ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Стратегия Cisco по информационной безопасности
1. О сегодняшнем семинаре
• Мы не будем досконально следовать программе
• Задавайте вопросы сразу по мере их возникновения
• Все презентации мы вышлем в пятницу или понедельник
• Кофе-брейки и обеды будут J
• Если останутся вопросы, то пишите их на security-request@cisco.com
10. завтра20102000 2005
Изменение
ландшафта угроз
APTs и
кибервойны
Черви и вирусы
Шпионское ПО
и руткит
Антивирус
(Host-Based)
IDS/IPS
(Сетевой периметр)
Репутация (Global) и
песочница
Разведка и аналитика
(Облако)
Ответ
предприятия
Угрозы
11. Время не на нашей стороне
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
12. Угроза
распространяется по
сети и захватывает как
можно больше данных
ПРЕДПРИЯТИЕ
ЦОД
Заражение точки
входа происходит
за пределами
предприятия
Интернет и
облака
ПУБЛИЧНАЯ
СЕТЬ
Продвинутые
угрозы обходят
средства защиты
периметра
КАМПУС
ПЕРИМЕТР
Анатомия современной угрозы
14. Угрозы – не единственная причина думать об ИБ
Страх
ComplianceЭкономика
• Самая популярная причина продажи
ИБ со стороны вендоров (реальные
инциденты и мифические угрозы)
• В условиях кризиса не работает (есть
более приоритетные риски и угрозы –
колебания курса, нет заимствований,
сокращение, банкротство
контрагентов…)
• Наиболее актуальная причина
для государственных органов
• Средняя актуальность –
крупные предприятия
• Низкая актуальность – средний
бизнес
• Практически неактуальна – для
малого бизнеса
• Очень редко когда
применяется в ИБ
• В условиях
кризиса
приобретает
очень важное
значение
15. Гипотезы безопасности Cisco
Консалтинг Интеграция УправлениеЗнание угроз ПлатформыВидимость
Акцент на операционную
деятельность
Нехватка персонала
+
Проблемы безопасности
+
Требуется изменение отношения к ИБ
16. О сервисах безопасности мы сегодня говорить
не будем
Консалтинг Интеграция Управление
Оценка ИБ / аудит
Сервисы
интеграции
Managed Threat
Defense
Remote Managed
Services
Сервисы миграции
Threat
Intelligence
22. Серебряной пули не существует…
“Captive Portal”
“Это соответствует шаблону”
“Нет ложных срабатываний,
нет пропусков.”
Контроль
приложений
FW/VPN
IDS / IPS
UTM
NAC
AV
PKI
“Запретить или разрешить”
“Помочь МСЭ”
“Нет ключа, нет доступа”
Песочницы
“Обнаружить
неизвестное”
23. Новая модель должна быть реализована
везде, а не только на периметре!
ДО
Обнаружение
Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ
Контроль
Применение
Усиление
Видимость
Сдерживание
Устранение
Ландшафт угроз
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
машины
Облако
В определенный
момент Непрерывно
24. От модели к технологиям
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
25. Портфолио Cisco учитывает данную модель
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS / AMP
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis
Экономика
Compliance
Incident Response
26. Интеграция в сеть,
широкая база сенсоров,
контекст и автоматизация
Непрерывная защита от
APT-угроз, облачное
исследование угроз
Гибкие и открытые платформы,
масштабируемость,
всесторонний контроль,
управление
Стратегические задачи
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
устройства
Облака
Видимость всего и вся Фокус на угрозы Платформы
28. Вы не можете защитить то, что не видите
Cisco видит БОЛЬШЕ
Ширина: кто, что, где, когда
Глубина: любая требуемая степень детализации
Все в режиме реального времени, в одном месте
Cisco обеспечивает информационное преимущество
Операционная
система
Пользо-ватели
УстройстваУгрозы Приложения
ФайлыУязвимости
Сеть
УВИДЕТЬ
УВИ-
ДЕТЬ
АДАП-
ТИРО-ВАТЬ
УЧИТЬ-
СЯ
ДЕЙС-ТВО-
ВАТЬ
29. Добавляем контекст
C
I2 I4
A
ЛОКАЛЬНО
Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действия
APP Приложения
URL Сайты
Реализация безопасности
и глобальным контекстом
30. Классификация и контекст – это самое важное
Событие: Попытка получения преимущества
Цель: 96.16.242.135
Событие: Попытка получения преимущества
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта, браузер, Twitter
Местоположение Белый дом, США
Событие: Попытка получения преимущества
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта, браузер, Twitter
Местоположение Белый дом, США
Идентификатор пользователя: bobama
Ф. И. О. Барак Обама
Департамент: административный
Контекст способен фундаментально изменить интерпретацию
данных события
32. Проблемы с традиционным мониторингом
Admin
Базируется на правилах
• Зависимость от сложно
создаваемых вручную
правил
• Зависимость от
человеческого фактора
Зависимость от времени
• Занимает недели или
месяцы на обнаружение
• Требует постоянного
тюнинга
Security
Team
Очень сложно
• Часто требует
квалифицированный
персонал для управления
и поддержки
111010000 110 0111
Невозможно
идти в ногу с
последними
угрозами
34. Мозг архитектуры безопасности Cisco
Действующее
соединение SMTP?
