3. Один день из жизни CISO в Cisco
4TB
Данных для
сбора/анализа
NetFlow для
анализа в день
(Lancope)
15B
Инспектируется
трафика в день
47TB
Сигналов
тревоги в день
(NG-IPS)
1.5M
Сетевых
событий
1.2T
10K
Файлов для
анализа в день
(ThreatGRID)
4.8B
Записей DNS
в день
45M
Web-транзакций
блокируется
(WSA)
425
Защитных устройств
4.1M
Email-транзакций
блокируется в день
(ESA)
23. Cisco IT Case Study
“Мы внедрили OpenDNS так быстро, что
наши внутренние клиенты даже не
заметили этого.”
“Внедрение было простым как
добавление 4 строк кода в файл
конфигурации DNS на наших
внутренних серверах DNS.”
25. Umbrella внедрена на всей инфраструктуре
Олимпийских игр за 2 дня до церемонии открытия,
всего за 2 часа
Всего 7 сетей было настроено в Рио и Сан-Паоло
22M запросов в день
Umbrella блокировала 23,000 угроз ежедневно
Umbrella на Олимпийских играх в Рио
27. NGFW улучшает защиту сети
Последние 20 лет
защита за периметром:
VPN
on
УДАЛЕННЫЙ
ДОСТУП
28. Но не каждое соединение идет через VPN
VPN
off*
*или разделение тунелей
Не весь трафик
— через все
порты,
все время —
может быть
перенаправлен
29. Но 25% трафика NGFW не
видит, так как он через него не
проходит!
30. Как быть с устройствами вне сети?
AnyConnect 4.3 ISR4K
Cisco Umbrella Branch
Первый уровень защиты для всех
пользователей филиалов без
дополнительных «железок»
Cisco Umbrella Roaming
Роуминговые пользователи
защищены на 100% без
дополнительных агентов
31. Пользователи защищены даже без
включенной VPN
Внесетевое слепое
пятно устранено, а
от пользователей
ничего не требуется
Угрозы блокируются до
установления соединения
или загрузки файла
VPN
on
VPN
off*
DNS
active
*или разделение тунелей
32. Cisco Umbrella Branch
Cisco Umbrella Branch
208.67.222.222
Устройства в филиале
• Видимость & контроль
доступа на уровне DNS
• Блокирование запросов к
вредоносным доменам и IP
• Фильтрация контента для
гостей & корпоративных
пользователей
MALWARE
C2 CALLBACKS
PHISHING
Block
Cisco ISR
34. Единое облачное управление множеством
политик безопасности доступа в Интернет
Defense Orchestrator позволяет
управлять политиками для
ASA, ASAv, ASA with
FirePOWER™ Services,
Firepower NGFW и OpenDNS®
Umbrella с помощью единого
интерфейса
39. Что такое CASB?
Утечки данных
Защита данных и
соответствие требованиям
Риски теневых
ИТ и приложений
Контроль и видимость
приложений
Скомпрометирован-
ные учетные записи
и внутренние
угрозы
Защита от угроз и UEBA
ПриложенияУчетные записи
Данные
41. Технологии CloudLock CASB
Защита применения
бизнес-приложений в
облаках
CASB для
SaaS
Защита критической
инфраструктуры в
облаках
CASB для
IaaS/PaaS
42. Утечки данных и контроль поведенияВредоносные точки
назначения
Неразрешенные
приложения
Разрешенные
приложения
Устройства и сети
Подключение отовсюду
Инспекция файлов
Контроль DNS / IP / URL
Видимость и доступ
Платформа Cisco Cloud Security
43. Объединяя ИБ из облака и для облака
DDoS
ASAv
OpenDNS
Stealthwatch
Cloud License
AMP
Безопасность из облака
Безопасность для облака
CWS
OpenDNS
UmbrellaAMP
Cisco Defense
Orchestrator
Cognitive Threat
Analytics
Active Threat
Analytics
Hosted Identity
Service
Cloud consumption
services NGIPSv
NGFWv
CSRv
Cloud Email Security
46. THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Вспомним распечатку мобильного оператора
Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
47. Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Вспомним распечатку мобильного оператора
48. Таблица потоков: Данные по сессия на 100% релевантны для ИБ
Layer 7
Network as a Sensor
Видимость
ОблакоИнформация о
пользователе
Информация
об интерфейсе
TrustSec Threat Feed Сегмент / группа Прокси
Client Server Translation Service User Application Traffic Group Mac SGT
1.1.1.1 2.2.2.2 3.3.3.3 80/TCP Adam HTTP 20M Location 00:2b:1f 10
50. Network as a Sensor
Сеть
CAT
ISR
ASR
Nexus
ИБ/Контекст
Firewall
VPN
Proxy
Identity
Meraki
UCS
ISE
Stealthwatch + ISE
Stealthwatch ISE
Stealthwatch
Learning Network
51. Сеть
Network as a Sensor
ИБ/КонтекстStealthwatch + ISE
Firewall
VPN
Proxy
Identity
Meraki
UCS
ISE
CAT
ISR
ASR
Nexus Stealthwatch ISE
Stealthwatch
Learning Network
52. Обнаружение аномалий в удаленных
офисах
Безопасность для Cisco 4000 Series Integrated Services Router
Stealthwatch
Learning
Network
License
Cisco Umbrella
Branch
(OpenDNS)
Zone-Based
Firewall
(ZBFW)
VPN
Cloud
Web Security
(CWS)
FirePOWER
53. Что надо сделать, чтобы запустить
процесс обучения аномалиям в филиале?
