Текущий статус
Лидер Gartner
Magic Quadrant (Email Security, Web Security,
Network Access, SSL VPN)
Существенные
инвестиции
в R&D, M&A &
людей
#1 на рынке ИБ
ЦОДов (Источник:
Infonetics)
#1 на рынке
сетевой безопасности (Источник: Infonetics)
Названа одним
из 5-ти основных
Приоритетов
компании
Cisco Security Momentum
4
Проблемы и задачи
МОБИЛЬ-
НОСТЬ ОБЛАКО УГРОЗЫ
Динамика рынка, ориентированного на потребителя, требует сквозной архитектуры
безопасности
6
Любое устройство к любому облаку
ЧАСТНОЕ ОБЛАКО
ОБЩЕ-ДОСТУПНОЕ
ОБЛАКО
ГИБРИДНОЕ ОБЛАКО
завтра 2010 2000 2005
Изменение
ландшафта угроз APTs и
кибервойны
Черви и вирусы
Шпионское ПО
и руткит
Антивирус
(Host-Based)
IDS/IPS
(Сетевой периметр)
Репутация (Global) и
песочница
Разведка и аналитика
(Облако)
Ответ
предприятия
Угрозы
8
Новая модель безопасности
9
Новая модель безопасности
ДО Обнаружение
Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ Контроль
Применение
Усиление
Видимость
Сдерживание
Устранение
Ландшафт угроз
Сеть Оконечные устройства
Мобильные устройства
Виртуальные машины
Облако
В определенный момент Непрерывно
10
Приобретение Sourcefire дополнило портфель решений Cisco
ДО Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis
11
Видимость лежит в основе всего!
Work
flow
(auto
mation)
Engin
e
AP
Is
Понять масштабы, локализовать и устранить
Широкая осведомленность о контексте
Внедрение политик для снижение ареала
распространения угроз
Сосредоточиться на угрозе: безопасность это
обнаружение, понимание и нейтрализация угрозы
Взлом
Контекст
Политика
Угроза
12
Стратегия развития продуктов зависит от современных угроз
Work
flow
(авто
мати
зац
ия)
Engin
e
Взлом
Контекст
Политика
Угроза
Видимость
Сдерживание
Устранение
Обнаружение
Блокирование
Защита
Контроль
Применение
Усиление
Определение
Мониторинг
Инвентаризация
Карта
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM
ДО ВО ВРЕМЯ ПОСЛЕ
AP
Is
13
Всеобъемлющий портфель решений Cisco в области обеспечения безопасности
IPS и NGIPS
• Cisco IPS
• Cisco wIPS
• Cisco ASA Module
• FirePOWER NGIPS
Интернет-безопасность
• Cisco WSA / vWSA
• Cisco Cloud Web Security
МСЭ и NGFW
• Cisco ASA / ASA-SM
• Cisco ISR / ASR Sec
• FirePOWER NGFW
• Meraki MX
Advanced Malware Protection
• FireAMP
• FireAMP Mobile
• FireAMP Virtual
• AMP для FirePOWER
NAC + Identity Services
• Cisco ISE / vISE
• Cisco ACS
Безопасность электронной почты
• Cisco ESA / vESA
• Cisco Cloud Email Security
UTM
• Meraki MX
VPN
• Cisco AnyConnect
• Cisco ASA
• Cisco ISR / RVPN
Policy-based сеть
• Cisco TrustSec
• Cisco ISE
• Cisco ONE
Мониторинг инфраструктуры
• Cisco Cyber Threat
Defense
Контроль приложений
• Cisco ASA NGFW / AVC
• Cisco IOS AVC / NBAR
• Cisco SCE / vSCE
• FirePOWER NGFW
Secure DC
• Cisco ASA / 1000v /
ASAv / VSG
• Cisco TrustSec
14
Интеграция в сеть,
широкая база сенсоров,
контекст и автоматизация
Непрерывная защита от
APT-угроз, облачное
исследование угроз
Гибкие и открытые платформы,
масштабируемость,
всесторонний контроль,
управление
Стратегические задачи
Сеть Оконечные устройства
Мобильные устройства
Виртуальные устройства
Облака
Видимость всего и вся Фокус на угрозы Платформы
15
Видимость: Cisco видит больше конкурентов
Сетевые сервера
ОС
Рутера и свитчи
Мобильные устройства
Принтеры
VoIP телефоны
Виртуальные машины
Клиентские приложения
Файлы
Пользователи
Web приложения
Прикладные протоколы
Сервисы
Вредоносное ПО
Сервера управления ботнетами
Уязвимости
NetFlow
Сетевое поведение
Процессы
16
?
Фокус на угрозы
17
Обнаружить, понять и остановить угрозу
?
Аналитика и исследования
угроз
Угроза определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
18
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и исследования
угроз
История событий
Непрерывный анализ Контекст Блокирование
19
Снижение сложности & рост возможностей платформы
Cloud Services Control Platform
Hosted
Аналитика и исследования угроз
Централизованное управление
Устройства, Виртуалки
Платформа сетевой безопасности
Платформа контроля устройств
Облачная платформа
Устройства, виртуалки ПК, мобильные,
виртуалки Хостинг
20
Ключевые особенности архитектуры Cisco по ИБ
21
Архитектура безопасности Cisco Управление Общие политики безопасности и управление безопасностью
API управления безопасностью
API Cisco ONE
API платформы API интеллектуальных
ресурсов облака
Координация
Физическое устройство Виртуальные Облако
Уровень
элементов
инфраструктуры
Платформа
сервисов
безопасности
Безопасность
Услуги и
Приложения
API устройства – OnePK, OpenFlow, CLI
Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)
Уровень данных ASIC Уровень данных ПО Маршрутизация – коммутация – вычисление
Управление доступом
Учет контекста
Анализ контекста
Прозрачность приложений
Предотвращение угроз
Приложения Cisco в сфере безопасности Сторонние приложения
API API
22
Платформа сервисов безопасности ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Маршрутизаторы и коммутаторы Cisco
Общедоступное и частное облако
ВЕРТИКАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
Устройства обеспечения
безопасности
Виртуализированное устройство | автоматическое масштабирование | многопользовательская среда
Устройство обеспечения безопасности, действующее как программируемый сетевой контроллер
23
Мозг архитектуры безопасности Cisco
Действующее
соединение SMTP?
(ESA)
Ненадлежащий или
нежелательный
контент?
(ASA/WSA/CWS)
Место для
контроля и
управления?
(ASA/WSA)
Вредоносное
действие?
(ASA/IPS)
Вредоносный контент на
оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование
угроз
Регистрация
доменов
Проверка
контента
Ловушки для
спама, ловушки
для хакеров,
интеллектуальные
анализаторы
Черные списки
и репутация
Партнерство
со сторонними
разработчиками
Правила и логика для конкретных платформ
Cisco Security Intelligence Operations
24
Немного фактов о SIO
Глобальная и локальная корреляция через автоматический и человеческий анализ
АНАЛИТИКА & ДАННЫЕ УГРОЗ
Широкий спектр источников данных об угрозах & уязвимостях
БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ
Контекстуальная политика с распределенным внедрением
ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру-
ктура
больших
данных
Обновления
в реальном
времени
Доставка
через
облако
150M оконечных
устройств
14M шлюзов
доступа
1.6M устройств
безопасности
Самообуча
ющиеся
алгоритмы
НИОКР Open Source
Community
25
Проблемы с традиционным мониторингом
Admin
Базируется на правилах
• Зависимость от сложно
создаваемых вручную
правил
• Зависимость от
человеческого фактора
Зависимость от времени
• Занимает недели или
месяцы на обнаружение
• Требует постоянного
тюнинга
Security
Team
Очень сложно
• Часто требует
квалифицированный
персонал для управления
и поддержки
111010000 110 0111
Невозможно
идти в ногу с
последними
угрозами
СОВРЕМЕННЫЕ АЛГОРИТМЫ Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА Теория игр и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ Учет сетевого, Web и Identity контекста
ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ КИБЕР УГРОЗ Поведенческий анализ
ОБНАРУЖЕНО
27
Потенциальная
угроза
Поведенческий
анализ
Обнаружение
аномалий
Машинное
обучение
Внутренние
пользователи
Обнаружение угроз с Cognitive Threat Analytics
28
Безопасность WWW Сеть
Identity & Политики
Будущее облачной аналитики угроз
Облачная аналитика и исследования угроз
Web
Rep
IPS
Rep
Rep
Репутация
Глобальная аналитика
Портал угроз
Сетевые политики
Телеметрия безопасности
Телеметрия сети
Поведенческий анализ
Глобальные данные об угрозах
CTA
29
Решения Cisco в области веб-безопасности и защиты электронной почты
Блокировка
фишинговых атак,
вирусов и спама Защита от угроз
Безопасность данных
Защита данных
транзитного
трафика
Прозрачность и контроль приложений
Обнаружение
и уменьшение
последствий угроз
веб-безопасности
Защита данных
в режиме онлайн
Мониторинг
и контроль
использования
приложений
Веб-безопасность
Безопасность
электронной почты Лидеры рейтинга Magic Quadrant
компании Gartner в 2013 году
Основные отличительные
особенности:
Снижение совокупной
стоимости владения
Эффективность и надежность
Гибкое развертывание
30
Строгая защита входящего Web-трафика
WWW
Время запроса
Время ответа
Cisco® SIO
Фильтрация URL
Репутационные фильтры
Dynamic Content Analysis (DCA)
Сигнатурные антивирусные движки
Advanced Malware Protection
Блокировать
WWW
Блокировать
WWW
Блокировать
WWW
Разрешить
WWW Предупредить
WWW WWW Частично
блокировать
Блокировать
WWW
Блокировать
WWW
Блокировать
WWW
31
Анализ репутации и добавление контекста Ценность контента в режиме реального времени
Владелец
подозрительного
домена
Сервер в
местоположении
с высоким
уровнем риска
Динамический
IP-адрес
Домен
зарегистрирован
< 1 мин.
192.1.0.68 пример
.com Example.org 17.0.2.12 Пекин Лондон Сан-Хосе Киев HTTP SSL HTTPS
Домен
зарегистрирован
> 2 лет
Домен
зарегистрирован
< 1 месяца
Веб-сервер
< 1 месяца
Кто Как Где Когда
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
Оценка IP репутации
32
1. Сканирование текста
Решения Cisco по контролю использования Web-ресурсов на базе SIO
WWW
База данных URL-адресов
3. Расчет приблизительной категории документа
4. Заключение о наиболее близкой категории
2. Оценка релевантности
Финансы Для
взрослых Здоровье
Финансы Для
взрослых Здоровье
Разрешено
WWW Предупреж-
дение
WWW WWW Частичная
блокировка
Блокировка
WWW
5. Применение политики
Если контент неизвестен,
страница анализируется
Блокировка
WWW
Предупреж-
дение
WWW
Разрешение
WWW
Если контент известен
33
Всесторонний контроль с Cisco Web Security
Сотни
приложений
Поведение
приложений
150,000+ микро-
приложений • Непрерывно обновляемая
база URL, покрывающая свыше
50 миллионов сайтов в мире
• Динамическая категоризация в
реальном времени для
неизвестных URL
• Контроль мобильных, web 2.0
приложений и приложений для
взаимодействия
• Применение политики к
пользователям и устройствам
• Гибкая политика контроля для
разных приложений
• Видимость всей активности по
сети
HTTP://
+
Application Visibility and Control (AVC) Фильтрация URL
34
Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика ботнетов (“Phone-home”)
• Сканирование всего трафика, на всех портах, по всем протоколам
• Обнаружение вредоносного ПО, обходящего порт 80
• Предотвращение трафика ботнетов
Мощные данные для борьбы с вредоносным кодом
• Автоматически обновляемые правила
• Генерация правил в реальном времени, используя “динамическую идентификацию”
Инспекция пакетов и
заголовков
Интернет
35
Решения Cisco в области безопасности электронной почты на базе SIO
Устройство Облако Гибридные Управляемые
Защита от угроз
Защита о спама и вирусов
Целевая защита от угроз
Безопасность данных
Предотвращение потери данных
Шифрование
Централизованная
прозрачность и контроль
Поддержка нескольких устройств
Виртуальные
