SlideShare a Scribd company logo

Сеть как сенсор и средство контроля

Cisco Russia
Cisco Russia

Использование сети для обнаружения и защиты от угроз.

Technology
1 of 52
Download to read offline
Дмитрий Казаков Системный инженер, CISSP, CCIE Security, CEH Июнь 2016 Использование сети для обнаружения и защиты от угроз Сеть как сенсор и средство контроля
Проблемы безопасности Увеличение векторов атак Динамический ландшафт угроз Сложность и фрагментация
Нельзя защитить то чего не видишь 60% Данных крадется в первые ЧАСЫ 85% Взломов пунктов продаж не обнаруживаются НЕДЕЛЯМИ 54% Взломов остаются не обнаруженными МЕСЯЦАМИ 51%увеличение компаний сообщающих о потере $10M или более за последние 3 ГОДА “Сообщество которое находится в прямой видимости легко избегает обнаружения и атакует быстро” - “Ежегодный отчет Cisco по безопасности”
Расследуя проникновение Разведка Жертва нажимает на ссылку в фишинговом письме Вредоносное ПО загружается через backdoor Поиск административного компьютера Эскалация привилегий до Админа Вывод данных с использованием прав админа Информация монетизируется после взлома
Модель безопасности ориентированная на угрозы ДО Изучить Применить Усилить ПОСЛЕ Оценить Расследовать Исправить Ж и з н е н н ы й ц и к л а т а к и Обнаружить Блокировать Защитить ВО ВРЕМЯ Сеть как средство контроля Сеть как сенсор
Создавая архитектуру безопасной сети Объединяя Сеть как сенсор / Сеть как средство контроля Сетевой сенсор (StealthWatch) Кампус/ЦОД Коммутаторы/WLC Cisco Маршрутизаторы/ Сторонние устройства Угроза pxGRID Сетевые сенсоры Сетевые точки контроля Обмен контекстом и политикой Cisco Collective Security Intelligence Конфиденциальные данные NGIPS pxGRID ISE NGFW TrustSec Программно - определяемая сегментация
Интеграция безопасности в сеть Обнаружить и классифицировать системы Понять поведение Применение политики Активный мониторинг Динамическая сегментация Дизайн и моделирование политики
Безопасность начинается с видимости Невозможно защитить то чего не видишь Что находится в сети? И что оно может делать?
Интегрируя безопасность в сеть Обнаружить и классифицировать системы Динамическая сегментация Профилирование устройств с ISE • Аутентификация пользователей и устройств (User ID, SmartCard, Digital Certificate, etc.) • Аутентификация по MAC адресу • Аутентификация через WEB-портал Профилирование используя NetFlow c StealthWatch • Сервисы, приложения, хосты • Поведенческое профилирование
ISE предоставляет видимость устройств через профилирование Активное сканирование узловИнтегрированное профилирование: Видимость в масштабе Сеть предоставляет функции локального сенсора Обновление профилей — Идентификация в масштабе Производители и экосистема предоставляют постоянные обновления по новым устройствам Активное сканирование: Улучшенная точность Cisco® ISE дополняет пассивно собранную информацию из сети активными данными хостов Cisco ISE CDP/LLDP DHCP RADIUS DNS SNMP NetFlow HTTP NMAP Подписки обновления* Cisco Device Sensor (Сетевой)
Видимость через NetFlow 10.1.8.3 172.168.134.2 Internet Flow Information Packets SOURCE ADDRESS 10.1.8.3 DESTINATION ADDRESS 172.168.134.2 SOURCE PORT 47321 DESTINATION PORT 443 INTERFACE Gi0/0/0 IP TOS 0x00 IP PROTOCOL 6 NEXT HOP 172.168.25.1 TCP FLAGS 0x1A SOURCE SGT 100 : : APPLICATION NAME NBAR SECURE- HTTP МаршрутизаторыКоммутаторы NetFlow предоставляет • Трассировку любой сессии в Вашей сети • Возможность сбора записей везде в сети (коммутатор, роутер или МСЭ) • Измерять использование сети • Возможность поиска связей как север-юг, так и восток-запад • Облегченная видимость в сравнении с анализом SPAN • Индикаторы компрометации (IOC) • Информация о группах безопасности (SGT)
Сеть как сенсор: Cisco StealthWatch pxGrid Видимость в реальном времени на всех сетевых уровнях • Интеллектуальный анализ во всей сети • Обнаружение устройств • Профилирование сети • Мониторинг политики безопасности • Обнаружение аномалий • Средства реагирования на инциденты Cisco ISE Действие по блокировке Информация о контексте NetFlow
Cisco StealthWatch: Обзор системы NetFlow / NBAR / NSEL Сетевые устройства StealthWatch FlowCollector • Сбор и анализ • До 4,000 источников • До 240,000 FPS непрерывно SPAN StealthWatch FlowSensor Генерация NetFlow Устройства без поддержки NetFlow • Управление и отчетность • До 25 FlowCollectors • До 6 миллионов FPS глобально StealthWatch Management Console
Масштабирование видимости: Сращивание потоков 10.2.2.2 порт 1024 10.1.1.1 порт 80 eth0/1 eth0/2 Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 Двунаправленные: • Запись диалоговых потоков • Позволяет легко визуализировать и анализировать Однонаправленные записи потоков Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Bytes Server Pkts Interfaces 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1 eth0/2
Масштабирование видимости: Дедупликация NetFlow Роутер A Роутер B Роутер C 10.2.2.2 порт 1024 10.1.1.1 порт 80 • Без де-дупликации • Объем трафика может быть ошибочным • Появление ложных срабатываний • Эффективное хранение данных потоков • Важно для точной отчетности данных хостов • Не удаляет данные Роутер A: 10.2.2.2:1024 -> 10.1.1.1:80 Роутер B: 10.2.2.2:1024 -> 10.1.1.1:80 Роутер C: 10.1.1.1:80 -> 10.2.2.2:1024 Дубликаты
Диалоговая запись потока • Высоко масштабируется (корпоративный класс) • Высокое сжатие => долгосрочное хранение • Месяцы хранения данных Когда Кто Где Что Кто Группа безопасности Больше контекста
NetFlow анализ с StealthWatch позволяет Обнаруживать Идентифицировать дополнительные IOCs Лучше понимать / реагировать на IOC: Идентификация бизнес-критичных приложений и сервисов в сети Политика и сегментация Обнаружение сетевого аномального поведения (NBAD) Аудит всех переговоров хост- хост
Интегрируя безопасность в сеть Понимание поведения Сетевая сегментация Понимание критических бизнес процессов • Приложения, сервисы, протоколы, время дня, и тд. • Профилирование систем
Поиск систем Искать хосты общающиеся по сети • Отслеживать по данным транзакций
Обнаружение сервисов и приложений Поиск устройств основываясь на транзакционных данных: Пример. Протокол (HTTP Сервера, FTP Сервера, и тд) Идентифицировать сервера и системы
