4. Что мы анонсировали 25 февраля 2014?!
OpenAppID и
Cognitive
Threat
Analytics
Новые
платформы
FirePOWER
Интеграция
AMP с
защитой
контента
WWW
• Новые аппаратные платформы
FirePOWER
• «AMP Everywhere» - интеграция
AMP с ESA/WSA и CWS
• FireAMP Private Cloud
• Интеграция Cognitive Threat
Analytics с CWS
• Язык описания приложений
OpenAppID
5. Что мы анонсировали 30 октября 2013?!
Веб-
безопасность
облака
Межсетевой
экран
нового
поколения
Веб-
безопасность
и защита эл.
почты
WWW
• Новая версия Cisco ASA NGFW с
функцией предотвращения
вторжений
• Сервисы ASA NGFW на
ASA 5585-X SSP-40, SSP-60
• Новая версия и архитектура Cisco
Prime Security Manager
• Новая линейка устройств Cisco
в области Web-безопасности
и защиты электронной почты
серии x80
• Новые возможности Cisco Cloud
Web Security
6. Новые возможности
Межсетевой экран нового поколения Cisco ASA 5500-X
• НОВИНКА Межсетевой экран
нового поколения с системой
защиты от вторжения
• НОВИНКА Сервисы межсетевого
экрана нового поколения на
ASA 5585-X SSP-40, SSP-60
• НОВИНКА изменение архитектуры
приложения Cisco Prime Security
Manager
Больше, чем просто защита
Интернет-периметра
Больший масштаб и гибкость
развертывания
Снижение сложности управления
7. Новые возможности
Устройства Cisco в области веб-
безопасности и защиты электронной
почты нового поколения
• НОВИНКА! Устройства Cisco
в области веб-безопасности
и защиты электронной почты
серии x80
• Доступно по лицензии GPL начиная
с 28 окт. 2013 г.
• На базе платформы Cisco UCS
Линейка продуктов Масштаб Модели
Cisco Web Security
Appliance (WSA)
Предприятие C680
Средний бизнес C380
Малый и средний
бизнес и филиалы C170
Cisco Email Security
Appliance (ESA)
Предприятие S680
Средний бизнес S380
Малый и средний
бизнес и филиалы S170
Cisco Content
Security Management
Appliance (SMA)
Предприятие M680
Средний бизнес M380
Малый и средний
бизнес и филиалы M170
Новая серия x80
8. Но началось все гораздо раньше
Приобретение
Cognitive Security ASA Mid-range Appliances
ASA CX и PRSM
Новые продукты
Secure Data Center
ISE 1.1 & 1.2 /
TrustSec 2.1
Ключевые факты
• ASA 9.0
• ASA 1000V
• IPS 4500
• CSM 4.3
• AnyConnect 3.1
9. Q2FY13 Q3FY13 Q4FY13 Q1FY14
Приобретение
Cognitive Security
TRIAD организовано
Annual Security
Report 2013
Приобретение
Sourcefire
pxGrid, SIEM
Ecosystem
ISE 1.2
Интеграция
ScanSafe GPL
TRAC Team
создана
ACI Security
Solutions
Объявлена - ASAv
Интеграция
IronPort GPL
Новые PRSM и
ASA-CX
Новые
X80 Appliances
Виртуализация BYOD Advanced Threats Software Defined
Networking
Обеспечение ключевых рыночных тенденций и запросов
Появление
Virtual ESA & WSA
Наращивание усилий в 2013-м году
10. Лидер Gartner
Magic Quadrant
(Email Security, Web Security,
Network Access, SSL VPN)
Существенные
инвестиции
в R&D, M&A &
людей
#1 на рынке ИБ
ЦОДов
(Источник:
Infonetics)
#1 на рынке
сетевой безопасности
(Источник: Infonetics)
Названа одним
из 5-ти основных
Приоритетов
компании
Cisco Security Momentum
16. завтра20102000 2005
Изменение
ландшафта угроз
APTs и
кибервойны
Черви и вирусы
Шпионское ПО
и руткит
Антивирус
(Host-Based)
IDS/IPS
(Сетевой периметр)
Репутация (Global) и
песочница
Разведка и аналитика
(Облако)
Ответ
предприятия
Угрозы
17. 17
Время не на нашей стороне
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
18. 18
Угроза
распространяется по
сети и захватывает как
можно больше данных
ПРЕДПРИЯТИЕ
ЦОД
Заражение точки
входа происходит
за пределами
предприятия
Интернет и
облака
ПУБЛИЧНАЯ
СЕТЬ
Продвинутые
угрозы обходят
средства защиты
периметра
КАМПУС
ПЕРИМЕТР
Анатомия современной угрозы
21. 21
От модели к технологиям
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
22. 22
Приобретение Sourcefire дополнило
портфель решений Cisco
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis
23. 23
Интеграция в сеть,
широкая база сенсоров,
контекст и автоматизация
Непрерывная защита от
APT-угроз, облачное
исследование угроз
Гибкие и открытые платформы,
масштабируемость,
всесторонний контроль,
управление
Стратегические задачи
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
устройства
Облака
Видимость всего и вся Фокус на угрозы Платформы
24. 24
Видимость: Cisco видит больше конкурентов
Сетевые
сервера
ОС
Рутера и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложения
Прикладные
протоколы
Сервисы
Вредоносное
ПО
Сервера
управления
ботнетами
Уязвимости
NetFlow
Сетевое
поведение
Процессы
26. 26
Обнаружить, понять и остановить угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
27. 27
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование
28. 28
Снижение сложности & рост возможностей
платформы
Аналитика и исследования угроз
Централизованное управление
Устройства, Виртуалки
Платформа сетевой
безопасности
Платформа контроля
устройств
Облачная
платформа
Устройства, виртуалки
ПК, мобильные,
виртуалки
Хостинг
29. 29
Всеобъемлющий портфель решений Cisco в
области обеспечения безопасности
IPS и NGIPS
• Cisco IPS
• Cisco wIPS
• Cisco ASA Module
• FirePOWER NGIPS
Интернет-
безопасность
• Cisco WSA / vWSA
• Cisco Cloud Web Security
МСЭ и NGFW
• Cisco ASA / ASA-SM
• Cisco ISR / ASR Sec
• FirePOWER NGFW
• Meraki MX
Advanced Malware
Protection
• FireAMP
• FireAMP Mobile
• FireAMP Virtual
• AMP для FirePOWER
NAC +
Identity Services
• Cisco ISE / vISE
• Cisco ACS
Безопасность
электронной почты
• Cisco ESA / vESA
• Cisco Cloud Email Security
UTM
• Meraki MX
VPN
• Cisco AnyConnect
• Cisco ASA
• Cisco ISR / RVPN
Policy-based сеть
• Cisco TrustSec
• Cisco ISE
• Cisco ONE
Мониторинг
инфраструктуры
• Cisco Cyber Threat
Defense
Контроль приложений
• Cisco ASA NGFW / AVC
• Cisco IOS AVC / NBAR
• Cisco SCE / vSCE
• FirePOWER NGFW
Secure DC
• Cisco ASA / 1000v /
ASAv / VSG
• Cisco TrustSec
31. 31
Подход Sourcefire:
… непрерывный процесс до, во время и после атаки
Вы не можете защитить
то, что не видите Автоматическая настройка
системы безопасности
…в режиме реального времени,
в любой момент времени
Преобразование данных
в информацию
УВИДЕТЬ
АДАПТИ-
РОВАТЬ
УЧИТЬСЯ
ДЕЙСТ-
ВОВАТЬ
32. 32
Вы не можете защитить то, что не видите
Sourcefire видит БОЛЬШЕ
Ширина: кто, что, где, когда
Глубина: любая требуемая степень детализации
Все в режиме реального времени, в одном месте
Sourcefire обеспечивает информационное преимущество
Операционная
система
Пользо-ватели
УстройстваУгрозы Приложения
ФайлыУязвимости
Сеть
УВИДЕТЬ
УВИ-
ДЕТЬ
АДАП-
ТИРО-
ВАТЬ
УЧИТЬ-
СЯ
ДЕЙС-ТВО-
ВАТЬ
33. 33
Cisco действует также: добавляет контекст и
понимание
C
I2 I4
A
ЛОКАЛЬНО
Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действия
APP Приложения
URL Сайты
Реализация безопасности
и глобальным контекстом
34. 34
Контекст – это самое важное
Событие: Попытка получения преимущества
Цель: 96.16.242.135
Событие: Попытка получения преимущества
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта, браузер, Twitter
Местоположение Белый дом, США
Событие: Попытка получения преимущества
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта, браузер, Twitter
Местоположение Белый дом, США
Идентификатор пользователя: bobama
Ф. И. О. Барак Обама
Департамент: административный
Контекст способен фундаментально изменить интерпретацию
данных события
36. 36
Видимость лежит в основе всего!