36
Защита Cisco Email Security
Cisco® SIO
Репутационная фильтрация SenderBase
Предотвращение спама и и спуфинга
Антивирусное сканирование & AMP
Анализ URL в реальном времени
Доставка Карантин Переписать URL Отбросить
Отбросить
Отбросить/Карантин
Отбросить/Карантин
Карантин/Переписать
37
• Заведомо легитимная
почта доставляется
• Подозрительные
сообщения
ограничиваются по
скорости и фильтруются
от спама
• Заведомо нежелательная
почта блокируется
IronPort
Anti-Spam
Входящая почта
Хорошие, плохие
и неизвестные сообщения
Фильтрация
по репутации
Cisco о Cisco
Наш корпоративный
опыт работы
с электронной почты
Категория сообщения % Сообщения
Остановлено фильтрацией на основе репутации 93.1% 700,876,217
Остановлено по причине недействительных получателей 0.3% 2,280,104
Обнаружен спам 2.5% 18,617,700
Обнаружен вирус 0.3% 2,144,793
Остановлено фильтром контента 0.6% 4,878,312
Общее количество сообщений об угрозах: 96.8% 728,797,126
Чистые сообщения 3.2% 24,102,874
Общее количество сообщений: 752,900,000
Фильтрация репутации SenderBase Предотвращение угроз в реальном времени
38
Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых сообщений
Перенаправление подозрительных ссылок для анализа и выполнения в
защищенное облако
Фильтрация плохих URL базируется на репутации web и категориях
39
Строгий исходящий контроль
Шифрование важной почты
Соответствие политикам/
DLP
Контроль числа исходящих сообщений
Проверки AS/AV DKIM/SPF
Отправитель Получатель
40
Централизованное управление & отчеты
Централизованный репортинг
Централизованное управление
Встроенный анализ угроз Расследования инцидентов
Понимание
Через угрозы, данные и приложения
Контроль
Соответствующие политики для офисов и удаленных пользователей
Видимость
Видимость через различные устройства, сервисы и сетевой уровень
Централизованное управление политиками
Делегированное управление
41
Веб-безопасность облака Cisco
Ведущий провайдер в области веб-безопасности
облака в 2012 г компания Infonetics
Лидер рейтинга Magic Quadrant компании Gartner
в 2013 году
Время безотказной работы сервисов 99,998%
Экономия затрат 30–40% по сравнению
с решениями локального развертывания
Лучшее решение по веб-безопасности
с централизованным управлением для
распределенных организаций
ISR G2 с управляемой доступностью до Q3FY14
CWS
За
щита
от
но
во
го
вр
ед
оно
сно
го П
О
Прозр
ачность
и к
онтр
ол
ь
пр
ил
ож
ени
й
За
щита
пол
ьзо
вате
лей
в р
оум
инге
(An
yC
on
ne
ct)
Inte
llig
en
ce
Ne
two
rk
Co
nn
ecto
rs
Об
еспече
ни
е
безо
па
сности
на
базе
обл
ака
Гибкое развертывание
ISR G2* ASA Устройства
веб-безопасности
(WSA)
Облако VPN
42
AMP на Cisco Email и Web Security • Поддерживается
На Cisco Email Security Appliance
На Cisco Web Security Appliance
На Cisco Cloud Web Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов
43
Интеграция AMP & VRT & ESA/WSA/CWS
AMP клиент – единый модуль, который применяется в WSA и ESA
Web/Sender
Reputation
Web/
Proxy
VRT Sandboxing
WSA/ESA/CWS
Amp connector
Локальные
AV-сканеры
Запрос репутации файла
AMP
Cloud
Неизвестный файл,
загрузка в песочницу
Обновление
репутации
файлов
Sandbox
connector
AMP Client
Local
Cache
Обновление
ретроспективы
44
File SHA Hash
‘Fingerprint’
Неизвестно 1->100
Файл
распознан
Файл неизвестен
Отправить в песочницу?
Да
Нет
1->59 : чисто
60->100: заражено
Вердикт «Чисто»
Вердикт «Заражено»
Реакция по политики
ESA / WSA
Amp
Service
Amp Cloud Service
Вердикт
«Чисто» + отправить
в песочницу
Вердикт «Чисто»
Amp Client
Чисто
Заражено
Вердикт Рейтинг
Нет рейтинга
Принятие решений в связке AMP и ESA/WSA/CWS
Межсетевой экран нового поколения Cisco ASA 5500-X. Он единственный у Cisco?
