3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их обузданию

3 скакуна, несущих информационную
безопасность вперед и стратегия
Cisco по их обузданию
Лукацкий Алексей
alukatsk@cisco.com
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.

3 скакуна информационной безопасности

Угрозы
20.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.3

Глобальный
рынок кибер-
преступности:
$450B-$1TБанковский аккаунт
>$1000
зависит от типа и баланса
$
DDoS
as a Service
~$7/час
DDoS
Медицинские
записи
>$50
Мобильное ВПО
$150
Разработка ВПО
$2500
(коммерческое ВПО)
SSN
$1
Аккаунт Facebook
$1 за аккаунт с 15 друзьями
Данные кредиток
$0.25−$60
Спам
$50/500K emails
Эксплойты
$100k-$300K
Как хакеры зарабатывают деньги?

Время обнаружения вторжений очень велико
Bitglass
20
5
Trustwav
e
188
Mandiant
229
2287 дней – один из
самых долгих
инцидентов в 2014-м
году
Ponemon
206
HP
416
Symantec
305

Один пример: эксплойт-кит Angler
Постоянные обновления увеличили уровень проникновения Angler до 40%
В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная
система
Уязвимости Flash
Смена цели
Angler
Непрерывное забрасывание
«крючков в воду» увеличивает
шанс на компрометацию
Социальный
инжиниринг
Сайты-
однодневки
TTD
Меры
защиты
Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email

Изменение в поведении атак
Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов
Скорость

Дополнительная информация

AMP + FirePOWER
AMP > управляемая защита от угроз
В центре внимания Cisco — анализ угроз!
Приобретение компании
Cognitive Security
• Передовая служба исследований
• Улучшенные технологии поведенческого
анализа в режиме реального времени
201
3
2015...2014
Приобретение компании Sourcefire
Security
• Ведущие в отрасли СОПВ нового поколения
• Мониторинг сетевой активности
• Advanced Malware Protection
• Разработки отдела по исследованию уязвимостей
(VRT)
• Инновации в ПО с открытым исходным кодом
(технология OpenAppID)
Приобретение компании
ThreatGRID
• Коллективный анализ вредоносного
кода
• Анализ угроз
Коллективные исследования Cisco –
подразделение Talos по исследованию и
анализу угроз
• Подразделение Sourcefire по исследованию уязвимостей — VRT
• Подразделене Cisco по исследованию и информированию об
угрозах — TRAC
• Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMP
Коллективный анализ вредоносного
кода > Система коллективной
информационной безопасности

СОВРЕМЕННЫЕ АЛГОРИТМЫ
Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА
Теория игр и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ
Учет сетевого, Web и Identity контекста
ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ
КИБЕР УГРОЗ
Поведенческий анализ
ОБНАРУЖЕНО

Изменение бизнес-моделей

В 2016 продажа
медицинских носимых
устройств достигнет
$100M ежегодно
90% автомобилей будет
подключено к Интернет к
2020
Больше облачных
сервисов используется,
чем известно ИТ
5–10x
14%Организаций получают
вредоносный код
через социальные
сети и Web-
приложения
МОБИЛЬНОСТЬ
ОБЛАКА
Мы вступаем в цифровую эпоху
Интернет
вещей
Цифровая
компания

Десктопы Бизнес-
Сетевая
инфраструктура
Так было в прошлом

Критическая
(Amazon, Rackspace,
Windows Azure и т.д.)
Бизнес-приложения
(Salesforce, Marketo,
DocuSign и т.д.)
Мобильные
пользователи
Удаленные
Сетевая
Что сегодня и завтра?

Что предлагает Cisco?

Гипотезы безопасности Cisco
Консалтинг Интеграци
я
УправлениеЗнание угроз ПлатформыВидимость
Операционный фокус Нехватка людей
+
Цифровая эволюция
+
Требуются изменения в ИБ

CLUS: AMP
Data Center
Закрыта
сделка по
Sourcefire
Security
for ACI
RSAC: AMP
Everywhere
OpenAppID
2014 ASR
Global
Security Sales
Organization
Приобретена
Neohapsis
AMP Everywhere
ThreatGRID
Cisco ASA with
FirePOWER
Services
Security
and Trust
Organization
Managed
Threat
Defense
Talos
Integrated
Threat
Defense
2013 2015
Security
Everywhere
Закрыта
сделка по
OpenDNS
Последние инновации Cisco в области
безопасности
Portcullis
Приобретение
Lancope

Филиалы
ЛВС
Периметр
АСУ ТП
ЦОД
Оконечные
устройства
Интеграция и максимальное покрытие от уровня сети до
оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов
– ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Повсеместная безопасность

Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам

Что
Когда
Где
Как
Повсеместно означает также и интеграцию между
решениями Cisco
ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом
контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в
сеть
Физическая или
виртуальная
машина
Контекст
контроллер
ISE pxGrid

Интеграция с Cisco Mobility Services Engine (MSE)
Авторизация на основе местоположения
Администратор определяет
иерархию местоположения и
предоставляет пользователям
конкретные права доступа на
основе их местоположения.
Преимущества
Что нового в ISE 2.0?
Интеграция платформы Cisco Mobility
Services Engine (MSE) позволяет
администраторам максимально
использовать ISE для авторизации
сетевого доступа на основе
местоположения пользователя.
Улучшенная реализация
политики
с помощью автоматического
определения местоположения и
повторной авторизации
Упрощенное управление
благодаря настройке авторизации
с помощью инструментов
управления ISE
Детализированный контроль
сетевого доступа с помощью
авторизации на основе
местоположения для отдельных
пользователей
Возможности
• Конфигурация иерархии местоположений по всем объектам местоположения
• Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения
• Повторное предоставление доступа на основе нового местоположения
Холл Палата Лаборатория
Скорая
помощь
Врач
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Данные
пациента
Местоположения для
доступа к данным
пациента
Палата
Скорая помощь
Лаборатория
Холл

Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы —
8 новых партнеров pxGrid
Структура pxGrid позволяет Cisco
интегрироваться с партнерами
экосистемы для предоставления
пользователям решения, которое
соответствует существующей
инфраструктуре.
Снижение затрат
Сокращение ресурсов, требуемых
для событий безопасности и сети,
благодаря упрощению доступа
к сети Cisco
Улучшенный мониторинг сети
Обеспечение мониторинга действий
пользователей и устройств в целях
аналитики и создание отчетов
о событиях
Упрощенное управление
Единое место для управления
политиками благодаря интеграции
ISE с решениями сторонних
производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать
политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации
серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы
безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и
расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа

Теперь заказчики могут разворачивать
такие сервисы ISE, как профилирование,
оценка состояния, гостевой доступ и
BYOD на устройствах сетевого доступа,
произведенных сторонними
производителями (не Cisco).
Повсеместно… Даже там, где еще нет Cisco. Пока нет 
Систематическая защита
Развертывание платформы ISE на
всех сетевых устройствах, включая
сторонних производителей
Упрощение администрирования
Максимальное использование
заранее настроенных шаблонов
профилей для автоматического
конфигурирования доступа
устройств сторонних
производителей (не Cisco)
Увеличение ценности
Получение дополнительной
ценности на базе
существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных
устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для
работы с ISE
• Устройства сетевого доступа сторонних
производителей (не Cisco) могут работать с
обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в
ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco

AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security
AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud
Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security
& Hosted Email
CWS
Threat Grid
Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower
Services
Повсеместный AMP
AMP for Endpoints
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect

Повсеместный AMP Threat Grid
Подозрительны
й файл
Отчет
Периметр
ПК
Firewall
& UTM
Email
Security
Analytics
Web
Security
Endpoint
Security
Network
Security
3rd Party
Integration
S E C U R I T
Y
Security
monitoring
platforms
Deep Packet
Inspection
Gov, Risk,
Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный
файл
Premium
content feeds
Security Teams

Повсеместно… с учетом жизненного цикла атаки

Web
Filtering and
Reputation
Security
Intelligence
File Type
Blocking
Application
Visibility &
Control
Indicators of
Compromise
Traffic
Intelligence
File
Reputation
Cognitive
Threat
Analytics
XXX X
После
www.website.com
X
File
Retrospection
Мобильный
пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
Allow Warn Block
Partial
Block
Основной офис
ASA/NGIPS
AMP
Appliance
WSA ESA
AMP for
Endpoints
Админ
Перенап
равление
трафика
Угрозы
HQ
File
Sandboxing
X
Пример: Cisco Advanced Malware Protection

Web
Filtering
Cloud Access
Security
Web
Reputation
Application
Visibility and
Control
Parallel AV
Scanning
Data-Loss
Prevention
File
Reputation
Cognitive
Threat
Analytics*
XX X X
До
ПослеВо время
X
File
Retrospection
www
Мобильный
Отчеты
Удаленный офис
www www
Allow Warn Block Partial Block
WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client
АдминПеренаправл
е-ние
трафика
www
HQ
File
Sandboxing
X
Client
Authentication
Technique
* Roadmap feature: Projected release 2H CY15
XCisco® ISE
Пример: Cisco Web Security Appliance

www
Mobile UserУдаленный офис
www www
Allow Warn Block Partial Block
ASA StandaloneWSA ISR G2 AnyConnect®
АдминПеренаправ
ление
трафика
www
HQ
До
ПослеВо время
File
Retrospection
File
Sandboxing
Webpage
Outbreak
Intelligence
ISR 4k
Отчеты
X
Web
Reputation
and Filtering
SaaS
Anomaly
Detection
X
File
Reputation
X
Anti-Malware
Cognitive
Threat
Analytics
X
SaaS Visibility
CAS
CAS
X
Cloud Data
Loss
Prevention
CAS
Application
Visibility
and Control
Мобильный
X
SaaS
Anomaly
Detection
www.website.
com
AMP AMP TG CTA
Пример: Cisco Cloud Web Security

Наша программа на Cisco Connect

Промышленные сети
Бизнес-приложения
(Salesforce, Marketo,
DocuSign и т.д.)
Мобильные
ЦОД
Критическая
О чем мы будем говорить на Cisco Connect?
Михаил Кадер
Руслан Иванов
Михаил Кадер
Алексей Лукацкий
Оператор связи
Назим Латыпаев
Руслан Иванов
Станислав Рыпалов
Оксана Санникова
Назим Латыпаев

И не сможете использовать
почту без защиты
? ?
?
? ?
?
?
??
? ?
Вы должны защитить их
Вы не сможете работать
без электронной почты
Когда вы внедряете
облачные приложения
Каждый раз, внедряя новую технологию,
необходимо обеспечивать ее защиту

Облачные приложения становятся неотъемлемой
частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных
данных
Риски
несоответствия
правовым нормам
Риск
инсайдерских
действий
Вредоносное ПО
и вирусы

Понимание рисков, связанных с облачными
приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-отдел:
• Не видит, какие используются приложения
• Не может идентифицировать опасные приложения
• Не может настроить необходимые средства
управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72% ИТ-отделов используют 6 и более неутвержденных приложений2
26% корпоративной ИТ-инфраструктуры в 2015 году будет
управляться вне ИТ-отделов
35%
«Теневые» ИТ
Использование
несанкционированных
приложений
Источник: 1CIO Insight; 2,3Gartner

Понимание рисков использования данных в
облачных приложениях
Это проблема, так как ваш ИТ-отдел:
• Не может остановить утечку данных и устранить
риски несоблюдения нормативных требований
• Не в состоянии заблокировать входящий
опасный контент
• Не в силах остановить рискованные действия
организаций сталкивались с утечкой конфиденциальных данных при совместном
использовании файлов1
90% приложений могут стать опасными при неправильном
использовании2
72% файлов на каждого пользователя открыто используется
в организациях3
185
«Теневые» данные
Использование санкционированных
приложения для неправомерных целей
Источник: 1Ponemon, 2013 Cost of Data Breach
Study;
2CIO Insight; 3Elastica

Payroll.docx
Пользователи свободно обмениваются информацией и
это может привести к нарушениям безопасности
Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных
приложений и «теневых» данных
При использовании облачных
приложений ИТ-отдел не может
контролировать все разрешения
на совместное использование
20% совместно
используемых файлов
содержит данные,
связанные с соблюдением
нормативов

Бизнес
В вопросах защиты своей информации не
полагайтесь на поставщиков приложений
Поставщики приложений
Облачные
75% мобильных приложений не прошли базовые
тесты безопасности1
... и они не могут контролировать поведение
Источник: 1: Gartner

Бизнес
Обеспечение безопасности облачного доступа —
это ваша ответственность
Поставщики приложений
Облачные

CAS обеспечивает мониторинг, управление и
защиту на всем протяжении атаки
Аудит
Определение
облачных
приложений и
служб,
используемых
сотрудниками
Расследование
Изучение вторжений
для изоляции
уязвимостей в системе
Обнаружение
облачного трафика,
являющегося
причиной
вредоносного
поведения
И многое другое .......
До Во время После
Жизненный цикл атаки
Приложениядля
обеспечения
Мини-
программы
Securlet
CASB
Мини-программы Securlet
Отдельные приложения обеспечения безопасности, предоставляющие преимущества
всех 4-х приложений безопасности Elastica, но для определенного приложения SaaS,
а не для всей облачной экосистемы.
Шлюз CASB
Подключение к шлюзу Elastica для получения дополнительных
данных об определенных облачных службах и реализации
встроенной политики
Защита
Защита
предприятия путем
создания и
реализации
индивидуальных
политик
ЗащитаОбнаружениеАудит Расследование

Оценка
аудита
Оценка рисков
«теневых» ИТ
ЗащитаStreamIQ ThreatScore
Контроль и
анализ
Securlet
Шлюз
Оценка
рисков
«теневых»
данных
Мини-программы Securelet Шлюз Elastica
И многое другое .......
Перенаправление трафика через систему Cisco
Cloud Access Security

CAS предоставляет платформу обеспечения
безопасности облачных приложений
Шлюз CAS
(прозрачный мониторинг)
РАССЛЕДОВАНИЕ инцидентов и
реагирование
Политика
API-интерфейсы облачных
приложений
(<1 мин для внедрения)
Журналы межсетевых
экранов и прокси-серверов
ASA, WSA, CWS и других
АУДИТ всех «теневых» ИТ и данных
CAS
CloudSOC™
Несколько источников
входящего трафика
Стек платформы обеспечения безопасности
облачных приложений CAS
Все категории данных
анализируются на одной
платформе данных
ЗАЩИТА благодаря детализированному
контролю применения политик для
каждого приложения
ОБНАРУЖЕНИЕ вторжения и эксплойтов
в облачных приложениях
ISE pxGrid

Отчет оценки рисков
«теневых» ИТ
Business
Readiness Rating™
Оценка аудита
Оценка рисков «теневых»
данных
После
StreamIQ™
ThreatScore™
ContentIQ™
Отчетность
и аналитика
Cisco Cloud Access Security
Облачные
? ?
??
?? ?
IO IOI
IO IOI
Защита IO IOI
IO IOI
Облачная
политика SOC IO IOI
IO IOI
?
5417
IO IOI
IO IOI
?
?
IO IOI
Аудит
?
Рассле-
дование
WSA
ДоВовремя
CAS CloudSOC™
Другие
устройства
ASA
Совместно с
Данные Учетная запись Пользователь
Центр
управления
безопасностью
Анализ
и контроль
Securlet™
Шлюз

Недостаток
квалифицированных
специалистов в сфере
Для многих средств требуется
больше ресурсов, чем
имеется для выполнения
работы
50% компьютеров —
мобильные
70% офисов — удаленные
Большинство мобильных и удаленных
сотрудников не всегда включают
VPN, большинство филиалов не
обеспечивают обратный транзит
трафика, а большая часть новых
оконечных устройств только
обнаруживают угрозы
70-90% вредоносного ПО
уникально для каждой
организации
Средства на основе сигнатур,
реактивный интеллектуальный
анализ угроз и отдельное
применение политик безопасности
не могут опередить атаки
Общие проблемы безопасности

3 подхода к защите мобильных пользователей
может требовать
дополнительной экспертизы и
ресурсов
Обнаруживать IOCs &
аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от
пользователей изменения
поведения и может быть
сложным во внедрении
Изолировать приложения
& данные
в
гипервизоре/контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую
видимость и блокирование *если*
есть возможность блокировать по
любому порту, протоколу или
приложению
Предотвращать
соединения в Интернет-
0 1 0 1 1 1 1 0 1 1 1
0
1 1 0 0 1 1 0 0 0 0 1
1
1 0 1 1 1 0 1 0 0 0 0
1
0 0 0 1 1 0 0 0 0 0 1
0
0 1 0 0 0 0 1 0 0 1 0
0

OpenDNS: эволюция бизнес-модели
Безопасный
Образование
Прогнозирование Расширенная защита
За пределами
периметра
Быстрый
домашних
юзеров

ПРОДУКТЫ И ТЕХНОЛОГИИ
UMBRELLA
Применение
Служба сетевой безопасности
защищает любое устройство, в
любом месте
INVESTIGATE
Аналитика
Обнаружение и
прогнозирование атак до
того, как они происходят

208.67.222.222
MALWARE
BOTNET
PHISHING
Новый уровень обнаружения
проникновений с возможностью внутри
сети видеть то, что обычно видно только в
Интернет
Расширение ATDs (AMP Threat Grid, FireEye,
Check Point) за периметром и получение
немедленного ответа на ваши IOCs
Обнаружение целевых атак на вашу
компанию по сравнению с тем, что
происходит в мире
Расследование атак, используя «живую»
карту Интернет-активности
OpenDNS UMBRELLA

Уникальная аналитика для классификации
Анализ
Статистические модели
и человеческий
интеллект
Идентификация
вероятно вредоносных
сайтов
Захват
С миллионов точек
данных за секунды
a.ru
b.cn
7.7.1.3
e.net
5.9.0.1
p.com/jpg

DNS запросов
в день
80B BGP пиринговых
партнеров
500
Ежедневно
использующих
65M Корпоративных
заказчиков
10K
Масштаб имеет значение

Предотвращение угроз
Не просто обнаружение угроз
Защита внутри и вне сети
Не ограничивается устройствами, передающими трафик через
локальные устройства
Интеграция с партнерским и пользовательским ПО
Не требует услуг профессионалов при настройке
Блокировка каждого домена для всех портов
Не только IP-адреса или домены только через порты 80/443
Постоянное обновление
Устройству не нужно обращаться к VPN на локальном сервере для
получения обновлений
UMBRELLA
Применение политик
Новый уровень защиты от вторжений

ИНТЕРНЕТ
ВНУТРИ СЕТИ
ВЕСЬ
ПРОЧИЙ
ТРАФИК
ВЕБ-
ТРАФИК
ТРАФИК
ЭЛЕКТРОННОЙ
ПОЧТЫ
ИНТЕРНЕТ
ВЕСЬ
ПРОЧИЙ
ТРАФИК
ВЕБ-
ТРАФИК
ТРАФИК
ЭЛЕКТРОННОЙ
ПОЧТЫ
ВНЕ СЕТИ
ASA
блокировка в сети по IP-адресу,
URL -адресу или пакету
ESA/CES
блокировка
по отправителю
или контенту
WSA/CWS
блокировка по URL-адресу
или контенту через
прокси-сервер
ESA/CES
блокировка
по отправителю
или контенту
CWS
блокировка по URL-адресу
или контенту через
прокси-сервер
Umbrella
блокировка по домену
а также по IP-адресу или
URL -адресу
Umbrella
блокировка по домену
а также по IP-адресу или
URL -адресу
Место Umbrella в инфраструктуре Cisco

Как Umbrella дополняет AMP
Через различные
технологии & оба
защищают на уровне IP
Туннели на клиенте блокируют
некоторые соединения с DNS в
облаке, а AMP фиксирует
соединения & блокирует соединения
на устройстве
*Клиент получает обновления IP-списка
каждые 5 мин, а AMP получает IP-списки
ежедневно
Cisco AMP Connector
защищает на уровне
файлов
облачная репутация будет
блокировать & помещать в
карантин вредоносные файлы на
лету и в ретроспективе
*email-вложения обходят OpenDNS, а
не-файловые web-эксплойты обходят
AMP
OpenDNS клиент
защищается на уровне
DNS
перед установкой IP-соединения &
часто перед загрузкой файлов. Мы
также блокируем вредоносные
домены
*DNS–запросы, использующие не-HTTP,
будут обходить AMP
DNS
Компрометация системы Утечка данных
IP DNS IPФАЙЛ

Интеграция на базе API
АНАЛИТИКА/ФИДЫ ОБ УГРОЗАХ
ПЛАТФОРМЫ АНАЛИЗА УГРОЗ
Другие+
СВОИ+
Индикаторы
компрометации
ОБНАРУЖЕНИЕ УГРОЗ
Другие+
UMBRELLA
Enforcement & Visibility
Логи или
заблокированные
домены отправляются из
систем партнеров или
заказчиков

Живая карта DNS запросов и других
контекстных данных
Корреляция и статистические модели
Обнаружение & прогнозирование
вредоносных доменов
Интеграция данных ИБ с глобальной
информацией
Console API
OpenDNS INVESTIGATE

INVESTIGATE
WHOIS record data
ASN attribution
IP geolocation
IP reputation scores
Domain reputation scores
Domain co-occurrences
Anomaly detection (DGAs,
FFNs)
DNS request patterns/geo.
distribution
Passive DNS database
Типы предоставляемой информации

ЗАКАЗЧИК
СООБЩЕСТВО
ЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ
AMP
Threat
Grid
UMBRELLA
Применение
политик и
мониторинг
Автоматический захват
вновь обнаруженных
вредоносных доменов за
считанные минуты
Регистрация или
блокировка всей
Интернет-активности,
предназначенной
для этих доменов
файлы домены
Интеграция AMP Threat Grid и OpenDNS

OpenDNS Umbrella
OpenDNS InvestigateOpenDNS Investigate
опережение будущих атак
с помощью блокировки
вредоносных доменов,
IP-адресов и ASN
блокировка обратных вызовов
и утечки с любого порта, протокола
или приложения
на уровне DNS и IP
анализ угроз на основе
запросов в реальном времени
всех доменов и IP-адресов
в Интернете
ДО
Внедрение
политик
Усиление
ПОСЛЕ
масштаба
Сдерживание
Восстановление
Блокировка
Защита
ВО ВРЕМЯ
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
OpenDNS поддерживает весь жизненный цикл
атаки

А если я маленький, но хочу
OpenDNS? Используйте Cisco Threat
Awareness Service

Изменение
бизнес-моделей
Сложность и
фрагментация
Динамика
ландшафта угроз
Производителей
средств защиты
на RSA
Возросла
потребность в
кадрах ИБ
373 12x
Среднее число вендоров
у корпоративного
заказчика
50
Сложность Люди
Фрагментаци
я
Инвестиции в средства защиты растут. Но
средства защиты не взаимодействуют

Обеспечивает взгляд на угрозы,
исходящие из своей компании, и
направленной на нее
Постоянно отслеживает новые угрозы
Предлагает меры нейтрализации
Доступная всегда, каждый день
Проста в настройке и использовании
Это важно для сохранения сети в
Заказчики хотят Threat Intelligence которая:

Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис
анализа угроз, который расширяет видимость угроз и
является доступным 24-часа-в-сутки.
• Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной
• Идентификация скомпрометированных сетей и
подозрительного поведения
• Помогает компаниям быстро идентифицировать
скомпрометированные системы
• Обеспечение рекомендаций
• Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации
• Позволяет улучшить общую защищенность

Cisco Threat Awareness Service
Базируясь на технологиях Cisco, сервис Threat Awareness
Service не требует:
• Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности,
и цены с ростом эффективности threat intelligence

А если я большой, но людей все
равно не хватает? Используйте Cisco
Active Threat Analytics

Услуги по безопасности
Optimization
Migration
Integration
Program Strategy
Architecture & Design
Assessments
Product Support Hosted Security Managed Security
Управляемые
услуги
Консалтинг Интеграция

Внешние услуги закрывают разрыв
С ростом скорости появления и вариативности угроз и нехватки
квалифицированных кадров, многие организации будут больше
полагаться на внешних поставщиков услуг для управления
рисками информационной безопасности
ПерсоналОценка
Автоматизация
/ Аналитика
Гибкие бизнес-
модели Гибкость
Политика приватности

Полный захват
пакетов /
Анализ
метаданных
пакетов
Cisco
Advanced
Threat
Detection Обнаружение
угроз в Web-
трафике
Нормализация
и проверка
данных
угроз в
трафике Email
вторжений
Автоматизация
локализации
Исследования
угроз и
уязвимостей
Расследования
сетевых
инцидентов
Фокусировка на отраслях
(например, производство,
финансы, промышленность)
24x7
мониторинг

Advanced Threat Analytics: компоненты
архитектуры
Сторона заказчика
ЦОД заказчика
Заказчик A VRF
HTTP/HTTPS
Proxy
InternetVRF
Защищенное соединение
PassiveTap/Intelligent
VisibilitySwitch
DirectConnection
Заказчик
HTTP Malware
Analysis
Email Malware
Analysis
Protocol Metadata
Forensics
Full-Packet
Forensics
Signature-Based
IDS
Protocol Anomaly
Detection
NetFlow / HTTP
Anomaly
Detection
Context
Repository
NetFlow
Aggregation
Telemetry
Aggregation
AccessControl
VA Console
Malware
Console /
Sandbox
IME Console
Infrastructure
Monitoring
Authentication
Services
Firewall
Firewall
SMTP Services
SOC
Investigator I
Investigator II
Incident
Manager
Authentication
Services
MgmtVRF
Active Directory
Investigator
Portal
SOCVRF
Alerting /
Ticketing System
Customer Portal
PortalVRF
Threat
Intelligence
IntelVRF
Anomaly
Correlation
Cisco Cloud (DC)
Internet
1) Все данные
сохраняются на стороне
заказчика
2) Все ATA-устройства
работают в пассивном
режиме, но в реальном
времени

Threat
Intelligence
Feeds
Обогащенные
данные
ATA построена на базе OpenSOC
Full packet capture
Protocol metadata
NetFlow
Machine exhaust (logs)
Неструктурированная
телеметрия
Другая потоковая
телеметрия
Parse
+
Form
at
Enri
ch
Alert
Log Mining and
Analytics
Big Data
Exploration,
Predictive
Modelling
Network
Packet Mining
and PCAP
Reconstruction
Приложения + аналитика

Интеграция с отечественными
разработчиками

Cisco Security API
OpenDNS API
MDM API
eStreamer API
Threat Grid API
ESA API ASAv/ASA API
ISIS API
Host Input API
Remediation API

Развитие интеграционных решений
Инфраструктура API
ДО
Политика и
контроль
ПОСЛЕ
Анализ и
восстановление
Обнаружение и
блокирование
ВО ВРЕМЯ
Инфраструктура & Мобильность
NACУправление
уязвимостями
Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEMВизуализацияNetwork Access
Taps

Развитие NME-RVPN: доверенная платформа
UCS-EN
Доверенная платформа UCS-EN120SRU
 Производится в России
Поддерживается на Cisco ISR 29xx/39xx/4xxx
Используется в качестве доверенной платформы для
российских средств защиты информации, прошедших
сертификацию в ФСТЭК и ФСБ:
 СКЗИ S-Terra CSP VPN Gate
 СКЗИ ViPNet Координатор
 СКЗИ Dionis NX
 МСЭ прикладного уровня Positive Technologies Application
Firewall
 СОВ ViPNet IDS
 Базовый доверенный модуль (БДМ) Элвис+
 TSS VPN
 Ведутся работы и с рядом других российских
разработчиков

Интеграция с PT MaxPatrol
• Система MaxPatrol от Positive
Technologies – один из самых
распространенных отечественных
сканеров безопасности
• Интеграция Cisco FireSIGHT с PT
MaxPatrol позволяет получать от
сканера безопасности информацию о
сервисах и приложениях, запущенных
на узлах сети, а также об их
уязвимостях с целью корреляции этой
информации и более эффективного
использования Cisco FirePOWER NGFW
и Cisco FirePOWER NGIPS

В заключение

Злоумышленники атакуют точечные решения с
возрастающей скоростью
NGIPS
Malware
Sandbox
IAM
Antivirus
IDS
Firewall
VPN
Email
NGFW
Данные
Бездумная трата
денег на новинки
вместо того,
чтобы сесть и
подумать о
целостной
системе защиты

Данные
Злоумышленники атакуют точечные решения с
возрастающей скоростью
NGIPS
Malware
Sandbox
IAM
Antivirus
IDS
Firewall
VPN
Email
NGFW
Время обнаружения:
200 дней

Только интегрированная защита может идти в ногу с
угрозами
Данные
Systemic Response
Время обнаружения:
46 часов

А как же третий скакун?

Не забудьте про «после» Cisco Connect 20
До
 Серия вводных презентаций в формате вебинаров,
посвященных различным аспектам и продуктам в
области ИБ, которые будут проходить до конференции
Cisco Connect
Во время
 Глубокие идеологические и архитектурные
презентации решений компании Cisco
непосредственно на самой конференции Cisco
Connect
После
 Детальные технические семинары по наиболее
важным продуктам и технологиям с учетом
соответствия нормативным требованиям и задач
бизнеса, предлагаемые вашему вниманию после
конференции Cisco Connect

CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом
#CiscoConnectRu
CiscoRu
Ваше мнение очень важно для нас!
Оцените, пожалуйста, презентацию
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.

3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их обузданию

3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их обузданию

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (16)

Similar to 3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их обузданию

Similar to 3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их обузданию (20)

More from Cisco Russia

More from Cisco Russia (20)

Recently uploaded

Recently uploaded (9)

3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их обузданию