Workflow(automation)Engine
APIs
Понять масштабы, локализовать и устранить
Широкая осведомленность о контексте
Внедрение политик для снижение ареала
распространения угроз
Сосредоточиться на угрозе: безопасность это
обнаружение, понимание и нейтрализация угрозы
Взлом
Контекст
Политика
Угроза
37. 37
Пассивное
обнаружение
В первую очередь необходимо знать, что у вас есть
Невозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время
в режиме
реального времени
38. 38
Видимость позволяет контролировать
Workflow(автоматизация)Engine
Взлом
Контекст
Политика
Угроза
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM / NAC
Видимость
Сдерживание
Устранение
Обнаружение
Блокирование
Защита
Контроль
Применение
Усиление
Определение
Мониторинг
Инвентаризация
Карта
APIs
39. 39
Стратегия развития продуктов зависит от
современных угроз
Workflow(автоматизация)Engine
Взлом
Контекст
Политика
Угроза
Видимость
Сдерживание
Устранение
Обнаружение
Блокирование
Защита
Контроль
Применение
Усиление
Определение
Мониторинг
Инвентаризация
Карта
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM
ДО ВО ВРЕМЯ ПОСЛЕ
APIs
41. 41
Мозг архитектуры безопасности Cisco
Действующее
соединение SMTP?
(ESA)
Ненадлежащий или
нежелательный
контент?
(ASA/WSA/CWS)
Место для
контроля и
управления?
(ASA/WSA)
Вредоносное
действие?
(ASA/IPS)
Вредоносный контент на
оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование
угроз
Регистрация
доменов
Проверка
контента
Ловушки для
спама, ловушки
для хакеров,
интеллектуальные
анализаторы
Черные списки
и репутация
Партнерство
со сторонними
разработчиками
Правила и логика
для конкретных платформ
Cisco Security Intelligence Operations
42. 42
100Тбайт
Cisco SIO в цифрах
Ежедневный анализ угроз
безопасности
Ежедневные веб-запросыРазвернутые устройства
защиты
Приложения
и микропрограммные приложения
100
Тбайт
данных
анализа
безопасности
1,6 млн.
развернутых
устройств
13 млрд.
веб-запросов
150 000
микропрогра
ммных
приложений
1 000
приложений
93 млрд.
сообщений
электронной
почты в день
35%
корпора-
тивная
электронная
почта
5 500
сигнатур IPS
150 млн.
развернутых
оконечных
устройств
3-5 мин.
Обновления
Security Intelligence Operations:
Полная прозрачность
Глобальная зона охвата
Полноценная защита
5 млрд.
подключений
к электрон-
ной почте
в день
4,5 млрд.
ежедневно
блокируемых
электронных
сообщений
43. 43
Немного фактов о SIO
Глобальная и локальная корреляция
через автоматический и человеческий
анализ
АНАЛИТИКА & ДАННЫЕ УГРОЗ
Широкий спектр источников данных
об угрозах & уязвимостях
БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ
Контекстуальная политика с
распределенным внедрением
ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру-
ктура
больших
данных
Обновления
в реальном
времени
Доставка
через
облако
150M
оконечных
устройств
14M
шлюзов
доступа
1.6M
устройств
безопасности
Самообуча
ющиеся
алгоритмы
НИОКР
Open Source
Community
44. 44
Проблемы с традиционным мониторингом
Admin
Базируется на правилах
• Зависимость от сложно
создаваемых вручную
правил
• Зависимость от
человеческого фактора
Зависимость от времени
• Занимает недели или
месяцы на обнаружение
• Требует постоянного
тюнинга
Security
Team
Очень сложно
• Часто требует
квалифицированный
персонал для управления
и поддержки
111010000 110 0111
Невозможно
идти в ногу с
последними
угрозами
45. СОВРЕМЕННЫЕ АЛГОРИТМЫ
Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА
Теория игр и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ
Учет сетевого, Web и Identity контекста
ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ
КИБЕР УГРОЗ
Поведенческий анализ
ОБНАРУЖЕНО
47. 47
Безопасность WWWСеть
Identity & Политики
Будущее облачной аналитики угроз
Облачная аналитика и исследования угроз
Web
Rep
IPS
Rep
Email
Rep
Репутация
Глобальная аналитика
Портал угроз
Сетевые политики
Телеметрия
безопасности
Телеметрия
сети
Поведенческий анализ
Глобальные данные об
угрозах
CTA
49. 49
Архитектура безопасности Cisco
Управление Общие политики безопасности и управление безопасностью
API
управления безопасностью
API Cisco ONE
API платформы API интеллектуальных
ресурсов облака
Координация
Физическое устройство Виртуальные Облако
Уровень
элементов
инфраструктуры
Платформа
сервисов
безопасности
Безопасность
Услуги и
Приложения
API устройства – OnePK, OpenFlow, CLI
Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)
Уровень данных ASIC Уровень данных ПОМаршрутизация – коммутация – вычисление
Управление
доступом
Учет
контекста
Анализ
контекста
Прозрачность
приложений
Предотвращение
угроз
Приложения Cisco в сфере безопасности Сторонние приложения
APIAPI
50. 50
Платформа сервисов безопасности
ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Маршрутизаторы
и коммутаторы Cisco
Общедоступное
и частное облако
ВЕРТИКАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
Устройства обеспечения
безопасности
Виртуализированное устройство |
автоматическое масштабирование |
многопользовательская среда
Устройство обеспечения безопасности,
действующее как программируемый
сетевой контроллер
51. Межсетевой экран нового поколения Cisco ASA
5500-X. Он единственный у Cisco?
• В 4 раза быстрее чем прежние модели ASA
5500
• Лучший в отрасли межсетевой экран ASA
и решение AnyConnect
• Сервисы межсетевого экрана нового
поколения
• Различные расширенные сервисы
безопасности, не снижающие
производительность
Application
Visibility&
Control(AVC)
Intrusion
Prevention
(IPS)
SecureRemote
Access
(AnyConnect)
WebSecurity
Essentials
(WSE)
Веб-
безопасность
облака
Сервисы Cisco ASA NGFW (программное обеспечение)
Межсетевой экран нового поколения Cisco ASA
серии 5500-X (на аппаратной платформе)
53. 53
Гибкие варианты развертывания
На территории и за пределами территории потребителя
Варианты
разверты-
вания
Коннекторы /
Переадре-
сация
На территории потребителя Облако
Облако
МСЭМаршрутизатор Роуминг
Виртуальное
решение
Межсетевой экран
нового поколения
Роуминг
Устройство
Устройство
Клиентские
системы
Неявная Явная
МСЭМаршрутизатор
Неявная Явная
56. 56
Every Platform Needs Context
Every Platform has Context to Share
pxGrid
обмен
контекстом
Информация для обмена информацией о
безопасности– pxGrid
SIO
Единая
инфраструктура
Прямые,
защищенные
интерфейсы
57. 57
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM),
облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование значения Сети
Текущая экосистема
партнеров Cisco
60. 60
Создать
Купить
Дружить
• Инвестиции в R&D
составляют 13% от
оборота по
безопасности
• 2000 инженеров по
безопасности
• 11,769 патентов
25+ поглощений в области безопасности
Предлагать то, что нужно!
68. 68
Сеть и безопасность:
синергия обеспечивает эффективность
Кластеризация сервиса центра
обработки данных обеспечивает
непревзойденные возможности
масштабирования
Автоматическая сетевая
переадресация
Единообразное, комплексное обеспечение безопасности
Реализация политик
Мобильность и использование BYOD:
ускорение / обеспечение возможности
реализации
Ускорение обработки
больших наборов данных
Обнаружение угроз
Безопасность
Сеть
Реализация
масштабирования
Ускорение
обнаружения
Агрегация
уникального
контекста
69.
70. 70
Смотреть надо ШИРЕ и Cisco делает это
Сетевые
сервера
Операционные
системы
Роутеры и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложений
Протоколы
приложений
Сервисы
Malware
Командные
сервера
Уязвимости
Netflow
Поведение
сети
Процессы
ISE для Политики & Identity AMP на оконечных устройствахСеть дает контекст
72. 72
Обнаружить, понять и остановить угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
73. 73
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование