protegiendo el presente y el futuroipap.chaco.gov.ar/uploads/publicacion/7f5c0c5dd458e0c... ·...
TRANSCRIPT
Ezequiel Moregui
Protegiendo el presente y el futuro
Seguridad Cisco:
29 de Noviembre de 2019
Cisco Engineer
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public.
© 2018 Global Center for Digital Business Transformation. All rights reserved. 5
Las empresasconservadorasserán desplazadas
Tiempo para la disrupción
Ven a la disrupcióncomo una amenaza
31%Compañías
que respondenactivamente
© 2018 Global Center for Digital Business Transformation. All rights reserved. 5
Transformación digital
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
© 2017 Global Center for Digital Business Transformation. All rights reserved. 6
DIGITAL
Convergente Desagregado Exponencial Caótico
© 2018 Global Center for Digital Business Transformation. All rights reserved. 7© 2018 Global Center for Digital Business Transformation. All rights reserved. 7
Media andEntertainment
1
Tech Productsand Services
2
Retail 3
FinancialServices
4
Telecoms5ConsumerPackaged Goods
6
Education7
ProfessionalServices
8
Hospitalityand Tourism9
Manufacturing10Transportationand Logistics
11
Real Estate 12
Healthcare andPharmaceuticals
13
Energy andUtilities
14
© 2018 Global Center for Digital Business Transformation. All rights reserved. 9
Resultado25% incremento en productividad del grupo piloto
Reto
46 million+ envíos internacionales
Requiere millones de posibles decisiones individuales a través de una huella altamente distribuida
Como
Asociación con disruptores para desarrollar gafas de realidad aumentada
Proveer información de tareas en tiempo real sobre el proceso de recolección
25%
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Hiperconciencia
La habilidad de una compañía de detectar y
monitorear cambios en su ambiente
Toma de Decisiones Informadas
La habilidad de una compañía para tomar la mejor decisión en una situación dada
Ejecución Rápida
La habilidad de una compañía para ejecutar sus planes rápida y eficientemente
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cyber
SecurityIoTMobility
BYOD
Nuevos dispositivos en el
entorno de trabajo
Detección automática de
dispositivos sin usuario
Equipamiento en todo mi ecosistema
Técnicas de ataques avanzadas en
LAN y perímetro.
Diferencias entre redes de hoy y de ayer¿Como afecta a la red?
1500
14
C97-738949-02 © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Convergencia con la
infrastructura de red.
Endpoints
vulnerables
7.5BThings
IoT
Tendencias
Security
$3.5MCosto de un ataque
informático
Cloud
Modelos de
consumo
dinámicos
100KDispositivos
AWS
Windows 10
Mobility
3.64Dispositivos
Por persona
Plataformas de
trabajo
hiperconectadas
Los operadores de red invierten más tiempo
recolectando informaciónque analizar el problema
El análisis de un incidentese hace difícil si el personal
de TI no puede replica el problema tal como sucedió
realamente.
El tiempo fuera de línea es caro; Puede costar
millones.
. 1 McKinsey Study of Network Operations for Cisco – 2016
4x Replicación de
incidentesTiempos de resolución
Tiempo invertido en TI – R&S: 43% Troubleshooting
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Source: 2016 Cisco Study
Las redes tradidionales no pueden cubrir la velocidad del negocio de hoy en día
Opex invertido envisibilidad de la red y
troubleshooting
Violación de políticasde red causadas por errores hunmanos
Los cambios de red son manuales
95%* 70%* 75%*
Las redes tienen multiples desafíos operacionales
*2016 Internal Customer Study
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
Redes tradicionales de seguridad
El trafico externo era
considerado no confinable
y el interno, confiable.
Internet público
Borde de red
Data center
Firewall
Un punto de control para
todo el tráfico
Firewall
Anti Malware
Email Security
Web Security
Antivirus
DLP
IDS
IPS
Algunas de las
soluciones actuales
Persistent Threats
DDOS On Premise
IoT Security
CASB
Vulnerability Assets
Behavior Analytic
SIEM
VPN
NAC
Mobile Security
DDOS Cloud
Flow Analytic
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Demanda incremental en equipos expertos de seguridad
Gran cantidad de
dispositivos
Transición a la nube
Equipos de trabajo
distribuidos
Transformación digital
Poca visibilidad Pocos expertos
Poca integración entre
plataformasDemasiada exposición
Se busca el mejor esfuerzo pero es una
rutina que no finaliza
83% piensa que el riesgo de la ciberseguridad es mayor
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
La industria de
la seguridad
no lo facilita
como debería
75Security tools
on average
3000+Cybersecurity vendors
79% of CISOs say it’s difficult
to orchestrate alerts
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Seguridad unificada…
APIs abiertas
Estandares de seguridad
Código publicado
Global
threat
intelligence
Secure
trusted
access
Tecnología validada de manera
académica.y por la industria
Políticas compartidas, contexto y datos
Experiencia “Talos”
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Proteja su
negocio con el
mayor equipo
de seguridad
del planeta.
Network
Endpoint
Cloud
Application
Management
and Response
Verificacion de
confianza
contínua
Analisis
constante de
ineligencia de
amenazas
La plataforma de Cisco Security
Identidad
Riesgo
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
El futuroprotegido
AceleraciónExperienciaoptimizada
Cisco Security
Disminución de la complejidad a través de
una plataforma integrada y abierta.
Promueve la eficiencia y óptima ejecución
del equipo.
Experienciaoptimizada
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Mejoras en la optimización de seguridad en el equipo.
Unificar soluciones de
gestión
Extender a otros ambientes la
ponderosa herramienta de
Threat Response
Coordinar equipos más
efectivamente, compartir
información de manera
segura
Políticas de seguridad
consistentes en todos los
puntos de mi red
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Necesitas que tu negocio se mueva a la velocidadde cloud
Conectar usuarios a
internet donde sea que
estén
Impulsar a los equipos
tradicionales sin causar
rechazo
Give users the
performance they need to
succeed
Detección inmediata de
amenazas a gran escala
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Es requerido un plan para hoy, en vistas al mañana
Ejecución de un plan
correcto para
identificación y amenazas
Compliance y mitigación de
riesgos
Crecer sin agregar
complejidad
Innovaciones:
Ir al ritmo de las amenazas
y contrarestarlas
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Un estrategia de seguridad optima para los próximos años comienza con de Zero Trust
Dispositivos y usuarios conectados
de manera seguraProteger flujos de datos en todas mis
conexiones, de todas las aplicaciones, en
todo entorno
Acceso Seguro a usuarios con sus
aplicaciones
Protégé tu espacio de
trabajo
Protégé tus datosProtége tu fuerza de trabajo
Password
Adicionar nuevas tecnologías pueden agregar complejidad que convierte a la arquitectura en menos segura
55% de las organizaciones utilizan
mas de 5 vendors de seguridad en sus
redes
54% De las alertas legítimas de
seguridad no son remediadas por falta
de una arquitectura de seguridad
unificada
100-200 dias Es el
promedio de industria en detectar
amenazas
1 Cisco 2017 Annual Cybersecurity Report2 Cisco 2017 Annual Cybersecurity Report3 Cisco 2016 Mid-Year Cybersecurity Report
Comunicacion entre fabricantes
Comunicación entre distintos vendors de seguridad
La solución: Arquitectura Unificada
Construya una arquitectura de seguridadDetectar amenazas en cualquier lugar
Detectar amenazas en la red, la nube, el endpoint, los datos y
proteger automáticamente
Automatizar la seguridad
Automatizar el proceso de detección y
respuesta
Quien Como Cuando Donde
Dinámicamente entender el contexto de
usuarios y proteger ante eventos
Monitoreo proactivo
Monitoreo de aplicaciones y comportamiento
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Grandes Inversiones en capas críticas de seguridad
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
El nuevo mundo multicloud
Nubes públicas y privadasFacilita la Flexibilidad
Acceso en todo momentoProductividad
Aplicaciones SaaS Aceleran el negocio
¿Que es Umbrella?Malware
C2 Callbacks
Phishing
HQ
Sandbox
NGFW
Proxy
Netflow
AV AV
BRANCH
Router/UTM
AV AV
ROAMING
AV
Primera líneaRed y endpoint
Red y endpoint
Endpoint
Todo comienza
por el DNS
Antecesor a la
ejecución del archive y
session IP
Utilizado por todos los
dispositivos
https://docs.umbrella.com/deployment-umbrella/docs/1-introduction
Umbrella Virtual Appliances – Integración con la red y AD.
Modelos estadísticos
Por Interferencia
Co-occurrence
Sender rank
Secure rank
Por Asociación
Predictive IP Space Modeling
Passive DNS and WHOIS Correlation
Por patron conocido
Spike rank model
Natural Language
Processing rank model
Live DGA prediction
INTELLIGENCE
2M+ live events per second
11B+ historical events
Modelo de Co-ocurrencia
Por interferencia
a.com b.com c.com x.com d.com e.com f.com
time - time +
Tentativo Dominio maliciouso Posible dominio malicioso
Dominio malicioso conocido
INTELLIGENCE
Spike rank model
Patterns of guilt
y.com
DAYS
DN
S R
EQ
UE
ST
SMassive amount
of DNS request
volume data is
gathered and
analyzed
DNS request volume matches known
exploit kit pattern and predicts future attack
DGA MALWARE EXPLOIT KIT PHISHING
y.com is blocked before
it can launch full attack
INTELLIGENCE
Riesgos de servicios SaaS en tres áreas diferentes
AplicacionesDatosCuentas/Usuarios
Actividad de cada
persona en la cuenta
Como detectar que un
archive está
comprometido
¿El personal está
extrayendo información
que no corresponde?
Existe información que me
comprometa en la nube?
¿Tengo información que
está siendo compartida
inapropiadamente?
¿Como detectar
infracciones de políticas de
red?
¿Como monitorear el uso de
aplicaciones de datos?
¿Riesgos?
¿Se están utilizando
aplicaciones de terceros?
¿Como remover
aplicaciones de riesgo?
Public APIs
Cisco NGFW / Umbrella
Managed
Users
Managed
Devices
Managed
Network
Unmanaged
Users
Unmanaged
Devices
Unmanaged
Network
Acceso CASB – API (cloud to cloud)
C97-741670-00 © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
Cisco Identity Services Engine (ISE)
Network ResourcesAccess Policy
TraditionalCisco
TrustSec®
Enterprise Mobility
Threat Containment
Guest
Role-Based Access
Identity Profiling
and Posture
A centralized security solution that automates context-aware access to network resources
and shares contextual data
Network
Door
Physical or VM
Who
Compliant
What
When
Where
How
Context
Threat
Vulnerability
pxGrid
C97-741670-00 © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
Solución general
1 million
# of supported
Guest accounts Guest account notification options
API
Manage guest
accounts via REST
EMAIL PRINT SMS
Portal Captivo Auto Registro Registro con sponsor
Immediate, un-credentialed
Internet access
Self-registration by guests,
Sponsors may approve access
Authorized sponsors create
account and share credentials
The 3 types of guest access
Portal language
customizationSocial Media
Login support
Facebook Facebook
C97-741670-00 © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
Segmentación basado en políticas de perfiles
Segmentación tradicional
BYOD
VLAN
BYOD
Supplier
VLAN de
invitados
VLAN
De voz
Voice
VLAN
De datos
Employee
Access Layer
Enterprise
Backbone
Aggregation Layer
Non-Compliant
VLAN de
Cuarentena
VLAN
Address
DHCP Scope
Redundancy
Routing
Static ACL
VACL
Security Policy based on Topology
High cost and complex maintenance
Employee Tag
Supplier Tag
Non-Compliant Tag
Voice
VLAN
Voice
Data
VLAN
Employee Supplier BYODNon-Compliant
Use existing topology and automate
security policy to reduce OpEx
Sin cambio de VLANs manual
Sin cambiod de toppología
Politicas centralizadas
Segmentación Micro/Macro
Policy
Access Layer
DC Firewall / Switch
DC Servers
Enterprise
Backbone ISE
TrustSec
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco TrustSecSimplified access control with Group Based Policy
VLAN BVLAN A
Campus Switch
DC Switch
or Firewall
Application
Servers
ISE
Enterprise
Backbone
Enforcement
Campus Switch
Voice Employee Supplier Non-CompliantVoiceEmployeeNon-Compliant
Shared
Services
Employee Tag
Supplier Tag
Non-Compliant Tag
DC switch receives policy
for only what is connected
Classification
Static or Dynamic
SGT assignments
Propagation
Carry “Group” context
through the network
using only SGT
Enforcement
Group Based Policies
ACLs, Firewall Rules
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
eth
0/1
eth
0/2
10.2.2.2 port 1024 10.1.1.1 port 80
Que significa flujo de datos?
Start Time Interface Src IP Src Port Dest IPDest
PortProto
Pkts
Sent
Bytes
Sent
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Telemetríaunidireccional
Start Time Client IPClient
Port
Server
IP
Server
PortProto
Client
Bytes
Client
Pkts
Server
Bytes
Server
PktsInterfaces
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17eth0/1
eth0/2
Telemetríabidireccional
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Globa l
Sales Tra i n i ng
Analiticas de tráfico encriptado
Asegurar compliance
criptográfico
Detección de malware en
tráfico encriptado
Cisco Stealthwatch es la única solución del Mercado que
provee análisis de visibilidad y detección de malware sin tener
que desencriptar la información.
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Globa l
Sales Tra i n i ng
Encabezado de
paquetes
Secuencia, longitude y
tiempos del paquete IPMapa global de riesgo
Herramientas para analizar el tráfico
Self-Signed Certificate
Data Exfiltration
C2 Message
Presente en los paquetes
encriptados
Identificar el tipo de contenido a
través del tamaño y tiempos del
paquete
Identificar quien es quien dentro del
intercambio de información
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
Summary of aggregated
host information
Observed communication
patternsHistorical alarming behavior
Investigación de un endpoint
Host Summary
User Name:
Device Name:
Device Type:
Host Group:
Location:
Last Active Status:
Session Information:
Policies:
Quarantine Unquarantine
Flows History
12-Jan 13-Jan 14-Jan 15-Jan 16-Jan
Alarms by Type
Data Hoarding Packet Flood
High Traffic Data Exfiltration
10.201.3.149
Within
organization
Outside
organization
Traffic by
Peer Host Group
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
Suspect Data Hoarding
Unusually large amount of data
inbound from other hosts
Target Data Hoarding
Unusually large amount of data
outbound from a host to multiple hosts
Data hoarding
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
Network Boundary
Inside Outside
Data exfiltration
Data Exfiltration
Unusually large amount of data
outbound from a host to
one or more external hosts
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential
Investigación de cualquier endpoint
BRKSEC-243384
Reduce complexity and time needed for threat hunting