(ESA)
Ненадлежащий или
нежелательный
контент? (ASA/WSA/
CWS)
Место для
контроля и
управления? (ASA/
WSA)
Вредоносное
действие? (ASA/
IPS)
Вредоносный контент на
оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование
угроз
Регистрация
доменов
Проверка
контента
Ловушки для
спама, ловушки
для хакеров,
интеллектуальные
анализаторы
Черные списки
и репутация
Партнерство
со сторонними
разработчиками
Правила и логика
для конкретных платформ
Cisco Talos
35. Полностью публичное
облако
Гибридное облако
(только хэши в облаке)
Полностью частное
облако
(все данные у заказчика)
Cloud Delivered
Data Feed
+
AMP Appliance или SW
Ежегодная подписка
+
ThreatGRID
Требуется лицензия на ПО
НЕТ устройств ThreatGRID
Cloud Delivered
Data Feed
+
AMP Appliance или SW
Ежегодная подписка
+
Предвар. Анализ
хешей в облаке
+
Cloud Delivered
Data Feed
+
Весь анализ
в облаке
(ThreatGRID)
+
AMP Appliance or SW
annual subscription
ThreatGRID
Требуется лицензия на ПО
Доверяем ли мы внешнему облаку?
37. Снижение сложности рост возможностей
платформы
Аналитика и исследования угроз
Централизованное управление
Устройства, Виртуалки
Платформа сетевой
безопасности
Платформа контроля
устройств
Облачная
платформа
Устройства, виртуалки
ПК, мобильные,
виртуалки Хостинг
38. Архитектура безопасности Cisco
Управление Общие политики безопасности и управление безопасностью
API
управления безопасностью
API Cisco ONE
API платформы
API интеллектуальных
ресурсов облака
Координация
Физическое устройство Виртуальные Облако
Уровень
элементов
инфраструктуры
Платформа
сервисов
безопасности
Безопасность
Услуги и
Приложения
API устройства – OnePK, OpenFlow, CLI
Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)
Уровень данных ASIC Уровень данных ПОМаршрутизация – коммутация – вычисление
Управление
доступом
Учет
контекста
Анализ
контекста
Прозрачность
приложений
Предотвращение
угроз
Приложения Cisco в сфере безопасности Сторонние приложения
APIAPI
39. Платформа сервисов безопасности
ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Маршрутизаторы
и коммутаторы Cisco
Общедоступное
и частное облако
ВЕРТИКАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
Устройства обеспечения
безопасности
Виртуализированное устройство |
автоматическое масштабирование |
многопользовательская среда
Устройство обеспечения безопасности,
действующее как программируемый
сетевой контроллер
40. Обеспечение гибкости с помощью ПО
Изучение и обнаружение | Защита | Реагирование
Единые функции | Открытые API | Гибкое лицензирование
Физическое Виртуальное Облачное
(как сервис)
ПО
41. 41
Всеобъемлющий портфель решений Cisco в
области обеспечения безопасности
IPS и NGIPS
• Cisco NGIPS / vNGIPS
• Cisco wIPS
• Cisco FirePOWER for ASA
• Cisco FirePOWER NGIPS
Интернет-
безопасность
• Cisco WSA / vWSA
• Cisco Cloud Web Security
МСЭ и NGFW
• Cisco ASA / ASA-SM
• Cisco ISR / ASR Sec
• Cisco FirePOWER NGFW
• Meraki MX
Advanced Malware
Protection
• AMP for Endpoint
• AMP for Mobile
• AMP для Network
• AMP для Content
NAC +
Identity Services
• Cisco ISE / vISE
• Cisco ACS
Безопасность
электронной почты
• Cisco ESA / vESA
• Cisco Cloud Email Security
UTM
• Meraki MX
VPN
• Cisco AnyConnect
• Cisco ASA
• Cisco ISR / RVPN / UCS-E
Policy-based сеть
• Cisco TrustSec
• Cisco ISE
• Cisco ONE
Мониторинг
инфраструктуры
• Cisco Cyber Threat
Defense
Контроль приложений
• Cisco ASA NGFW / AVC
• Cisco IOS AVC / NBAR
• Cisco FirePOWER NGFW
Secure DC
• Cisco ASA / ASAv / VSG
• Cisco TrustSec
43. 43
Что более полезно с точки зрения безопасности?
“Адрес скомпрометированного устройства 192.168.100.123”
- ИЛИ -
“Скомпрометировано устройство iPad Васи Иванова в стр.1”
Cisco ISE собирает контекстуальные “big data” из
множества источников в сети. С помощью Cisco pxGrid
эта информация «делится» с решениями партнеров.
С контекстуальными данными ISE, решения партнеров могут
более аккуратно и быстро идентифицировать,
нейтрализовывать и реагировать на сетевые угрозы.
Cisco Platform Exchange Grid (pxGrid)
Повышение эффективности решений партнеров через обмен контекстом
44. 44
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM),
облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование значения Сети
Текущая экосистема
партнеров Cisco
45. 45
Не только свои решения, но и интеграция с другими
Инфраструктура API
ДО
Политика и
контроль
ПОСЛЕ
Анализ и
восстановление
Обнаружение и
блокирование
ВО ВРЕМЯ
Инфраструктура Мобильность
NACУправление уязвимостями Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEMВизуализацияNetwork Access Taps
46. 46
Поддержка отечественных разработчиков ИБ
• Доверенная платформа UCS-EN120SRU
Производится в России
• Поддерживается на Cisco ISR 29xx/39xx/4xxx
• Используется в качестве доверенной платформы для
российских средств защиты информации, прошедших
сертификацию в ФСТЭК и ФСБ:
СКЗИ S-Terra CSP VPN Gate
СКЗИ ViPNet Координатор
СКЗИ Dionis NX
МСЭ прикладного уровня Positive Technologies Application
Firewall
СОВ ViPNet IDS
Базовый доверенный модуль (БДМ) Элвис+
Ведутся работы и с рядом других российских разработчиков
48. 48
Архитектура CVD: как объединить все вместе?!
Разработка
архитектуры
Совместное
использование
продуктов
Систематический
подход
Интеллектуальные
сервисы
Лучшие в своих
классах продукты
CVD предоставляет архитектуры
§ Сети без границ,
§ Совместная работа,
§ Центр обработки данных — Виртуализация
План развертывания для организаций любого размера
(от 100 до 10000+ подключенных пользователей)
49. 49
Рекомендуемые руководства
• Firewall and IPS Deployment Guide
• Remote Access VPN Deployment Guide
• Remote Mobile Access Deployment Guide
• VPN Remote Site Over 3G/4G Deployment Guide
• Email Security using Cisco ESA Deployment Guide
• Cloud Web Security Deployment Guide
• Web Security using Cisco WSA Deployment Guide
• 5 BYOD Deployment Guides
• Teleworking ASA 5505 Deployment Guide
www.cisco.com/go/cvd
50. 50
Состав руководства
• Цели руководства
• Обзор архитектуры
• Описание решения
С бизнес и технологической точки зрения
• Детали внедрения
Типовая конфигурация
Отказоустойчивость
Управление
Итоги
• Список продуктов
• Пример конфигурации
54. 54
Усилия Cisco в России в области безопасности
• Локальное производство, исключающее вмешательство в процесс доставки
оборудования заказчикамЛокальное производство
• Сертификация широкого спектра оборудования Cisco по требованиям
информационной безопасности
Сертификация по
требованиям безопасности
• Доступ компетентных органов к деталям технологий и их реализации в рамках
сертификации на отсутствие недекларированных возможностей
Проверка на отсутствие
НДВ
• Консультационная помощь регуляторам в области информационной
безопасности по вопросам применения современных технологий с точки
зрения информационной безопасности
Консультации регуляторов
• Экспертиза и участие в разработке нормативных актов в области
информационной безопасности
Разработка и экспертиза
нормативных актов
55. 55
Участие Cisco в разработке нормативных актов по ИБ
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита информации в
кредитных учреждениях»
«Защита
информации» при
ФСТЭК
Разработка рекомендаций по ПДн, СТО БР
ИББС v4/5 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза документов Экспертный совет Экспертиза и
разработка 17/21
приказов и проекта
по АСУ ТП
Экспертиза и
разработка
документов
Консультативный
совет
56. 56
600+ ФСБ НДВ 34 123
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-Терра
СиЭсПи)
----
Ждем еще ряд важных
анонсов
Отсутствуют в
ряде продуктовых
линеек Cisco
----
На сертификацию
поданы новые
продукты
Линейки
продукции Cisco
прошли
сертификацию по
схеме «серийное
производство»
Продуктовых линеек
Cisco
сертифицированы во
ФСТЭК
Сертификация решений Cisco по требованиям
безопасности
57. 57
Сертифицированная криптография Cisco
• Совместное решение Cisco и С-Терра СиЭсПи
Ведутся сертификационные испытания совместно с
ИнфоТеКС
• Сертификат ФСБ по классам КС1/КС2/КС3
На новой платформе КС1 (в данной момент)
КС2 – середина года
• Производительность - 596 Мбит/сек
15-тикратный рост по сравнению с NME-RVPN
60. 60
Что делать с импортозамещением?
• Термин «импортозамещение» до сих пор не
определен и вокруг него слишком много
популизма
Китай – это тоже импорт
• ИТ не входит в состав критичных для
импортозамещения отраслей
• ИБ не входит в состав критичных для
импортозамещения ИТ-отраслей
• Планируемое Постановление
Правительства
Не запрещает приобретать зарубежное
Не касается железа
Не касается информационной безопасности
61. 61
Санкции США и Европы
Specially Identified
Nationals
• С лицами, попавшими
в SDN, запрещены
любые
взаимоотношения,
включая поставки ИТ-
продукции и решений
по информационной
безопасности.
Попадание в SDN
означает, что
«жертвам» нельзя
поставлять никаких
новых решений и
сервисов, а также
запрещено оказывать
сервис по уже
заключенным
контрактам
Sectorial Sanctions
Identification
• Запрещено оказание
финансовых услуг
специально
определенным в SSI
компаниям или
физическим лицам
Military End-Users
• Запрещены поставки
технологий двойного
назначения,
классифицированных
в США как
5A002/5D002
Restricted (есть еще и
Unrestricted,
означающий
технологии двойного
назначения, но
разрешенные к
экспорту без
ограничений)
организациям ОПК/
ВПК
Добыча нефти
• Запрещены поставки
оборудования,
связанного с
глубоководной,
арктической или
шельфовой добычей
нефти
63. 63
Не видя ничего, ничего и не обнаружишь
Сетевые
сервера
ОС
Рутера и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложения
Прикладные
протоколы
Сервисы
Вредоносное
ПО
Сервера
управления
ботнетами
Уязвимости
NetFlow
Сетевое
поведение
Процессы
65. 65
Обнаружить, понять и остановить угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
66. 66
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование
67. 67
Борьба с угрозами ДО, ВО ВРЕМЯ и ПОСЛЕ - ВЕЗДЕ
ДО
Обнаружение
Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ
Контроль
Применение
Усиление
Видимость
Сдерживание
Устранение
Ландшафт угроз
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
машины
Облако
В определенный
момент Непрерывно
68. 68
FirePOWER подчиняется той же идее
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Firewall
NGFW
Управление уязвимостями
VPN
UTM
NGIPS
Web Security
Исследования
ИБ
Advanced Malware Protection
Ретроспективный анализ
IoC / реагирование на инциденты
69. 69
И Cisco Advanced Malware Protection тоже
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Контроль
сетевого
доступа
Обнаружение и
блокирование
вредоносного
кода
Ретроспективный
анализ
70. 70
Cisco ISE также поддерживает трехзвенную схему и
объединяет решения Cisco в единый комплекс
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Контроль
сетевого
доступа
Передача
контекста
Ограничение доступа
и локализация
нарушителей
• Cisco ASA
• Cisco FireSIGHT
• S-Terra CSP VPN
• Cisco ISR
• Cisco Catalyst
• Cisco Nexus
• Cisco WSA
• Cisco CTD
• SIEM
• pxGRID
71. 71
Внедрение ИБ там где, нужно,
а не там, где получается
Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический
центр Talos
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица ASA,
(сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг