Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cisco Cyber Threat Defense

3,470 views

Published on

Published in: Technology
  • Be the first to comment

Cisco Cyber Threat Defense

  1. 1. Cisco Cyber Threat Defense Алексей Лукацкий Бизнес-консультант по безопасности Cisco
  2. 2. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 2 СЕТЬ MOBILITYMOBILITY COLLABORATIONCOLLABORATION CLOUD НОВАЯ КАРТИНА УГРОЗ СНИЖЕНИЕ КОНТРОЛЯ
  3. 3. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 3 • Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной фильтрации, средства защиты баз данных и порталов и т.п.
  4. 4. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 4
  5. 5. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 5 Слайд 5 Шпионаж РазрушениеМанипуляция Script Kiddies Группы хактивистов Организованная преступность Спец службы
  6. 6. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 6 Устройства периметра Контроль и управление Сетевая разведка и распространение Кража данных Целевые угрозы зачастую обходят периметр Только вся сеть целиком имеет достаточный уровень наблюдаемости для выявления сложных угроз
  7. 7. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 7 Advanced Persistent Threats и другие угрозы построянно проходят ваш периметр – это их правило прорыва и необходимое условие распространеня. Они играют не по правилам. ‘break the rules’. X X X X O X X X O O
  8. 8. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 8 Ваша сеть СКОМПРОМЕНТИРОВАНА Вы знаете где?
  9. 9. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 9 • Страна? Конкуренты? Частные лица?Кто? • Что является целью?Что? • Когда атака наиболее активна и с чем это связано?Когда? • Где атакующие? Где они наиболее успешны?Где? • Зачем они атакуют – что конкретно их цель?Зачем? • Как они атакуют – Zero-day? Известные уязвимости? Инсайдер?Как?
  10. 10. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 10 • Кто в моей сети? Кто? • Что делают пользователи? Приложения? • Что считать нормальным поведением?Что? • Устройства в сети? Что считать нормальным состоянием?Когда? • Где и откуда пользователи попадают в сеть? • Внутренние? eCommerce? Внешние?Где? • Зачем они используют конкретные приложения?Зачем? • Как всѐ это попадает в сеть? Как?
  11. 11. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 11
  12. 12. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 12 СЕТЬ Видимость всего трафика Маршрутизация всех запросов Источники всех данных Контроль всех данных Управление всеми устройствами Контроль всех пользователей Контроль всех потоков
  13. 13. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 13 Интегрированная архитектура ИБ Локальный и глобальный анализ угроз Общие политика & Управление Сеть, реализующая политику Многофункциона- льное устройство Анализ угроз Политика & Управление Hardware Сеть Одноцелевое устройство Network Security Content Security Ана- лиз угроз Policy & Mgmt HW Ана- лиз угроз Policy & Mgmt HW Сеть Cisco SecureX обеспечивает: • Понимание контекста • Всесторонний обзор • Масштабируемый контроль • Динамическая адаптация к новым угрозам • Защита данных и приложений
  14. 14. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 14 Всесторонний обзор и масштабируемый контроль Глобальный и локальный анализ угроз Общие политика и управление Информация Реализация Behavioral Analysis Encryption Identity Awareness Device Visibility Policy Enforcement Access Control Threat Defense Sees All Traffic Routes All Requests Sources All Data Controls All Flows Handles All Devices Touches All UsersShapes All Streams Сеть, реализующая политику
  15. 15. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 15
  16. 16. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 16 Обнаружение угроз на базе сигнатур / репутации Обнаружение угроз на базе аномалий Сетевой периметр МСЭ IPS/IDS Обманные системы Внутренняя сеть Контентная фильтрация Web/Email трафика Cisco Cyber Threat Defense
  17. 17. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 18 PerformanceandScalability ЦОДКампусФилиалыSOHO Периметр ASA5585-S60P60 ASA5585-S40P40 ASA5585-S20P20 ASA5585-S10P10 IPS 4510, 4520 IPS-4270 4345 (Saleen) Mar 2012 4360 (Saleen) Mar 2012 IDSM-2 ASA-SSM-40 ASA-SSM-20 ASA-SSM-10 ASA-SSC-5 IPS-4240 IPS-4255 IPS-4260 ISR-NME ISR-AIM
  18. 18. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 19 A B C C B A CA B
  19. 19. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 20
  20. 20. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 21 • Из всех критичных и важных точек
  21. 21. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 22 Выборочный трафик • Часть трафика, обычно менее 5%, • Дает быстрый взгляд в сеть Похоже на чтение каждой 20-й страницы книги. Технической книги-справочника  ПОЛНЫЙ трафик • Весь трафик подлежит сбору • Предоставляет исчерпывающий обзор всей сетевой активности • Эквивалент внимательного постраничного чтения + пометки на полях + закладки Выборка полезна для мониторинга сети, но не для безопасности
  22. 22. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 23
  23. 23. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 24
  24. 24. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 25
  25. 25. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 26 Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения • Признанный игрок рынка мониторинга сети и безопасности • Cisco Solutions Plus Product Общие дизайны Cisco+Lancope Совместные инвестиции в развитие Доступность в канале продаж Cisco • Отличный уровень сотрудничества с Cisco
