More Related Content
Similar to Использование технологий компании Cisco (20)
More from Cisco Russia (20)
Использование технологий компании Cisco
- 1. Использование технологий компании Cisco
для своевременного обнаружения
киберугроз
Михаил Кадер
mkader@cisco.com
security-request@cisco.com
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 3. Угрозы становятся как никогда изощреннее
Манипуляция
Script
Kiddies
13.01.2014
Группы
хактивистов
Шпионаж
Организованная
преступность
© 2013 Cisco and/or its affiliates. All rights reserved.
Разрушение
Спец
службы
- 4. Сама по себе безопасность периметра
малоэффективна
Только вся сеть целиком имеет
достаточный уровень
наблюдаемости для
выявления сложных угроз
Целевые угрозы
зачастую обходят
периметр
Устройства
периметра
Кража данных
Контроль и
управление
13.01.2014
Сетевая разведка и
распространение
© 2013 Cisco and/or its affiliates. All rights reserved.
- 6. Знать атакующего
Кто?
• Страна? Конкуренты? Частные лица?
Что?
• Что является целью?
Когда?
• Когда атака наиболее активна и с чем это связано?
Где?
• Где атакующие? Где они наиболее успешны?
Зачем?
• Зачем они атакуют – что конкретно их цель?
Как?
13.01.2014
• Как они атакуют – Zero-day? Известные уязвимости?
Инсайдер?
© 2013 Cisco and/or its affiliates. All rights reserved.
- 7. Знать себя
Кто?
• Кто в моей сети?
Что?
• Что делают пользователи? Приложения?
• Что считать нормальным поведением?
Когда?
Где?
Зачем?
Как?
13.01.2014
• Устройства в сети? Что считать нормальным состоянием?
• Где и откуда пользователи попадают в сеть?
• Внутренние? eCommerce? Внешние?
• Зачем они используют конкретные приложения?
• Как всё это попадает в сеть?
© 2013 Cisco and/or its affiliates. All rights reserved.
- 8. Что поможет на эти вопросы?
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 9. Широкий спектр средств защиты
Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной
фильтрации, средства защиты баз данных и порталов и т.п.
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 10. Что объединяет всех?!
Маршрутизация всех запросов
Источники всех данных
Управление всеми устройствами
Контроль всех потоков
СЕТЬ
Контроль всех данных
Видимость всего трафика
13.01.2014
Контроль всех пользователей
© 2013 Cisco and/or its affiliates. All rights reserved.
- 11. NetFlow – забытый инструмент сетевой
безопасности
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 12. Существующие защитные стратегии
Обнаружение угроз на базе
сигнатур / репутации
Сетевой
периметр
Внутренняя
сеть
13.01.2014
Обнаружение угроз на базе
аномалий
МСЭ
IPS/IDS
Ловушки
Контентная фильтрация
Web/Email трафика
Cisco Cyber
Threat Defense
© 2013 Cisco and/or its affiliates. All rights reserved.
- 13. Обнаружение вторжений: сценарии
Система обнаружения сетевых
вторжений
• на основе сигнатур
• пассивный сбор
• первичный источник оповещения
Анализ сетевых потоков
• слабое воздействие на устройства
• основной инструмент исследования
• небольшой требуемый объем памяти
Журнал Syslog сервера
• инструмент глубокого анализа
• возможность фильтрации
• ограниченное воздействие на систему
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 14. Не везде есть IPS, но везде есть NetFlow
C
B
A
B
A
C
A
B
C
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 15. NetFlow – это редко используемый источник
данных ИБ
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 16. Вспомним: NetFlow для задач безопасности
• Обнаружение сложных и постоянных угроз. Вредоносное ПО может долгое время
«спать» внутри корпоративной сети, ожидая команды. Это могут быть угрозы дня
«0», для которых еще нет антивирусных сигнатур или которые сложно обнаружить по
другим причинам.
• Обнаружение Бот-сетей и их каналов управления. Бот-сети могут быть внедрены
в сети предприятий для выполнения таких вредоносных активностей, как рассылка
СПАМ-а, проведения атак типа «отказ в обслуживании», или других действий.
• Выявление сетевой разведки. В процессе некоторых атак вначале идет
сканирование сети жертвы для определения возможного вектора атаки и
дальнейшей разработки направленного, специализированного вторжения.
• Обнаружения вредоносного ПО, распространяющегося внутри организации.
Распространение вредоносного программного обеспечения может охватывать узлы
внутри сети для выполнения сетевой разведки, хищения данных, использования
каналов утечек.
• Предотвращение утечек данных. Вредоносный код может быть скрыт в
корпоративной сети и использоваться для передачи конфиденциальной информации
злоумышленнику. Это может осуществляться как однократно, так и периодически.
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 17. Откуда мы можем получать NetFlow?
Из всех критичных и важных точек
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 18. Полный и выборочный NetFlow
Выборочный трафик
ПОЛНЫЙ трафик
•
Часть трафика, обычно менее 5%,
•
Весь трафик подлежит сбору
•
Дает быстрый взгляд в сеть
•
Предоставляет исчерпывающий обзор
всей сетевой активности
•
Эквивалент внимательного
постраничного чтения + пометки на
полях + закладки
Похоже на чтение каждой 20-й
страницы книги. Технической
книги-справочника
Выборка полезна для мониторинга сети, но не для безопасности
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 21. NetFlow Security Event Logging
NetFlow Security Event Logging
Визуализация политик безопасности
Эффективный механизм учета :
Syslog (классический метод)
— Текстовый, одно событие на пакет
—~30% нагрузки на процессор
NetFlow
—Компактный, множество событий на пакет
—~7-10% нагрузки на процессор
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 22. Детали использования NSEL
Cisco NSEL отличается от стандартного NetFlow
Потоки в NSEL двунаправленные
Поток NSEL равен соединению на ASA
Событие NSEL создается на каждое соединение ASA
Основан на событиях
Изначально записи создавались по трем событиям статуса соединения
В ASA v8.4.5 информация о потоке посылается по таймеру активности
Заблокированные соединения тоже создают записи NSEL
Записи NSEL создаются по следующим событиям
13.01.2014
Flow creation – каждый раз при создании соединения
Flow teardown – каждый раз при завершении успешно созданного соединения
Flow denial – при блокировании соединения, например фильтром (ACL)
© 2013 Cisco and/or its affiliates. All rights reserved.
- 23. Cisco Cyber Threat Defense
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 24. Lancope StealthWatch
Решение по мониторингу на основе NetFlow, которое предоставляет
действенное понимание в отношении производительности и безопасности,
а также сокращает время расследования подозрительного поведения
Признанный игрок рынка мониторинга сети и
безопасности
Cisco Solutions Plus Product
— Общие дизайны Cisco+Lancope
— Совместные инвестиции в развитие
— Доступность в канале продаж Cisco
Отличный уровень сотрудничества с Cisco
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 25. Cyber Threat Defense = Cisco + Lancope
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
TrustSec
Enabled
Enterprise
Network
NetFlow: Switches, Routers,
и ASA 5500
Identity
Контекст:
Services
NBAR/AVC
Engine
Данные о контексте угрозы
Cisco Identity, Device, Posture, Application
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 26. Компоненты решения Cyber Threat Defense
StealthWatch
Management
Console
Другие
коллекторы
https
https
Cisco ISE
StealthWatch
FlowCollector
StealthWatch
FlowReplicator
NetFlow
NetFlow
StealthWatch
FlowSensor
NBAR
NSEL
Cisco Network
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
StealthWatch
FlowSensor
VE
Users/Devices
- 27. Масштабируемая архитектура
• Получение данные
от сетевого
оборудования с
NetFlow, а также от
сенсоров без
поддержке NetFlow
(например, VMware
ESX)
• До 120.000 потоков в
секунду на коллектор
(до 3 миллионов на
кластер)
• Понимание контекста
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 28. Архитектура решения Cyber Threat Defense
Devices
Access
Distribution
Management
Edge
Branch
Сбор и анализ
StealthWatch
FlowCollector
Catalyst® 3750-X
Access Point
Catalyst®
3750-X Stack
WLC
Access Point
З NetFlow записей
ISR-G2
NetFlow
StealthWatch
Management
Console
Site-toSite VPN
Catalyst® 3560-X
Campus
Catalyst® 4500
Identity
Cisco
ISE
Catalyst® Catalyst®
6500
6500
Catalyst® 5500
13.01.2014
Корреляция и отображение
потоков, идентификационные
данные
ASA
AAA services, profiling and
posture assessment
Remote
Access
Масштабируемая NetFlow
NetFlow
инфраструктура
© 2013 Cisco and/or its affiliates. All rights reserved. Capable
Cisco TrustSec: Access Control,
Profiling and Posture
- 29. Cyber Threat Defense 1.1.1
CTD 1.1.1 был выпущен в ноябре
13.01.2014
Lancope StealthWatch 6.4.1
Интеграция с ISE 1.2
Раcширенная поддержка ASA
Расширенная поддержка NetFlow для Catalyst 3850
© 2013 Cisco and/or its affiliates. All rights reserved.
- 30. StealthWatch 6.4
Обнаружение прикладных атак «отказ в
обслуживании»
Slowloris
Учет пользователей
Поиск по имени пользователя
Анализ по пользователям используя таблицу
потоков
Пользователи в NetFlow
Аналитические таблицы по пользователям
«Снимок» пользователя
Стартовые помощники
Экспорт отчетов в формате (.csv)
Поддержка Cisco ASA 8.4(5) и 9.1(2) NSEL
Детальная статистика по потокам для
репликации
Масштабируемость и производительность
13.01.2014
FlowSensor
Flow Collection Engine
Интеграция с Cisco ISE
Производительность отчета по приложениям
Информация о DHCP
© 2013 Cisco and/or its affiliates. All rights reserved.
- 31. StealthWatch 6.4.1 и ISE 1.2
Интеграция Syslog:
• До 210000 активных сессий в таблице идентификации и устройств
• Рекомендация - 2000 аутентификаций в секунду
Release Noted sev2’s:
• CSCuj86159 - ISE посылает не все сообщение syslog под большой
нагрузкой
• CSCuj89866 - 3850 задержки с передачей учетной информации
Рекомендация – включить на всех коммутаторах:
aaa accounting update periodic 5
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 32. Решаемые задачи
•
•
•
•
•
•
•
•
•
•
13.01.2014
Обнаружение брешей в настройках МСЭ
Обнаружение незащищенных коммуникаций
Обнаружение P2P-трафика
Обнаружение неавторизованной установки локального Web-сервера или точки
доступа
Обнаружение попыток несанкционированного доступа
Обнаружение ботнетов (командных серверов)
Обнаружение атак «отказ в обслуживании»
Обнаружение инсайдеров
Расследование инцидентов
Обнаружение неисправностей
© 2013 Cisco and/or its affiliates. All rights reserved.
- 33. Cisco CTD: обнаружение атак без сигнатур
Что делает
10.10.101.89?
Политика
Время начала
Тревога
Источник
Source Host
Groups
Цель
Детали
Desktops &
Trusted
Wireless
Янв 3, 2013
Вероятная утечка
данных
10.10.101.89
Атланта,
Десктопы
Множество хостов
Наблюдается 5.33 Гб. Политика
позволяет максимум до 500 Мб
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 34. Cisco CTD: обнаружение атак без сигнатур
Высокий Concern Index показывает
значительное количество подозрительных
событий
Группа узлов
Узел
CI
CI%
Тревога
Предупреждения
Desktops
10.10.101.118
338,137,280
8,656%
High Concern index
Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 35. Обнаружение бот-сетей
Периодические обращения к
центру управления
Что смотрим:
• Счетчики
• Приложения
• Соотношение
приема/передачи
• Время суток
• Повторяющиеся
соединения
• Повторяющиеся
«мертвые» соединения
• Долгоживущие потоки
• Известные центры
управления Бот-сетями
13.01.2014
Методы обнаружения:
Host Lock Violation
Suspect Long Flow
Beaconing Host
Bot Command & Control Server
Bot Infected Host – Attempted C&C
Bot Infected Host – Successful C&C
© 2013 Cisco and/or its affiliates. All rights reserved.
- 36. Сигналы CTD о Бот-сетях
Сигнал тревоги
Описание
Host Lock Violation
Указывает, что узел нарушил ограничения доступа.
Suspect Long Flow
Продолжительность двунаправленного соединения между внешним и внутренним
узлами превысила параметр “Seconds required to qualify a flow as long duration”.
Beaconing Host
Продолжительность однонаправленного трафика между внутренним и внешним
узлами превысила параметр “Seconds required to qualify a flow as long duration”.
Bot C&C Server
Узел во внутренней сети выступает командным пунктом Бот-сети. Это событие
появляется тогда, когда адрес такого узла совпадает с известным адресом
командного пункта.
Bot Infected Host –
Attempted C&C
Узел во внутренней сети пытается установить соединение с известным
командным пунктом, соответственно является частью бот-сети. Соединение
однонаправленное.
Bot Infected Host –
Successful C&C
Узел во внутренней сети установил соединение с известным командным пунктом,
соответственно является частью бот-сети. Соединение двунаправленное.
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 37. Обнаружение Бота Zeus:
Нарушение правила доступа
User Host Group
Zeus C&C Servers Host Group
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 38. Обнаружение Бота Zeus по известному узлу
Alarm Details
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 39. Детали соединения с командным пунктом Zeus
Группа узлов
Бот-сетей
Внутренний
узел
13.01.2014
Сервер
Zeus
© 2013 Cisco and/or its affiliates. All rights reserved.
Много маленьких соединений
HTTP
- 40. Профиль трафика с командным пунктом Бота:
День 1
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 41. Инфицированные узлы – соединения изнутри
наружу
Israel! WTF?
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 44. Traffic Profile with 77.125.224.146 – 20 Days
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 45. Обнаружение сетевой разведки
Продолжительный и медленный
процесс для определения ресурсов и
уязвимостей
Что смотрим:
• Много потоков
• Однонаправленные или
неподтвержденные соединения
• Потоки на группу подсетей или
узлов
• Потоки на несуществующие
адреса IP
• Профили трафика
• Аномалии
13.01.2014
Методы обнаружения:
Индекс проблемности
Много трафика
Узлы-приманки
© 2013 Cisco and/or its affiliates. All rights reserved.
- 46. Сигналы CTD о сканировании
Сигнал тревоги
Описание
High Concern Index
Указывает что индекс проблемности или:
• Превысил пороговое значение (сумма для всех проблемных событий)
• Быстро растет
High Traffic
Для узла – указывает, что средний поток данных за 5 минут превысил
пороговое значение.
Trapped Hosts
Показывает, что узел превысил количество дней в месяце когда он может
быть просканирован.
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 47. Обнаружение эпидемии вредоносного ПО
Обнаружение ответов узлов и
реализованных уязвимостей
Что смотрим:
• Много потоков
• Соединения внутри
подсети/группы узлов
• Профиль трафика
• Аномалии
13.01.2014
Методы обнаружения:
Индекс проблемности, Индекс цели,
Задействованные узлы, Сигнал
распространения червей, Контроль
распространения червей
© 2013 Cisco and/or its affiliates. All rights reserved.
- 48. Сигналы CTD о распространении червей
Сигнал тревого
Описание
High Concern Index
Указывает что индекс проблемности или:
• Превысил пороговое значение (сумма для всех проблемных событий)
• Быстро растет
High Target Index
Приоритезированный список узлов, которые выглядят жертвами
вредоносной активности.
Touched Host
Указывает, что определенный узел (с высоким индексом проблемности или
приманка) устанавливает соединение с узлом-жертвой и обменивается
данными. Это часто бывает при новой эпидемии червей, когда они
сканируют сеть для поиска уязвимых узлов и затем инфицируют них.
Worm Propagation
Указывает, что узел, зараженный червем, обратился к данному узлу. Этот
узел, затем, после сканирования, обращается к больше чем определенному
числу подсетей класса C.
Worm Tracker
Это визуализация распространения червя по сети.
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 49. Обнаружение утечек данных
Экспорт данных ресурса
Промежуточный ресурс для
привлечения злоумышленников
Что смотрим:
• Исторический срез передачи
данных
• Приложения
• Время суток
• Счетчики
• Объем данных – единичный и
общий
• Временные границы
• Ассиметричный потоки данных
• Поток данных между
функциональными группами
13.01.2014
Метод обнаружения:
Возможная утечка данных
Возможно длинный поток
Однонаправленный трафик
© 2013 Cisco and/or its affiliates. All rights reserved.
- 50. Сигналы CTD об утечке данных
Alarm
Description
Suspect Data Loss
Указывает, что общий объем потоков данных TCP или UDP, которые
внутренний узел выгрузил на внешние узлы превысил пороговое значение.
Система создает базовые профили трафика для каждого внутреннего узла
для нормального исходящего трафика.
Suspect Long Flow
Продолжительность двунаправленного соединения между внешним и
внутренним узлами превысила параметр “Seconds required to qualify a flow as
long duration”.
Beaconing Host
Продолжительность однонаправленного трафика между внутренним и
внешним узлами превысила параметр “Seconds required to qualify a flow as
long duration”.
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 51. Обнаружение атак типа «отказ в обслуживании»
Определить цели
• Цели атаки
• Аномальный объем
трафика
• Снижение
производительности
Определить
атакующих
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 52. Сигналы CTD об атаках типа «отказ в
обслуживании» - 1/2
Alarm
Description
High Target Index
Приоритезированный список узлов, которые выглядят жертвами вредоносной
активности.
Server Response Time
Используя FlowSensor и FlowSensor VE technology, CTD может сообщить, когда
сервер начинает «захлебываться».
Packets Per Second
CTD может показать рост нагрузки на сеть, забивающую сетевые ресурсы.
Interface Congestion
Метрики производительности интерфейсов постоянно контролируются,
обеспечивая отображение атаки на аппаратном уровне.
Max Flows Served
Для каждого сервера создается профиль нормального количества соединений.
Если он превышен – передается сигнал тревоги на консоль управления CTD.
Max SYNS Received
Когда серверы начинают получать избыточное количество пакетов TCP SYN, идет
уведомление на консоль CTD.
Relationship High Total
Traffic
Когда специальные запросы HTTP создаются, чтобы «перебить» данные, идущие
от сервера баз данных к Web-серверу, сообщение об этом может сообщить о
проблеме, которую не видят другие системы обнаружения атак типа «отказ в
обслуживании». © 2013 Cisco and/or its affiliates. All rights reserved.
13.01.2014
- 53. Сигналы CTD об атаках типа «отказ в
обслуживании» - 2/2
Alarm
Description
New Host Active
Легитимные пользователи обычно регулярно
посещают серверы. Атакующие узлы обычно
потом к жертве не возвращаются. CTD может
различать эти две категории.
Max Flows Initiated
Анализируя количество потоков в минуту для
легитимного пользователя, CTD может сообщать
об узлах, которые превышают эту норму.
Slow Connection Flood
Определение наличия атак типа «отказ в
обслуживании» на прикладном уровне при
использовании специального ПО, такого как
Slowloris
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 55. Не зная броду, не суйся в воду
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 56. Добавляя контекст и понимание
Внутри ВАШЕЙ сети
Снаружи ВАШЕЙ сети
ЛОКАЛЬНО
ГЛОБАЛЬНО
Бизнес Контекст
Кто
Что
Как
Откуда
Когда
13.01.2014
A C
I2 I4
© 2013 Cisco and/or its affiliates. All rights reserved.
Ситуационный
анализ угроз
Репутация
Взаимодействия
APP
Приложения
URL
Сайты
- 57. Откуда мы можем взять контекст?
Users/Devices
Cisco
Identity
Services
Engine
(ISE)
Связь потоков с
пользователями и
конечными
устройствами
13.01.2014
Network Based
Application
Recognition
(NBAR)
NetFlow
Secure
Event
Logging
(NSEL)
Связь потоков с
приложениями,
идущими через
маршрутизаторы
Связь потоков с
разрешенными и
заблокированными
соединениями на МСЭ
© 2013 Cisco and/or its affiliates. All rights reserved.
