификация в масштабе
Сетевая инфраструктура обеспечивает локальную функцию распознавания
Cisco® ISE дополняет информацию пассивной сети данными об активных оконечных устройствах
Производители и партнеры постоянно предоставляют обновления для новых устройств
Сенсор устройств Cisco
Сенсор устройств (функция сети)
Активное сканирование оконечных устройств
Вeб-канал данных об устройствах*
Cisco ISE
Сокращение числа неизвестных устройств в сети в среднем на 74%
![Page 193: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/193.jpg)
Простое и быстрое заведение устройств
• Полный цикл настройки и заведения устройства без поддержки IT службы • Гибкие сценарии с одним или несколькими SSID • Встроенный Certificate authority и портал для упрощения выписки сертификатов. Интегрируется с PKI инфраструктурой
• Портал “Мои устройства” для управления собственными устройствами • Поддержка интеграции с большинством MDM решений включая Cisco Meraki, MobileIron, Citrix, JAMF
Software и многие другие
Возможности
Bring Your own Device (BYOD)
Преимущества
Лучше безопасность Минимизируем риск соединения собственных устройств к сети
Гибкость Работает с проводными и беспроводными устройствами
Улучшить работу сети Снять нагрузку заведения устройств с IT службы
Описание Простой и безопасный доступ в сеть с любого устройства. Простой процесс настройки и заведения устройств.
Эффективно планируйте, управляйте и контролируйте доступ BYOD Пользователь пытается зайти в сеть со своего устройства
ISE идентифицирует пользователя как сотрудника и направляет на портал устройств BYOD
После удачной аутентификации ISE настраивает устройство и выписывает сертификат, применяет политику
Теперь устройство зарегистрировано и получает нужный доступ в сеть
![Page 194: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/194.jpg)
Улучшить работу гостей без ущерба безопасности
Мгновенный, беспарольный доступ напрямую в Интернет
Быстрая, самостоятельная регистрация
Ролевой доступ с помощью сотрудника
Гость
Гость
Гость Спонсор
Интернет
Интернет
Интернет и сеть
![Page 195: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/195.jpg)
Управление гостевым доступом Hotspot
4
44:6D:77:B4:FD:01
Пользователь подключается к открытому SSID.
Пользователь пытается получить доступ в Интернет, Идентифицирован ISE как гость и перенаправляется на портал
После проверки AUP пользователь допускается в сеть
В конце дня пользователь отключается из сети
1 2 3
Конец дня
Описание Мгновенный, доступ без пароля к Hotspot
Гостевой доступ еще проще!
• Встроенный шаблон для HotSpot, саморегистрации и др.
• Создавайте брендированные порталы за минуты.
• Поддержка многих языков • Поддержка разных порталов • Hotspot поддерживает пароль
Функции
Secret
code:
chemist
![Page 196: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/196.jpg)
Управление гостевым доступом Саморегистрация
44:6D:77:B4:FD:01
Гость перенаправляется на портал для саморегистрации
После заполнения информации профиля данные отсылаются через СМС
Гость вводить учетные данные
Гость допускается в сеть
1 2 4
Гибкое, эффективное и масштабируемое решение для Ваших задач
3
Описание Простая и гибкая самостоятельная регистрация для гостей
• Гибкий алгоритм включая саморегистрацию с подтверждением
• Разные методы доставки учетных данных включая печать, СМС, почту и IM
• Поддержка разных языков • Все страницы можно настраивать • Временные рамки и графики обновления аккаунтов
Преимущества
![Page 197: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/197.jpg)
Оценка соответствия устройств Оценка состояния
Убедиться в соответствии политике устройства перед предоставлением доступа Возможности • Различные агенты используются для оценки состояния (Anyconnect + Web Agent)
• Обязательный, опциональные и режим аудита дают гибкость в развертывании
• Возможность построения детальных правил с использование разных критериев.
• Поддержка периодической проверки и автоматического исправления
AnyConnect
![Page 198: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/198.jpg)
Оценка соответствия устройств Интеграция решений MDM
Проверка соответствия мобильных устройств
• Позволяет делать мультивендорную интеграцию в ISE инфраструктуре
• Макро и микро-уровень оценки (Pin Lock, Jailbroken status)
• MDM атрибуты доступны как опциив политике (Производитель, Модель, IMEI, Серийный номер, ОС Версия, Номер телефона)
• Контроль устройства в ISE из портала Мои устройства (Device Stolen àWipe Corporate data)
Возможности
Интернет
4
1 2
3
Регистрация в ISE
Разрешить интернет доступ
Регистрация в MDM
Разрешить доступ в корп. сеть
![Page 199: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/199.jpg)
Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).
Обеспечение такого же высокого уровня безопасности, но для большого количества устройств
Преимущества
Что нового в ISE 2.0?
Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей
Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)
Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для работы с ISE
• Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
Интеграция с устройствами сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco
![Page 200: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/200.jpg)
Упрощение управления защищенным доступом
Возможности • Мониторинг активных сессия через AD и Network log-ins
• Поддержка сессий клиентов Wired MAB и NADs
• Уведовление справочников через PxGrid
• Назначение VLANs, dACLs, SGTs и других для пользователей, авторизованных через EWA
Identity mapping
Более безопасно с интегрированным 802.1x, сапликантом и сертификатами
Базовый с whitelisting
Access
Security
Лучше и гибче С ISE Easy Wired Access
Возможности
Что нового в ISE 2.0? Расширение Easy Wired Access (EWA) предлагает заказчикам расширение защиты проводных сетей с помощью ISE
С ISE Easy Wired Access (EWA)
Лучшая видимость в активных сетевых сессиях, аутентифицированных через AD
Расширенный контроль с опцией для Monitoring-only Mode или Enforcement-Mode
Гибкое внедрение которое больше не требует сапликанта или PKI, позволяя ISE использовать COA для повышения уровня защиты
Complexity
Identity
mapping
Monitor-only mode Enforcement–Mode User 1
Active Directory Login
User 1
Network Login
Publish to pxGrid
Admin 1
ISE
Access Security
Complexity
Access
Security Complexity
EWA, безопасная альтернатива «белым спискам» (whitelisting)
![Page 201: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/201.jpg)
Оптимизация управления благодаря единому рабочему пространству
• Новые сервисы и консоль администратора TrustSec – Инструментальная панель TrustSec – Изменение матрицы
– Автоматической создание SGT – ISE как спикер/слушатель SXP
• Обновленный интерфейс пользователя
– Улучшенная структура меню для облегчения навигации
– Возможность поиска в графическом интерфейсе • Улучшенные возможности отчетности
– Заново включены опции печати в формате PDF и локальное хранение
– Усовершенствованный фильтр для регистрации и создания отчетов в реальном времени
Возможности
Интуитивно простой рабочий центр и матрица политики доступа
Что нового в ISE 2.0? Обновленный пользовательский интерфейс TrustSec, основанный на новом рабочем центре, позволяет осуществлять простое и быстрое развертывание, устранение неполадок и контроль. .
Преимущества
Простое управление благодаря выделенным рабочим центрам, позволяющим визуализировать, понимать и управлять политикой из одного интерфейса.
