Использование технологий компании Cisco

632 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
632
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
31
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Использование технологий компании Cisco

  1. 1. Использование технологий компании Cisco для своевременного обнаружения киберугроз Михаил Кадер mkader@cisco.com security-request@cisco.com 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  2. 2. Современные угрозы 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  3. 3. Угрозы становятся как никогда изощреннее Манипуляция Script Kiddies 13.01.2014 Группы хактивистов Шпионаж Организованная преступность © 2013 Cisco and/or its affiliates. All rights reserved. Разрушение Спец службы
  4. 4. Сама по себе безопасность периметра малоэффективна Только вся сеть целиком имеет достаточный уровень наблюдаемости для выявления сложных угроз Целевые угрозы зачастую обходят периметр Устройства периметра Кража данных Контроль и управление 13.01.2014 Сетевая разведка и распространение © 2013 Cisco and/or its affiliates. All rights reserved.
  5. 5. Ваша сеть СКОМПРОМЕТИРОВАНА! Вы знаете где? 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  6. 6. Знать атакующего Кто? • Страна? Конкуренты? Частные лица? Что? • Что является целью? Когда? • Когда атака наиболее активна и с чем это связано? Где? • Где атакующие? Где они наиболее успешны? Зачем? • Зачем они атакуют – что конкретно их цель? Как? 13.01.2014 • Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? © 2013 Cisco and/or its affiliates. All rights reserved.
  7. 7. Знать себя Кто? • Кто в моей сети? Что? • Что делают пользователи? Приложения? • Что считать нормальным поведением? Когда? Где? Зачем? Как? 13.01.2014 • Устройства в сети? Что считать нормальным состоянием? • Где и откуда пользователи попадают в сеть? • Внутренние? eCommerce? Внешние? • Зачем они используют конкретные приложения? • Как всё это попадает в сеть? © 2013 Cisco and/or its affiliates. All rights reserved.
  8. 8. Что поможет на эти вопросы? 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  9. 9. Широкий спектр средств защиты Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной фильтрации, средства защиты баз данных и порталов и т.п. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  10. 10. Что объединяет всех?! Маршрутизация всех запросов Источники всех данных Управление всеми устройствами Контроль всех потоков СЕТЬ Контроль всех данных Видимость всего трафика 13.01.2014 Контроль всех пользователей © 2013 Cisco and/or its affiliates. All rights reserved.
  11. 11. NetFlow – забытый инструмент сетевой безопасности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  12. 12. Существующие защитные стратегии Обнаружение угроз на базе сигнатур / репутации Сетевой периметр Внутренняя сеть 13.01.2014 Обнаружение угроз на базе аномалий МСЭ IPS/IDS Ловушки Контентная фильтрация Web/Email трафика Cisco Cyber Threat Defense © 2013 Cisco and/or its affiliates. All rights reserved.
  13. 13. Обнаружение вторжений: сценарии Система обнаружения сетевых вторжений • на основе сигнатур • пассивный сбор • первичный источник оповещения Анализ сетевых потоков • слабое воздействие на устройства • основной инструмент исследования • небольшой требуемый объем памяти Журнал Syslog сервера • инструмент глубокого анализа • возможность фильтрации • ограниченное воздействие на систему 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  14. 14. Не везде есть IPS, но везде есть NetFlow C B A B A C A B C 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  15. 15. NetFlow – это редко используемый источник данных ИБ 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  16. 16. Вспомним: NetFlow для задач безопасности • Обнаружение сложных и постоянных угроз. Вредоносное ПО может долгое время «спать» внутри корпоративной сети, ожидая команды. Это могут быть угрозы дня «0», для которых еще нет антивирусных сигнатур или которые сложно обнаружить по другим причинам. • Обнаружение Бот-сетей и их каналов управления. Бот-сети могут быть внедрены в сети предприятий для выполнения таких вредоносных активностей, как рассылка СПАМ-а, проведения атак типа «отказ в обслуживании», или других действий. • Выявление сетевой разведки. В процессе некоторых атак вначале идет сканирование сети жертвы для определения возможного вектора атаки и дальнейшей разработки направленного, специализированного вторжения. • Обнаружения вредоносного ПО, распространяющегося внутри организации. Распространение вредоносного программного обеспечения может охватывать узлы внутри сети для выполнения сетевой разведки, хищения данных, использования каналов утечек. • Предотвращение утечек данных. Вредоносный код может быть скрыт в корпоративной сети и использоваться для передачи конфиденциальной информации злоумышленнику. Это может осуществляться как однократно, так и периодически. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  17. 17. Откуда мы можем получать NetFlow? Из всех критичных и важных точек 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  18. 18. Полный и выборочный NetFlow Выборочный трафик ПОЛНЫЙ трафик • Часть трафика, обычно менее 5%, • Весь трафик подлежит сбору • Дает быстрый взгляд в сеть • Предоставляет исчерпывающий обзор всей сетевой активности • Эквивалент внимательного постраничного чтения + пометки на полях + закладки Похоже на чтение каждой 20-й страницы книги. Технической книги-справочника  Выборка полезна для мониторинга сети, но не для безопасности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  19. 19. Netflow для обнаружения аномалий 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  20. 20. Поведенческий анализ 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  21. 21. NetFlow Security Event Logging NetFlow Security Event Logging Визуализация политик безопасности Эффективный механизм учета :  Syslog (классический метод) — Текстовый, одно событие на пакет —~30% нагрузки на процессор  NetFlow —Компактный, множество событий на пакет —~7-10% нагрузки на процессор 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  22. 22. Детали использования NSEL Cisco NSEL отличается от стандартного NetFlow    Потоки в NSEL двунаправленные Поток NSEL равен соединению на ASA Событие NSEL создается на каждое соединение ASA Основан на событиях    Изначально записи создавались по трем событиям статуса соединения В ASA v8.4.5 информация о потоке посылается по таймеру активности Заблокированные соединения тоже создают записи NSEL Записи NSEL создаются по следующим событиям    13.01.2014 Flow creation – каждый раз при создании соединения Flow teardown – каждый раз при завершении успешно созданного соединения Flow denial – при блокировании соединения, например фильтром (ACL) © 2013 Cisco and/or its affiliates. All rights reserved.
  23. 23. Cisco Cyber Threat Defense 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  24. 24. Lancope StealthWatch Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения Признанный игрок рынка мониторинга сети и безопасности Cisco Solutions Plus Product — Общие дизайны Cisco+Lancope — Совместные инвестиции в развитие — Доступность в канале продаж Cisco Отличный уровень сотрудничества с Cisco 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  25. 25. Cyber Threat Defense = Cisco + Lancope Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 TrustSec Enabled Enterprise Network NetFlow: Switches, Routers, и ASA 5500 Identity Контекст: Services NBAR/AVC Engine Данные о контексте угрозы Cisco Identity, Device, Posture, Application Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  26. 26. Компоненты решения Cyber Threat Defense StealthWatch Management Console Другие коллекторы https https Cisco ISE StealthWatch FlowCollector StealthWatch FlowReplicator NetFlow NetFlow StealthWatch FlowSensor NBAR NSEL Cisco Network 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. StealthWatch FlowSensor VE Users/Devices
  27. 27. Масштабируемая архитектура • Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX) • До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер) • Понимание контекста 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  28. 28. Архитектура решения Cyber Threat Defense Devices Access Distribution Management Edge Branch Сбор и анализ StealthWatch FlowCollector Catalyst® 3750-X Access Point Catalyst® 3750-X Stack WLC Access Point З NetFlow записей ISR-G2 NetFlow StealthWatch Management Console Site-toSite VPN Catalyst® 3560-X Campus Catalyst® 4500 Identity Cisco ISE Catalyst® Catalyst® 6500 6500 Catalyst® 5500 13.01.2014 Корреляция и отображение потоков, идентификационные данные ASA AAA services, profiling and posture assessment Remote Access Масштабируемая NetFlow NetFlow инфраструктура © 2013 Cisco and/or its affiliates. All rights reserved. Capable Cisco TrustSec: Access Control, Profiling and Posture
  29. 29. Cyber Threat Defense 1.1.1 CTD 1.1.1 был выпущен в ноябре     13.01.2014 Lancope StealthWatch 6.4.1 Интеграция с ISE 1.2 Раcширенная поддержка ASA Расширенная поддержка NetFlow для Catalyst 3850 © 2013 Cisco and/or its affiliates. All rights reserved.
