protegiendo el presente y el futuroipap.chaco.gov.ar/uploads/publicacion/7f5c0c5dd458e0c... ·...

Ezequiel Moregui

Protegiendo el presente y el futuro

Seguridad Cisco:

29 de Noviembre de 2019

Cisco Engineer

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public.

© 2018 Global Center for Digital Business Transformation. All rights reserved. 5

Las empresasconservadorasserán desplazadas

Tiempo para la disrupción

Ven a la disrupcióncomo una amenaza

31%Compañías

que respondenactivamente


Transformación digital

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential


DIGITAL

Convergente Desagregado Exponencial Caótico

© 2018 Global Center for Digital Business Transformation. All rights reserved. 7© 2018 Global Center for Digital Business Transformation. All rights reserved. 7

Media andEntertainment

1

Tech Productsand Services

2

Retail 3

FinancialServices

4

Telecoms5ConsumerPackaged Goods

6

Education7

ProfessionalServices

8

Hospitalityand Tourism9

Manufacturing10Transportationand Logistics

11

Real Estate 12

Healthcare andPharmaceuticals

13

Energy andUtilities

14


Resultado25% incremento en productividad del grupo piloto

Reto

46 million+ envíos internacionales

Requiere millones de posibles decisiones individuales a través de una huella altamente distribuida

Como

Asociación con disruptores para desarrollar gafas de realidad aumentada

Proveer información de tareas en tiempo real sobre el proceso de recolección

25%


Hiperconciencia

La habilidad de una compañía de detectar y

monitorear cambios en su ambiente

Toma de Decisiones Informadas

La habilidad de una compañía para tomar la mejor decisión en una situación dada

Ejecución Rápida

La habilidad de una compañía para ejecutar sus planes rápida y eficientemente

La manera de hacer negocios está

cambiando

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

Cyber

SecurityIoTMobility

BYOD

Nuevos dispositivos en el

entorno de trabajo

Detección automática de

dispositivos sin usuario

Equipamiento en todo mi ecosistema

Técnicas de ataques avanzadas en

LAN y perímetro.

Diferencias entre redes de hoy y de ayer¿Como afecta a la red?

1500

14

C97-738949-02 © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Convergencia con la

infrastructura de red.

Endpoints

vulnerables

7.5BThings

IoT

Tendencias

Security

$3.5MCosto de un ataque

informático

Cloud

Modelos de

consumo

dinámicos

100KDispositivos

AWS

Windows 10

Mobility

3.64Dispositivos

Por persona

Plataformas de

trabajo

hiperconectadas

Los operadores de red invierten más tiempo

recolectando informaciónque analizar el problema

El análisis de un incidentese hace difícil si el personal

de TI no puede replica el problema tal como sucedió

realamente.

El tiempo fuera de línea es caro; Puede costar

millones.

. 1 McKinsey Study of Network Operations for Cisco – 2016

4x Replicación de

incidentesTiempos de resolución

Tiempo invertido en TI – R&S: 43% Troubleshooting


Source: 2016 Cisco Study

Las redes tradidionales no pueden cubrir la velocidad del negocio de hoy en día

Opex invertido envisibilidad de la red y

troubleshooting

Violación de políticasde red causadas por errores hunmanos

Los cambios de red son manuales

95%* 70%* 75%*

Las redes tienen multiples desafíos operacionales

*2016 Internal Customer Study

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential

Redes tradicionales de seguridad

El trafico externo era

considerado no confinable

y el interno, confiable.

Internet público

Borde de red

Data center

Firewall

Un punto de control para

todo el tráfico

Firewall

Solución Magica

El Firewall

Firewall

Anti Malware

Email Security

Web Security

Antivirus

DLP

IDS

IPS

Algunas de las

soluciones actuales

Persistent Threats

DDOS On Premise

IoT Security

CASB

Vulnerability Assets

Behavior Analytic

SIEM

VPN

NAC

Mobile Security

DDOS Cloud

Flow Analytic


Demanda incremental en equipos expertos de seguridad

Gran cantidad de

dispositivos

Transición a la nube

Equipos de trabajo

distribuidos

Transformación digital

Poca visibilidad Pocos expertos

Poca integración entre

plataformasDemasiada exposición

Se busca el mejor esfuerzo pero es una

rutina que no finaliza

83% piensa que el riesgo de la ciberseguridad es mayor


La industria de

la seguridad

no lo facilita

como debería

75Security tools

on average

3000+Cybersecurity vendors

79% of CISOs say it’s difficult

to orchestrate alerts

Isn’t it time for security solutions to act

as a team?

Network Security + Cloud Security


Seguridad unificada…

APIs abiertas

Estandares de seguridad

Código publicado

Global

threat

intelligence

Secure

trusted

access

Tecnología validada de manera

académica.y por la industria

Políticas compartidas, contexto y datos

Experiencia “Talos”


Proteja su

negocio con el

mayor equipo

de seguridad

del planeta.

Network

Endpoint

Cloud

Application

Management

and Response

Verificacion de

confianza

contínua

Analisis

constante de

ineligencia de

amenazas

La plataforma de Cisco Security

Identidad

Riesgo


El futuroprotegido

AceleraciónExperienciaoptimizada

Cisco Security

Disminución de la complejidad a través de

una plataforma integrada y abierta.

Promueve la eficiencia y óptima ejecución

del equipo.

Experienciaoptimizada


Mejoras en la optimización de seguridad en el equipo.

Unificar soluciones de

gestión

Extender a otros ambientes la

ponderosa herramienta de

Threat Response

Coordinar equipos más

efectivamente, compartir

información de manera

segura

Políticas de seguridad

consistentes en todos los

puntos de mi red

La solución: Arquitectura Unificada

Potenciar la operación de la actividad de la

organizaciónAceleración


Necesitas que tu negocio se mueva a la velocidadde cloud

Conectar usuarios a

internet donde sea que

estén

Impulsar a los equipos

tradicionales sin causar

rechazo

Give users the

performance they need to

succeed

Detección inmediata de

amenazas a gran escala

Continuidad de la plataforma, integración y

nuevos desarrollos.

El futuro

protegico


Es requerido un plan para hoy, en vistas al mañana

Ejecución de un plan

correcto para

identificación y amenazas

Compliance y mitigación de

riesgos

Crecer sin agregar

complejidad

Innovaciones:

Ir al ritmo de las amenazas

y contrarestarlas


Un estrategia de seguridad optima para los próximos años comienza con de Zero Trust

Dispositivos y usuarios conectados

de manera seguraProteger flujos de datos en todas mis

conexiones, de todas las aplicaciones, en

todo entorno

Acceso Seguro a usuarios con sus

aplicaciones

Protégé tu espacio de

trabajo

Protégé tus datosProtége tu fuerza de trabajo

Password

Adicionar nuevas tecnologías pueden agregar complejidad que convierte a la arquitectura en menos segura

55% de las organizaciones utilizan

mas de 5 vendors de seguridad en sus

redes

54% De las alertas legítimas de

seguridad no son remediadas por falta

de una arquitectura de seguridad

unificada

100-200 dias Es el

promedio de industria en detectar

amenazas

1 Cisco 2017 Annual Cybersecurity Report2 Cisco 2017 Annual Cybersecurity Report3 Cisco 2016 Mid-Year Cybersecurity Report

http://www.cisco.com/c/dam/m/digital/en_us/Cisco_Annual_Cybersecurity_Report_2017.pdf?_ga=1.194547693.178549878.1485966641

http://www.cisco.com/c/dam/m/digital/en_us/Cisco_Annual_Cybersecurity_Report_2017.pdf?_ga=1.194547693.178549878.1485966641

http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html?POSITION=SEM&COUNTRY_SITE=us&CAMPAIGN=SC-04+threat-centric+security&CREATIVE=SEM_SC_Security_(BMM)_(B)-Report_MSR&REFERRING_SITE=Bing&COUNTRY=United States&KEYWORD=+cisco +2016 +midyear +report&KWID=p12066135158&KEYCODE=001344793&utm_source=bing&utm_medium=cpc&utm_campaign=US_SEM_SC_Security (BMM) (B)&utm_term=+cisco +2016 +midyear +report&utm_content=Report_MSR&dclid=CLic1a3esNICFYp7YgodYdAITQ