Классифицировать важные приложения Классификация бизнес- критичных приложений
Профилирование бизнес-критических процессов PCI Zone Map Системный профиль Межсистемное взаимодействие
Интеграция безопасности в сеть Сетевая сегментация Дизайн и моделирование политик Классификация объектов в Группы Безопасности • Поиск в сервере каталогов / соответствие группам • Профилирование устройств (по типу устройств) • Другие атрибуты: Время доступа, Местоположение, Метод, и др. Разработка политики • Группировка систем по профилирующей информации • Развертывание в режиме мониторинга Моделирование политики с StealthWatch • Пассивное моделирование политики
Специалисты по сетевой безопасности должны понимать что злоумышленник со временем попадет на рабочую станцию внутри сети. Поэтому предотвращение расширения и распространения угрозы путем ограничения межхостового взаимодействия является критичной компонентой стратегии глубокой защиты
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 Сеть как средство контроля Программно-определяемая сегментация TrustSec Традиционная политика безопасности Политика безопасности TrustSec Автоматизация контроля Упрощенное управление доступом Увеличение эффективности системы ИБ Сетевая фабрика Коммутатор Роутер МСЭ ЦОД Коммутатор ЦОД БЛВС Гибкое и масштабированное применение политик
Сетевая сегментация с TrustSec Пользователь: Петр Петров Группа: Менеджер Склада Локация: Склад Время: Рабочее Группа безопасности: Manager Применение политик Вход только авторизованном у персоналу Коммутаторы Роутеры МСЭ Коммутатор ЦОД Коммутатор Гипервизора Ресурс Сегментация основанная на роли (RBAC) • Независима от адресно-ориентированной топологии Роль основанная на контексте • AD, LDAP атрибуты, тип устройств, местоположение, время, метод доступа, и тд… Использование технологии тегирования • Для описания логических групп (Классификация) • Для применения политики на коммутаторе, роутере и МСЭ Программно задаваемая • Политика управляется централизованно • Политика применяется автоматически по- требованию • Политика применяется в любом месте сети динамически
Как TrustSec упрощает сегментацию сети Уровень доступа Опорная сеть Голос VLAN Голос Данные VLAN Сотрудник Уровень агрегации Поставщик Гости VLAN BYOD BYOD VLAN Карантин Карантин VLAN VLAN Адресация DHCP Пул Надежность Маршруты Статический ACL VACL Политика безопасности основанная на Топологии Высокая стоимость и сложность управления Голос VLAN Голос Данные VLAN Сотрудник Поставщик BYODКарантин Использование имеющейся топологии и автоматизация политики безопасности с уменьшением OpEx ISE Нет изменения VLAN Нет изменения топологии Централизованная политика Микро/Макро Сегментация Тег сотрудника Тег поставщика Тег карантина Уровень доступа Опорная сеть ЦОД МСЭ / Коммутатор ЦОД Сервера Политика TrustSecТрадиционная сегментация
Применение политик Классификация Распространение TrustSec в действии Роутер ISE МСЭ ЦОД Сервер Приложения БЛВС Удаленный доступ Коммутатор Коммутатор ЦОД Сервер Приложения Сервер Директории Пользователи Сеть5 SGT 8 SGT 7 SGT
Что предоставляет TrustSec Программно- определяемую сетевую сегментацию Доступ к данным с учетом контекста Точное изменение политик и простоту управления Основанная на контексте сервисная цепочка
TrustSec частые сценарии развертывания Контроль доступа пользователей в ЦОД Сегментация ЦОД Сегментация кампуса и филиалов • Основанный на контексте доступ • Требования регуляторов PCI, HIPAA, экспортный контроль • Интеграция при слиянии и поглощении • Зонирование серверов, микросегментация • Сегментация разработки от продуктива • Требования регуляторов, PCI, HIPAA • Автоматизация правил МСЭ • Разделение направлений бизнеса • PCI, HIPAA и другие требования регуляторов • Контроль за распространением вредоносного кода / карантин
Статическая классификацияДинамическая классификация Типы классификации Обычная классификация для мобильных устройств Обычная классификация для серверов, Политики с привязкой к топологии, и тд. 802.1X Аутентификация Web Аутентификация MAC Аутентификация IP Address VLANs Subnets L2 Interface L3 Interface Virtual Port Profile Layer 2 Port Lookup SGT
Зачем аутентификация? – Единство контроля политики IP адрес: 10.34.245.3 Сетевое устройство:10.34.25.1 MAC адрес:14:7D:C5:BF:34:85 Политика:? Имя пользователя: Дмитрий Локация: Офис Москва, строение 1 этаж 3 Тип устройства: Dell Laptop – Windows 7 Политика: AD Group – HR, Wired Access, Trusted Device Пользователь: Дмитрий Локация: Public Remote Access VPN Тип устройства: Dell Device – Windows 7 Политика: AD Group – HR, Public, Limited Access Пользователь: Дмитрий Локация : Hospital Office Wi-Fi Тип устройства : Apple iPad Политика : AD Group – HR, PCI Restricted
Опции распространения WAN (GETVPN DMVPN IPSEC) Коммутатор Роутер Роутер МСЭ Коммутатор ЦОД vSwitch СерверПользователь SGT over Ethernet SGT over EthernetSGT over VPN КлассификацияSGACLКлассификация WAN Коммутатор Роутер Router Firewall DC Switch vSwitch ServerПользователь КлассификацияSGFWКлассификация SXP SXP Поддержка гетерогенных сетей Сеть с полной поддержкой TrustSec https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/ https://wiki.opendaylight.org/images/6/6c/SXP_Specification_and_Architecture_v00.pdf SXP/SGToEthernet находятся в IETF Draft
Моделирование и мониторинг политик Имя правила и описание DGTSGT Срабатывает на трафик в обоих направлениях Частное событие генерируется по трафику
Моделирование политики в StealthWatch Создаем правила основанные на потоках При нарушении политики сработает уведомление.
Моделирование политики: Срабатывание тревоги Окно тревог показывает все нарушения политик Детали по событию “Employee to Productions Servers”
Интеграция безопасности в сеть Сетевая сегментация Применение политики Двигаемся к активному применению политик • Стратегическое развертывание • ACL основанные на SGT (SGACL) • Политика МСЭ
ACL основанные на SGT (SGACL) permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip Portal_ACL
SGACL масштабируемая сегментация • Обозначает пользователей / устройства / сервера и роли, такие как сервера Продуктивные и Тестовые • Коммутатор TrustSec запрашивает политики для устройств только тех, которые он защищает • Политики загружаются и применяются динамически • Результат: Программно-определяемая сегментация • Централизованный контроль • Политики безопасности отвязаны от топологии • Отсутствие отдельной настройки коммутаторов • Одно место для аудита сетевых политик • Расширяется двумя механизмами • Настроить метку назначения SGT в FIB, взять метку источника SGT фрейма/FIB • Только информация протокола/порта сохраняется в TCAM Prod_Servers Dev_Servers Dev_Server (SGT=10) Prod_Server (SGT=7) Сегментация назначается в ISE SGT=3 SGT=4 SGT=5 SGACL Enforcement z Коммутаторы загружают только необходимые политики Коммутатор запрашивает политики для защищаемых им устройств
Политика фильтрации МСЭ основанная на SGT Обозначения групп SGT получены ISE Подключаем сервисы FirePower по SGT политике Также можно использовать Network Object (Host, Range, Network (subnet) или FQDN) И / ИЛИ SGT
WEB фильтрация основанная на SGT (WSA Интеграция) Кто: Гость Что: iPad Где: Офис Кто: Доктор Что: Ноутбук Где: Офис Кто: Доктор Что: iPad Где: Офис Корпоративная сеть Интернет W ww Web Security Appliance
Интеграция безопасности в сеть Сетевая сегментация Активный мониторинг Мониторинг сетевой активности • Обнаружить подозрительную и вредоносную активность • Сетевое и аномальное поведение • Нарушение политик • Мониторинг правильной настройки политик • Мониторинг работы бизнеса Адаптивный сетевой контроль • Идентифицировать и блокировать угрозы • Динамически сегментировать сетевые угрозы
Мониторинг сегментации с StealthWatch PCI карта зоны Установить политику взаимодействия зон Мониторинг нарушений
Модель аномального и поведенческого обнаружения Поведенческие алгоритмы применяются для построения “Событий безопасности” СОБЫТИЯ БЕЗОПАСНОСТИ (94 +) КАТЕГОРИИ ТРЕВОГ РЕАГИРОВАНИЕ Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . . ICMP Flood . . Max Flows Initiated Max Flows Served . Suspect Long Flow Suspect UDP Activity SYN Flood . Concern Exfiltration C&C Recon Data Hoarding Exploitation DDoS Target Alarm Table Host Snapshot Email Syslog / SIEM Mitigation СБОР И АНАЛИЗ ПОТОКОВ ПОТОКИ
Интегрированная защита от угроз (Обнаружение и блокирование) Сотрудник Сотрудник Поставщик Карантин Общий сервер Сервер Сегмент высокого риска Интернет Cisco StealthWatch Событие: TCP SYN Scan IP Источника: 10.4.51.5 Роль: Поставщик Реакция: Карантин ISE Изменение Авторизации Карантин Сетевая фабрика
VRF-GUEST Выбор пути основанный на SGT Корпоративный WAN Инспекция Роутер Роутер/ МСЭ Сеть A Policy-based Routing основанный на SGT SGT- основанный выбор VRF Пользователь B Подозрительный  Перенаправление трафика от зараженных хостов • Удержание угрозы, ограничение распространения • Направление трафика через централизованный анализ и функции инспекции Пример в области безопасности  Направлять разные группы пользователей на разные сервисы WAN Другие примеры Пользователь C Гость Пользователь A Сотрудник  Сегментировать трафик в разные VRF на основании контекста Доступно сегодня: Cisco IOS XE Release 3.16S (ASR 1000) и на ASA5500-X (9.5.1)
QoS основанный на SGT Уже доступен на ASR1000 3.17.0s, ISR4000 15.6(1)T0a class-map c4 match security-group source tag 7 match security-group destination tag 8 end policy-map p5 class c4 bandwidth percent 50 set dscp ef end interface gigabitEthernet0/0/0.1 service-policy input p5 100Mbps Gig 0/1 Link Rate WAN-1 CIR Level SGT: Partners SGT: Guest SGT: Employee Voice Video Best Effort Office Предоставляет QoS сервисные уровни на базе usr-group (User-group задается основываясь на контексте)
Подведем итог
NetFlow поддерживаемые платформы WAN Коммутатор Роутер Роутер МСЭ Коммутатор ЦОД СерверПользователь NetFlow Экспортеры Catalyst 2960-X (NetFlow Lite) - Sample Only Catalyst 3560-X (SM-10G module only) Catalyst 3750-X (SM-10G module only) Catalyst 3850/3650 (FNF v9 SGT support) Catalyst 4500E (Sup7E/7LE) Catalyst 4500E (Sup8) (FNF v9 SGT support) Catalyst 6500E (Sup2T) (FNF v9 SGT support) Catalyst 6800 (FNF v9 SGT support) Cisco ISR G2 (FNF v9 SGT support) Cisco ISR 4000 (FNF v9 SGT support) Cisco ASR1000 (FNF v9 SGT support) Cisco CSR 1000v (FNF v9 SGT support) NetFlow Capable StealthWatch Management Console StealthWatch FlowCollector StealthWatch FlowSensor ISE Cisco WLC 5760 (FNF v9) Cisco WLC 5520, 8510, 8540 (v9) * ASA5500, 5500-X (NSEL) Nexus 7000 (M Series I/O modules – FNF v9) Nexus 1000v (FNF v9) Cisco NetFlow Generation Appliance (FNF v9) Cisco UCS VIC (VIC 1224/1240/1280/1340/1380) Cisco AnyConnect Client (IPFIX) *
TrustSec Поддерживаемые платформы WAN (GETVPN DMVPN IPSEC) Коммутатор Роутер Роутер МСЭ Коммутатор ЦОД vSwitch СерверПользователь Распространение ФильтрацияКлассификация Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X/-CX Catalyst 3750-E/-X Catalyst 3850/3650 Catalyst 4500E (Sup6E/7E) Catalyst 4500E (Sup8) Catalyst 6500E (Sup720/2T) Catalyst 6800 WLC 2500/5500/5400/WiSM2/8510/8540 WLC 5760 Nexus 7000 Nexus 6000 Nexus 5500/2200 Nexus 1000v ISRG2, CGR2000, ISR4000 IE2000/3000/CGR2000 ASA5500 (RAS VPN) Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X/3750-X Catalyst 3850/3650 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup, 7E, 7LE, 8E) Catalyst 4500X Catalyst 6500E (Sup720) Catalyst 6500/Sup2T, 6800 WLC 2500/5500/5400/WiSM2/8510/8540 WLC 5760 Nexus 7000 Nexus 6000 Nexus 5500/2200 Nexus 1000v ISRG2,ISR4000 IE2000/3000/CGR2000 ASR1000 ASA5500 Catalyst 3560-X Catalyst 3750-X Catalyst 3850/3650 WLC 5760 Catalyst 4500E (7E) Catalyst 4500E (8E) Catalyst 6500E (2T) Catalyst 6800 Nexus 7000 Nexus 6000 Nexus 5500/5600 Nexus 1000v ISR G2, ISR4000, CGR2000 ASR 1000 Router CSR-1000v Router ASA 5500 Firewall ASAv Firewall Web Security Appliance SGT Распространение РаспространениеКлассификация Фильтрация ISE
Сеть как сенсор и средство контроля подведем итоги TrustSec предоставляет программную (микро) сегментацию NetFlow и Cisco StealthWatch предоставляют видимость и интеллект Сеть это ключевое средство обнаружения угроз и их контроля
Сеть как сенсор и средство контроля