• В 4 раза быстрее чем прежние модели ASA
5500
• Лучший в отрасли межсетевой экран ASA
и решение AnyConnect
• Сервисы межсетевого экрана нового
поколения
• Различные расширенные сервисы
безопасности, не снижающие
производительность
Applic
ation
Vis
ibili
ty &
Contr
ol (A
VC
)
Intr
usio
n
Pre
vention
(IP
S)
Secure
Rem
ote
Access
(AnyC
onnect)
Web S
ecurity
Essentials
(WS
E)
Веб
-
безо
пасность
обл
ака
Сервисы Cisco ASA NGFW (программное обеспечение)
Межсетевой экран нового поколения Cisco ASA
серии 5500-X (на аппаратной платформе)
Межсетевые экраны: вертикальное и горизонтальное масштабирование
Cisco 7600 Routers ISR Routers
Catalyst 6500 Switches Nexus Switches
ASA Meraki MX
ASA 1000v VSG CWS
Sourcefire FW
ASAv
ASR Routers
47
Решения безопасности Sourcefire
ИНТЕЛЛЕКТУ-АЛЬНАЯ
СИСТЕМА
КОЛЛЕКТИВНОЙ
БЕЗОПАСНОСТИ
Центр управления УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
МЕЖСЕТЕВОЙ
ЭКРАН НОВОГО
ПОКОЛЕНИЯ
ПРЕДОТВРАЩЕНИЕ
ВТОРЖЕНИЙ
НОВОГО
ПОКОЛЕНИЯ
РАСШИРЕННАЯ
ЗАЩИТА ОТ
ВРЕДОНОСНЫХ
ПРОГРАММ
ЗАВИСИМОСТЬ ОТ КОНТЕКСТА ХОСТЫ | ВИРТУАЛЬНЫЕ МОБИЛЬНЫЕ
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
48
FirePOWER™: single-pass, высокопроизводительное, с низкой задержкой
• Гибкая интеграция в программное обеспечение
NGIPS,NGFW, AMP
Все вышеперечисленные (просто выбрать соответствующий размер)
• Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с ->40 Гбит/с
Стекирование для масштабирования, кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISC
До 40 Гбит/с (система предотвращения вторжений)
49
Про
изв
од
ите
льно
сть
и м
асш
таб
ир
уе
мо
сть
систе
мы
пр
ед
отв
ра
ще
ния в
торж
ений
Центр
обработки
данных Комплекс зданий
Филиал Малый/домаш-ний
офис
Интернет-
периметр
FirePOWER 7100 Series
500 Мбит/с – 1 Гбит/с
FirePOWER 7120/7125/8120
1 - 2 Гбит/с
FirePOWER 8100/8200
2 - 10 Гбит/с
FirePOWER серии 8200
10 – 40 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series
50 – 250 Мбит/с
50
Виртуальный сенсор
Виртуальные сенсоры
Виртуальный центр защиты
• Встроенное или пассивное развертывание
• Полный набор функциональных возможностей системы предотвращения вторжений нового поколения
• Развертывается как виртуальное устройство
• Сценарии использования
Преобразование SNORT
Небольшие / удаленные площадки
Виртуализированные рабочие нагрузки (PCI)
• Управляет до 25 сенсорами
физические и виртуальные
одно окно
• Сценарии использования
Быстрая оценка
Предварительное тестирование перед производством
Операторы связи
ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает
RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.