- 58. Узлы и ролевые функции ISE
ISE
ISE
Администри
рование
Мониторинг
Ролевая функция —
одна или несколько из
следующих:
•Администрирование
•Мониторинг
Оценка состояния
в потоке трафика
Сервис
политик
Одиночный узел ISE
(устройство или
виртуальная машина)
•Сервис политик
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
Одиночный узел
оценки состояния
на пути трафика
(только устройство)
- 60. Получение контекста от Cisco ISE
Политика
Время
старта
Тревога
Источник
Группа хостов
источника
Имя пользователя
Тип устройства
Цель
Desktops &
Trusted
Wireless
Янв 3, 2013
Вероятная
утечка данных
10.10.101.89
Атланта, Десктопы
Джон Смит
Apple-iPad
Множество
хостов
Cisco ISE – унифицированная система управления и контроля защищенным
доступом к внутренним ресурсам
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 61. Получение контекста от Cisco ASA / ISR / ASR
Поле Flow Action может добавить дополнительный контекст
NSEL-отчетность на основе состояний для поведенческого анализа
Сбор информации о отклоненных или разрешенных соединениях
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 63. Учет потоков при расчете индекса проблемности
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 65. Проверка Botnet Traffic Filter
Bot infected host alarm
Flow before BTF enabled
Flow after BTF enabled
ASA Log
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 66. Географическое блокирование по IP
Настройка:
1. Настроить ASA как устройство
предотвращения в FlowCollector
2. Создать правило Host Lock Violation
Alarm для США на внутренние узлы
3. Создать политику USA Geo
4. Установить политику предотвращения
Host Locking Violation для US Geo
13.01.2014
Требование: Блокировать все входящие
соединения из некоторых стран, например США
Команда Shun выполняется Flow Collector при
возникновении события Host Lock Violation
© 2013 Cisco and/or its affiliates. All rights reserved.
- 68. Полная видимость всего, что происходит во
внутренней сети
3560-X
Internet
Atlanta
ASR-1000
San Jose
WAN
3925 ISR
Cat6k
New York
Datacenter
Cat4k
ASA
DM
Z
Access
UCS с
Nexus
1000v
13.01.2014
Cat6k
3850
Stack(s)
© 2013 Cisco and/or its affiliates. All rights reserved.
- 71. Крупным планом
Детальная статистика о
всех атаках,
обнаруженных в сети
Обнаружение разных
типов атак, включая
DDoS
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 77. Традиционных средств защиты периметра
недостаточно
Целенаправленные угрозы пректируются с
учетом необходимости обхода шлюзов
безопасности
Firewall
Распространение
угроз внутри
периметра
Целенаправленные
угрозы, входящие
изнутри сети
IPS
Распространение
на устройства
N-AV
Web Sec
Email Sec
Периметр безопасности останавливает основную часть угроз, тем не менее
сложные кибер-угрозы обходят средства безопасности
Следы кибер-угроз можно обнаружить только в сети в целом
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 78. Cyber Threat Defense обеспечивает внутренние
контроль и защиту
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
TrustSec
Enabled
Enterprise
Network
NetFlow: Switches, Routers,
и ASA 5500
Identity
Контекст:
Services
NBAR/AVC
Engine
Данные о контексте угрозы
Cisco Identity, Device, Posture, Application
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
13.01.2014
© 2013 Cisco and/or its affiliates. All rights reserved.
- 79. Объединим все вместе
ЧТО
ГДЕ/ОТКУДА
КОГДА
КАК
КТО
Hardwareenabled
NetFlow
Switch
Видимость, контекст и
контроль
Устройс
тва
Внутренняя сеть
Контекст
Cisco ISE
Cisco ASA +
NSEL
Cisco ISR G2
+ NBAR
Используем данные NetFlow
для расширения видимости на
уровне доступа
13.01.2014
Совмещение данных NetFlow с
Identity, событиями ИБ и
приложениями для создания
контекста
© 2013 Cisco and/or its affiliates. All rights reserved.
Унификация в единой панели
возможностей по обнаружению,
расследованию и реагированию
- 80. CTD завтра
Cloud Threat Analytics
CoSe
✓✗ !
✔
Сегодня
Lancope StealthWatch:
Visibility, Analysis, &
Investigation
(NetFlow)
Content Analysis
Telemetry
Sources
…
www
13.01.2014
Network Enforced
Policy
TrustSec, SDN
#
pxGrid
Telemetry Sources
Telemetry
Sources
…
© 2013 Cisco and/or its affiliates. All rights reserved.