Recommended

Инновации Cisco в беспроводных решениях
Инновации Cisco в беспроводных решенияхИнновации Cisco в беспроводных решениях
Инновации Cisco в беспроводных решенияхCisco Russia
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSCisco Russia
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьCisco Russia
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
Платформы безопасности очередного поколения
Платформы безопасности очередного поколенияПлатформы безопасности очередного поколения
Платформы безопасности очередного поколенияCisco Russia
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Cisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 

Recommended

Инновации Cisco в беспроводных решениях
Инновации Cisco в беспроводных решенияхИнновации Cisco в беспроводных решениях
Инновации Cisco в беспроводных решенияхCisco Russia
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSCisco Russia
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьCisco Russia
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
Платформы безопасности очередного поколения
Платформы безопасности очередного поколенияПлатформы безопасности очередного поколения
Платформы безопасности очередного поколенияCisco Russia
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Cisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 
Digital Network Architecture - новая архитектура Cisco для корпоративных сетей
Digital Network Architecture - новая архитектура Cisco для корпоративных сетейDigital Network Architecture - новая архитектура Cisco для корпоративных сетей
Digital Network Architecture - новая архитектура Cisco для корпоративных сетейCisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДCisco Russia
 
Инновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнесаИнновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнесаCisco Russia
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web SecurityCisco Russia
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
Аналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesАналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesCisco Russia
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеCisco Russia
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksDiana Frolova
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Cisco Russia
 
Контроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLockКонтроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLockCisco Russia
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 
мэ икс
мэ иксмэ икс
мэ иксDiamantigor Igor.Suharev
 
Ruckus Wireless Презентация
Ruckus Wireless ПрезентацияRuckus Wireless Презентация
Ruckus Wireless ПрезентацияМихаил Новиков
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Сеть как сенсор и как регулятор
Сеть как сенсор и как регуляторСеть как сенсор и как регулятор
Сеть как сенсор и как регуляторCisco Russia
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco Russia
 

More Related Content

What's hot

Digital Network Architecture - новая архитектура Cisco для корпоративных сетей
Digital Network Architecture - новая архитектура Cisco для корпоративных сетейDigital Network Architecture - новая архитектура Cisco для корпоративных сетей
Digital Network Architecture - новая архитектура Cisco для корпоративных сетейCisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДCisco Russia
 
Инновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнесаИнновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнесаCisco Russia
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web SecurityCisco Russia
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
Аналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesАналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesCisco Russia
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеCisco Russia
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksDiana Frolova
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Cisco Russia
 
Контроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLockКонтроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLockCisco Russia
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 

What's hot (20)

Digital Network Architecture - новая архитектура Cisco для корпоративных сетей
Digital Network Architecture - новая архитектура Cisco для корпоративных сетейDigital Network Architecture - новая архитектура Cisco для корпоративных сетей
Digital Network Architecture - новая архитектура Cisco для корпоративных сетей
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
 
Инновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнесаИнновации беспроводных решений Cisco на службе Вашего бизнеса
Инновации беспроводных решений Cisco на службе Вашего бизнеса
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web Security
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
Аналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesАналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile Experiences
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networks
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Контроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLockКонтроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLock
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto Networks
 
мэ икс
мэ иксмэ икс
мэ икс
 
Ruckus Wireless Презентация
Ruckus Wireless ПрезентацияRuckus Wireless Презентация
Ruckus Wireless Презентация
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 

Viewers also liked

Сеть как сенсор и как регулятор
Сеть как сенсор и как регуляторСеть как сенсор и как регулятор
Сеть как сенсор и как регуляторCisco Russia
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco Russia
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозCisco Russia
 
Информационная безопасность Олимпийских игр
Информационная безопасность Олимпийских игрИнформационная безопасность Олимпийских игр
Информационная безопасность Олимпийских игрCisco Russia
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
 

Viewers also liked (6)

Сеть как сенсор и как регулятор
Сеть как сенсор и как регуляторСеть как сенсор и как регулятор
Сеть как сенсор и как регулятор
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угроз
 
Информационная безопасность Олимпийских игр
Информационная безопасность Олимпийских игрИнформационная безопасность Олимпийских игр
Информационная безопасность Олимпийских игр
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)
 

Similar to Сеть как сенсор и средство контроля

Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseКраткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseCisco Russia
 
Безопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoБезопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoCisco Russia
 
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUI.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUguestc6d031
 
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUI.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUIvan Kukalo
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Cisco Russia
 
Аналитика в ЦОД
Аналитика в ЦОДАналитика в ЦОД
Аналитика в ЦОДCisco Russia
 
Система Stealthwatch
Система StealthwatchСистема Stealthwatch
Система StealthwatchCisco Russia
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
Контроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdfКонтроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdftrenders
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Решение Lancope StealthWatch
Решение Lancope StealthWatchРешение Lancope StealthWatch
Решение Lancope StealthWatchCisco Russia
 
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиАлексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиExpolink
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Cisco Russia
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияCisco Russia
 

Similar to Сеть как сенсор и средство контроля (20)

Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseКраткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
 
Безопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoБезопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений Cisco
 
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUI.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
 
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUI.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности
 
Аналитика в ЦОД
Аналитика в ЦОДАналитика в ЦОД
Аналитика в ЦОД
 
Система Stealthwatch
Система StealthwatchСистема Stealthwatch
Система Stealthwatch
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
Контроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdfКонтроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdf
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
Решение Lancope StealthWatch
Решение Lancope StealthWatchРешение Lancope StealthWatch
Решение Lancope StealthWatch
 
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиАлексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколения
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
 

Сеть как сенсор и средство контроля

  • 1. Дмитрий Казаков Системный инженер, CISSP, CCIE Security, CEH Июнь 2016 Использование сети для обнаружения и защиты от угроз Сеть как сенсор и средство контроля
  • 3. Нельзя защитить то чего не видишь 60% Данных крадется в первые ЧАСЫ 85% Взломов пунктов продаж не обнаруживаются НЕДЕЛЯМИ 54% Взломов остаются не обнаруженными МЕСЯЦАМИ 51%увеличение компаний сообщающих о потере $10M или более за последние 3 ГОДА “Сообщество которое находится в прямой видимости легко избегает обнаружения и атакует быстро” - “Ежегодный отчет Cisco по безопасности”
  • 4. Расследуя проникновение Разведка Жертва нажимает на ссылку в фишинговом письме Вредоносное ПО загружается через backdoor Поиск административного компьютера Эскалация привилегий до Админа Вывод данных с использованием прав админа Информация монетизируется после взлома
  • 5. Модель безопасности ориентированная на угрозы ДО Изучить Применить Усилить ПОСЛЕ Оценить Расследовать Исправить Ж и з н е н н ы й ц и к л а т а к и Обнаружить Блокировать Защитить ВО ВРЕМЯ Сеть как средство контроля Сеть как сенсор
  • 6. Создавая архитектуру безопасной сети Объединяя Сеть как сенсор / Сеть как средство контроля Сетевой сенсор (StealthWatch) Кампус/ЦОД Коммутаторы/WLC Cisco Маршрутизаторы/ Сторонние устройства Угроза pxGRID Сетевые сенсоры Сетевые точки контроля Обмен контекстом и политикой Cisco Collective Security Intelligence Конфиденциальные данные NGIPS pxGRID ISE NGFW TrustSec Программно - определяемая сегментация
  • 7. Интеграция безопасности в сеть Обнаружить и классифицировать системы Понять поведение Применение политики Активный мониторинг Динамическая сегментация Дизайн и моделирование политики
  • 8. Безопасность начинается с видимости Невозможно защитить то чего не видишь Что находится в сети? И что оно может делать?
  • 9. Интегрируя безопасность в сеть Обнаружить и классифицировать системы Динамическая сегментация Профилирование устройств с ISE • Аутентификация пользователей и устройств (User ID, SmartCard, Digital Certificate, etc.) • Аутентификация по MAC адресу • Аутентификация через WEB-портал Профилирование используя NetFlow c StealthWatch • Сервисы, приложения, хосты • Поведенческое профилирование
  • 10. ISE предоставляет видимость устройств через профилирование Активное сканирование узловИнтегрированное профилирование: Видимость в масштабе Сеть предоставляет функции локального сенсора Обновление профилей — Идентификация в масштабе Производители и экосистема предоставляют постоянные обновления по новым устройствам Активное сканирование: Улучшенная точность Cisco® ISE дополняет пассивно собранную информацию из сети активными данными хостов Cisco ISE CDP/LLDP DHCP RADIUS DNS SNMP NetFlow HTTP NMAP Подписки обновления* Cisco Device Sensor (Сетевой)
  • 11. Видимость через NetFlow 10.1.8.3 172.168.134.2 Internet Flow Information Packets SOURCE ADDRESS 10.1.8.3 DESTINATION ADDRESS 172.168.134.2 SOURCE PORT 47321 DESTINATION PORT 443 INTERFACE Gi0/0/0 IP TOS 0x00 IP PROTOCOL 6 NEXT HOP 172.168.25.1 TCP FLAGS 0x1A SOURCE SGT 100 : : APPLICATION NAME NBAR SECURE- HTTP МаршрутизаторыКоммутаторы NetFlow предоставляет • Трассировку любой сессии в Вашей сети • Возможность сбора записей везде в сети (коммутатор, роутер или МСЭ) • Измерять использование сети • Возможность поиска связей как север-юг, так и восток-запад • Облегченная видимость в сравнении с анализом SPAN • Индикаторы компрометации (IOC) • Информация о группах безопасности (SGT)
  • 12. Сеть как сенсор: Cisco StealthWatch pxGrid Видимость в реальном времени на всех сетевых уровнях • Интеллектуальный анализ во всей сети • Обнаружение устройств • Профилирование сети • Мониторинг политики безопасности • Обнаружение аномалий • Средства реагирования на инциденты Cisco ISE Действие по блокировке Информация о контексте NetFlow
  • 13. Cisco StealthWatch: Обзор системы NetFlow / NBAR / NSEL Сетевые устройства StealthWatch FlowCollector • Сбор и анализ • До 4,000 источников • До 240,000 FPS непрерывно SPAN StealthWatch FlowSensor Генерация NetFlow Устройства без поддержки NetFlow • Управление и отчетность • До 25 FlowCollectors • До 6 миллионов FPS глобально StealthWatch Management Console
  • 14. Масштабирование видимости: Сращивание потоков 10.2.2.2 порт 1024 10.1.1.1 порт 80 eth0/1 eth0/2 Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 Двунаправленные: • Запись диалоговых потоков • Позволяет легко визуализировать и анализировать Однонаправленные записи потоков Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Bytes Server Pkts Interfaces 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1 eth0/2
  • 15. Масштабирование видимости: Дедупликация NetFlow Роутер A Роутер B Роутер C 10.2.2.2 порт 1024 10.1.1.1 порт 80 • Без де-дупликации • Объем трафика может быть ошибочным • Появление ложных срабатываний • Эффективное хранение данных потоков • Важно для точной отчетности данных хостов • Не удаляет данные Роутер A: 10.2.2.2:1024 -> 10.1.1.1:80 Роутер B: 10.2.2.2:1024 -> 10.1.1.1:80 Роутер C: 10.1.1.1:80 -> 10.2.2.2:1024 Дубликаты
  • 16. Диалоговая запись потока • Высоко масштабируется (корпоративный класс) • Высокое сжатие => долгосрочное хранение • Месяцы хранения данных Когда Кто Где Что Кто Группа безопасности Больше контекста
  • 17. NetFlow анализ с StealthWatch позволяет Обнаруживать Идентифицировать дополнительные IOCs Лучше понимать / реагировать на IOC: Идентификация бизнес-критичных приложений и сервисов в сети Политика и сегментация Обнаружение сетевого аномального поведения (NBAD) Аудит всех переговоров хост- хост
  • 18. Интегрируя безопасность в сеть Понимание поведения Сетевая сегментация Понимание критических бизнес процессов • Приложения, сервисы, протоколы, время дня, и тд. • Профилирование систем
  • 19. Поиск систем Искать хосты общающиеся по сети • Отслеживать по данным транзакций
  • 20. Обнаружение сервисов и приложений Поиск устройств основываясь на транзакционных данных: Пример. Протокол (HTTP Сервера, FTP Сервера, и тд) Идентифицировать сервера и системы
  • 22. Профилирование бизнес-критических процессов PCI Zone Map Системный профиль Межсистемное взаимодействие
  • 23. Интеграция безопасности в сеть Сетевая сегментация Дизайн и моделирование политик Классификация объектов в Группы Безопасности • Поиск в сервере каталогов / соответствие группам • Профилирование устройств (по типу устройств) • Другие атрибуты: Время доступа, Местоположение, Метод, и др. Разработка политики • Группировка систем по профилирующей информации • Развертывание в режиме мониторинга Моделирование политики с StealthWatch • Пассивное моделирование политики
  • 24. Специалисты по сетевой безопасности должны понимать что злоумышленник со временем попадет на рабочую станцию внутри сети. Поэтому предотвращение расширения и распространения угрозы путем ограничения межхостового взаимодействия является критичной компонентой стратегии глубокой защиты
  • 25. access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 Сеть как средство контроля Программно-определяемая сегментация TrustSec Традиционная политика безопасности Политика безопасности TrustSec Автоматизация контроля Упрощенное управление доступом Увеличение эффективности системы ИБ Сетевая фабрика Коммутатор Роутер МСЭ ЦОД Коммутатор ЦОД БЛВС Гибкое и масштабированное применение политик
  • 26. Сетевая сегментация с TrustSec Пользователь: Петр Петров Группа: Менеджер Склада Локация: Склад Время: Рабочее Группа безопасности: Manager Применение политик Вход только авторизованном у персоналу Коммутаторы Роутеры МСЭ Коммутатор ЦОД Коммутатор Гипервизора Ресурс Сегментация основанная на роли (RBAC) • Независима от адресно-ориентированной топологии Роль основанная на контексте • AD, LDAP атрибуты, тип устройств, местоположение, время, метод доступа, и тд… Использование технологии тегирования • Для описания логических групп (Классификация) • Для применения политики на коммутаторе, роутере и МСЭ Программно задаваемая • Политика управляется централизованно • Политика применяется автоматически по- требованию • Политика применяется в любом месте сети динамически
  • 27. Как TrustSec упрощает сегментацию сети Уровень доступа Опорная сеть Голос VLAN Голос Данные VLAN Сотрудник Уровень агрегации Поставщик Гости VLAN BYOD BYOD VLAN Карантин Карантин VLAN VLAN Адресация DHCP Пул Надежность Маршруты Статический ACL VACL Политика безопасности основанная на Топологии Высокая стоимость и сложность управления Голос VLAN Голос Данные VLAN Сотрудник Поставщик BYODКарантин Использование имеющейся топологии и автоматизация политики безопасности с уменьшением OpEx ISE Нет изменения VLAN Нет изменения топологии Централизованная политика Микро/Макро Сегментация Тег сотрудника Тег поставщика Тег карантина Уровень доступа Опорная сеть ЦОД МСЭ / Коммутатор ЦОД Сервера Политика TrustSecТрадиционная сегментация
  • 28. Применение политик Классификация Распространение TrustSec в действии Роутер ISE МСЭ ЦОД Сервер Приложения БЛВС Удаленный доступ Коммутатор Коммутатор ЦОД Сервер Приложения Сервер Директории Пользователи Сеть5 SGT 8 SGT 7 SGT
  • 29. Что предоставляет TrustSec Программно- определяемую сетевую сегментацию Доступ к данным с учетом контекста Точное изменение политик и простоту управления Основанная на контексте сервисная цепочка
  • 30. TrustSec частые сценарии развертывания Контроль доступа пользователей в ЦОД Сегментация ЦОД Сегментация кампуса и филиалов • Основанный на контексте доступ • Требования регуляторов PCI, HIPAA, экспортный контроль • Интеграция при слиянии и поглощении • Зонирование серверов, микросегментация • Сегментация разработки от продуктива • Требования регуляторов, PCI, HIPAA • Автоматизация правил МСЭ • Разделение направлений бизнеса • PCI, HIPAA и другие требования регуляторов • Контроль за распространением вредоносного кода / карантин
  • 31. Статическая классификацияДинамическая классификация Типы классификации Обычная классификация для мобильных устройств Обычная классификация для серверов, Политики с привязкой к топологии, и тд. 802.1X Аутентификация Web Аутентификация MAC Аутентификация IP Address VLANs Subnets L2 Interface L3 Interface Virtual Port Profile Layer 2 Port Lookup SGT
  • 32. Зачем аутентификация? – Единство контроля политики IP адрес: 10.34.245.3 Сетевое устройство:10.34.25.1 MAC адрес:14:7D:C5:BF:34:85 Политика:? Имя пользователя: Дмитрий Локация: Офис Москва, строение 1 этаж 3 Тип устройства: Dell Laptop – Windows 7 Политика: AD Group – HR, Wired Access, Trusted Device Пользователь: Дмитрий Локация: Public Remote Access VPN Тип устройства: Dell Device – Windows 7 Политика: AD Group – HR, Public, Limited Access Пользователь: Дмитрий Локация : Hospital Office Wi-Fi Тип устройства : Apple iPad Политика : AD Group – HR, PCI Restricted
  • 33. Опции распространения WAN (GETVPN DMVPN IPSEC) Коммутатор Роутер Роутер МСЭ Коммутатор ЦОД vSwitch СерверПользователь SGT over Ethernet SGT over EthernetSGT over VPN КлассификацияSGACLКлассификация WAN Коммутатор Роутер Router Firewall DC Switch vSwitch ServerПользователь КлассификацияSGFWКлассификация SXP SXP Поддержка гетерогенных сетей Сеть с полной поддержкой TrustSec https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/ https://wiki.opendaylight.org/images/6/6c/SXP_Specification_and_Architecture_v00.pdf SXP/SGToEthernet находятся в IETF Draft
  • 34. Моделирование и мониторинг политик Имя правила и описание DGTSGT Срабатывает на трафик в обоих направлениях Частное событие генерируется по трафику
  • 35. Моделирование политики в StealthWatch Создаем правила основанные на потоках При нарушении политики сработает уведомление.
  • 36. Моделирование политики: Срабатывание тревоги Окно тревог показывает все нарушения политик Детали по событию “Employee to Productions Servers”
  • 37. Интеграция безопасности в сеть Сетевая сегментация Применение политики Двигаемся к активному применению политик • Стратегическое развертывание • ACL основанные на SGT (SGACL) • Политика МСЭ
  • 38. ACL основанные на SGT (SGACL) permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip Portal_ACL