Быстрое включение TrustSec для базовых сценариев использования, включая управление доступом пользователя к центру обработки данных и межпользовательскую сегментацию
Новый пользовательский интерфейс TrustSec
Автоматическая конфигурация новых политик SGT и правил авторизации
Рабочий центр TrustSec
Матрица политики доступа
Гостевой доступ
Подрядчик
Сотрудник
Зараженный
Источник
Назначение
Интернет
Ресурсы подрядчика
Сервер отдела кадров
Человеческие ресурсы
Восстановление
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
![Page 202: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/202.jpg)
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Включите средство унифицированного реагирования с обменом контекста Cisco Platform Exchange Grid (pxGrid)
Когда
Где
Кто
Как
Что
Cisco и партнеры Экосистемы
ISE
Cisco сеть
pxGrid controller
ISE собирает контекст из сети 1
Контекст обменивается по технологии pxGRID 2
Партнеры используют контекст для повышения видимости и борьбы с угрозами
3
Партнеры могут запросить ISE о блокировке угрозы
4
ISE использует данные партнера для обновления контекста и политики доступа
5
Контекст
3 2
1
4 5
![Page 203: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/203.jpg)
Netflow
NGIPS
Lancope StealthWatch
AMP
AMP Threat Grid
FireSIGHT Console
CWS
WSA
ESA
FirePOWER Services
ISE это краеугольный камень ваших Cisco решений
ISE
Как Что Кто Где Когда
Во время После До
![Page 204: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/204.jpg)
Обмен телеметрией с помощью PxGrid С Cisco Web Security Appliance (WSA) и Identity Service Engine (ISE)
Улучшите контроль WEB контента со знанием пользователей и устройств Ключевые функции Cisco Web Security Appliance интегрируется с ISE и использует pxGRID для получения данных контекста для политики Web доступа
Преимущества
• Интеграция с Cisco Web Security Appliance для контроля тех кто может ходить в WEB
• Получение данных классификации с ISE через pxGRID. Использование TrustSec для упрощения работы.
• ИспользованиеTrustSec для абстрагирования и классификации политики доступа
Возможности
Проще администрирование Единый источник контекста и данных пользователей. Использование TrustSec для абстрагирования политики делает ее проще для WSA
Соответствие Создавайте политики по типам устройств, которые разрешат или запретят WEB доступ основываясь на состоянии устройства
Кто: Доктор Что: Ноутбук Где: офис
Кто: Доктор Что: iPad Где: Офис
Кто: Гость Что: iPad Где: Офис
Identity Service Engine
WSA
Конфиденциальные записи пациентов
Сеть сотрудников
Лучшая видимость Детализация отчетности для понимания того кто, когда, и с каких устройств получал доступ в Web
![Page 205: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/205.jpg)
Легко интегрируется с партнерскими решениями
Как Что Кто Где Когда
ISE pxGrid controller
Cisco Meraki
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
SIEM EMM/MDM Firewall Vulnerability Assessment
Threat Defense IoT IAM/SSO PCAP Web
Security CASB Performance Management
![Page 206: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/206.jpg)
Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы — новые партнеры pxGrid Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы
Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.
Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco
Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях
Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа
![Page 207: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/207.jpg)
Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)
Быстрое сдерживание распространения угроз с помощью FMC и ISE Что нового в ISE 2.0? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.
Преимущества
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
Возможности
FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный
Доступ запрещается каждой политикой безопасности
Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой
Раннее обнаружение угроз FireSight сканирует активность и публикует события в pxGrid
Корпоративный пользователь загружает файл
Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE
FMC сканирует действия пользователя и файл
В соответствии с новым тегом, ISE распространяет политику по сети
![Page 208: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/208.jpg)
Улучшенный контроль с помощью авторизации на основе местоположения
Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.
Преимущества
Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.
Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE
Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей
Возможности • Конфигурация иерархии местоположений по всем объектам местоположения • Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения • Повторное предоставление доступа на основе нового местоположения
С интеграцией платформы Cisco Mobility Services Engine (MSE)
Холл Палата Лаборатория Скорая помощь
Врач
Нет доступа к данным пациента
Доступ к данным пациента
Нет доступа к данным пациента
Доступ к данным пациента
Данные пациента
Местоположения для доступа к данным пациента
Палата
Скорая помощь
Лаборатория
Холл
![Page 209: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/209.jpg)
Ролевой контроль доступа
Упрощение управления ИБ с ролевым доступом
• Ролевой контроль доступа • Авторизация на уровне команд с подробной регистрацией действий • Выделенный TACACS+ центр для сетевых администратаров • Поддержка основных функций ACS5
Возможности
Управление устройствами TACACS+
Преимущества
Что нового в ISE 2.0? Заказчики сейчас могут использовать TACACS+ в ISE для упрощения управления устройствами и расширения безопасности через гибкий и точный контроль доступа к устройствам.
Упрощенное и централизованное управление Рост безопасности, compliancy, подотчетности для всего спектра задач администрирования
Гибкий и точный контроль Контроль и аудит конфигураций сетевых устройств
Админы ИБ
TACACS+ Work Center
Сетевые админы
TACACS+ Work Center
Поддержка TACACS+ для управления устройствами
Централизованная видимость Получение всесторонней конфигурации TACACS+ через TACACS+ administrator work center
![Page 210: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/210.jpg)
Улучшенный мониторинг обеспечивает полную картину действий оконечных устройств в сети
• Cisco ISE • Портфель сетевых решений
Cisco • Cisco NetFlow • Lancope StealthWatch
Данные
![Page 211: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/211.jpg)
Зона администратора
Зона предприятия
Зона POS
Зона подрядчика
Мониторинг способствует принятию практических решений благодаря сегментации и автоматизации Сеть как регулятор
• Cisco ISE • Портфель сетевых решений Cisco • Cisco NetFlow • Lancope StealthWatch • Программно-определяемая сегментация TrustSec Cisco
Зона сотрудников
Зона разработки
![Page 212: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/212.jpg)
Cisco Cyber Threat Defense
![Page 213: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/213.jpg)
Что объединяет всех?
СЕТЬ Видимость всего трафика
Маршрутизация всех запросов Источники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
![Page 214: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/214.jpg)
Используйте свою сеть Cisco по максимуму
Сеть как сенсор (NaaS)
Динамическая сегментация при обнаружении атаки
Сеть как защитник
(NaaE)
Обнаружение аномалий
Обеспечение видимости всего сетевого трафика
Обнаружение нарушений политик пользователями
Внедрение контроля доступа на критических участках
Динамические политики доступа и контроля
![Page 215: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/215.jpg)
А если вы не можете разместить сенсоры в сети?
Router# show flow monitor CYBER-MONITOR cache … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http …
Одна запись NetFlow дает вам кладезь информации
![Page 216: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/216.jpg)
Кто Кто Что
Когда
Как
Откуда Больше контекста
Высокомасштабиуремый сбор Высокое сжатие => долговременное
хранилище
У нас есть NetFlow, дающий контекст Но уже внутри сети
![Page 217: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/217.jpg)
Cisco Cyber Threat Defense
Внутренняя сеть
NetFlow Capable
VPN Устройств
а
Видимость, Контекст и Контроль
КУДА/ОТКУДА КОГДА
КАК
ЧТО
КТО
Использовать данные NetFlow для обеспечения видимости на
уровне доступа
Унифицировать информацию на единой консоли для
расследований и отчетности
Связать данные потоков с Identity и приложения для создания и
учета контекста
![Page 218: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/218.jpg)
Элементы Cyber Threat Defense
Добавление контекста Объединение данные NetFlow с identity и ID приложений для добавления контекста
Device? User? Events?
65.32.7.45
Posture? Vulnerability AV Patch
Использование телеметрии от инфраструктуры Cisco
Задействование поддерживающих NetFlow коммутаторов и маршрутизаторов Cisco как источников информации по безопасности
Cisco ISE
Cisco Network
Обеспечение привязки к задачам безопасности
Единая консоль, которая унифицирует обнаружение угроз, видимость, расследование инцидентов и отчетность
Cisco ISR G2 + NBAR
+ Application?
+ +
+ NetFlow
FlowSensor
FlowCollector StealthWatch Management
Console
![Page 219: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/219.jpg)
CTD добавляет к NetFlow контекст и привязку к ИБ
NAT События
Известные C&C сервера и ботнеты
Данные пользователей
Приложения Приложения & URL
![Page 220: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/220.jpg)
Архитектура Cyber Threat Defense (CTD)
![Page 221: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/221.jpg)
Модель обнаружения поведения и аномалий
Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . . ICMP Flood . . Max Flows Initiated Max Flows Served . Suspect Long Flow Suspect UDP Activity SYN Flood .
События ИБ (94 +)
Категория тревоги Реакция
Concern
Exfiltration
C&C
Recon
Alarm Table
Host Snapshot
Syslog / SIEM
Mitigation
Data Hoarding
Exploitation
DDoS Target
![Page 222: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/222.jpg)
Что позволяет обнаруживать NetFlow?
Отказ в обслуживании SYN Half Open; ICMP/UDP/Port Flood
Распространение червей Инфицированный узел сканирует сеть и соединяется с узлами
по сети; другие узлы начинают повторять эти действия
Фрагментированные атаки Узел отправляет необычный фрагментированный трафик
Обнаружение ботнетов Когда внутренний узел общается с внешним сервером C&C
в течение длительного периода времени
Изменение репутации узла Потенциально скомпрометированные внутренние узлы или
получение ненормального скана или иные аномалии
Сканирование сети Сканирование TCP, UDP, портов по множеству узлов
Утечки данных Большой объем исходящего трафика VS. дневной квоты
![Page 223: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/223.jpg)
• Непонятно • Сложно • Много времени на определение пользователя, устройства и их местоположения
Идентификация инцидентов проходит быстрее с контекстной информаций – пользователь, местоположение, устройство
До Сейчас
Host 1.2.3.4 Scanning Ports of Host 3.3.3.3 Host 1.2.3.4 Scanning Ports of Host 3.3.3.3
VPN
Лэптоп
Ноябрьск
Финансы
POS
Ethernet
СПб
И. Иванов
С добавлением контекста от ISE система становится лучше
![Page 224: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/224.jpg)
Обнаружение нарушений ИБ на базе NetFlow
![Page 225: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/225.jpg)
Что показывает Cisco Cyber Threat Defense?
Встроенные правила
Быстрый показ деталей инцидента
Карта распространения
![Page 226: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/226.jpg)
Возможность реагирования и помещения нарушителя в карантин
Понятная идеология Тревога à Событие ИБ Детали à Узел à Отчет по узлу
![Page 227: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/227.jpg)
Информация об узле
Оповещения
Пользователи
Активность и приложения
Хост
Группы хостов
Потоки
![Page 228: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/228.jpg)
Информация о пользователе
Оповещения
Устройства и сессии
Детали из AD
Пользователь
![Page 229: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/229.jpg)
![Page 230: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/230.jpg)
Обнаружение C&C-серверов и ботнетов
![Page 231: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/231.jpg)
Идентификация подозрительной активности Высокий Concern Index означает излишне большое число подозрительных событий, которые отличаются от установленного
эталона
Группа узлов Узел CI CI% Тревога События ИБ
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
![Page 232: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/232.jpg)
Обнаружение распространения вредоносного кода
232
Тревога показывает, что узел стучится к другому узлу и затем начинает делать тоже самое дальше
Подозрительная активность отображается
IP-адрес
![Page 233: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/233.jpg)
Обнаружение распространения вредоносного кода
Prioritized Threats
![Page 234: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/234.jpg)
Обнаружение распространения вредоносного кода
![Page 235: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/235.jpg)
Обнаружение распространения вредоносного кода
![Page 236: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/236.jpg)
Обнаружение распространения вредоносного кода
![Page 237: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/237.jpg)
Обнаружение распространения вредоносного кода
Более 100 алгоритмов обнаружения
![Page 238: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/238.jpg)
Обнаружение утечек данных
![Page 239: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/239.jpg)
Обнаружение утечек данных
![Page 240: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/240.jpg)
Обнаружение утечек данных
![Page 241: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/241.jpg)
Обнаружение утечек данных
![Page 242: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/242.jpg)
Обнаружение утечек данных
![Page 243: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/243.jpg)
Обнаружение торрентов
![Page 244: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/244.jpg)
Работа с прокси Сбор данных от Web Proxies: • Cisco WSA, Blue Coat, Squid, McAfee
Мы видим нарушение и через прокси
Сбор контекстных данных и привязка к потокам: • URL • Имя пользователя
![Page 245: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/245.jpg)
Идентификация сетевого сканирования
Профиль устройства показывает, что он использует сетевой сканер
![Page 246: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/246.jpg)
Что еще мы можем видеть?
• File Sharing Index: показывает P2P-активность (например, торренты)
• Target Index: показывает узлы, которые вероятно являются жертвами атак
• Неавторизованный доступ: попытка нарушения, запрещенного на МСЭ
• Выкачка данных: подозрительная передача данных через периметр в течение длительного времени
![Page 247: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/247.jpg)
Что еще мы можем видеть?
• Утечка данных – передача большого объема данных через сеть – Suspect Data Hoarding – узел скачивает данные с большого количества внутренних узлов – Target Data Hoarding – узел закачивает необычно большой объем данных на другие узлы
• Исследуйте все узлы, с которыми взаимодействовал инфицированный узел
![Page 248: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/248.jpg)
Масштабируемая система
![Page 249: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/249.jpg)
• Пока реальных информационных потоков между узлами и группами узлов с нужным уровнем детализации карты сети
Визуализация потоков, сервисов и приложений
![Page 250: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/250.jpg)
• Данный механизм позволяет отслеживать ошибки в настройках МСЭ
Визуализация потоков, сервисов и приложений
![Page 251: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/251.jpg)
Собственные политики
Условия по времени
Условия по группам/
приложениям
Условия по пирам
Условия соединения
![Page 252: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/252.jpg)
Cisco TrustSec
![Page 253: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/253.jpg)
Традиционная сегментация
Голос Данные PCI Подрядчик Карантин
Уровень доступа
Уровень агрегации
VLAN Адресация DHCP-охват
Резервирование Маршрутизация Статический ACL
Простая сегментация с 2 сетями VLAN Больше политик с использованием большего числа VLAN
Дизайн необходимо реплицировать на этажи, здания, офисы и другие объекты. Затраты могут быть чрезвычайно высокими
ACL
![Page 254: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/254.jpg)
Стандартные способы уменьшения охвата и связанные с этим проблемы Виртуальная локальная сеть (VLAN)
• Изолированный широковещательный домен (безопасность не обеспечена)
• Необходимы дополнительные средства обеспечения безопасности (списки IP ACL, когда трафик уходит из сети VLAN)
• Отсутствие управления в сети VLAN
• Число политик = числу сетей VLAN
• Большие затраты на обслуживание: изменение политики, изменение сети приводит к изменению VLAN, изменению ACL
Список контроля доступа IP-адресов (ACL)
• Обычный инструмент управления (коммутаторы и маршрутизаторы)
• Политика на основе адресов в сравнении с политикой на основе контекста
• Подверженность человеческим ошибкам (неправильная конфигурация)
• Большие затраты на обслуживание: новое местоположение означает использование нового ACL
![Page 255: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/255.jpg)
access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Гибкое и масштабируемое применение политик
Коммутатор Маршрутизатор Межсетевой экран ЦОД
Коммутатор ЦОД
Автоматизация управления системой безопасности
Повышение эффективности
Упрощенное управление доступом
Технология Cisco TrustSec® Сегментация на основе бизнес-политик
Политика сегментации
![Page 256: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/256.jpg)
Сегментация сети с помощью TrustSec
• Сегментация на основе RBAC, независимо от топологии на основе адресов
• Роль на основе AD, атрибутов LDAP, типа устройства, местоположения, времени, способов доступа и т. д.
• Использование технологии тегирования для представления логической группы, траффик отправляется вместе с тегом
• Внедрение политики на основе тегов для коммутаторов, маршрутизаторов и МСЭ
• Централизованно определяемая политика сегментации, которая может быть применена в любом месте сети
Сегментация TrustSec обеспечивает следующие возможности:
Коммутаторы Маршрутизаторы Межсетевой экран Коммутатор ЦОД ПО гипервизора
Имя пользователя: johnd Группа: управляющие магазинами Местонахождение: офис магазина Время: рабочие часы
SGT: менеджер
Применение политики
Ресурс
![Page 257: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/257.jpg)
Управление доступом пользователя к ЦОД с помощью TrustSec
Голос Сотрудник Поставщики Гость Не соответст- вует требованиям
Тег сотрудника
Тег поставщика
Тег посетителя
Несоответствующий тег
МСЭ ЦОД
Голос
Здание 3 WLAN — Данные — VLAN
Ядро комплекса зданий
ЦОД
Основное здание Данные — VLAN
Сотрудник Не соответст- вует требованиям
Политика (тег группы безопасности (SGT)) применяется к пользователям, устройствам и серверам независимо от тополологии или местоположения. TrustSec упрощает управление ACL-списками для входящего и исходящего трафика VLAN Уровень доступа
![Page 258: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/258.jpg)
Производственные серверы
Производственные серверы База данных HR
Защищенные ресурсы
РАЗРЕШИТЬ ЗАПРЕТИТЬ
Хранение
РАЗРЕШИТЬ ЗАПРЕТИТЬ
Сервера разработки Источник
ЗАПРЕТИТЬ ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ
ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ ЗАПРЕТИТЬ
РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬ
Серверы разработки
База данных HR
Хранение
Cisco ISE
База данных HR
Сервера разработки Межсетевой
экран ЦОД Коммутатор
ЦОД
Применение политики
Распространение тегов SGT
Классификация
Сегментация без сетей VLAN
Сегментация ЦОД
258
![Page 259: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/259.jpg)
Сегментация комплекса зданий с помощью TrustSec
259
Голос Сотрудник Гость Карантин
Тег сотрудника
Тег поставщика
Тег посетителя
Тег карантина
МСЭ ЦОД
Голос
Здание 3 Данные — VLAN (200)
Ядро комплекса зданий
ЦОД
Основное здание Данные — VLAN (100)
Сотрудник Карантин
Уровень доступа
Сотрудник
§ Применение политик основано на тегах группы безопасности; можно управлять коммуникациями в той же сети VLAN
![Page 260: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/260.jpg)
Защита ЦОДов
![Page 261: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/261.jpg)
Cisco AnyConnect
![Page 262: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/262.jpg)
Необходимость доступа любых устройств из любого места
Больше разных пользователей
Работа из большего количества мест
Использование большего количества устройств
Доступ к большему количеству различных приложений и передача важных данных
Местопо-ложение
Приложение
Устройство
из любого приложения, к любым важным данным, для любого пользователя
![Page 263: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/263.jpg)
Решение Cisco AnyConnect Secure Mobility Solution
Широкая поддержка платформ
• Apple IOS, Android, Blackberry, Windows Phone, Windows 7/8/10, MAC, Linux, ChromeOS
• Работа через клиента и через браузер
Постоянное подключение
• постоянно активное подключение, • выбор оптимального шлюза, • автоматическое восстановление подключения
Унифицированная безопасность и модульность
• Идентификация пользователей и устройств • Проверка соответствия • Интегрированная веб-безопасность • Интеграция с защитой от вредоносного кода • Поддержка VDI
Корпоративный офис
Безопасный, Постоянный Доступ
ASA
Wired Wi-Fi
мобильная или Wi-Fi
Мобильный сотрудник Домашний офис
Филиал
![Page 264: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/264.jpg)
Поддерживаемые платформы Устройства пользователей и инфраструктура
Инфраструктура Клиенты
Microsoft Windows Mac OS X Linux
Настольное устройство
Мобильные средства связи
Apple iOS iPhone и iPad
• HTC • Motorola • Samsung • Версия 4.0 и более поздние
• HTC • Lenovo • Motorola • Samsung • Версия 4.0 и более поздние
Бесклиентские подключения
BlackBerry
+
Android Смартфоны Планшетные
компьютеры
Управление
ASDM CSM CLI
Защищенные соединения
Cisco ISR*
Cisco® ASA
Cisco ASR*
Коммутаторы IEEE 802.1x
Интернет-безопасность
Cisco WSA
Cisco ISE
Идентификация и политика +
Cisco NAC
Cisco AnyConnect для web-защиты на основе облака
Windows Phone
IPSec, SSL VPN
802.1X
MACSec
![Page 265: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/265.jpg)
Cisco AnyConnect для VPN-доступа
• Клиент полного туннелирования IPsec/SSL VPN • Постоянное подключение и высочайшее удобство работы пользователей
• Управление доступом в сеть • Оценка состояния настольных систем и мобильных устройств • Широкая поддержка платформ ОС настольных систем и мобильных устройств
• Детализированный контроль доступа • Предоставление пользователям определенных ресурсов • Защищенное хранилище • Доступ к виртуальному рабочему столу • Широкая поддержка браузеров и приложений
Клиент Cisco AnyConnect Secure Mobility
Портал бесклиентских VPN-подключений по протоколу SSL
![Page 266: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/266.jpg)
Клиент AnyConnect -постоянное подключение
Автоматическое переподключение между сетями Wi-Fi, 3G и разрывах связи
Повторная аутентификация не требуется
Таймер максимальной продолжительности сеанса
Off Premises
![Page 267: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/267.jpg)
Выбор оптимального шлюза
Подключение к наиболее оптимальному головному устройству
Время = 225 мс Время = 223 мс Время = 224 мс
Время = 110 мс Время = 127 мс Время = 125 мс
Время = 73 мс Время = 75 мс Время = 76 мс
Москва Владивосток
Новосибирск
Пороговое значение времени приостановки (часы)
Пороговое значение повышения производительности (%)
Параметры профиля:
Астана
![Page 268: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/268.jpg)
Поддержка публикации:
• Внутренних веб-сайтов
• Веб-ориентированных приложений
• Файловых ресурсов NT/Active Directory
• Почтовых ресурсов POP3S, IMAP4S, and SMTPS. Microsoft Outlook Web Access Exchange Server 2000, 2003, and 2007, 2010.
• Поддержка плагинов для RDP, VNC SSH (Java/ActiveX)
• Подключение любых TCP-ориентированных приложений c технологией SmartTunnel на совместимых платформах
Безклиентский доступ по SSL
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html
![Page 269: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/269.jpg)
AnyConnect – больше чем просто VPN
SSL / DTLS VPN IPsec VPN
Оценка состояния
(HostScan/ISE)
Cloud Web Security
L2 саппликант
(Win Only)
Switches and Wireless
controllers
ASA WSA ISE/ACS Cloud Web Security + AMP
Центральные устройства
ASR/ CSR
ISR
Базовый VPN Расширенный VPN Другие сервисы
Модуль сетевой видимости
AMP Enabler
Планируется к выходу в 2015 году
в версии 4.2
![Page 270: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/270.jpg)
Обеспечение интернет-безопасности с помощью Cisco WSA
Новости
Эл. почта
Социальные сети
Корпоративное ПО как услуга (SaaS)
Устройство корпоративного доступа Пользователи вне сети
Пользователь проходит
аутентификацию
Устройство web-защиты Cisco
Устройство корпоративного
доступа
Cisco® ASA
Идентификационные данные пользователя
WCCP
Доверенная сеть Недоверенная сеть
![Page 271: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/271.jpg)
Клиент Cisco AnyConnect™
Secure Mobility
Интернет-коммуникации
Внутренние коммуникации
Обеспечение интернет-безопасности с помощью решения Cisco Cloud Web Security
Cisco AnyConnect для web-защиты на основе
облака
![Page 272: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/272.jpg)
Cisco AnyConnect Интернет-безопасность для Cisco Cloud Web Security
• Облачная служба — постоянно функционирует и всегда защищена
• Предоставляет политики допустимого использования;
защиту от угроз со стороны вредоносного ПО;
возможности управления использованием приложений;
возможность выбора пользователем систем защиты во время поездок (исключаются проблемы с языком).
• Может использоваться вместе с устройством web-защиты Cisco® или отдельно.
Cisco AnyConnect для web-защиты на основе
облака
![Page 273: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/273.jpg)
Cisco Network Access Manager – управление проводным и беспроводным подключением
• Управление корпоративными подключениями
• Проводное (802.3) и беспроводное (802.11) подключение с помощью одной структуры аутентификации
• Аутентификация пользователей и устройств уровня 2:
– Продвинутый саппликант 802.1X, 802.1X-REV
– 802.1AE (MACsec: проводное шифрование)
– Поддержка нескольких типов EAP
– 802.11i (сеть с повышенной безопасностью)
• Поддержка конфигураций сети для администратора (офис) и пользователя (дом)
![Page 274: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/274.jpg)
Локализация
• Cisco AnyConnect™ GUI и инсталлятор поддерживают локализацию на множество языков
• Некоторые поддерживаемые языки: Русский
Japanese
French (Canadian)
German
Chinese
Korean
Spanish (Latin American)
Czech
Polish
• Возможно делать кастомизированные локализации под задачи организации
![Page 275: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/275.jpg)
Поддерживает оценку состояния для разных способов доступа
Упрощает управление с единым агентом
Предотвращает подключение несоответствующих устройств (проверка патчей, ключей реестра, антивирусов….)
Оценка состояния и безопасный VPN доступ с унифицированным агентом и Cisco ISE
![Page 276: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/276.jpg)
Подключает только разрешенные приложения через VPN
Избранное туннелирование через VPN
VPN
Обеспечивает безопасный удаленный доступ для выбранных приложений для определенного пользователя, устройства и роли (per-app VPN)
Уменьшает риски неразрешенных приложений, связанные с компрометацией данных
Поддерживает большое количество типов устройств и удаленных пользователей (сотрудники, партнеры, контрактники)
WWW
![Page 277: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/277.jpg)
AMP активатор расширяет защиту от malware
Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP)
Обеспечивает защиту конечного устройства до туннелирования трафика в сеть
Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения
Больше защиты
Windows/MAC Mobile
Мобильное устройство
![Page 278: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/278.jpg)
Модуль сетевой видимости
Расширенный контекст об активностях устройства
Коллектор и системы отчетов
Расширяет сбор данных об устройстве информацией о сетевой активности приложений/пользователей
Аналитика Аудит Наблюдаемость
. . .
![Page 279: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/279.jpg)
Защита промышленных сегментов
![Page 280: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/280.jpg)
Решения Cisco для индустриальных сетей
Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500 Индустриальные маршрутизаторы ISR 819H, CGR 2000 Индустриальные беспроводные решения Cisco 1550 Outdoor AP Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI Индустриальные системы предотвращения вторжений IPS for SCADA Индустриальные межсетевые экраны и система отражения вредоносного кода
Cat. 6500 Cat. 4500
Cat. 3750
Available COTS Platforms
Available Industrial Platforms 1260 and 3560 APs
ASA
IE 3010
IE 3000 1552 AP
CGR 2010
IE 2000
ISR 819
7925G-EX IP Phone
![Page 281: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/281.jpg)
Потребность в специализированных МСЭ/IPS
Для промышленного применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде
![Page 282: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/282.jpg)
Пассивная защита в промышленной сети
Сложности Ответ Cisco
• Пассивное профилирование сети
• Отсутствие задержек между устройствами и системами, требующими реального времени
• «Белые списки» ожидаемого, предупреждения по аномалиями
• ICS означают статичность, но часто нет возможности проверить это
• ICS построены с минимальным объемом системных ресурсов
• Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы
![Page 283: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/283.jpg)
Обзор решений Cisco по безопасности АСУТП
§ Cisco ASA Firewall для сегментации (и в промышленном исполнении) § Cisco FirePower NGIPS с набором сигнатур для промышленных систем
§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с ретроспективным анализом
§ Cisco AnyConnect для контроля доступа и оценки состояния NAC
§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении неавторизованных подключений, оценка состояния и управление доступом.
§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий с сервисами сквозной авторизации
§ Cisco Cyber Threat Defense (CTD)
![Page 284: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/284.jpg)
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD / Manufacturing Zone
PCN / Cell / Area Zone
?
?
Компоненты Cisco для защиты АСУ ТП
![Page 285: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/285.jpg)
Архитектура ИБ промышленного предприятия
WWW Приложения
DNS FTP
Интернет
Гигабитный канал для определения аварийного переключения
Межсетевой экран
(активный)
Межсетевой экран
(режим ожидания)
Серверы производствен
ных приложений
Коммутатор уровня доступа
Сетевые сервисы
Коммутаторы уровня ядра
Коммутатор уровня агрегации
Управление исправлениями Сервисы для терминального оборудования Зеркало приложений Антивирусный сервер
Ячейка/зона 1 (Резервная топология типа «Звезда»)
Диск
Контроллер
HMI Распределенный ввод-вывод
Контроллер
Диск Диск
HMI
Распределенный ввод-вывод
HMI
Ячейка/зона 2 (Топология типа
«Кольцо»)
Ячейка/зона 3 (Линейная топология)
Коммутатор уровня доступа 2
Контроллер
Ячейка/зона Уровни 0-2
Производственная зона Уровень 3
Демилитаризованная зона Уровень 3.5
Корпоративная сеть Уровни 4-5
Усиленный межсетевой экран Усиленная система предотвращения вторжений (IPS)
Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS)
Защита от угроз в облаке Применение политик для всей сети Контроль доступа (на уровне приложений)
Межсетевой экран с сохранением состояния
Защита и определение вторжений (IPS/IDS) Системы управления физическим доступом
Сервисы
идентификации
ISE
![Page 286: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/286.jpg)
Архитектура ИБ нефтегазового предприятия
Управление и безопасность Уровень 1
Устройство Уровень 0
Центр управления Уровень 3
Устаревшая RTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессы Ethernet-мультисервисы
WAN Беспроводн. соед.
Транспорт RFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель
Системы безопасности
Принтер
Оборудование
SIEMСистема SCADA Головная станция
Рабочие станции оператора и разработчика
Сервер автоматизации процессов системы
SIEM
SIEM
Обработка и распред. ист. данных
Серверы приложений
Операционные бизнес-системы
SIEM
SIEM
SIEM
Надежность и безопасность
Система управления производством (MES)
SIEM
SIEMРаспределенная система управления (DCS)
SIEM
SIEM
Контроллер доменов
Корп. сеть Уровни 4-5
Ист. данные SIEM
Анти- вирус
WSUS
SIEM
SIEMСервер удаленной разработки
SIEM
Сервер терминального оборудования
SIEMДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
Контроль Уровень 2
Системы видеонаблюдения
Контроль доступа
Голос
Мобильные сотрудники
Беспроводн. сенсор
Контроллер
Сенсор Выключатель
Безопасность
![Page 287: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/287.jpg)
Архитектура ИБ транспортного предприятия
PTC
IPICS VSMS / VSOM
IP/MPLS Домен
UCS WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экран Усил. система обнаружения вторжений (IDS)
Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS)
Защита от угроз в облаке Применение политик для всей среды Контроль доступа на уровне приложений
Межсетевой экран с сохранением состояния
Система обнаружения вторжений (IDS) Системы управления физическим доступом
Сервисы
идентификации
Сети безопасности и управления процессами
Offload
VSMS
PTC 3000
TMC
Оборудование Мультисервисные сети
![Page 288: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/288.jpg)
Сеть агрегации FAN ЗОНА 2
Мультисервисная шина ЗОНА 3
Сеть NERC CIP ЗОНА 1
Сеть подстанций
Станционная шина IEC 61850
Шина процессов IEC 61850
Архитектура ИБ предприятия в сфере энергетики
Физическая безопасность
Взаимодействие с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT Прерыватель CT CT PT
Периметр физической безопасности (PSP)
Прерыватель IED MU
Распределенный контроллер HMI
Устаревшая RTU
PT CT
Аппаратный I/O
Сенсор
Устаревшее реле РТЗ
Прерыватель
Частный WiMax или LTE для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр управления доступом
ДМЗ
Центр обработки данных
HMI SCADA FEP EMS
CPAM VSOM
Аналитика ист. данных SIEM PACS
ACS CA LDAP
HMI
Контроллер соединения RTU Защитное
реле Процессор
коммуникаций PMU PDC
Реле РТЗ
![Page 289: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/289.jpg)
Новые модели Cisco ASA with FirePOWER
Desktop Model Integrated Wireless AP
Выше производитель
ность
Для АСУ ТП
100% NGFW - поставляется с AVC
Wi-Fi может управляться локально или через Cisco WLC
1RU; новая платформа – лучшее сочетание
цены и производительности
NGFW для критичных инфраструктур и
объектов
5506-X 5506W-X 5508-X 5516-X
5506H-X
Идеальна для
замены Cisco®
ASA 5505
![Page 290: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/290.jpg)
«Настольная» модель Cisco ASA 5506-X
7.92 x 8.92 x 1.73 in.
Параметр Значение
CPU Многоядерный
RAM 4 Гб
Ускоритель Да
Порты 8x GE портов данных, 1 порт управления с 10/100/1000 BASE-T
Консольный порт RJ-45, Mini USB
USB-порт Type ‘A’ supports 2.0
Память 64-GB mSata
Охлаждение Convection
Питание AC external, No DC
![Page 291: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/291.jpg)
Cisco ASA 5506H-X в защищенном исполнении
*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:
9 x 9.2 x 2.5 in.
Параметр Значение
Порты 4 x портов данных
Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP
Напряжение 5V (*** 5506 is 12V)
Диапазон температур От –20 до 60°C (рабочий) От -40 до 85°C (обычный)
Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount
![Page 292: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/292.jpg)
Специальные сертификаты на Cisco ASA 5506H-X
Сертификаты соответствия
9 x 9.2 x 2.5 in.
IP40 per IEC 60529 KN22 IEC 61850-3 IEC 61000-6-5 IEC 61000-5 IEC 611000-4-18 IEEE 1613.1 IEEE C62.412 IEC 1613 IEC 61850-3 IEC 60068-2
![Page 293: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/293.jpg)
Промышленный МСЭ/IDS Cisco ISA 3000
![Page 294: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/294.jpg)
Основные характеристики Cisco ISA 3000
§ Производительность: 2 Gbps § Кол-во IPSec/SSL VPN: 25
§ IPv4 MAC Security ACE: 1000
§ Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)
§ 4 ядра Intel Rangely, SSD 64 GB
§ 8 GB DRAM, 16 GB Flash
§ Питание DC
§ Рабочая Температура -40 до +74 °C
§ Вес: 1.9 кг
![Page 295: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/295.jpg)
Защитный функционал ASA 5506H-X / ISA 3000
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
Cisco ASA
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль приложений
Межсетевой экран Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
![Page 296: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/296.jpg)
Поддержка промышленных протоколов
![Page 297: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/297.jpg)
§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3
§ Возможность написания собственных сигнатур
§ Свыше сотни встроенных сигнатур CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin Iconics
Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft
ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE
Sielco
ScadaTec
Sinapsi
DATAC
WellinTech
Tridium
Schneider Electric
CODESYS
Отражение атак на промышленные системы
![Page 298: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/298.jpg)
Защита операторов связи
![Page 299: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/299.jpg)
Варианты реализации отражения DDoS-атак
DDoS
Сетевое оборудование с
функциями отражения DDoS
Специализированные устройства для борьбы с DDoS
Защитные устройства с функциями защиты
от DDoS
Сервисы от оператора связи или
специализированного провайдера услуг
• Cisco ASR 9000 VSM
• Firepower 9300
• Cisco ISR • Cisco ASR • Cisco GSR • Cisco CRS
• Cisco ASA 5500-X • Cisco Stealthwatch • Cisco SCE • Cisco NGIPS
![Page 300: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/300.jpg)
SP
SP
Radware Defense Pro
Threat Defense
Firepower 9300
Radware Vision
SP Scrubbing Center Various 3rd Party Options for Hosted : Arbor Cloud, Radware Cloud, Prolexic /Akamai
Radware Defense Pipe
• Complete Enterprise DDoS system can be complemented w/Cisco Lancope Threat Defense
SP Edge Router Based DDoS with ASR – • (Volumetric) on ASR 9K + VSM+ Arbor TMS Peak
Flow . SP Backbone detection and mitigation
SP ASR PE w/PeakFlow
MSSP Services • Various 3rd Party Options for Hosted Services
Firepower 9300
Mobile users
SP Mobility Edge w/FP 9300 and Radware DDoS Applications,
Services & Databases
Enterprise DC
Enterprise Data Center FW Based DDoS with Firepower 9300 • Firepower 9300 + SM running Radware Defense Pro • Application Attack detection and mitigation
Решения компании Cisco по защите от DDoS
![Page 301: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/301.jpg)
Платформа Firepower 9300
Модульная платформа операторского класса с интерфейсами 10, 40, и 100 Гбит/с.
Объединение сервисов безопасности компании Cisco и других компаний
Эластичная масштабируемость за счет кластеризации
Ускоренная обработка для доверенных приложений
Функции ПО Cisco ASA для операторов связи § Эффективная защита на сетевом и транспортном уровне § Трансляция адресов операторского класса (Carrier-grade NAT) § Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1) § Анализ SCTP и Diameter в планах
![Page 302: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/302.jpg)
Обзор платформы Cisco Firepower 9300
Модуль управления
§ Внедрение и управление приложениями § Сетевые интерфейсы и распределение трафика § Кластеризация для сервисов Cisco® ASA и прочих
1
3
2
Модули безопасности
§ Встроенный классификатор пакетов и потоков, а также ускоритель шифрования § Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка) § Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер)
![Page 303: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/303.jpg)
Firepower 9300 изменяет модель интеграции сервисов
Унифицированная платформа сервисов безопасности
Данные 1001
00010111100010
1110 SSL FW WAF NGIPS DDoS AMP
Максимальная защита Высокая эффективность Масштабируемость Гибкость
Обозначения:
Сервисы Cisco
Сервисы партнеров
• Radware vDP – первое из приложений 3-х компаний, ставшее элементом новый архитектуры
• Защита от DDoS работает на входных интерфейсах Firepower 9300
![Page 304: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/304.jpg)
OpenDNS
![Page 305: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/305.jpg)
Недостаток квалифицированных специалистов в сфере безопасности
Для многих средств требуется больше ресурсов, чем имеется для выполнения
работы
50% компьютеров — мобильные
70% офисов — удаленные Большинство мобильных и удаленных сотрудников не всегда включают VPN,
большинство филиалов не обеспечивают обратный транзит трафика, а большая часть новых оконечных устройств только обнаруживают угрозы
70-90% вредоносного ПО уникально для каждой
организации Средства на основе сигнатур, реактивный интеллектуальный анализ угроз и отдельное
применение политик безопасности не могут опередить атаки
Общие проблемы безопасности
![Page 306: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/306.jpg)
3 подхода к защите мобильных пользователей
может требовать дополнительной экспертизы и
ресурсов
Обнаруживать IOCs & аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от пользователей изменения поведения и может быть сложным во внедрении
Изолировать приложения & данные
в гипервизоре/контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или
приложению
Предотвращать соединения в Интернет-
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
![Page 307: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/307.jpg)
OpenDNS: эволюция бизнес-модели
Content Provider Безопасный
Internet
Образование
Security Provider Прогнозирование
Fortune 500
Security Platform Расширенная защита
За пределами периметра
DNS Provider Быстрый Internet
50M домашних юзеров
![Page 308: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/308.jpg)
ПРОДУКТЫ И ТЕХНОЛОГИИ
UMBRELLA Применение Служба сетевой безопасности защищает любое устройство, в любом месте
INVESTIGATE Аналитика Обнаружение и прогнозирование атак до того, как они происходят
![Page 309: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/309.jpg)
208.67.222.222
MALWARE
BOTNET
PHISHING
Новый уровень обнаружения проникновений с возможностью внутри сети видеть то, что обычно видно только в Интернет
Расширение ATDs (AMP Threat Grid, FireEye, Check Point) за периметром и получение немедленного ответа на ваши IOCs
Обнаружение целевых атак на вашу компанию по сравнению с тем, что происходит в мире
Расследование атак, используя «живую» карту Интернет-активности
OpenDNS UMBRELLA
![Page 310: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/310.jpg)
Уникальная аналитика для классификации
Анализ Статистические модели и человеческий интеллект
Идентификация вероятно вредоносных
сайтов
Захват С миллионов точек данных за секунды
a.ru
b.cn
7.7.1.3
e.net
5.9.0.1
p.com/jpg
![Page 311: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/311.jpg)
DNS запросов в день
80B BGP пиринговых партнеров
500
Ежедневно использующих пользователей
65M Корпоративных заказчиков
10K
Масштаб имеет значение
![Page 312: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/312.jpg)
Предотвращение угроз Не просто обнаружение угроз
Защита внутри и вне сети Не ограничивается устройствами, передающими трафик через локальные устройства
Интеграция с партнерским и пользовательским ПО Не требует услуг профессионалов при настройке
Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443
Постоянное обновление Устройству не нужно обращаться к VPN на локальном сервере для получения обновлений
UMBRELLA Применение политик
Новый уровень защиты от вторжений
![Page 313: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/313.jpg)
ИНТЕРНЕТ
ВНУТРИ СЕТИ
ВЕСЬ ПРОЧИЙ ТРАФИК
ВЕБ- ТРАФИК
ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ
ИНТЕРНЕТ
ВЕСЬ ПРОЧИЙ ТРАФИК
ВЕБ- ТРАФИК
ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ
ВНЕ СЕТИ
ASA блокировка в сети по IP-адресу, URL -адресу или пакету
ESA/CES блокировка
по отправителю или контенту
WSA/CWS блокировка по URL-адресу или контенту через прокси-сервер
ESA/CES блокировка
по отправителю или контенту
CWS блокировка по URL-адресу или контенту через прокси-сервер
Umbrella блокировка по домену а также по IP-адресу или URL -адресу
Umbrella блокировка по домену а также по IP-адресу или URL -адресу
Место Umbrella в инфраструктуре Cisco
![Page 314: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/314.jpg)
Как Umbrella дополняет AMP
Через различные технологии & оба
защищают на уровне IP Туннели на клиенте блокируют некоторые соединения с DNS в облаке, а AMP фиксирует
соединения & блокирует соединения на устройстве
*Клиент получает обновления IP-списка каждые 5 мин, а AMP получает IP-списки
ежедневно
Cisco AMP Connector защищает на уровне
файлов облачная репутация будет блокировать & помещать в
карантин вредоносные файлы на лету и в ретроспективе
*email-вложения обходят OpenDNS, а не-файловые web-эксплойты обходят
AMP
OpenDNS клиент защищается на уровне
DNS перед установкой IP-соединения & часто перед загрузкой файлов. Мы также блокируем вредоносные
домены
*DNS–запросы, использующие не-HTTP, будут обходить AMP
DNS
Компрометация системы Утечка данных
IP DNS IP ФАЙЛ
![Page 315: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/315.jpg)
Интеграция на базе API
АНАЛИТИКА/ФИДЫ ОБ УГРОЗАХ
ПЛАТФОРМЫ АНАЛИЗА УГРОЗ
Другие +
СВОИ +
Индикаторы компрометации
ОБНАРУЖЕНИЕ УГРОЗ
Другие +
UMBRELLA Enforcement & Visibility
Логи или заблокированные
домены отправляются из систем партнеров или
заказчиков
![Page 316: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/316.jpg)
Живая карта DNS запросов и других контекстных данных
Корреляция и статистические модели
Обнаружение & прогнозирование вредоносных доменов
Интеграция данных ИБ с глобальной информацией
Console API
OpenDNS INVESTIGATE
![Page 317: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/317.jpg)
INVESTIGATE
WHOIS record data
ASN attribution
IP geolocation
IP reputation scores
Domain reputation scores
Domain co-occurrences Anomaly detection (DGAs, FFNs) DNS request patterns/geo. distribution
Passive DNS database
Типы предоставляемой информации
![Page 318: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/318.jpg)
ЗАКАЗЧИК
СООБЩЕСТВО ЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ
AMP Threat Grid
UMBRELLA Применение политик и мониторинг
Автоматический захват вновь обнаруженных вредоносных доменов за считанные минуты
Регистрация или блокировка всей Интернет-активности, предназначенной для этих доменов
файлы домены
Интеграция AMP Threat Grid и OpenDNS
![Page 319: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/319.jpg)
OpenDNS Umbrella
OpenDNS Investigate OpenDNS Investigate
опережение будущих атак с помощью блокировки вредоносных доменов,
IP-адресов и ASN
блокировка обратных вызовов и утечки с любого порта, протокола
или приложения на уровне DNS и IP
анализ угроз на основе запросов в реальном времени всех доменов и IP-адресов
в Интернете
ДО Обнаружение Внедрение политик Усиление
ПОСЛЕ Определение масштаба
Сдерживание Восстановление
Обнаружение Блокировка Защита
ВО ВРЕМЯ
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
OpenDNS поддерживает весь жизненный цикл атаки
![Page 320: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/320.jpg)
А если я маленький, но хочу OpenDNS? Используйте Cisco Threat Awareness Service
![Page 321: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/321.jpg)
Изменение бизнес-моделей
Сложность и фрагментация
Динамика ландшафта угроз
Производителей средств защиты
на RSA
Возросла потребность в кадрах ИБ
373 12x Среднее число вендоров
у корпоративного заказчика
50
Сложность Люди Фрагментация
Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют
![Page 322: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/322.jpg)
Обеспечивает взгляд на угрозы, исходящие из своей компании, и направленной на нее
Постоянно отслеживает новые угрозы
Предлагает меры нейтрализации
Доступная всегда, каждый день
Проста в настройке и использовании
Это важно для сохранения сети в безопасности
Заказчики хотят Threat Intelligence которая:
![Page 323: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/323.jpg)
Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. • Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной активности
• Идентификация скомпрометированных сетей и подозрительного поведения
• Помогает компаниям быстро идентифицировать скомпрометированные системы
• Обеспечение рекомендаций • Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации • Позволяет улучшить общую защищенность
![Page 324: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/324.jpg)
Cisco Threat Awareness Service
Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: • Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence
![Page 325: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/325.jpg)
Интеграция с отечественными разработчиками
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 325
![Page 326: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/326.jpg)
Cisco Security API
OpenDNS API MDM API
eStreamer API
Threat Grid API
ESA API ASAv/ASA API ISIS API
Host Input API Remediation API
![Page 327: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/327.jpg)
Развитие интеграционных решений
Инфраструктура API
ДО Политика и контроль
ПОСЛЕ Анализ и
восстановление Обнаружение и блокирование
ВО ВРЕМЯ
Инфраструктура & Мобильность
NAC Управление уязвимостями
Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEM Визуализация Network Access Taps
![Page 328: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/328.jpg)
Развитие NME-RVPN: доверенная платформа UCS-EN
• Доверенная платформа UCS-EN120SRU • Производится в России
• Поддерживается на Cisco ISR 29xx/39xx/4xxx
• Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ:
• СКЗИ S-Terra CSP VPN Gate • СКЗИ ViPNet Координатор • СКЗИ Dionis NX • МСЭ прикладного уровня Positive Technologies Application Firewall • СОВ ViPNet IDS • Базовый доверенный модуль (БДМ) Элвис+ • TSS VPN • Ведутся работы и с рядом других российских разработчиков
![Page 329: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/329.jpg)
Интеграция с PT MaxPatrol
• Система MaxPatrol от Positive Technologies – один из самых распространенных отечественных сканеров безопасности
• Интеграция Cisco FireSIGHT с PT MaxPatrol позволяет получать от сканера безопасности информацию о сервисах и приложениях, запущенных на узлах сети, а также об их уязвимостях с целью корреляции этой информации и более эффективного использования Cisco FirePOWER NGFW и Cisco FirePOWER NGIPS
![Page 330: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/330.jpg)
В заключение
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 330
![Page 331: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/331.jpg)
Злоумышленники атакуют точечные решения с возрастающей скоростью
NGIPS
Malware Sandbox
IAM
Antivirus
IDS Firewall
VPN
NGFW
Данные
Бездумная трата денег на новинки вместо того, чтобы сесть и подумать о целостной системе защиты
![Page 332: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/332.jpg)
Данные
Злоумышленники атакуют точечные решения с возрастающей скоростью
NGIPS
Malware Sandbox
IAM
Antivirus
IDS Firewall
VPN
NGFW
Время обнаружения:
200 дней
RansomwareNow targeting data
DomainShadowingOn the rise
Dridex850 unique mutations
identified first half 2015
SPAM
RombertikEvolves to evadeand destroy
AnglerConstantly upgradingand innovating
MalvertisingMutating to avoid detection
![Page 333: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/333.jpg)
Только интегрированная защита может идти в ногу с угрозами
Данные
Systemic Response
Con
trol
Visibility Context Intelligence
Время обнаружения:
46 часов
![Page 334: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/334.jpg)
Варианты демонстрации по безопасности
• Физические продукты из демо-пула
• Виртуальные версии
• Интерактивное демо в dCloud
dCloud это портал Cisco для интерактивных демонстраций
Охватывает все архитектуры
Простота бронирования и использования
Доступен 24/7 для наших партнеров и заказчиков
https://dcloud.cisco.com
![Page 335: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/335.jpg)
Доступные в dCloud демонстрации по безопасности
• Cyber Threat Defense (= Stealthwatch от Lancope)
• Cisco Content Security - WSA+AMP, ESA и WSA+ASA
• Cisco Enterprise Branch Lite (ISR G2)
• Cisco ASA with FirePOWER, Cisco FireSIGHT, Cisco Sourcefire
• Cisco Trustsec User to Datacenter
• Cisco Unified Access
• Cisco ISE for MDM, for BYOD, for Guest Management
• Cisco Cloud Web Security
• Splunk with Cisco Security
• Cisco AnyConnect 4.1 with AMP
• Cisco Self Learning Networks – DDoS Prevention
• Cisco Hosted Security as a Service
• Cisco IWAN – Secure Connectivity
![Page 336: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/336.jpg)
Законодательство
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved. 336
![Page 337: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/337.jpg)
2008
2010
2012 2013 2014
2015 2011
2000-е
ПДн СТОv4 382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБ АСУ ТП КИИ
ПДн СТОv5
СТО/РС СТР-К ПКЗ
Краткий обзор развития законодательства по ИБ
2016: • ГИС • 382-П • СОПКА • КИИ (?)
![Page 338: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/338.jpg)
Меры по защите информации Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
![Page 339: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/339.jpg)
Меры по защите информации: что может добавиться Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы ФСТЭК Первое полугодие 2016-го года – утверждение новой редакции 17-го приказа
Унификация перечня защитных мер для всех трех приказов
Выход на 2-хлетний цикл обновления приказов
![Page 340: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/340.jpg)
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №17 по защите ГИС/МИС
17-й приказ ФСТЭК и решения Cisco
![Page 341: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/341.jpg)
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №21 по защите персональных данных
21-й приказ ФСТЭК и решения Cisco
![Page 342: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/342.jpg)
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК №31 по защите автоматизированных систем управления технологическими процессами
• Эти решения могут быть применены как в самом промышленном сегменте, так и на стыке с корпоративной сетью или Интернет
31-й приказ ФСТЭК и решения Cisco
![Page 343: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/343.jpg)
Отличия в оценке соответствия
Особенность Приказ №21 Приказ №17 Приказ №31 Оценка соответствия В любой форме (нечеткость
формулировки и непонятное ПП-330)
Только сертификация в системах сертификации ФСТЭК или ФСБ
В любой форме (в соответствии с ФЗ-184)
Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация
Обязательна Возможна, но не обязательна
Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
![Page 344: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/344.jpg)
~650 ФСБ НДВ 34 123 Сертификатов ФСТЭК на
продукцию Cisco
Сертифицировала решения Cisco
(совместно с С-Терра СиЭсПи)
---- Ждем еще ряд важных
анонсов
Отсутствуют в ряде продуктовых линеек Cisco
---- На сертификацию поданы новые продукты
Линейки продукции Cisco
прошли сертификацию по схеме «серийное производство»
Продуктовых линеек Cisco
сертифицированы во ФСТЭК
Сертификация решений Cisco
![Page 345: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/345.jpg)
• Многофункциональные защитные устройства • Cisco ASA 5505, 5510, 5520, 5540, 5550, 5580 • Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X • Cisco ASA SM
• Системы предотвращения вторжений • Cisco IPS 4200/4300/4500, AIP-SSM-10/20, IDSM2, IPS SSP10/20/40
• Межсетевые экраны • Cisco Pix 501, 506, 515, 520, 525, 535 • Cisco FWSM • Cisco 676, 871, 881, 891, 1750, 1751, 1760-V, 1800, 2800, 3800, 7200, 7600, 1811, 1841, 2509,
26xx, 2600, 2611, 2621, 2651, 2801, 2811, 2821, 2851, 2901, 2911, 2911R, 2921, 2951, 3640, 3661, 3662, 3725, 3745, 3750, 3825, 3845, 3925, 3925E, 3925, 3945E, 7201, 7206, 7301, 7604
• ASR 1001/1002, GSR 12404, CGR2000, CGS2500 • Sourcefire 3D System
Какие решения Cisco имеют сертификаты ФСТЭК?
![Page 346: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/346.jpg)
• Коммутаторы • Cisco Catalyst 2912, 2924, 2948, 2950G, 2960, 2960C, 2960S, 2970, 29xx, 3508G, 3512, 3524,
3548, 3550, 3560, 3750, 3750G, 3750X, 4003, 4503, 4506, 4507R, 4510R, 4900, 4ххх, 6006, 6504, 6506, 6509, 6509E, 6513, 65xx
• IE-3000-8TC • Cisco Nexus 1110, 1010, 5548, 2000, 5000, 7010
• Системы управления • CiscoWorks Monitoring Center • Cisco Security Manager 3.2, 3.3 • Cisco Secure ACS 4.x • Cisco Secure ACS 1121 • CS MARS 20, 25, 50, 100, 110
• Прочее • Cisco AS5350XM
Какие решения Cisco имеют сертификаты ФСТЭК?
![Page 347: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/347.jpg)
• Маршрутизаторы • Cisco 2911R (на НДВ) • Cisco 2921, 2951
• Коммутаторы • Cisco Catalyst 3560C, 3850
• Системы предотвращения вторжений • Cisco FirePOWER NGIPS
• Межсетевые экраны • Cisco ASAv • Cisco Virtual Security Gateway
• Cisco UCS
Какие решения Cisco поданы на сертификацию? (по открытой информации)
![Page 348: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/348.jpg)
Дополнительные сведения
Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/
![Page 349: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/349.jpg)
Дополнительные сведения
Раздел «Брошюры» на сайте www.cisco.ru
![Page 350: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/350.jpg)
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
![Page 351: 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию](https://reader031.vdocument.in/reader031/viewer/2022012407/588713841a28abf2228b696d/html5/thumbnails/351.jpg)
CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.