Comunicacion entre fabricantes

Comunicación entre distintos vendors de seguridad

La solución: Arquitectura Unificada

Construya una arquitectura de seguridadDetectar amenazas en cualquier lugar

Detectar amenazas en la red, la nube, el endpoint, los datos y

proteger automáticamente

Automatizar la seguridad

Automatizar el proceso de detección y

respuesta

Quien Como Cuando Donde

Dinámicamente entender el contexto de

usuarios y proteger ante eventos

Monitoreo proactivo

Monitoreo de aplicaciones y comportamiento


El Malware evoluciono


Vectores de ataque


Grandes Inversiones en capas críticas de seguridad


El nuevo mundo multicloud

Nubes públicas y privadasFacilita la Flexibilidad

Acceso en todo momentoProductividad

Aplicaciones SaaS Aceleran el negocio

UmbrellaSecurity Internet Gateway

¿Que es Umbrella?Malware

C2 Callbacks

Phishing

HQ

Sandbox

NGFW

Proxy

Netflow

AV AV

BRANCH

Router/UTM

AV AV

ROAMING

AV

Primera líneaRed y endpoint

Red y endpoint

Endpoint

Todo comienza

por el DNS

Antecesor a la

ejecución del archive y

session IP

Utilizado por todos los

dispositivos

https://docs.umbrella.com/deployment-umbrella/docs/1-introduction

Umbrella Virtual Appliances – Integración con la red y AD.

https://docs.umbrella.com/deployment-umbrella/docs/1-introduction

Modelos estadísticos

Por Interferencia

Co-occurrence

Sender rank

Secure rank

Por Asociación

Predictive IP Space Modeling

Passive DNS and WHOIS Correlation

Por patron conocido

Spike rank model

Natural Language

Processing rank model

Live DGA prediction

INTELLIGENCE

2M+ live events per second

11B+ historical events

Modelo de Co-ocurrencia

Por interferencia

a.com b.com c.com x.com d.com e.com f.com

time - time +

Tentativo Dominio maliciouso Posible dominio malicioso

Dominio malicioso conocido

INTELLIGENCE

Spike rank model

Patterns of guilt

y.com

DAYS

DN

S R

EQ

UE

ST

SMassive amount

of DNS request

volume data is

gathered and

analyzed

DNS request volume matches known

exploit kit pattern and predicts future attack

DGA MALWARE EXPLOIT KIT PHISHING

y.com is blocked before

it can launch full attack

INTELLIGENCE

CloudLockSecurity

Cisco CloudlockCloud Access Security Broker (CASB)

Users Data Apps

SaaS

Riesgos de servicios SaaS en tres áreas diferentes

AplicacionesDatosCuentas/Usuarios

Actividad de cada

persona en la cuenta

Como detectar que un

archive está

comprometido

¿El personal está

extrayendo información

que no corresponde?

Existe información que me

comprometa en la nube?

¿Tengo información que

está siendo compartida

inapropiadamente?

¿Como detectar

infracciones de políticas de

red?

¿Como monitorear el uso de

aplicaciones de datos?

¿Riesgos?

¿Se están utilizando

aplicaciones de terceros?

¿Como remover

aplicaciones de riesgo?

Public APIs

Cisco NGFW / Umbrella

Managed

Users

Managed

Devices

Managed

Network

Unmanaged

Users

Unmanaged

Devices

Unmanaged

Network

Acceso CASB – API (cloud to cloud)

Cisco SecurityCisco Identity Services Engine (ISE)

C97-741670-00 © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential

Cisco Identity Services Engine (ISE)

Network ResourcesAccess Policy

TraditionalCisco

TrustSec®

Enterprise Mobility

Threat Containment

Guest

Role-Based Access

Identity Profiling

and Posture

A centralized security solution that automates context-aware access to network resources

and shares contextual data

Network

Door

Physical or VM

Who

Compliant

What

When

Where

How

Context

Threat

Vulnerability

pxGrid


Solución general

1 million

# of supported

Guest accounts Guest account notification options

API

Manage guest

accounts via REST

EMAIL PRINT SMS

Portal Captivo Auto Registro Registro con sponsor

Immediate, un-credentialed

Internet access

Self-registration by guests,

Sponsors may approve access

Authorized sponsors create

account and share credentials

The 3 types of guest access

Portal language

customizationSocial Media

Login support

Facebook Facebook


Segmentación basado en políticas de perfiles

Segmentación tradicional

BYOD

VLAN

BYOD

Supplier

VLAN de

invitados

VLAN

De voz

Voice

VLAN

De datos

Employee

Access Layer

Enterprise

Backbone

Aggregation Layer

Non-Compliant

VLAN de

Cuarentena

VLAN

Address

DHCP Scope

Redundancy

Routing

Static ACL

VACL

Security Policy based on Topology

High cost and complex maintenance

Employee Tag

Supplier Tag

Non-Compliant Tag

Voice

VLAN

Voice

Data

VLAN

Employee Supplier BYODNon-Compliant

Use existing topology and automate

security policy to reduce OpEx

Sin cambio de VLANs manual

Sin cambiod de toppología

Politicas centralizadas

Segmentación Micro/Macro

Policy

Access Layer

DC Firewall / Switch

DC Servers

Enterprise

Backbone ISE

TrustSec


Cisco TrustSecSimplified access control with Group Based Policy

VLAN BVLAN A

Campus Switch

DC Switch

or Firewall

Application

Servers

ISE

Enterprise

Backbone

Enforcement

Campus Switch

Voice Employee Supplier Non-CompliantVoiceEmployeeNon-Compliant

Shared

Services

Employee Tag

Supplier Tag

Non-Compliant Tag

DC switch receives policy

for only what is connected

Classification

Static or Dynamic

SGT assignments

Propagation

Carry “Group” context

through the network

using only SGT

Enforcement

Group Based Policies

ACLs, Firewall Rules

StealthwatchSecurity


eth

0/1

eth

0/2

10.2.2.2 port 1024 10.1.1.1 port 80

Que significa flujo de datos?

Start Time Interface Src IP Src Port Dest IPDest

PortProto

Pkts

Sent

Bytes

Sent

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025

10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712

Telemetríaunidireccional

Start Time Client IPClient

Port

Server

IP

Server

PortProto

Client

Bytes

Client

Pkts

Server

Bytes

Server

PktsInterfaces

10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17eth0/1

eth0/2

Telemetríabidireccional

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Globa l

Sales Tra i n i ng

Analiticas de tráfico encriptado

Asegurar compliance

criptográfico

Detección de malware en

tráfico encriptado

Cisco Stealthwatch es la única solución del Mercado que

provee análisis de visibilidad y detección de malware sin tener

que desencriptar la información.

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Globa l

Sales Tra i n i ng

Encabezado de

paquetes

Secuencia, longitude y

tiempos del paquete IPMapa global de riesgo

Herramientas para analizar el tráfico

Self-Signed Certificate

Data Exfiltration

C2 Message

Presente en los paquetes

encriptados

Identificar el tipo de contenido a

través del tamaño y tiempos del

paquete

Identificar quien es quien dentro del

intercambio de información


Summary of aggregated

host information

Observed communication

patternsHistorical alarming behavior

Investigación de un endpoint

Host Summary

User Name:

Device Name:

Device Type:

Host Group:

Location:

Last Active Status:

Session Information:

Policies:

Quarantine Unquarantine

Flows History

12-Jan 13-Jan 14-Jan 15-Jan 16-Jan

Alarms by Type

Data Hoarding Packet Flood

High Traffic Data Exfiltration

10.201.3.149

Within

organization

Outside

organization

Traffic by

Peer Host Group


Suspect Data Hoarding

Unusually large amount of data

inbound from other hosts

Target Data Hoarding


outbound from a host to multiple hosts

Data hoarding


Network Boundary

Inside Outside

Data exfiltration

Data Exfiltration


outbound from a host to

one or more external hosts

Cisco Threat ResponseSecurity


Investigación de cualquier endpoint

BRKSEC-243384

Reduce complexity and time needed for threat hunting


Gracias.

protegiendo el presente y el futuroipap.chaco.gov.ar/uploads/publicacion/7f5c0c5dd458e0c... ·...

Documents