  • 39. SGACL масштабируемая сегментация • Обозначает пользователей / устройства / сервера и роли, такие как сервера Продуктивные и Тестовые • Коммутатор TrustSec запрашивает политики для устройств только тех, которые он защищает • Политики загружаются и применяются динамически • Результат: Программно-определяемая сегментация • Централизованный контроль • Политики безопасности отвязаны от топологии • Отсутствие отдельной настройки коммутаторов • Одно место для аудита сетевых политик • Расширяется двумя механизмами • Настроить метку назначения SGT в FIB, взять метку источника SGT фрейма/FIB • Только информация протокола/порта сохраняется в TCAM Prod_Servers Dev_Servers Dev_Server (SGT=10) Prod_Server (SGT=7) Сегментация назначается в ISE SGT=3 SGT=4 SGT=5 SGACL Enforcement z Коммутаторы загружают только необходимые политики Коммутатор запрашивает политики для защищаемых им устройств
  • 40. Политика фильтрации МСЭ основанная на SGT Обозначения групп SGT получены ISE Подключаем сервисы FirePower по SGT политике Также можно использовать Network Object (Host, Range, Network (subnet) или FQDN) И / ИЛИ SGT
  • 41. WEB фильтрация основанная на SGT (WSA Интеграция) Кто: Гость Что: iPad Где: Офис Кто: Доктор Что: Ноутбук Где: Офис Кто: Доктор Что: iPad Где: Офис Корпоративная сеть Интернет W ww Web Security Appliance
  • 42. Интеграция безопасности в сеть Сетевая сегментация Активный мониторинг Мониторинг сетевой активности • Обнаружить подозрительную и вредоносную активность • Сетевое и аномальное поведение • Нарушение политик • Мониторинг правильной настройки политик • Мониторинг работы бизнеса Адаптивный сетевой контроль • Идентифицировать и блокировать угрозы • Динамически сегментировать сетевые угрозы
  • 43. Мониторинг сегментации с StealthWatch PCI карта зоны Установить политику взаимодействия зон Мониторинг нарушений
  • 44. Модель аномального и поведенческого обнаружения Поведенческие алгоритмы применяются для построения “Событий безопасности” СОБЫТИЯ БЕЗОПАСНОСТИ (94 +) КАТЕГОРИИ ТРЕВОГ РЕАГИРОВАНИЕ Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . . ICMP Flood . . Max Flows Initiated Max Flows Served . Suspect Long Flow Suspect UDP Activity SYN Flood . Concern Exfiltration C&C Recon Data Hoarding Exploitation DDoS Target Alarm Table Host Snapshot Email Syslog / SIEM Mitigation СБОР И АНАЛИЗ ПОТОКОВ ПОТОКИ
  • 45. Интегрированная защита от угроз (Обнаружение и блокирование) Сотрудник Сотрудник Поставщик Карантин Общий сервер Сервер Сегмент высокого риска Интернет Cisco StealthWatch Событие: TCP SYN Scan IP Источника: 10.4.51.5 Роль: Поставщик Реакция: Карантин ISE Изменение Авторизации Карантин Сетевая фабрика
  • 46. VRF-GUEST Выбор пути основанный на SGT Корпоративный WAN Инспекция Роутер Роутер/ МСЭ Сеть A Policy-based Routing основанный на SGT SGT- основанный выбор VRF Пользователь B Подозрительный  Перенаправление трафика от зараженных хостов • Удержание угрозы, ограничение распространения • Направление трафика через централизованный анализ и функции инспекции Пример в области безопасности  Направлять разные группы пользователей на разные сервисы WAN Другие примеры Пользователь C Гость Пользователь A Сотрудник  Сегментировать трафик в разные VRF на основании контекста Доступно сегодня: Cisco IOS XE Release 3.16S (ASR 1000) и на ASA5500-X (9.5.1)
  • 47. QoS основанный на SGT Уже доступен на ASR1000 3.17.0s, ISR4000 15.6(1)T0a class-map c4 match security-group source tag 7 match security-group destination tag 8 end policy-map p5 class c4 bandwidth percent 50 set dscp ef end interface gigabitEthernet0/0/0.1 service-policy input p5 100Mbps Gig 0/1 Link Rate WAN-1 CIR Level SGT: Partners SGT: Guest SGT: Employee Voice Video Best Effort Office Предоставляет QoS сервисные уровни на базе usr-group (User-group задается основываясь на контексте)
  • 49. NetFlow поддерживаемые платформы WAN Коммутатор Роутер Роутер МСЭ Коммутатор ЦОД СерверПользователь NetFlow Экспортеры Catalyst 2960-X (NetFlow Lite) - Sample Only Catalyst 3560-X (SM-10G module only) Catalyst 3750-X (SM-10G module only) Catalyst 3850/3650 (FNF v9 SGT support) Catalyst 4500E (Sup7E/7LE) Catalyst 4500E (Sup8) (FNF v9 SGT support) Catalyst 6500E (Sup2T) (FNF v9 SGT support) Catalyst 6800 (FNF v9 SGT support) Cisco ISR G2 (FNF v9 SGT support) Cisco ISR 4000 (FNF v9 SGT support) Cisco ASR1000 (FNF v9 SGT support) Cisco CSR 1000v (FNF v9 SGT support) NetFlow Capable StealthWatch Management Console StealthWatch FlowCollector StealthWatch FlowSensor ISE Cisco WLC 5760 (FNF v9) Cisco WLC 5520, 8510, 8540 (v9) * ASA5500, 5500-X (NSEL) Nexus 7000 (M Series I/O modules – FNF v9) Nexus 1000v (FNF v9) Cisco NetFlow Generation Appliance (FNF v9) Cisco UCS VIC (VIC 1224/1240/1280/1340/1380) Cisco AnyConnect Client (IPFIX) *
  • 50. TrustSec Поддерживаемые платформы WAN (GETVPN DMVPN IPSEC) Коммутатор Роутер Роутер МСЭ Коммутатор ЦОД vSwitch СерверПользователь Распространение ФильтрацияКлассификация Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X/-CX Catalyst 3750-E/-X Catalyst 3850/3650 Catalyst 4500E (Sup6E/7E) Catalyst 4500E (Sup8) Catalyst 6500E (Sup720/2T) Catalyst 6800 WLC 2500/5500/5400/WiSM2/8510/8540 WLC 5760 Nexus 7000 Nexus 6000 Nexus 5500/2200 Nexus 1000v ISRG2, CGR2000, ISR4000 IE2000/3000/CGR2000 ASA5500 (RAS VPN) Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X/3750-X Catalyst 3850/3650 Catalyst 4500E (Sup6E) Catalyst 4500E (Sup, 7E, 7LE, 8E) Catalyst 4500X Catalyst 6500E (Sup720) Catalyst 6500/Sup2T, 6800 WLC 2500/5500/5400/WiSM2/8510/8540 WLC 5760 Nexus 7000 Nexus 6000 Nexus 5500/2200 Nexus 1000v ISRG2,ISR4000 IE2000/3000/CGR2000 ASR1000 ASA5500 Catalyst 3560-X Catalyst 3750-X Catalyst 3850/3650 WLC 5760 Catalyst 4500E (7E) Catalyst 4500E (8E) Catalyst 6500E (2T) Catalyst 6800 Nexus 7000 Nexus 6000 Nexus 5500/5600 Nexus 1000v ISR G2, ISR4000, CGR2000 ASR 1000 Router CSR-1000v Router ASA 5500 Firewall ASAv Firewall Web Security Appliance SGT Распространение РаспространениеКлассификация Фильтрация ISE
  • 51. Сеть как сенсор и средство контроля подведем итоги TrustSec предоставляет программную (микро) сегментацию NetFlow и Cisco StealthWatch предоставляют видимость и интеллект Сеть это ключевое средство обнаружения угроз и их контроля