  30. 30. StealthWatch 6.4 Обнаружение прикладных атак «отказ в обслуживании»  Slowloris Учет пользователей      Поиск по имени пользователя Анализ по пользователям используя таблицу потоков Пользователи в NetFlow Аналитические таблицы по пользователям «Снимок» пользователя Стартовые помощники Экспорт отчетов в формате (.csv) Поддержка Cisco ASA 8.4(5) и 9.1(2) NSEL Детальная статистика по потокам для репликации Масштабируемость и производительность      13.01.2014 FlowSensor Flow Collection Engine Интеграция с Cisco ISE Производительность отчета по приложениям Информация о DHCP © 2013 Cisco and/or its affiliates. All rights reserved.
  31. 31. StealthWatch 6.4.1 и ISE 1.2 Интеграция Syslog: • До 210000 активных сессий в таблице идентификации и устройств • Рекомендация - 2000 аутентификаций в секунду Release Noted sev2’s: • CSCuj86159 - ISE посылает не все сообщение syslog под большой нагрузкой • CSCuj89866 - 3850 задержки с передачей учетной информации Рекомендация – включить на всех коммутаторах: aaa accounting update periodic 5 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  32. 32. Решаемые задачи • • • • • • • • • • 13.01.2014 Обнаружение брешей в настройках МСЭ Обнаружение незащищенных коммуникаций Обнаружение P2P-трафика Обнаружение неавторизованной установки локального Web-сервера или точки доступа Обнаружение попыток несанкционированного доступа Обнаружение ботнетов (командных серверов) Обнаружение атак «отказ в обслуживании» Обнаружение инсайдеров Расследование инцидентов Обнаружение неисправностей © 2013 Cisco and/or its affiliates. All rights reserved.
  33. 33. Cisco CTD: обнаружение атак без сигнатур Что делает 10.10.101.89? Политика Время начала Тревога Источник Source Host Groups Цель Детали Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Множество хостов Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  34. 34. Cisco CTD: обнаружение атак без сигнатур Высокий Concern Index показывает значительное количество подозрительных событий Группа узлов Узел CI CI% Тревога Предупреждения Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan Слежение за активностью как одного узла, так и группы узлов 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  35. 35. Обнаружение бот-сетей Периодические обращения к центру управления Что смотрим: • Счетчики • Приложения • Соотношение приема/передачи • Время суток • Повторяющиеся соединения • Повторяющиеся «мертвые» соединения • Долгоживущие потоки • Известные центры управления Бот-сетями 13.01.2014 Методы обнаружения: Host Lock Violation Suspect Long Flow Beaconing Host Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C © 2013 Cisco and/or its affiliates. All rights reserved.
  36. 36. Сигналы CTD о Бот-сетях Сигнал тревоги Описание Host Lock Violation Указывает, что узел нарушил ограничения доступа. Suspect Long Flow Продолжительность двунаправленного соединения между внешним и внутренним узлами превысила параметр “Seconds required to qualify a flow as long duration”. Beaconing Host Продолжительность однонаправленного трафика между внутренним и внешним узлами превысила параметр “Seconds required to qualify a flow as long duration”. Bot C&C Server Узел во внутренней сети выступает командным пунктом Бот-сети. Это событие появляется тогда, когда адрес такого узла совпадает с известным адресом командного пункта. Bot Infected Host – Attempted C&C Узел во внутренней сети пытается установить соединение с известным командным пунктом, соответственно является частью бот-сети. Соединение однонаправленное. Bot Infected Host – Successful C&C Узел во внутренней сети установил соединение с известным командным пунктом, соответственно является частью бот-сети. Соединение двунаправленное. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  37. 37. Обнаружение Бота Zeus: Нарушение правила доступа User Host Group Zeus C&C Servers Host Group 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  38. 38. Обнаружение Бота Zeus по известному узлу Alarm Details 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  39. 39. Детали соединения с командным пунктом Zeus Группа узлов Бот-сетей Внутренний узел 13.01.2014 Сервер Zeus © 2013 Cisco and/or its affiliates. All rights reserved. Много маленьких соединений HTTP
  40. 40. Профиль трафика с командным пунктом Бота: День 1 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  41. 41. Инфицированные узлы – соединения изнутри наружу Israel! WTF? 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  42. 42. Профиль трафика 77.125.224.146 – первый день 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  43. 43. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  44. 44. Traffic Profile with 77.125.224.146 – 20 Days 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  45. 45. Обнаружение сетевой разведки Продолжительный и медленный процесс для определения ресурсов и уязвимостей Что смотрим: • Много потоков • Однонаправленные или неподтвержденные соединения • Потоки на группу подсетей или узлов • Потоки на несуществующие адреса IP • Профили трафика • Аномалии 13.01.2014 Методы обнаружения: Индекс проблемности Много трафика Узлы-приманки © 2013 Cisco and/or its affiliates. All rights reserved.
  46. 46. Сигналы CTD о сканировании Сигнал тревоги Описание High Concern Index Указывает что индекс проблемности или: • Превысил пороговое значение (сумма для всех проблемных событий) • Быстро растет High Traffic Для узла – указывает, что средний поток данных за 5 минут превысил пороговое значение. Trapped Hosts Показывает, что узел превысил количество дней в месяце когда он может быть просканирован. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  47. 47. Обнаружение эпидемии вредоносного ПО Обнаружение ответов узлов и реализованных уязвимостей Что смотрим: • Много потоков • Соединения внутри подсети/группы узлов • Профиль трафика • Аномалии 13.01.2014 Методы обнаружения: Индекс проблемности, Индекс цели, Задействованные узлы, Сигнал распространения червей, Контроль распространения червей © 2013 Cisco and/or its affiliates. All rights reserved.
  48. 48. Сигналы CTD о распространении червей Сигнал тревого Описание High Concern Index Указывает что индекс проблемности или: • Превысил пороговое значение (сумма для всех проблемных событий) • Быстро растет High Target Index Приоритезированный список узлов, которые выглядят жертвами вредоносной активности. Touched Host Указывает, что определенный узел (с высоким индексом проблемности или приманка) устанавливает соединение с узлом-жертвой и обменивается данными. Это часто бывает при новой эпидемии червей, когда они сканируют сеть для поиска уязвимых узлов и затем инфицируют них. Worm Propagation Указывает, что узел, зараженный червем, обратился к данному узлу. Этот узел, затем, после сканирования, обращается к больше чем определенному числу подсетей класса C. Worm Tracker Это визуализация распространения червя по сети. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  49. 49. Обнаружение утечек данных Экспорт данных ресурса Промежуточный ресурс для привлечения злоумышленников Что смотрим: • Исторический срез передачи данных • Приложения • Время суток • Счетчики • Объем данных – единичный и общий • Временные границы • Ассиметричный потоки данных • Поток данных между функциональными группами 13.01.2014 Метод обнаружения: Возможная утечка данных Возможно длинный поток Однонаправленный трафик © 2013 Cisco and/or its affiliates. All rights reserved.
  50. 50. Сигналы CTD об утечке данных Alarm Description Suspect Data Loss Указывает, что общий объем потоков данных TCP или UDP, которые внутренний узел выгрузил на внешние узлы превысил пороговое значение. Система создает базовые профили трафика для каждого внутреннего узла для нормального исходящего трафика. Suspect Long Flow Продолжительность двунаправленного соединения между внешним и внутренним узлами превысила параметр “Seconds required to qualify a flow as long duration”. Beaconing Host Продолжительность однонаправленного трафика между внутренним и внешним узлами превысила параметр “Seconds required to qualify a flow as long duration”. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  51. 51. Обнаружение атак типа «отказ в обслуживании» Определить цели • Цели атаки • Аномальный объем трафика • Снижение производительности Определить атакующих 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  52. 52. Сигналы CTD об атаках типа «отказ в обслуживании» - 1/2 Alarm Description High Target Index Приоритезированный список узлов, которые выглядят жертвами вредоносной активности. Server Response Time Используя FlowSensor и FlowSensor VE technology, CTD может сообщить, когда сервер начинает «захлебываться». Packets Per Second CTD может показать рост нагрузки на сеть, забивающую сетевые ресурсы. Interface Congestion Метрики производительности интерфейсов постоянно контролируются, обеспечивая отображение атаки на аппаратном уровне. Max Flows Served Для каждого сервера создается профиль нормального количества соединений. Если он превышен – передается сигнал тревоги на консоль управления CTD. Max SYNS Received Когда серверы начинают получать избыточное количество пакетов TCP SYN, идет уведомление на консоль CTD. Relationship High Total Traffic Когда специальные запросы HTTP создаются, чтобы «перебить» данные, идущие от сервера баз данных к Web-серверу, сообщение об этом может сообщить о проблеме, которую не видят другие системы обнаружения атак типа «отказ в обслуживании». © 2013 Cisco and/or its affiliates. All rights reserved. 13.01.2014
  53. 53. Сигналы CTD об атаках типа «отказ в обслуживании» - 2/2 Alarm Description New Host Active Легитимные пользователи обычно регулярно посещают серверы. Атакующие узлы обычно потом к жертве не возвращаются. CTD может различать эти две категории. Max Flows Initiated Анализируя количество потоков в минуту для легитимного пользователя, CTD может сообщать об узлах, которые превышают эту норму. Slow Connection Flood Определение наличия атак типа «отказ в обслуживании» на прикладном уровне при использовании специального ПО, такого как Slowloris 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  54. 54. CTD: Понимание контекста угрозы 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  55. 55. Не зная броду, не суйся в воду 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  56. 56. Добавляя контекст и понимание Внутри ВАШЕЙ сети Снаружи ВАШЕЙ сети ЛОКАЛЬНО ГЛОБАЛЬНО Бизнес Контекст Кто Что Как Откуда Когда 13.01.2014 A C I2 I4 © 2013 Cisco and/or its affiliates. All rights reserved. Ситуационный анализ угроз Репутация Взаимодействия APP Приложения URL Сайты
  57. 57. Откуда мы можем взять контекст? Users/Devices Cisco Identity Services Engine (ISE) Связь потоков с пользователями и конечными устройствами 13.01.2014 Network Based Application Recognition (NBAR) NetFlow Secure Event Logging (NSEL) Связь потоков с приложениями, идущими через маршрутизаторы Связь потоков с разрешенными и заблокированными соединениями на МСЭ © 2013 Cisco and/or its affiliates. All rights reserved.
  58. 58. Узлы и ролевые функции ISE ISE ISE Администри рование Мониторинг Ролевая функция — одна или несколько из следующих: •Администрирование •Мониторинг Оценка состояния в потоке трафика Сервис политик Одиночный узел ISE (устройство или виртуальная машина) •Сервис политик 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. Одиночный узел оценки состояния на пути трафика (только устройство)
  59. 59. Архитектура ISE Мониторинг Ведение журналов Администрирование Оконечное устройство 13.01.2014 Ведение журналов Просмотр журналов/ отчетов Просмотр / настройка политик Запрос доступа Сервис политик Контекст запроса / ответа Атрибуты запросов Внешние данные Ведение журналов Реализация © 2013 Cisco and/or its affiliates. All rights reserved. Доступ к ресурсу Ресурс
  60. 60. Получение контекста от Cisco ISE Политика Время старта Тревога Источник Группа хостов источника Имя пользователя Тип устройства Цель Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество хостов Cisco ISE – унифицированная система управления и контроля защищенным доступом к внутренним ресурсам 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  61. 61. Получение контекста от Cisco ASA / ISR / ASR Поле Flow Action может добавить дополнительный контекст NSEL-отчетность на основе состояний для поведенческого анализа  Сбор информации о отклоненных или разрешенных соединениях 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  62. 62. Заблокированные потоки 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  63. 63. Учет потоков при расчете индекса проблемности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  64. 64. Учет трансляции адресов (NAT) 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  65. 65. Проверка Botnet Traffic Filter Bot infected host alarm Flow before BTF enabled Flow after BTF enabled ASA Log 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  66. 66. Географическое блокирование по IP Настройка: 1. Настроить ASA как устройство предотвращения в FlowCollector 2. Создать правило Host Lock Violation Alarm для США на внутренние узлы 3. Создать политику USA Geo 4. Установить политику предотвращения Host Locking Violation для US Geo 13.01.2014 Требование: Блокировать все входящие соединения из некоторых стран, например США Команда Shun выполняется Flow Collector при возникновении события Host Lock Violation © 2013 Cisco and/or its affiliates. All rights reserved.