  26. 26. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 27 TrustSec Enabled Enterprise Network Identity Services Engine NetFlow: Switches, Routers, и ASA 5500 Контекст: NBAR/AVC Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 Данные о контексте угрозы Cisco Identity, Device, Posture, Application
  27. 27. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 28 Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow StealthWatch FlowSensor StealthWatch FlowSensor VE Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Другие коллекторы https https NBAR NSEL
  28. 28. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 29 • Обнаружение брешей в настройках МСЭ • Обнаружение незащищенных коммуникаций • Обнаружение P2P-трафика • Обнаружение неавторизованной установки локального Web-сервера или точки доступа • Обнаружение попыток несанкционированного доступа • Обнаружение ботнетов (командных серверов) • Обнаружение атак «отказ в обслуживании» • Обнаружение инсайдеров • Расследование инцидентов • Troubleshooting
  29. 29. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 30 Что делает 10.10.101.89? Политика Время начала Тревога Источник Source Host Groups Цель Детали Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Множество хостов Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб
  30. 30. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 31 Высокий Concern Index показывает значительное количество подозрительных событий Группа узлов Узел CI CI% Тревога Предупреждения Desktops 10.10.101.118 338,137,280 8,656 % High Concern index Ping, Ping_Scan, TCP_Scan Слежение за активностью как одного узла, так и группы узлов
  31. 31. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 32
  32. 32. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 33 C I2 I4 A ЛОКАЛЬНО Бизнес Контекст Кто Что Как Откуда Когда Внутри ВАШЕЙ сети ГЛОБАЛЬНО Ситуационный анализ угроз Снаружи ВАШЕЙ сети Репутация Взаимо- действия APP Приложения URL Сайты
  33. 33. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 34 Users/Devices Cisco Identity Services Engine (ISE) Network Based Application Recognition (NBAR) NetFlow Secure Event Logging (NSEL) Связь потоков с пользователями и конечными устройствами Связь потоков с приложениями, идущими через маршрутизаторы Связь потоков с разрешенными и заблокированными соединениями на МСЭ
  34. 34. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 35 ISEISE Ролевая функция — одна или несколько из следующих: •Администрирование •Мониторинг •Сервис политик Оценка состояния в потоке трафика Сервис политикМониторингАдминистри рование Одиночный узел ISE (устройство или виртуальная машина) Одиночный узел оценки состояния на пути трафика (только устройство)
  35. 35. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 36 Оконечное устройство РесурсРеализация Внешние данныеПросмотр / настройка политик Атрибуты запросов Запрос доступа Доступ к ресурсу Ведение журналов Контекст запроса / ответа Мониторинг Просмотр журналов/ отчетов Ведение журналов Ведение журналов Админист- рирование Сервис политик
  36. 36. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 37 • Cisco ISE – унифицированная система управления и контроля защищенным доступом к внутренним ресурсам Политика Время старта Тревога Источник Группа хостов источника Имя пользователя Тип устройства Цель Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество хостов
  37. 37. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 38 • Поле Flow Action может добавить дополнительный контекст • NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях
  38. 38. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 39 Cisco ISE Management StealthWatch Management Console StealthWatch FlowCollector Сбор и анализ З NetFlow записей Корреляция и отображение потоков, идентификационные данные Cisco TrustSec: Access Control, Profiling and Posture NetFlow Capable Devices Catalyst® 3750-X Catalyst® 3560-X Catalyst® 5500 Catalyst® 4500 Access Point Access Point Access BranchCampus Distribution Catalyst® 3750-X Stack WLC Catalyst® 6500 Catalyst® 6500 Edge Site-to- Site VPN ASA ISR-G2 Remote Access NetFlow Identity Масштабируемая NetFlow инфраструктура AAA services, profiling and posture assessment
  39. 39. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 40 • Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX) • До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер) • Понимание контекста
  40. 40. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 41 InternetAtlanta San Jose New York ASR-1000 Cat6k UCS с Nexus 1000v ASA Cat6k 3925 ISR 3560-X 3850 Stack(s) Cat4kDatacenter WAN DM Z Access
  41. 41. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 42
  42. 42. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 43
  43. 43. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 44 Обнаружение разных типов атак, включая DDoS Детальная статистика о всех атаках, обнаруженных в сети
  44. 44. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 45 Предполагаемая утечка данных Слишком высокий показатель совместного использования файлов Достигнуто максимальное количество обслуженных потоков
  45. 45. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 46 Когда? Сколько? УчастникУчастник Каким образом?
  46. 46. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 47 Выберите узел для исследования Поиск исходящего трафика
  47. 47. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 48 Сервер, DNS и страна Тип трафика и объем
  48. 48. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 49
  49. 49. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 50 • Оценка готовности сети (Netflow-enabled сеть) • Проектирование • Пилотирование • Ограниченная продуктивная эксплуатация • Расширение на всю сеть • Интеграция с Cisco ISE • Применение для оптимизации правил защиты на других устройствах сети: МСЭ, IPS/IDS, ESA, WSA, ACL коммутатора, отражение DDoS • Построение процесса «Cyber Threat Defense»
  50. 50. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 51 Сидней Токио 13 миллиардов потоков / день 600 Гб / день Хранение в течение 90 дней Бангалор Амстердам RTP SJC
  51. 51. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 52 • Заказчики с Security Operations Center • Любая сделка по ISE • Виртуализированные среды • Каждая модернизация ядра сети • Любая 10Gbps сеть • Заказчик, подпадающий под требование нормативных актов • Заказчики с указанными проблемами: Проблема видимости сети Ботнеты Утечки данных Сетевое сканирование Распространение вредоносного кода BYOD
  52. 52. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 53 • Большое предприятие со следующими исходными данными Общий объем потоков - 150,000 fps (потоков в секунду) Сеть разделена на три географических региона, каждый из которых генерит до 70,000 fps трафика в пике, но не одновременно Старое средство мониторинга уже используется для анализа NetFlow в одном регионе; до 35,000 fps. Это позволит установить FlowReplicator в этом регионе 14 ESX узлов в ЦОДе требуют мониторинга трафика виртуальных машин Отказоустойчивый резервный SMC требуется
  53. 53. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 54 Заказ для большого предприятия
  54. 54. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 55 http://cisco.com/go/CCW Create -> Configuration -> Find Products
  55. 55. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 56 Пошагово #2 ИЛИ
  56. 56. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 57 Management Consoles Lancope Collectors Licenses Управление. 1 или 2 для отказоустойчивости. Поддержка коллекторов в таблице Коллектор. Агрегация и нормализация полученных от источников NetFlow. Подбор по таблице Лицензии на потоки (Flows Per Second). Можно собирать в любых вариантах для получения необходимого количества
  57. 57. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 58 Прикидки по устройству/месту в сети: • Обычно один типовой источник NetFlow генерить между 1,000 и 5,000 fps на 1 Gbps трафика, проходящего через него. Тем не менее, это слишком общее руководство, применяемое только для начального сайзинга. • 100 пользователей небольшого офиса с Cisco ISR2950 генерируют около 160 fps • Enterprise core Catalyst 6500 / Sup720 генерирует около 7500 fps • Large e-commerce website with a Nexus 7000 генерирует более 15,000 fps • 30,000 студентов кампуса с ASR 9000 сгенерируют ок 35,000 fps на границе WAN edge • Большой e-commerce веб-сайт с Catalyst 6500 / Sup2T сгенерирует около 75,000 fps Прикидки по размеру компании: • Сеть Cisco генерирует 140,000 fps с пиками вплоть до 180,000 fps • Средний large enterprise – 110,000-160,000 fps • Средний medium enterprise – 50,000-80,000 fps После прикидок пересчитать по реальной статистике Заказчика Как вариант – во время пилотного проекта
  58. 58. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 59 Sensors Replicators Сенсор, производящий NetFlow. Нужен там, где инфраструктура не способна выдавать полный NetFlow с нужной производительностью. Полезен если не хочеться сильно менять настройки сети. Добавляем как источники в нужных узлах сети. Может выдавать информацию по приложениям, там где нет поддержки NBAR на устройствах Репликатор. Упрощает дизайн: можно собрать потоки от множества устройств и перенаправить единым потоком данных на FlowCollector или на совершенно иные анализаторы NetFlow (SIEM и т.п.). Подбираем столько, сколько считаем нужным.
  59. 59. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 60
  60. 60. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 61
  61. 61. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 62
  62. 62. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 63 Firewall IPS Web Sec N-AV Email Sec Целенаправленные угрозы пректируются с учетом необходимости обхода шлюзов безопасности Распространение угроз внутри периметра Периметр безопасности останавливает основную часть угроз, тем не менее сложные кибер-угрозы обходят средства безопасности Следы кибер-угроз можно обнаружить только в сети в целом Распространение на устройства Целенаправленные угрозы, входящие изнутри сети
  63. 63. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 64 TrustSec Enabled Enterprise Network Identity Services Engine NetFlow: Switches, Routers, и ASA 5500 Контекст: NBAR/AVC Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 Данные о контексте угрозы Cisco Identity, Device, Posture, Application
  64. 64. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 65 Устройс тва Внутренняя сеть Видимость, контекст и контроль Используем данные NetFlow для расширения видимости на уровне доступа Унификация в единой панели возможностей по обнаружению, расследованию и реагированию Совмещение данных NetFlow с Identity, событиями ИБ и приложениями для создания контекста КТО ЧТО ГДЕ/ОТКУДА КОГДА КАК Hardware- enabled NetFlow Switch Cisco ISE Cisco ISR G2 + NBAR Cisco ASA + NSEL Контекст
  65. 65. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 66
  66. 66. Спасибо! security-request@cisco.com

×