DC
51
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
NGFW NGIPS AMP
Одна платформа служит для обработки всеv жизненным циклом атаки
ДО
Вы видите,
вы контролируете
ВО ВРЕМЯ
Интеллектуальные
и с учетом контекста
ПОСЛЕ
Ретроспективные
средства безопасности
52
Межсетевой экран нового поколения: на базе системы
предотвращения вторжений нового поколения
• Ресурсы и пользователи, сопоставленные с помощью FireSIGHT
• Нарушения правил доступа, обнаруженные встроенными системами предотвращения вторжений нового поколения
• Контроль приложений и контроль доступа, коммутация и маршрутизация, обеспечиваемые межсетевым экраном нового поколения
• ЕДИНСТВЕННЫЙ межсетевой экран нового поколения, который содержит полнофункциональную систему предотвращения вторжений нового поколения
53
Межсетевой экран нового поколения Sourcefire Ориентирован на угрозы
• Система предотвращения вторжений нового поколения – проверка содержимого
• FireSIGHT – учет контекста
• Интеллектуальная система безопасности – управление черным списком
• Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу
• И все эти компоненты прекрасно интегрируются друг с другом
Используются политики системы предотвращения вторжений
Политики контроля файлов
Политика межсетевого экрана
Политика в отношении системы предотвращения
вторжений нового поколения
Политика в отношении файлов
Политика в отношении вредоносных программ
Контролируемый
трафик
Коммутация, маршрутизация, сеть VPN,
высокая доступность
Осведомленность об URL-адресах
Интеллектуальная система безопасности
Определение местоположения по IP-адресу
54
Выделенное устройство Advanced Malware Protection (AMP)
Advanced Malware Protection for FirePOWER (NGIPS, NGFW)
FireAMP для узлов, виртуальных и мобильных устройств
Защита от вредоносного кода (антивирус)
55
Наш подход к расширенной защите от вредоносных программ
SaaS Manager
Сенсор Sourcefire
Центр управления FreeSIGHT
Лицензия на
AMP Malware
#
✔ ✖
#
Сервисы
обнаружения и анализ
больших данных
AMP для сетей AMP для оконечных устройств
SSL:443 | 32137
Пульсация: 80
56
Advanced Malware Protection
Dedicated Advanced Malware Protection
Appliance
AMP for FirePOWER (NGIPS / NGFW)
AMP for Gateway:
Email Security Appliance
Web Security Appliance
Cloud Web Security
Gateway Network
PC’s
Mac’s
Mobile Devices
Virtual Machines
Endpoint
Public Cloud
Private Cloud
До
В процессе
После
Облачные
преимущества:
Коллективная
разведка
Непрерывный
анализ
Ретроспектива
Отслеживание
Анализ причин
Контроль
57
FireAMP Private Cloud
Портал управления для быстрого внедрения и менеджмента
Защита на уровне сети и оконечных устройств
Обезличенные файлы могут передаваться в глобальное облако
Отслеживание эпидемий
58
Какие системы были заражены?
Почему это произошло?
Где источник заражения?
За что еще он отвечает?
С кем он еще взаимодействовал?
См
отр
ите
в с
уть
: тра
екто
ри
я у
стр
ой
ств
а
Смотрите широко: траектория сети
Анализ траектории файла и устройства – поиск источника заражения
59
Время появления
Инфицированные системы
Сетевая траектория файла
60
Анализ траектории файла
61
Комплексная защиты от вредоносных программ
• Полный набор
функций
• Непрерывный анализ
• Интегрированные
инструменты
реагирования
• Анализ
больших данных
• Контроль
и восстановление
Интеллектуальная система коллективной безопасности
62
Sourcefire Defense Center®
• Настраиваемая инструментальная панель
• Комплексные отчеты и оповещения
• Централизованное управление политиками
• Иерархическое управление
• Обеспечение высокой доступности
• Интеграция с существующими системами безопасности
63
DC750 DC1500 DC3500
Макс. число управляемых
устройств* 10 35 150
Макс. число событий системы
предотвращения вторжений 20 млн. 30 млн. 150 млн.
Система хранения событий 100 Гб 125 Гб 400 Гб
Макс. сетевая карта
(хосты | пользователи) 2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.
Макс. скорость потока
(потоков/с) 2000 потоков/с 6000 потоков/с 10000 потоков/с
Возможности
высокой доступности Дистанционное управление (LOM)
RAID 1, LOM,
High Availability
pairing (HA)
RAID 5, LOM,
HA, резервный
источник питания пер. тока
Устройства центра обеспечения защиты
* Макс. число устройств зависит от типа сенсора и частоты событий
64
Одна консоль – множество ролей
65
Управление политиками
66
Пассивное
обнаружение
В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время
в режиме
реального времени
67
Полный FireSIGHT
Идентифицированная операционная система
и ее версия
Серверные приложения и их версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует
пользователь? Когда?
68
Автоматизация создания политик и правил
69
Инструментальная панель
70
Понимание контекста в FireSIGHT
Просмотр всего трафика приложения...
Поиск приложений с высокой степенью риска... Кто их использует?
Какие использовались операционные системы?
Чем еще занимались эти пользователи?
Как выглядит их трафик за период времени?
71
Различные категории URL
URLs категорированы по уровню рисков
Фильтрация URL
72
Контроль по типам файлов
73
«Черные списки» Что это?
•Сигналы тревоги и правила блокирования:
•Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи
•Источники вредоносного ПО, фишинга и спама
•Возможно создание пользовательских списков
•Загрузка списков от Sourcefire или иных источников
Как это может помочь?
•Блокировать каналы вредоносных коммуникаций
•Непрерывно отслеживать любые несанкционированные и новые изменения
74
• Визуализация карт, стран и городов для событий и узлов
Геолокация
75
Дизайнер пользовательских отчетов
76
Платформы ASA и FirePOWER Производительность
и размещение в сети
Устройство системы
предотвращения вторжений
нового поколения
Интегрированный межсетевой
экран + система предотвращения
вторжений
Домашний офис / небольшой филиал
50-250 Мбит/с FirePOWER 7010/20/30 ASA 5505
Филиал
500 Мбит/с - 1 Гбит/с FirePOWER 7100 ASA 5512/5515
Интернет-периметр
1-2 Гбит/с FirePOWER 7120/7125/8120 ASA 5525/5545
Комплекс зданий
2-10 Гбит/с FirePOWER 8100/8200 ASA 5555 & 5585-10/20
Центр обработки данных,
10-40 Гбит/с FirePOWER 8200/8300 ASA 5585-40/60
Примечание. К автономным системам предотвращения вторжений могут применяться ограничения в отношении
использования в домашних офисах и небольших филиалах
77
Не забывайте: приложения зачастую используют шифрование
• и по умолчанию используют SSL
• Преимущества решения внешнего дешифрования Sourcefire
Повышенная производительность – ускорение и политика
Централизованное управление ключами
Поддержка взаимодействия со сторонними продуктами
SSL1500 SSL2000 SSL8200
1,5 Гбит/с 2,5 Гбит/с 3,5 Гбит/с
4 Гбит/с 10 Гбит/с 20 Гбит/с
78
Решение SSL Appliance
• «Известный серверный ключ» для SSL v2
Требуется доступ к серверному ключу
Выполняет дешифрование входящих данных SSL
• «Повторное подписание сертификата» для SSL v3
Требуется промежуточный сертификат в браузерах
Выполняет дешифрование исходящих данных SSL
Метод известного серверного ключа
Метод повторного подписывания сертификата
79
Гибкие варианты развертывания На территории и за пределами территории потребителя
Варианты
разверты-
вания
Коннекторы /
Переадре-
сация
На территории потребителя Облако
Облако
МСЭ Маршрутизатор Роуминг
Виртуальное
решение Межсетевой экран
нового поколения
Роуминг
Устройство
Устройство
Клиентские
системы
Неявная Явная
МСЭ Маршрутизатор
Неявная Явная
80
Предотвращение потери данных Снижение риска утечки конфиденциальной информации
На территории
заказчика
Интеграция
политик DLPс
использованием
протокола ICAP
CWS
Устройства веб-безопасности
(WSA)
Облако
Устройство
DLP другого
производителя
+
Базовая
политика
DLP
Расширенная политика
DLP
Модель открытого
программирования
Распределение
контекстных
атрибутов
Использование
меток для активов
Next Generation
Encryption
82
Every Platform Needs Context
Every Platform has Context to Share
pxGrid обмен
контекстом
Информация для обмена информацией о безопасности– pxGrid
SIO
Единая инфраструктура
Прямые, защищенные интерфейсы
83
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM), облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование значения Сети
Текущая экосистема
партнеров Cisco
Широкий охват и глубина видимости IP-устройств в сети
Платформа для анализа контекста и
управления политиками
Cisco Identity Service Engine (ISE)
85
Cisco ISE - унифицированное управление контекстом и сетью
Преимущества унифицированного управления контекстом
Более глубокое понимание вопросов, связанных с сетью и с безопасностью
Более детальное управление BYOD и чувствительными пользователями/группами
Выявление важных сетевых событий и событий безопасности и создание условий для их использования
Унификация пакетов политик
Готовность к Всеобъемлющему Интернет
Кто | Что | Где | Когда | Как
Инфраструктура
ИТ или IoT
Cisco ISE
Политики
Совместное
использовани
е контекста
Выполнение
сетевых
действий
Сеть на базе Cisco
86
87
Тип устройства
Местоположение
Пользователь Оценка Время Метод доступа
Прочие атрибуты
Пример политики доступа
88
Cisco ISE и SIEM/защита от угроз