  67. 67. CTD: Отчеты 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  68. 68. Полная видимость всего, что происходит во внутренней сети 3560-X Internet Atlanta ASR-1000 San Jose WAN 3925 ISR Cat6k New York Datacenter Cat4k ASA DM Z Access UCS с Nexus 1000v 13.01.2014 Cat6k 3850 Stack(s) © 2013 Cisco and/or its affiliates. All rights reserved.
  69. 69. Визуализация по разным срезам 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  70. 70. Консоль управления CTD 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  71. 71. Крупным планом Детальная статистика о всех атаках, обнаруженных в сети Обнаружение разных типов атак, включая DDoS 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  72. 72. Предустановленные политики Предполагаемая утечка данных Слишком высокий показатель совместного использования файлов Достигнуто максимальное количество обслуженных потоков 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  73. 73. Расследование инцидентов Когда? Участник Участник Каким образом? Сколько? 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  74. 74. Запрос интересующей информации Выберите узел для исследования Поиск исходящего трафика 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  75. 75. Результаты запроса Сервер, DNS и страна Тип трафика и объем 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  76. 76. В заключение 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  77. 77. Традиционных средств защиты периметра недостаточно Целенаправленные угрозы пректируются с учетом необходимости обхода шлюзов безопасности Firewall Распространение угроз внутри периметра Целенаправленные угрозы, входящие изнутри сети IPS Распространение на устройства N-AV Web Sec Email Sec Периметр безопасности останавливает основную часть угроз, тем не менее сложные кибер-угрозы обходят средства безопасности Следы кибер-угроз можно обнаружить только в сети в целом 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  78. 78. Cyber Threat Defense обеспечивает внутренние контроль и защиту Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 TrustSec Enabled Enterprise Network NetFlow: Switches, Routers, и ASA 5500 Identity Контекст: Services NBAR/AVC Engine Данные о контексте угрозы Cisco Identity, Device, Posture, Application Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  79. 79. Объединим все вместе ЧТО ГДЕ/ОТКУДА КОГДА КАК КТО Hardwareenabled NetFlow Switch Видимость, контекст и контроль Устройс тва Внутренняя сеть Контекст Cisco ISE Cisco ASA + NSEL Cisco ISR G2 + NBAR Используем данные NetFlow для расширения видимости на уровне доступа 13.01.2014 Совмещение данных NetFlow с Identity, событиями ИБ и приложениями для создания контекста © 2013 Cisco and/or its affiliates. All rights reserved. Унификация в единой панели возможностей по обнаружению, расследованию и реагированию
  80. 80. CTD завтра Cloud Threat Analytics CoSe ✓✗ ! ✔ Сегодня Lancope StealthWatch: Visibility, Analysis, & Investigation (NetFlow) Content Analysis Telemetry Sources … www 13.01.2014 Network Enforced Policy TrustSec, SDN # pxGrid Telemetry Sources Telemetry Sources … © 2013 Cisco and/or its affiliates. All rights reserved.
  81. 81. Где узнать больше? 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  82. 82. Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

×