4. Что мы анонсировали 25 февраля 2014?!
OpenAppID и
Cognitive
Threat
Analytics
Новые
платформы
FirePOWER
Интеграция
AMP с
защитой
контента
WWW
• Новые аппаратные платформы
FirePOWER
• «AMP Everywhere» - интеграция
AMP с ESA/WSA и CWS
• FireAMP Private Cloud
• Интеграция Cognitive Threat
Analytics с CWS
• Язык описания приложений
OpenAppID
5. Что мы анонсировали 30 октября 2013?!
Веб-
безопасность
облака
Межсетевой
экран
нового
поколения
Веб-
безопасность
и защита эл.
почты
WWW
• Новая версия Cisco ASA NGFW с
функцией предотвращения
вторжений
• Сервисы ASA NGFW на
ASA 5585-X SSP-40, SSP-60
• Новая версия и архитектура Cisco
Prime Security Manager
• Новая линейка устройств Cisco
в области Web-безопасности
и защиты электронной почты
серии x80
• Новые возможности Cisco Cloud
Web Security
6. Новые возможности
Межсетевой экран нового поколения Cisco ASA 5500-X
• НОВИНКА Межсетевой экран
нового поколения с системой
защиты от вторжения
• НОВИНКА Сервисы межсетевого
экрана нового поколения на
ASA 5585-X SSP-40, SSP-60
• НОВИНКА изменение архитектуры
приложения Cisco Prime Security
Manager
ü Больше, чем просто защита
Интернет-периметра
ü Больший масштаб и гибкость
развертывания
ü Снижение сложности управления
7. Новые возможности
Устройства Cisco в области веб-
безопасности и защиты электронной
почты нового поколения
• НОВИНКА! Устройства Cisco
в области веб-безопасности
и защиты электронной почты
серии x80
• Доступно по лицензии GPL начиная
с 28 окт. 2013 г.
• На базе платформы Cisco UCS
Линейка продуктов Масштаб Модели
Cisco Web Security
Appliance (WSA)
Предприятие C680
Средний бизнес C380
Малый и средний
бизнес и филиалы C170
Cisco Email Security
Appliance (ESA)
Предприятие S680
Средний бизнес S380
Малый и средний
бизнес и филиалы S170
Cisco Content
Security Management
Appliance (SMA)
Предприятие M680
Средний бизнес M380
Малый и средний
бизнес и филиалы M170
Новая серия x80
8. Но началось все гораздо раньше
Приобретение
Cognitive Security ASA Mid-range Appliances
ASA CX и PRSM
Новые продукты
Secure Data Center
ISE 1.1 & 1.2 /
TrustSec 2.1
Ключевые факты
• ASA 9.0
• ASA 1000V
• IPS 4500
• CSM 4.3
• AnyConnect 3.1
9. Q2FY13 Q3FY13 Q4FY13 Q1FY14
Приобретение
Cognitive Security
TRIAD организовано
Annual Security
Report 2013
Приобретение
Sourcefire
pxGrid, SIEM
Ecosystem
ISE 1.2
Интеграция
ScanSafe GPL
TRAC Team
создана
ACI Security
Solutions
Объявлена - ASAv
Интеграция
IronPort GPL
Новые PRSM и
ASA-CX
Новые
X80 Appliances
Виртуализация BYOD Advanced Threats Software Defined
Networking
Обеспечение ключевых рыночных тенденций и запросов
Появление
Virtual ESA & WSA
Наращивание усилий в 2013-м году
10. Лидер Gartner
Magic Quadrant
(Email Security, Web Security,
Network Access, SSL VPN)
Существенные
инвестиции
в R&D, M&A &
людей
#1 на рынке ИБ
ЦОДов
(Источник:
Infonetics)
#1 на рынке
сетевой безопасности
(Источник: Infonetics)
Названа одним
из 5-ти основных
Приоритетов
компании
Cisco Security Momentum
14. 14
Любое устройство к любому облаку
ЧАСТНОЕ
ОБЛАКО
ОБЩЕ-
ДОСТУПНОЕ
ОБЛАКО
ГИБРИДНОЕ
ОБЛАКО
15. 15
The image
cannot be
displayed. Your
computer may
not have enough
memory to open
the image, or the
image may have
been corrupted.
Restart your
computer, and
Всеобъемлющий
Интернет
16. завтра20102000 2005
Изменение
ландшафта угроз
APTs и
кибервойны
Черви и вирусы
Шпионское ПО
и руткит
Антивирус
(Host-Based)
IDS/IPS
(Сетевой периметр)
Репутация (Global) и
песочница
Разведка и аналитика
(Облако)
Ответ
предприятия
Угрозы
17. 17
Угроза
распространяется по
сети и захватывает как
можно больше данных
ПРЕДПРИЯТИЕ
ЦОД
Заражение точки
входа происходит
за пределами
предприятия
Интернет и
облака
ПУБЛИЧНАЯ
СЕТЬ
Продвинутые
угрозы обходят
средства защиты
периметра
КАМПУС
ПЕРИМЕТР
Анатомия современной угрозы
20. 20
От модели к технологиям
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
21. 21
Приобретение Sourcefire дополнило портфель
решений Cisco
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis
22. 22
Подход Sourcefire:
… непрерывный процесс до, во время и после атаки
Вы не можете защитить
то, что не видите Автоматическая настройка
системы безопасности
…в режиме реального времени,
в любой момент времени
Преобразование данных
в информацию
УВИДЕТЬ
АДАПТИ-
РОВАТЬ
УЧИТЬСЯ
ДЕЙСТ-
ВОВАТЬ
23. 23
Вы не можете защитить то, что не видите
Sourcefire видит БОЛЬШЕ
Ширина: кто, что, где, когда
Глубина: любая требуемая степень детализации
Все в режиме реального времени, в одном месте
Sourcefire обеспечивает информационное преимущество
Операционная
система
Пользо-ватели
УстройстваУгрозы Приложения
ФайлыУязвимости
Сеть
УВИДЕТЬ
УВИ-
ДЕТЬ
АДАП-
ТИРО-ВАТЬ
УЧИТЬ-
СЯ
ДЕЙС-ТВО-
ВАТЬ
24. 24
Cisco действует также: добавляет контекст и
понимание
C
I2 I4
A
ЛОКАЛЬНО
Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действия
APP Приложения
URL Сайты
Реализация безопасности
и глобальным контекстом
25. 25
Контекст – это самое важное
Событие: Попытка получения преимущества
Цель: 96.16.242.135
Событие: Попытка получения преимущества
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта, браузер, Twitter
Местоположение Белый дом, США
Событие: Попытка получения преимущества
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта, браузер, Twitter
Местоположение Белый дом, США
Идентификатор пользователя: bobama
Ф. И. О. Барак Обама
Департамент: административный
Контекст способен фундаментально изменить интерпретацию
данных события
27. 27
Видимость лежит в основе всего!
Workflow(automation)Engine
APIs
Понять масштабы, локализовать и устранить
Широкая осведомленность о контексте
Внедрение политик для снижение ареала
распространения угроз
Сосредоточиться на угрозе: безопасность это
обнаружение, понимание и нейтрализация угрозы
Взлом
Контекст
Политика
Угроза
28. 28
Пассивное
обнаружение
В первую очередь необходимо знать, что у вас есть
Невозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время
в режиме
реального времени
29. 29
Видимость позволяет контролировать
Workflow(автоматизация)Engine
Взлом
Контекст
Политика
Угроза
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM / NAC
Видимость
Сдерживание
Устранение
Обнаружение
Блокирование
Защита
Контроль
Применение
Усиление
Определение
Мониторинг
Инвентаризация
Карта
APIs
30. 30
Стратегия развития продуктов зависит от
современных угроз
Workflow(автоматизация)Engine
Взлом
Контекст
Политика
Угроза
Видимость
Сдерживание
Устранение
Обнаружение
Блокирование
Защита
Контроль
Применение
Усиление
Определение
Мониторинг
Инвентаризация
Карта
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM
ДО ВО ВРЕМЯ ПОСЛЕ
APIs
31. 31
Всеобъемлющий портфель решений Cisco в
области обеспечения безопасности
IPS и NGIPS
• Cisco IPS
• Cisco wIPS
• Cisco ASA Module
• FirePOWER NGIPS
Интернет-
безопасность
• Cisco WSA / vWSA
• Cisco Cloud Web Security
МСЭ и NGFW
• Cisco ASA / ASA-SM
• Cisco ISR / ASR Sec
• FirePOWER NGFW
• Meraki MX
Advanced Malware
Protection
• FireAMP
• FireAMP Mobile
• FireAMP Virtual
• AMP для FirePOWER
NAC +
Identity Services
• Cisco ISE / vISE
• Cisco ACS
Безопасность
электронной почты
• Cisco ESA / vESA
• Cisco Cloud Email Security
UTM
• Meraki MX
VPN
• Cisco AnyConnect
• Cisco ASA
• Cisco ISR / RVPN
Policy-based сеть
• Cisco TrustSec
• Cisco ISE
• Cisco ONE
Мониторинг
инфраструктуры
• Cisco Cyber Threat
Defense
Контроль приложений
• Cisco ASA NGFW / AVC
• Cisco IOS AVC / NBAR
• Cisco SCE / vSCE
• FirePOWER NGFW
Secure DC
• Cisco ASA / 1000v /
ASAv / VSG
• Cisco TrustSec
32. 32
Интеграция в сеть,
широкая база сенсоров,
контекст и автоматизация
Непрерывная защита от
APT-угроз, облачное
исследование угроз
Гибкие и открытые платформы,
масштабируемость,
всесторонний контроль,
управление
Стратегические задачи
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
устройства
Облака
Видимость всего и вся Фокус на угрозы Платформы
33. 33
Видимость: Cisco видит больше конкурентов
Сетевые
сервера
ОС
Рутера и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложения
Прикладные
протоколы
Сервисы
Вредоносное
ПО
Сервера
управления
ботнетами
Уязвимости
NetFlow
Сетевое
поведение
Процессы
35. 35
Обнаружить, понять и остановить угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
36. 36
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование
37. 37
Снижение сложности & рост возможностей
платформы
Аналитика и исследования угроз
Централизованное управление
Устройства, Виртуалки
Платформа сетевой
безопасности
Платформа контроля
устройств
Облачная
платформа
Устройства, виртуалки
ПК, мобильные,
виртуалки Хостинг
39. 39
Мозг архитектуры безопасности Cisco
Действующее
соединение SMTP?
(ESA)
Ненадлежащий или
нежелательный
контент? (ASA/WSA/
CWS)
Место для
контроля и
управления? (ASA/
WSA)
Вредоносное
действие? (ASA/
IPS)
Вредоносный контент на
оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование
угроз
Регистрация
доменов
Проверка
контента
Ловушки для
спама, ловушки
для хакеров,
интеллектуальные
анализаторы
Черные списки
и репутация
Партнерство
со сторонними
разработчиками
Правила и логика
для конкретных платформ
Cisco Security Intelligence Operations
40. 40
100Тбайт1,6 млн.13 млрд.
Cisco SIO в цифрах
150,000Ежедневный анализ угроз
безопасности
Ежедневные веб-запросыРазвернутые устройства
защиты
Приложения
и микропрограммные приложения
100
Тбайт
данных
анализа
безопасности
1,6 млн.
развернутых
устройств
13 млрд.
веб-запросов
150 000
микропрогра
ммных
приложений
1 000
приложений
93 млрд.
сообщений
электронной
почты в день
35%
корпора-
тивная
электронная
почта
5 500
сигнатур IPS
150 млн.
развернутых
оконечных
устройств
3-5 мин.
Обновления
Security Intelligence Operations:
Полная прозрачность
Глобальная зона охвата
Полноценная защита
5 млрд.
подключений
к электрон-
ной почте
в день
4,5 млрд.
ежедневно
блокируемых
электронных
сообщений
41. 41
Немного фактов о SIO
Глобальная и локальная корреляция
через автоматический и человеческий
анализ
АНАЛИТИКА & ДАННЫЕ УГРОЗ
Широкий спектр источников данных
об угрозах & уязвимостях
БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ
Контекстуальная политика с
распределенным внедрением
ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру-
ктура
больших
данных
Обновления
в реальном
времени
Доставка
через
облако
150M
оконечных
устройств
14M
шлюзов
доступа
1.6M
устройств
безопасности
Самообуча
ющиеся
алгоритмы
НИОКР
Open Source
Community
42. 42
Проблемы с традиционным мониторингом
Admin
Базируется на правилах
• Зависимость от сложно
создаваемых вручную
правил
• Зависимость от
человеческого фактора
Зависимость от времени
• Занимает недели или
месяцы на обнаружение
• Требует постоянного
тюнинга
Security
Team
Очень сложно
• Часто требует
квалифицированный
персонал для управления
и поддержки
111010000 110 0111
Невозможно
идти в ногу с
последними
угрозами
43. СОВРЕМЕННЫЕ АЛГОРИТМЫ
Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА
Теория игр и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ
Учет сетевого, Web и Identity контекста
ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ
КИБЕР УГРОЗ
Поведенческий анализ
СОВРЕМЕННЫЕ АЛГОРИТМЫ `
Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА
Теория игры и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ
Учет сетевого, Web, и Identity контекстаОБНАРУЖЕНО
45. 45
Безопасность WWWСеть
Identity & Политики
Будущее облачной аналитики угроз
Облачная аналитика и исследования угроз
Web
Rep
IPS
Rep
Email
Rep
Репутация
Глобальная аналитика
Портал угроз
Сетевые политики
Телеметрия
безопасности
Телеметрия
сети
Поведенческий анализ
Глобальные данные об
угрозах
CTA
46. 46
Решения Cisco в области веб-безопасности и
защиты электронной почты
Блокировка
фишинговых атак,
вирусов и спама
Защита от угроз
Безопасность данных
Защита данных
транзитного
трафика
Прозрачность
и контроль приложений
Обнаружение
и уменьшение
последствий угроз
веб-безопасности
Защита данных
в режиме онлайн
Мониторинг
и контроль
использования
приложений
Веб-
безопасность
Безопасность
электронной почты
Лидеры рейтинга Magic Quadrant
компании Gartner в 2013 году
Основные отличительные
особенности:
ü Снижение совокупной
стоимости владения
ü Эффективность и надежность
ü Гибкое развертывание
47. 47
Строгая защита входящего Web-трафика
WWW
Время запроса
Время ответа
Cisco® SIO
Фильтрация URL
Репутационные фильтры
Dynamic Content Analysis (DCA)
Сигнатурные антивирусные движки
Advanced Malware Protection
БлокироватьWWW
БлокироватьWWW
БлокироватьWWW
РазрешитьWWW
ПредупредитьWWW WWW Частично
блокировать
БлокироватьWWW
БлокироватьWWW
Блокировать
WWW
48. 48
Анализ репутации и добавление контекста
Ценность контента в режиме реального времени
Владелец
подозрительного
домена
Сервер в
местоположении
с высоким
уровнем риска
Динамический
IP-адрес
Домен
зарегистрирован
< 1 мин.
192.1.0.68
пример
.com
Example.org17.0.2.12 ПекинЛондонСан-ХосеКиев HTTPSSLHTTPS
Домен
зарегистрирован
> 2 лет
Домен
зарегистрирован
< 1 месяца
Веб-сервер
< 1 месяца
Кто КакГде Когда
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 01
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
Оценка IP репутации
49. 49
1.Сканирование текста
Решения Cisco по контролю использования
Web-ресурсов на базе SIO
WWW
База данных
URL-адресов
3.Расчет приблизительной
категории документа
4.Заключение о наиболее
близкой категории
2. Оценка релевантности
Финансы
Для
взрослых
Здоровье
Финансы
Для
взрослых
Здоровье
РазрешеноWWW Предупреж-
дение
WWW WWW Частичная
блокировка
БлокировкаWWW
5. Применение политики
Если контент неизвестен,
страница анализируется
БлокировкаWWW
Предупреж-
дение
WWW
РазрешениеWWW
Если контент известен
50. 50
Всесторонний контроль с Cisco Web Security
Стони
приложений
Поведение
приложений
150,000+ микро-
приложений• Непрерывно обновляемая
база URL, покрывающая свыше
50 миллионов сайтов в мире
• Динамическая категоризация в
реальном времени для
неизвестных URL
• Контроль мобильных, web 2.0
приложений и приложений для
взаимодействия
• Применение политики к
пользователям и устройствам
• Гибкая политика контроля для
разных приложений
• Видимость всей активности по
сети
HTTP://
+
Application Visibility and Control (AVC)Фильтрация URL
51. 51
Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика
ботнетов (“Phone-home”)
• Сканирование всего трафика, на всех
портах, по всем протоколам
• Обнаружение вредоносного ПО,
обходящего порт 80
• Предотвращение трафика ботнетов
Мощные данные для борьбы с
вредоносным кодом
• Автоматически обновляемые
правила
• Генерация правил в реальном
времени, используя “динамическую
идентификацию”
Инспекция
пакетов и
заголовков
Интернет
52. 52
6,5 млн. вредоносных веб-сайтов
блокируется каждый день
Security Intelligence Operations – Cisco для Cisco
Вредоносное ПО, заблокированное
за один день:
• 441 К - Троян
• 61 К - Прочее вредоносное ПО
• 29 К - Зашифрованные файлы (отслеживание)
• 16,4 К - Рекламные сообщения
• 1 К - Загрузчики Трояна
• 55 - Фишинговые URL
• 22 - Средства наблюдения за коммерческими
системами
• 5 - Черви
• 3 - Номеронабиратели
Статистика веб-трафика Cisco:
• 330-360 млн. посещений
веб-сайтов в день
• 6-7 млн. (2%) заблокировано
Транзакции,
заблокированные WSA:
• 93,5% - Веб-репутация
• 4,5% - Категория URL
• 2% - Антивредоносное ПО
53. 53
Решения Cisco в области безопасности электронной
почты на базе SIO
Устройство Облако Гибридные Управляемые
Защита от угроз
Защита о спама и вирусов
Целевая защита от угроз
Безопасность данных
Предотвращение потери данных
Шифрование
Централизованная
прозрачность и контроль
Поддержка
нескольких устройств
Виртуальные
54. 54
Защита Cisco Email Security
Cisco® SIO
Репутационная фильтрация SenderBase
Предотвращение спама и и спуфинга
Антивирусное сканирование & AMP
Анализ URL в реальном времени
Доставка Карантин Переписать URL Отбросить
Отбросить
Отбросить/Карантин
Отбросить/Карантин
Карантин/Переписать
55. 55
• Заведомо легитимная
почта доставляется
• Подозрительные
сообщения
ограничиваются по
скорости и фильтруются
от спама
• Заведомо нежелательная
почта блокируется
IronPort
Anti-Spam
Входящая почта
Хорошие, плохие
и неизвестные сообщения
Фильтрация
по репутации
Cisco о Cisco
Наш корпоративный
опыт работы
с электронной почты
Категория сообщения % Сообщения
Остановлено фильтрацией на основе репутации 93.1% 700,876,217
Остановлено по причине недействительных получателей 0.3% 2,280,104
Обнаружен спам 2.5% 18,617,700
Обнаружен вирус 0.3% 2,144,793
Остановлено фильтром контента 0.6% 4,878,312
Общее количество сообщений об угрозах: 96.8% 728,797,126
Чистые сообщения 3.2% 24,102,874
Общее количество сообщений: 752,900,000
Фильтрация репутации SenderBase
Предотвращение угроз в реальном времени
56. 56
Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых
сообщений
Перенаправление подозрительных
ссылок для анализа и выполнения в
защищенное облако
Фильтрация плохих URL базируется
на репутации web и категориях
58. 58Каждый день блокируется 35 млн. сообщений электронной почты
Электронные сообщения,
заблокированные ESA
Электронных
сообщений*
в месяц
Электронных
сообщений
в день
Электронных
сообщений на одного
работника в день
%
На основании репутации 73 млн. 3,3 млн. 43 94%
На основании содержания спама 4,3 млн. 0,2 млн. 3 5%
На основании недействительных
подтверждений
0,4 млн. 0,02 млн. 0.25 1%
Доставленные сообщения
электронной почты
Электронных
сообщений
в месяц
Электронных
сообщений в день
Электронных сообщений на
одного работника в день
%
Прислано 124 млн. 5,6 млн. 73
Заблокировано 77 млн. 3,5 млн. 46 63%
Доставлено 37 млн. 1,7 млн. 22 30%
Доставлено с отметкой “Маркетинг” 9 млн. 0,4 млн. 5 7%
Устройство защиты электронной почты — Cisco для Cisco
Вредо-
носное
ПО
Спам
59. 59
Централизованное управление & отчеты
Централизованный
репортинг
Централизованное
управление
Встроенный анализ угроз Расследования инцидентов
Понимание
Через угрозы,
данные и приложения
Контроль
Соответствующие политики для
офисов и удаленных пользователей
Видимость
Видимость через различные
устройства, сервисы и сетевой уровень
Централизованное
управление
политиками
Делегированное
управление
60. 60
Веб-безопасность облака Cisco
§ Ведущий провайдер в области веб-безопасности
облака в 2012 г компания Infonetics
§ Лидер рейтинга Magic Quadrant компании Gartner
в 2013 году
§ Время безотказной работы сервисов 99,998%
§ Экономия затрат 30–40% по сравнению
с решениями локального развертывания
§ Лучшее решение по веб-безопасности
с централизованным управлением для
распределенных организаций
§ ISR G2 с управляемой доступностью до Q3FY14
CWS
Защитаотнового
вредоносногоПО
Прозрачность
иконтроль
приложений
Защита
пользователей
вроуминге
(AnyConnect)
Intelligence
Network
Connectors
Обеспечение
безопасностина
базеоблака
Гибкое развертывание
ISR G2* ASA Устройства
веб-безопасности
(WSA)
Облако VPN
61. 61
AMP на Cisco Email и Web Security
• Поддерживается
На Cisco Email Security Appliance
На Cisco Web Security Appliance
На Cisco Cloud Web Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов
62. 62
За горизонтом события ИБ
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо =
Блокировано
Ретроспективное
обнаружение, анализ
продолжается
63. 63
Интеграция AMP & VRT & ESA/WSA/CWS
AMP клиент – единый модуль, который применяется в WSA и ESA
Web/Sender
Reputation
Web/
Email
Proxy
VRT Sandboxing
WSA/ESA/CWS
Amp connector
Локальные
AV-сканеры
Запрос репутации файла
AMP
Cloud
Неизвестный файл,
загрузка в песочницу
Обновление
репутации
файлов
Sandbox
connector
AMP Client
Local
Cache
Обновление
ретроспективы
64. 64
File SHA Hash
‘Fingerprint’
Неизвестно 1->100
Файл
распознан
Файл неизвестен
Отправить в песочницу?
Да
Нет
1->59 : чисто
60->100: заражено
Вердикт «Чисто»
Вердикт «Заражено»
Реакция по политики
ESA / WSA
Amp
Service
Amp Cloud Service
Вердикт
«Чисто» + отправить
в песочницу
Вердикт «Чисто»
Amp Client
Чисто
Заражено
Вердикт Рейтинг
Нет рейтинга
Принятие решений в связке AMP и ESA/WSA/CWS
65. 65
Архитектура безопасности Cisco
Управление Общие политики безопасности и управление безопасностью
API
управления безопасностью
API Cisco ONE
API платформы
API интеллектуальных
ресурсов облака
Координация
Физическое устройство Виртуальные Облако
Уровень
элементов
инфраструктуры
Платформа
сервисов
безопасности
Безопасность
Услуги и
Приложения
API устройства – OnePK, OpenFlow, CLI
Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)
Уровень данных ASIC Уровень данных ПОМаршрутизация – коммутация – вычисление
Управление
доступом
Учет
контекста
Анализ
контекста
Прозрачность
приложений
Предотвращение
угроз
Приложения Cisco в сфере безопасности Сторонние приложения
APIAPI
66. 66
Платформа сервисов безопасности
ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Маршрутизаторы
и коммутаторы Cisco
Общедоступное
и частное облако
ВЕРТИКАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
Устройства обеспечения
безопасности
Виртуализированное устройство |
автоматическое масштабирование |
многопользовательская среда
Устройство обеспечения безопасности,
действующее как программируемый
сетевой контроллер
67. Межсетевой экран нового поколения Cisco ASA
5500-X. Он единственный у Cisco?
• В 4 раза быстрее чем прежние модели ASA
5500
• Лучший в отрасли межсетевой экран ASA
и решение AnyConnect
• Сервисы межсетевого экрана нового
поколения
• Различные расширенные сервисы
безопасности, не снижающие
производительность
Application
Visibility&
Control(AVC)
Intrusion
Prevention
(IPS)
SecureRemote
Access
(AnyConnect)
WebSecurity
Essentials
(WSE)
Веб-
безопасность
облака
Сервисы Cisco ASA NGFW (программное обеспечение)
Межсетевой экран нового поколения Cisco ASA
серии 5500-X (на аппаратной платформе)
69. 69
Безопасность подразумевает обнаружение,
понимание и блокирование угроз
Высокоскоростная проверка контента
123.45.67.89
Johnson-PC
Операционная система: Windows 7
имя хоста: laptop1
Пользователь: jsmith
IP 12.134.56.78
12.122.13.62
SQL
Реальность: сегодня основой безопасности
является предотвращение угроз
Реальность сегодня:
612 нарушений безопасности
в 2012 г.
• 92% происходит от внешний агентов
• 52% используют какую-либо из форм
хакерства
• 40% приходится на долю
вредоносных программ
• 78% атак не отличаются высокой
сложностью
Утечка данных Verizon в 2013 г.
Отчет о расследовании
71. 71
FirePOWER™:
single-pass, высокопроизводительное, с низкой задержкой
• Гибкая интеграция в программное
обеспечение
NGIPS,NGFW, AMP
Все вышеперечисленные
(просто выбрать соответствующий размер)
• Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с ->40 Гбит/с
Стекирование для масштабирования,
кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем
предотвращения вторжения, межсетевых экранов
нового поколения
от NSS Labs
До 320 ядер RISC
До 40 Гбит/с (система предотвращения вторжений)
72. 72
• Все устройства включают:
Интегрированное дистанционное
управление
Технологию ускорения Sourcefire
ЖК-дисплей
SSL2000
SSL1500
SSL8200
Устройства FirePOWER
74. 74
7010
7020
7030
1U,
половинная
ширина
1U,
половинная
ширина
1U,
половинная
ширина
50
Мбит/с
100
Мбит/с
250
Мбит/с
8
портов
1
Гбит/с,
медь
8
портов
1
Гбит/с,
медь
8
портов
1
Гбит/с,
медь
Один
источник
питания
пер.
тока
Мощность
Один
источник
питания
пер.
тока
Мощность
Один
источник
питания
пер.
тока
Мощность
Все
устройства
серии
7000
поддерживают
стационарные
конфигурации
сетевых
портов,
дистанционное
управление,
твердотельные
диски
и
ЖК-‐интерфейс.
Устройства 7000 Series FirePOWER
75. 75
7110
7120
7115
7125
1U
1U
1U
1U
500
Мбит/с
1
Гбит/с
750
Мбит/с
1,25
Гбит/с
8
портов
1
Гбит/с,
медь
или
оптоволокно
8
портов
1
Гбит/с,
медь
или
оптоволокно
4
стационар.,
1
Гбит/с,
медь
8
SFP
4
стационар.,
1
Гбит/с,
медь
8
SFP
Резервный
источник
питания
пер.
тока
Резервный
источник
питания
пер.
тока
Резервный
источник
питания
пер.
тока
Резервный
источник
питания
пер.
тока
Все
устройства
7100
поддерживают
дистанционное
управление,
твердотельные
диски
и
ЖК-‐интерфейс.
Устройства 7100 Series FirePOWER
____
* SFP НЕ поддерживают настраиваемый обход; они относятся к типу «закрыть при отказе».
76. 76
8120 8130 8140
1U 1U 1U
2 Гбит/с 4 Гбит/с 6 Гбит/с
3 слота 3 слота 3 слота
До 12 портов До 12 портов До 12 портов
1U
Комплект для
стекирования
В устройство 8140 можно добавить один дополнительный стекирующий
модуль для повышения общей производительности системы.
Устройства 8100 Series FirePOWER
Все
устройства
серии
8000
поддерживают
взаимозаменяемые
сетевые
модули,
дистанционное
управление,
твердотельные
диски,
источники
питания
пер.
и
пост.
тока,
резервные
источника
питания
и
ЖК-‐интерфейс.
77. 77
Все
устройства
серии
8000
поддерживают
взаимозаменяемые
сетевые
модули,
дистанционное
управление,
твердотельные
диски,
источники
питания
пер.
и
пост.
тока,
резервные
источника
питания
и
ЖК-‐интерфейс.
8250
8260
8270
8290
2U
4U
6U
8U
10
Гбит/с
20
Гбит/с
30
Гбит/с
40
Гбит/с
7
слотов
6
слотов
5
слотов
4
слота
До
28
портов
До
24
портов
До
20
портов
До
16
портов
____
Устройства
8270
и
8290
поддерживают
соединения
40G.
Для
этого
необходимо
приобрести
сетевые
модули
40G
Для
устройств
8250
и
8260
требуется
модуль
коммутации
40G,
обеспечивающий
поддержку
соединений
40G,
после
чего
необходимо
установить
сетевые
модули
40G
Примечание.
Для
сетевого
модуля
40G
требуется
2
слота
Устройства 8200 Series FirePOWER
78. 78
Новые устройства серии FirePOWER 8300
• Та
же
платформа,
что
и
серия
8200
• Та
же
стекируемая
архитектура,
что
и
серия
8200
• ~50%
больше
вычислительных
ядер
vs.
серии
8200
8370
8360
8350
30 Gbps
15 Gbps
IPS
Throughput
60 Gbps
45 Gbps
8390
Sourcefire
Proprietary
&
Confiden€al
79. 79
Виртуальный сенсор
Виртуальные сенсоры
Виртуальный центр защиты
• Встроенное или пассивное развертывание
• Полный набор функциональных возможностей системы
предотвращения вторжений нового поколения
• Развертывается как виртуальное устройство
• Сценарии использования
Преобразование SNORT
Небольшие / удаленные площадки
Виртуализированные рабочие нагрузки (PCI)
• Управляет до 25 сенсорами
физические и виртуальные
одно окно
• Сценарии использования
Быстрая оценка
Предварительное тестирование перед производством
Операторы связи
ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает
RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.
DC
80. 80
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
NGFW NGIPS AMP
Одна платформа служит для обработки всеv
жизненным циклом атаки
ДО
Вы видите,
вы контролируете
ВО ВРЕМЯ
Интеллектуальные
и с учетом контекста
ПОСЛЕ
Ретроспективные
средства безопасности
81. Ценностная архитектура системы
предотвращения вторжений нового поколения
Информирование
пользователей
Осведомленность
об угрозах
DAQ
Осведомлённость
о состоянии сети
Инструменты обнаружения
Инструмент корреляции
Инструмент
создания правил
Инструмент создания
презентаций
Сопоставление
каталогов
Службы каталогов
Сервисы
репутации
Пользовательский
интерфейс
Инструмент
создания отчетов
Сервисы определения
местоположения
Сервисы
восстановления
Обнаружение аномалий
«Отправлять мне SMS-сообщение
только в случае реальной атаки
на телефон Android одного из наших
исполнительных директоров».
Оповещения
Корреляция
Идентификация Осведомленность
82. 82
Межсетевой экран нового поколения: на базе системы
предотвращения вторжений нового поколения
• Ресурсы и пользователи, сопоставленные с
помощью FireSIGHT
• Нарушения правил доступа, обнаруженные
встроенными системами предотвращения
вторжений нового поколения
• Контроль приложений и контроль доступа,
коммутация и маршрутизация,
обеспечиваемые межсетевым экраном
нового поколения
• ЕДИНСТВЕННЫЙ межсетевой экран
нового поколения, который содержит
полнофункциональную систему
предотвращения вторжений нового
поколения
83. 83
Межсетевой экран нового поколения Sourcefire
Ориентирован на угрозы
• Система предотвращения вторжений
нового поколения – проверка содержимого
• FireSIGHT – учет контекста
• Интеллектуальная система безопасности –
управление черным списком
• Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению,
пользователю, URL-адресу
• И все эти компоненты прекрасно
интегрируются друг с другом
Используются политики системы предотвращения
вторжений
Политики контроля файлов
Политика
межсетевого экрана
Политика в отношении
системы предотвращения
вторжений нового поколения
Политика в отношении
файлов
Политика в отношении
вредоносных программ
Контролируемый
трафик
Коммутация,
маршрутизация, сеть VPN,
высокая доступность
Осведомленность об URL-
адресах
Интеллектуальная система
безопасности
Определение местоположения
по IP-адресу
84. 84
Лицензирование Sourcefire
Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование
Асимметричная
многопроцессорная
обработка
Система предотвращения
вторжений нового
поколения
Межсетевой экран нового
поколения
Стандартные
функции
устройства
Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓
Регистрация подключений / потока ✓ ✓ ✓ ✓
Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓
Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓
Защита
Ведущая система предотвращения вторжений NSS
Расширенная
лицензия
* ✓ ✓
Комплексное предотвращение угроз * ✓ ✓
Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓
Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓
Базовое предотвращение потери данных в правилах IPS (SSN, кредитные
карты и пр.) * ✓ ✓
Контроль
[1]
Контроль доступа: применение по приложению
Расширенная
лицензия
Расширенная
лицензия
Расширенная лицензия
✓
Контроль доступа: применение по пользователю ✓
Коммутация, маршрутизация и возможности NAT [3] ✓
VPN Сеть VPN «узел-узел» IPSec [2]
Расширенная
лицензия
Расширенная
лицензия
Расширенная лицензия ✓
Фильтрация
URL-адресов
Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год
Защита от
вредоносных
программ
Подписка на блокирование вредоносных программ, непрерывный анализ
файлов, отслеживание траектории движения вредоносных программ в сети
Стоимость на год Стоимость на год Стоимость на год Стоимость на год
[1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT
“*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок
85. 85
Выделенное устройство Advanced
Malware Protection (AMP)
Advanced Malware Protection
for FirePOWER (NGIPS, NGFW)
FireAMP для узлов, виртуальных
и мобильных устройств
Защита от вредоносного кода (антивирус)
86. 86
Наш подход к расширенной защите от вредоносных программ
SaaS Manager
Сенсор Sourcefire
Центр управления FreeSIGHT
Лицензия на
AMP Malware
#
✔✖
#
Сервисы
обнаружения и анализ
больших данных
AMP для сетей AMP для оконечных устройств
SSL:443 | 32137
Пульсация: 80
87. 87
Advanced Malware Protection
Dedicated Advanced
Malware Protection
Appliance
AMP for FirePOWER
(NGIPS / NGFW)
AMP for Gateway:
Email Security
Appliance
Web Security
Appliance
Cloud Web Security
Gateway Network
PC’s
Mac’s
Mobile Devices
Virtual Machines
Endpoint
Public Cloud
Private Cloud
До
В
процессе
После
Облачные
преимущества:
ü Коллективная
разведка
ü Непрерывный
анализ
ü Ретроспектива
ü Отслеживание
ü Анализ причин
ü Контроль
88. 88
FireAMP Private Cloud
§ Портал
управления
для
быстрого
внедрения
и
менеджмента
§ Защита
на
уровне
сети
и
оконечных
устройств
§ Обезличенные
файлы
могут
передаваться
в
глобальное
облако
§ Отслеживание
эпидемий
89. 89
Операционная архитектура оконечного устройства
Системные данные
Имя хоста
IP-адрес хоста
Пульсация
Имя для входа
в систему
Отсутствуют данные, которые могут быть
использованы для идентификации личности (PII)
Дополнительные PII
Захват сетевого
трафика
Регистрация данных
подключения для
отслеживаемых файлов
Данные сети
Хэширование
отслеживаемых файлов
Проверка
локального кэша
Запрос
расположения
Блокирование вредоносных
расположений
Данные файлов
PII
Условные обозначения
90. 90
Интеллектуальные инструменты размещены на стороне сервера
Тепловая карта
Отчетность
I.O.C.
Траектория
Анализ
событий
Активы
Учетная запись
Черные списки
Политика
Управление
системой
Программа подкачки данных
центра управления FreeSIGHT
Каналы
безопасности
Кэш/диспетчер по запросу клиента
Контроль
эпидемий
Настраиваемое
обнаружение
Контроль
приложений
Анализ
в изолированной
программной среде
Веб-
Консоль
FireAMP
Облако
SourcefireИнструменты обнаружения
Система управления событиями / механизм больших данных (правила, события)
Система
регистрации
Извлечение
данных
91. 91
Конкретный
(ОДИН К ОДНОМУ)
(•)
Механизмы обнаружения AMP
Общий
(ETHOS)
{•••}
Дерево решений
(SPERO)
Интегративный
(Расширенный
анализ)
∫ 1
пользователи, механизмы
Момент
сопротивления
при обнаружении
Основной
Хэш
Функция
Печать
ОДИН К ОДНОМУ
Перехватывает «известные»
вредоносные программы с
помощью первичного
сопоставления SHA.
Эквивалентно системе на базе
сигнатур.
ETHOS
Перехватывает семейства вредоносных
программ с помощью «нечеткого хэша»,
встроенного в функцию печати.
Противодействует обходу правил
вредоносными программами за счет
«битового жонглирования».
SPERO
Использует методы технологии
искусственного интеллекта для обнаружения
вредоносных программ в режиме реального
времени с учетом среды и поведения.
Периодически проверяет хранилище больших
данных для выполнения ретроспективного
анализа
РАСШИРЕННЫЙ АНАЛИЗ
Интегрирует функции эвристического
анализа из среды вредоносной
программы, хранилища больших
данных, ETHOS и SPERO позволяют
разъяснить результаты признания
программ вредоносными
92. 92
§ Какие
системы
были
заражены?
§ Почему
это
произошло?
§ Где
источник
заражения?
§ За
что
еще
он
отвечает?
§ С
кем
он
еще
взаимодействовал?
Смотритевсуть:траекторияустройства
Смотрите широко: траектория сети
Анализ траектории файла и устройства – поиск
источника заражения
95. 95
Комплексная защиты от вредоносных программ
• Полный набор
функций
• Непрерывный анализ
• Интегрированные
инструменты
реагирования
• Анализ
больших данных
• Контроль
и восстановление
Интеллектуальная система коллективной безопасности
96. 96
Sourcefire Defense Center®
• Настраиваемая инструментальная
панель
• Комплексные отчеты и оповещения
• Централизованное управление
политиками
• Иерархическое управление
• Обеспечение высокой доступности
• Интеграция с существующими системами
безопасности
98. 98
DC750 DC1500 DC3500
Макс. число управляемых
устройств*
10 35 150
Макс. число событий системы
предотвращения вторжений
20 млн. 30 млн. 150 млн.
Система хранения событий 100 Гб 125 Гб 400 Гб
Макс. сетевая карта
(хосты | пользователи)
2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.
Макс. скорость потока
(потоков/с)
2000 потоков/с 6000 потоков/с 10000 потоков/с
Возможности
высокой доступности
Дистанционное управление (LOM)
RAID 1, LOM,
High Availability
pairing (HA)
RAID 5, LOM,
HA, резервный
источник питания пер. тока
Устройства центра обеспечения защиты
* Макс. число устройств зависит от типа сенсора и частоты событий
104. 104
Понимание контекста в FireSIGHT
Просмотр
всего
трафика
приложения...
Поиск
приложений
с
высокой
степенью
риска...
Кто
их
использует?
Какие
использовались
операционные
системы?
Чем
еще
занимались
эти
пользователи?
Как
выглядит
их
трафик
за
период
времени?
107. 107
«Черные
списки»
§ Что это?
• Сигналы тревоги и правила блокирования:
• Трафик ботнетов и C&C / Известные злоумышленники /
открытые прокси/релеи
• Источники вредоносного ПО, фишинга и спама
• Возможно создание пользовательских списков
• Загрузка списков от Sourcefire или иных источников
§ Как это может помочь?
• Блокировать каналы вредоносных коммуникаций
• Непрерывно отслеживать любые
несанкционированные и новые изменения
109. 109
• IP
–адреса
должны
быть
маршрутизируемыми
• Два
типа
геолокационных
данных
Страна
–
включено
по
умолчаниюt
Full
–
Может
быть
загружено
после
установки
Почтовый
индекс,
координаты,
TZ,
ASN,
ISP,
организация,
доменное
имя
и
т.д.
Ссылки
на
карты
(Google,
Bing
и
другие)
• Страна
сохраняется
в
запись
о
событии
Для
источника
&
получателя
Детали по геолокации
111. 111
Платформы ASA и FirePOWER
Производительность
и размещение в сети
Устройство системы
предотвращения вторжений
нового поколения
Интегрированный межсетевой
экран + система предотвращения
вторжений
Домашний офис / небольшой филиал
50-250 Мбит/с
FirePOWER 7010/20/30 ASA 5505
Филиал
500 Мбит/с - 1 Гбит/с
FirePOWER 7100 ASA 5512/5515
Интернет-периметр
1-2 Гбит/с
FirePOWER 7120/7125/8120 ASA 5525/5545
Комплекс зданий
2-10 Гбит/с FirePOWER 8100/8200 ASA 5555 & 5585-10/20
Центр обработки данных,
10-40 Гбит/с
FirePOWER 8200 ASA 5585-40/60
Примечание. К автономным системам предотвращения вторжений могут применяться ограничения в отношении
использования в домашних офисах и небольших филиалах
112. 112
АЛЬТЕРНАТИВА
ASA 5500-X с
межсетевым экраном
нового поколения
Межсетевой экран ASA +
межсетевой экран и система
предотвращения вторжений
нового поколения
FirePOWER
Межсетевой экран ASA +
FirePOWER
Межсетевой экран ASA
5585 с системой
предотвращения
вторжений
Межсетевой экран ASA
55х5 с системой
предотвращения
вторжений
Межсетевой экран
нового поколения
ASA 5500-X
Межсетевой экран ASA + межсетевой экран и
система предотвращения вторжений нового
поколения FirePOWER
Межсетевой экран ASA +
межсетевой экран и система
предотвращения вторжений
нового поколения FirePOWER
АЛЬТЕРНАТИВА
ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ
Позиционирование
Межсетевой экран ASA
5585 с системой
предотвращения
вторжений
Операции безопасности
Покупатели для центров обработки данных
{Комплексная
безопасность является
основным критерием
при покупке}
Операции безопасности
Покупатели граничных устройств
{Комплексная безопасность является
основным критерием при покупке}
Сетевые операции
Покупатели для центров
обработки данных
{Консолидация устройств
является основным
критерием при покупке}
Сетевые операции
Покупатели граничных устройств
{Консолидация
устройств
является основным
критерием при покупке}
113. 113
Не забывайте: приложения зачастую используют
шифрование
• и по умолчанию используют SSL
• Преимущества решения внешнего дешифрования Sourcefire
Повышенная производительность – ускорение и политика
Централизованное управление ключами
Поддержка взаимодействия со сторонними продуктами
SSL1500 SSL2000 SSL8200
1,5 Гбит/с 2,5 Гбит/с 3,5 Гбит/с
4 Гбит/с 10 Гбит/с 20 Гбит/с
114. 114
Решение SSL Appliance
• «Известный серверный ключ» для SSL
v2
Требуется доступ к серверному ключу
Выполняет дешифрование входящих
данных SSL
• «Повторное подписание сертификата»
для SSL v3
Требуется промежуточный сертификат
в браузерах
Выполняет дешифрование исходящих
данных SSL
Метод известного серверного ключа
Метод повторного подписывания сертификата
115. 115
Гибкие варианты развертывания
На территории и за пределами территории потребителя
Варианты
разверты-
вания
Коннекторы /
Переадре-
сация
На территории потребителя Облако
Облако
МСЭМаршрутизатор Роуминг
Виртуальное
решение
Межсетевой экран
нового поколения
Роуминг
Устройство
Устройство
Клиентские
системы
Неявная Явная
МСЭМаршрутизатор
Неявная Явная
116. 116
Предотвращение потери данных
Снижение риска утечки конфиденциальной информации
На территории
заказчика
Интеграция
политик DLPс
использованием
протокола ICAP
CWS
Устройства веб-безопасности
(WSA)
Облако
Устройство
DLP другого
производителя
+
Базовая
политика
DLP
Расширенная политика
DLP
118. 118
Every Platform Needs Context
Every Platform has Context to Share
pxGrid
обмен
контекстом
Информация для обмена информацией о
безопасности– pxGrid
SIO
Единая
инфраструктура
Прямые,
защищенные
интерфейсы
119. 119
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM),
облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование значения Сети
Текущая экосистема
партнеров Cisco
120. Широкий охват и глубина видимости IP-устройств в сети
Платформа для анализа контекста и
управления политиками
Cisco Identity Service Engine (ISE)
121. 121
Cisco ISE - унифицированное управление
контекстом и сетью
Преимущества унифицированного
управления контекстом
Более глубокое понимание вопросов, связанных с
сетью и с безопасностью
Более детальное управление BYOD и
чувствительными пользователями/группами
Выявление важных сетевых событий и событий
безопасности и создание условий для их
использования
Унификация пакетов политик
Готовность к Всеобъемлющему Интернет
Кто | Что | Где | Когда | Как
Инфраструктура
ИТ или IoT
Cisco ISE
Политики
Совместное
использование
контекста
Выполнение
сетевых
действий
Сеть на базе
Cisco
124. 124
Cisco ISE и SIEM/защита от угроз
• Уточнение, на каких событиях в сфере безопасности требуется
сосредоточиться
• Анализ безопасности на базе устройства, пользователя и группы
позволяет SIEM/TD тщательно проверить определенные среды, например,
BYOD или группы пользователей высокого риска
• Обеспечение эффективности событий в сфере безопасности в сети
Сетевой карантин для
пользователей и
устройств с помощью ISE
SIEM & TD ПРИНИМАЮТ МЕРЫ
Идентификация, тип устройства, оценка состояния,
уровень авторизации, местоположение
CISCO ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ
Преимущества
125. 125
Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения
• Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и
привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства
• ISE связывает привилегии доступа с контекстом соответствия
Cisco ISE + pxGrid = экосистема безопасности
126. 126
Пример контроля доступа с интеграцией с MDM
126
Jail BrokenPIN Locked
EncryptionISE Registered PIN LockedMDM Registered Jail Broken
127. 127
Sourcefire
API
Framework
для
интеграции
с
другими
решениями
• eStreamer
–
Защищенный
канал
для
передачи
данных
о
событиях
ИБ
• Host
Input
–
Использование
3rd
данных
об
узлах
и
уязвимостях
• Remedia€on
–
Реагирование
через
решения
3rd
фирм
• JDBC
Interface
–
Запросы
по
событиям
безопасности
и
узлам
129. 129
Создать
Купить
Дружить
• Инвестиции в R&D
составляют 13% от
оборота по
безопасности
• 2000 инженеров по
безопасности
• 11,769 патентов
25+ поглощений в области безопасности
Предлагать то, что нужно!
130.
131. 131
Sourcefire FireSIGHT видит «все»
КАТЕГОРИИ ПРИМЕРЫ
SOURCEFIRE
СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ И МЕЖСЕТВЫЕ
ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ
СТАНДАРТНАЯ
СИСТЕМА
ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ
СТАНДАРТНЫЙ
МЕЖСЕТЕВОЙ
ЭКРАН НОВОГО
ПОКОЛЕНИЯ
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
138. 138
TrustSec
Enabled
Enterprise
Network
Identity
Services
Engine
NetFlow: Switches, Routers,
и ASA 5500
Контекст: NBAR/
AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое
понимание внутренней активности в сети
Flow
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы
Cisco Identity, Device, Posture, Application
Cyber Threat Defense обеспечивает внутренние
контроль и защиту
139. 139
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch
FlowCollector
StealthWatch
Management
Console
NetFlow
StealthWatch
FlowSensor
StealthWatch
FlowSensor VE
Users/Devices
Cisco ISE
NetFlow
StealthWatch
FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
140. 140
Cat 3K-X
w/ Service Module
Line-Rate
NetFlow
Cat 4K
Sup7E, Sup7L-E
Line-Rate
NetFlow
ISR, ASR
Scale
NetFlow
NBAR2
Adds
NetFlow
Доступ
Доступ/
распределение
Периметр
Cat 6K
Sup2T
Cat 2K-X
the only L2 w/Netflow
Откуда мы берем данные для анализа?
ASA
141. 141
Cisco CTD: обнаружение угроз без сигнатур
Что делает 10.10.101.89?
Политика Время начала Тревога Источник Source Host
Groups
Цель Детали
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная утечка
данных
10.10.101.89 Атланта,
Десктопы
Множество хостов Наблюдается 5.33 Гб. Политика
позволяет максимум до 500 Мб
142. 142
Cisco CTD: обнаружение угроз без сигнатур
Высокий Concern Index показывает значительное
количество подозрительных событий
Группа узлов Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
143. 143
Cisco CTD и Cisco ISE: сила в единстве
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя пользователя Тип устройства Цель
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная
утечка данных
10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество
хостов
146. 146
Cisco Cyber Threat Defense: крупным планом
Обнаружение разных типов
атак, включая DDoS
Детальная статистика о всех
атаках, обнаруженных в сети
147. 147
Сеть и безопасность:
синергия обеспечивает эффективность
Кластеризация сервиса центра
обработки данных обеспечивает
непревзойденные возможности
масштабирования
Автоматическая сетевая
переадресация
Единообразное, комплексное обеспечение безопасности
Реализация политик
Мобильность и использование BYOD:
ускорение / обеспечение возможности
реализации
Ускорение обработки
больших наборов данных
Обнаружение угроз
Безопасность
Сеть
Реализация
масштабирования
Ускорение
обнаружения
Агрегация
уникального
контекста
151. 151
ТРАДИЦИОННАЯ
СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛЬ SDN
В ЦОДАХ
БУДУЩАЯ
ОТКРЫТАЯ МОДЕЛЬ
Сеть узлов Виртуализация SDN Application Centric
Infrastructure
Виртуализированные МСЭ
Cisco ASA 1000V / VSG
Cisco ONE / eXtensible Network
Controller
Cisco vESA / vWSA
Imperva WAF / Citrix NetScaler
Традиционные решения
по защите ЦОД
Межсетевой экран
«север-юг»
Предотвращение
вторжений
Cisco ACI
Cisco Application
Programmable Interface
Controller (APIC)
Cisco ASAv
Эволюция ЦОДов
152. 152
ВИРТУАЛЬНАЯ ФИЗИЧЕСКАЯ
ASA 5585-X
Кластеризация с
поддержкой состояния
Масштабирование до 640
Гбит/с
ASAv
Полный набор
функций ASA
Независимость от
гипервизора
Масштабирование
ASA
Новое решение – Cisco ASAv
153. 153
Cisco IPS for SCADA
Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• RTU
• Все основные вендоры
• Schneider
• Siemens
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• И больше..
154. 154
Защита индустриальных систем с помощью
Sourcefire
• 2 препроцессора для Modbus и DNP3
• Возможность написания собственных сигнатур
• Свыше сотни встроенных сигнатур
CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin
Iconics Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE
Sielco
ScadaTec
Sinapsi
DATAC
WellinTech
Tridium
Schneider Electric
CODESYS
155. 155
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Modbus TCP -Unauthorized Write Request to a PLC
Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502
(flow:from_client,established; content:”|00 00|”; offset:2; depth:2;
pcre:”/[Ss]{3}(x05|x06|x0F|x10|x15|x16)/iAR”; msg:”Modbus TCP
–Unauthorized Write Request to a PLC”; reference:scada,
1111007.htm; classtype:bad-unknown; sid:1111007; rev:1; priority:1;)
Резюме Неавторизованный Modbus-клиент попытался записать
информацию на PLC или иное устройства
Воздействие Целостность системы
Отказ в обслуживании
Информация
Подверженные системы PLC и другие устройства с Modbus TCP сервером
156. 156
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized communications with HMI
Сигнатура alert tcp192.168.0.97 any <> ![192.168.0.3,192.168.10.21] any
(msg:"HMItalking to someone other than PLC or RTU -NOT
ALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме Попытка неавторизованной системы подключиться к HMI
Воздействие Компрометация системы
Информация
Подверженные системы PLC;RTU;HMI;DMZ-Web
157. 157
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized to RTU Telnet/FTP
Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized
connection attempt to RTU Telnet”; flow:from_client,established;
content:”GET”; offset:2; depth:2; reference:DHSINLroadshow-
IDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;)
Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-
серверу
Воздействие Сканирование
Компрометация системы управления
Информация
Подверженные системы RTU
160. 160
Смотреть надо ШИРЕ и Cisco делает это
Сетевые
сервера
Операционные
системы
Роутеры и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложений
Протоколы
приложений
Сервисы
Malware
Командные
сервера
Уязвимости
Netflow
Поведение
сети
Процессы
ISE для Политики & Identity AMP на оконечных устройствахСеть дает контекст
162. 162
Обнаружение и блокирование
продвинутых угроз
?
Разведывательные
данные
Угроза
обнаружена
История событий
Как
Что
Кто
Где / откуда
Когда
ISE + Сеть, Устройства (NGFW/NGIPS)
Контекст
FireAMP, CWS (Cognitive), Устройства
Записано
Реализация политики