• Уточнение, на каких событиях в сфере безопасности требуется
сосредоточиться
• Анализ безопасности на базе устройства, пользователя и группы
позволяет SIEM/TD тщательно проверить определенные среды, например,
BYOD или группы пользователей высокого риска
• Обеспечение эффективности событий в сфере безопасности в сети
Сетевой карантин для
пользователей и
устройств с помощью ISE
SIEM & TD ПРИНИМАЮТ МЕРЫ
Идентификация, тип устройства, оценка состояния,
уровень авторизации, местоположение
CISCO ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ
Преимущества
89
Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения
• Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и
привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства
• ISE связывает привилегии доступа с контекстом соответствия
Cisco ISE + pxGrid = экосистема безопасности
90
Пример контроля доступа с интеграцией с MDM
90
Jail Broken PIN Locked
Encryption ISE Registered PIN Locked MDM Registered Jail Broken
91
Sourcefire API Framework для интеграции с другими решениями • eStreamer – Защищенный канал для передачи данных о событиях ИБ
• Host Input – Использование 3rd данных об узлах и уязвимостях
• Remediation – Реагирование через решения 3rd фирм
• JDBC Interface – Запросы по событиям безопасности и узлам
92
Объединенная партнерская программа Sourcefire по категориям
Объединенная ИНФРАСТРУКТУРА API
сенсоров
мест
контроля в
реальном времени
СЕТЬ КАК СЕНСОР
95
TrustSec
Enabled
Enterprise
Network Identity
Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое
понимание внутренней активности в сети
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
Cyber Threat Defense обеспечивает внутренние контроль и защиту
96
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor VE
Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
97
Cisco CTD: обнаружение угроз без сигнатур
Что делает 10.10.101.89?
Политика Время начала Тревога Источник Source Host
Groups
Цель Детали
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная утечка
данных
10.10.101.89 Атланта,
Десктопы
Множество хостов Наблюдается 5.33 Гб. Политика
позволяет максимум до 500 Мб
98
Cisco CTD: обнаружение угроз без сигнатур
Высокий Concern Index показывает значительное
количество подозрительных событий
Группа узлов Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
99
Cisco CTD и Cisco ISE: сила в единстве
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя пользователя Тип устройства Цель
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная
утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество
хостов
100
Cisco Cyber Threat Defense
101
Cisco Cyber Threat Defense: крупным планом
Обнаружение разных типов
атак, включая DDoS
Детальная статистика о всех
атаках, обнаруженных в сети
102
7%
17%
76%
Трафик между ЦОДами Восток – Запад
Север
– Ю
г
ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ
103
ТРАДИЦИОННАЯ СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛЬ SDN В ЦОДАХ
БУДУЩАЯ ОТКРЫТАЯ МОДЕЛЬ
Сеть узлов Виртуализация SDN Application Centric
Infrastructure
Виртуализированные МСЭ Cisco ASA 1000V / VSG
Cisco ONE / eXtensible Network Controller
Cisco vESA / vWSA
Imperva WAF / Citrix NetScaler
Традиционные решения по защите ЦОД
Межсетевой экран «север-юг»
Предотвращение вторжений
Cisco ACI
Cisco Application Programmable Interface
Controller (APIC)
Cisco ASAv
Эволюция ЦОДов
104
ВИРТУАЛЬНАЯ ФИЗИЧЕСКАЯ
ASA 5585-X
Кластеризация с
поддержкой состояния
Масштабирование до 640
Гбит/с
ASAv
Полный набор
функций ASA
Независимость от
гипервизора
Масштабирование
ASA
Новое решение – Cisco ASAv
105
РЕЗЮМИРУЯ
КОНТРОЛЬ
ДОСТУПА
Firewall
ОСОЗНАНИЕ
КОНТЕНТА
Приложения
ОСОЗНАНИЕ
КОНТЕКСТА
Identity, Данные, Место
ОСОЗНАНИЕ
УГРОЗ
Malware, APT
Firewall Контентные шлюзы Интегрированная
платформа
Виртуализа
ция Облако
Устр
ойств
о
ЦО
Д
Сеть
Интегрированная платформа для защиты
Стратегия Cisco
Решение по безопасности, встроенное, а не пристроенное
109