Определить пути трафика
Построить карту адресов
IP для изучения
окружения
Изучить движение
трафика, объемы,
шаблоны, временные
характеристики
Идентифицировать
приложения в сети по
протоколам и портам
Изучение отклонений
нормального от
аномального
Точное обнаружение
аномалий; возможность
оператору реагировать
на них
3
2
6
4
1
5
54. В чем новизна обучающихся сетей?
Текущие решения по безопасности Stealthwatch Learning Network License
§ Состоят из специализированных
устройств безопасности, подключенных к
сети, такие как МСЭ и IDS/IPS
§ Сильно зависят от известных сигнатур
для обнаружения известных угроз
§ Обладают ограниченной
приспособляемостью, приводящей к
пропуску угроз
§ Адаптивная
§ Использует машинное обучение для
обнаружения продвинутых и скрытных
угроз
§ Фокусировка на 0-day атаках
§ Использует ISR 4000 как
распределенный аналитический движок
(сенсор) и систему безопасности
(enforcer)
55. Преимущество обучающихся сетей
Традиционные системы обнаружения
аномалий
Stealthwatch Learning Network License
§ Фокусировка на обнаружении как можно
большего числа событий
§ Создает множество ложных
срабатываний и не относящихся к делу
угроз
§ Работает в одиночку и число
обнаружений не является лучшим
показателем эффективности
§ Централизованное решение, зависящее
от сетевой телеметрии
§ Быстрое, эффективное, точное
обнаружение
§ Сеть учится на собственных ошибках и
сводит к минимуму количество ложных
срабатываний
§ Обнаруживает и объединяет множество
индикаторов в аномалию
§ Распределенное решение, независящее
от полосы пропускания и мощности
процессора
56. Архитектура обучающихся сетей
• Управляет агентами на множестве
маршрутизаторов
• Обеспечивает расширенную визуализацию
аномалий
• Интерфейс централизованного управления
• Взаимодействие с другими источниками
данных ИБ
• Сбор данных с извлечением знаний из NetFlow
или захваченных сетевых пакетов и сессий
• Встроенное моделирование поведения и
обнаружение аномалий в реальном времени
• Встроенный автономный контроль, применение
политик безопасности локально
Филиал 1 Филиал 2
Public/
Private
Internet
Threat
Intelligence
Feeds
Cisco
Identity
Services
Engine ISE
57. Cisco Security Packet Analyzer
Помощь в проведении расследований сетевых инцидентов ИБ
Интеграция с
Stealthwatch
Захват
сетевых
пакетов
Поддержка
SPAN / TAP /
RISE /
ERSPAN
4 x 1 GE или
2 x 10 GE
Наличие API Проведение
расследований
58. А про пользователей мы не забыли?
Public
Private Hybrid
ЦОД и
внутренняя сеть
Облако
Пользователи
/Устройства
Security Everywhere
58
60. AMP – краеугольный камень портфолио
Cisco
Видимость, контроль и
ретроспективная
безопасность по всем
векторам атаки для
защиты против
большинства
современных угроз.
Увидеть один раз –
защититься везде.
AMP for Endpoints
AMP for Firewalls
AMP for Networks
AMP for Email
AMP for ISR
AMP for Web
Threat Grid
AMP for Private Cloud
Virtual Appliance
Private
CWS
AMP for Meraki
62. Интеграция AMP в Meraki MX
Безопасность
NG Firewall, Client VPN, Site to
Site VPN, IDS/IPS, Anti-Malware,
Geo-Firewall
Сеть
NAT/DHCP, 3G/4G Cellular,
Intelligent WAN (IWAN)
Контроль приложений
Web Caching, Traffic Shaping,
Content Filtering