Submit Search
Upload
Безопасность сети. От точечных решений к целостной стратегии
•
0 likes
•
154 views
Cisco Russia
Follow
Смотрите записи докладов форума по ссылке: http://cs.co/9000DR0Sg
Read less
Read more
Technology
Report
Share
Report
Share
1 of 95
Download now
Download to read offline
Recommended
Next Generation Campus Architecture
Next Generation Campus Architecture
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
Recommended
Next Generation Campus Architecture
Next Generation Campus Architecture
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Russia
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Russia
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
Cisco Russia
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Cisco Russia
Эталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетей
Cisco Russia
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Cisco Russia
Расширенное портфолио сервисных услуг Cisco
Расширенное портфолио сервисных услуг Cisco
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Архитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данных
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Защита и контроль приложений
Защита и контроль приложений
Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
Аналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
Обзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасности
Cisco Russia
Splunk как платформа и интеграция Splunk с решениями Cisco
Splunk как платформа и интеграция Splunk с решениями Cisco
Cisco Russia
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Cisco Russia
Cisco Secure X
Cisco Secure X
S.E. CTS CERT-GOV-MD
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
Expolink
More Related Content
What's hot
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Russia
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Russia
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
Cisco Russia
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Cisco Russia
Эталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетей
Cisco Russia
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Cisco Russia
Расширенное портфолио сервисных услуг Cisco
Расширенное портфолио сервисных услуг Cisco
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Архитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данных
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Защита и контроль приложений
Защита и контроль приложений
Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
Аналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
Обзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасности
Cisco Russia
Splunk как платформа и интеграция Splunk с решениями Cisco
Splunk как платформа и интеграция Splunk с решениями Cisco
Cisco Russia
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Cisco Russia
What's hot
(20)
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угроз
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Эталонные архитектуры построения технологических сетей
Эталонные архитектуры построения технологических сетей
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Расширенное портфолио сервисных услуг Cisco
Расширенное портфолио сервисных услуг Cisco
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Архитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данных
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Защита и контроль приложений
Защита и контроль приложений
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Аналитика в ЦОД
Аналитика в ЦОД
Обзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасности
Splunk как платформа и интеграция Splunk с решениями Cisco
Splunk как платформа и интеграция Splunk с решениями Cisco
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Similar to Безопасность сети. От точечных решений к целостной стратегии
Cisco Secure X
Cisco Secure X
S.E. CTS CERT-GOV-MD
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
Expolink
Cisco ASA. Next-Generation Firewalls
Cisco ASA. Next-Generation Firewalls
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015
Cisco Russia
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Новая эра управления и работы корпоративной сети с Cisco DNA
Новая эра управления и работы корпоративной сети с Cisco DNA
Cisco Russia
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломле...
Kaspersky
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Cisco Russia
Cisco Secure Borderless Network
Cisco Secure Borderless Network
Aleksey Lukatskiy
Cisco Cloud Security
Cisco Cloud Security
ifedorus
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
Aleksey Lukatskiy
Cisco Cyber Threat Defense
Cisco Cyber Threat Defense
Cisco Russia
Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
Cisco Russia
алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
Новые возможности решений Cisco для видеоконференцсвязи
Новые возможности решений Cisco для видеоконференцсвязи
Cisco Russia
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Expolink
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
Similar to Безопасность сети. От точечных решений к целостной стратегии
(20)
Cisco Secure X
Cisco Secure X
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
Cisco ASA. Next-Generation Firewalls
Cisco ASA. Next-Generation Firewalls
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Новая эра управления и работы корпоративной сети с Cisco DNA
Новая эра управления и работы корпоративной сети с Cisco DNA
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломле...
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Cisco Secure Borderless Network
Cisco Secure Borderless Network
Cisco Cloud Security
Cisco Cloud Security
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
Cisco Cyber Threat Defense
Cisco Cyber Threat Defense
Как построить SOC?
Как построить SOC?
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
алексей лукацкий 1
алексей лукацкий 1
Новые возможности решений Cisco для видеоконференцсвязи
Новые возможности решений Cisco для видеоконференцсвязи
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
Cisco. Алексей Лукацкий. "Что движет ИБ на вашем предприятии?"
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
More from Cisco Russia
Service portfolio 18
Service portfolio 18
Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Cisco Russia
Интуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнеса
Cisco Russia
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Cisco Russia
Географическое резервирование BNG
Географическое резервирование BNG
Cisco Russia
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Cisco Russia
Решения Cisco Business Edition - простые решения для совместной работы
Решения Cisco Business Edition - простые решения для совместной работы
Cisco Russia
More from Cisco Russia
(20)
Service portfolio 18
Service portfolio 18
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Интуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнеса
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Географическое резервирование BNG
Географическое резервирование BNG
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Решения Cisco Business Edition - простые решения для совместной работы
Решения Cisco Business Edition - простые решения для совместной работы
Безопасность сети. От точечных решений к целостной стратегии
1.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура обеспечения информационной безопасности. Подход Cisco Павел Родионов prodiono@cisco.com,
2.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Состояние кибербезопасности
3.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Атаки в Украине - декабрь 2016
4.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Новый игрок. Скажи «привет» ‘WannaCry’ • Новый вариант вымогателя начал компрометировать системы 12 мая 2017 • Использовал уязвимости, которые были пропатчены с помощью MS17-010 в марте 2017
5.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public WannaCry шагает по планете - май 2017 [25855, 'RU'] [22986, 'CN'] [7614, 'TW'] [5966, 'UA'] [5054, 'US'] [3087, 'CA'] [2195, 'KR'] [1712, 'FR'] [1394, 'IN'] [1132, 'BR'] [943, 'HK'] [656, 'JP'] [651, 'GB'] [546, 'DE'] [518, 'PL'] [517, 'CL'] [480, 'MX'] [436, 'IT'] [430, 'VN'] [403, 'AM'] [397, 'KZ'] [363, 'RO'] [362, 'AR'] [337, 'MD'] [330, 'PH'] [277, 'TH']
6.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Распространение WannaCry
7.
Прошло полгода после
WannaCry
8.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Июнь 2017. Nyetya. Он же Petya-A. Он же Не-Петя Ø Использовал доверенный канал бухгалтерского ПО для доставки в организации Ø Использовал гибридную методологию распространения Ø Шифровал файлы не с целью получения выкупа, а для нанесения урона http://www.cisco.com/c/dam/global/ru_ua/solutions/security/ransomware/pdfs/cisco_blog_ransomware_attack_ua_upd4-graphics.pdf Расследование атаки от группы Cisco Talos – The MeDoc Connection
9.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Neytya/Petya: результаты атаки • До 10% корпоративных компьютеров было поражено Дмитрий Шимкив • Финансовые потери до 0.2 - 0.5% ВВП Экспертная оценка • 1/3 банков пострадало в ходе атаки Антон Кудин, Департамент безопасности НБУ • Потери от Petya.A составили $850 млн Страховая компания Lloyd's
10.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public CCleaner • Легитимное ПО с встроенным бэкдором • Обнаружен Cisco при тестировании бета-версии системы защиты от malware
11.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Особенности CCleaner • Подписан легальным сертификатом
12.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Цель атаки • Направлен на крупные компании во всех странах • Заразил несколько сот тысяч компьютеров • Армейская дисциплинированность атакующих
13.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 24 октября 2017 Следуй за «плохим кроликом»!
14.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 24 октября 2017 Следуй за «плохим кроликом»! • BadRabbit -- массовая ransomware кампания • Поражены организации в Украине, России, Болгарии, Турции • Основной вектор заражения – поддельное обновление Adobe Flash • Использует методы последовательного распространения из Petya/Nyetya
15.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Как защититься? Точечные средства защиты оказались неэффективными Организации с архитектурой безопасностью обошлись минимальными потерями
16.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Серебряной пули не существует… “Captive Portal” “Это соответствует шаблону” “Нет ложных срабатываний, нет пропусков.” Контроль приложений МСЭ/VPN IDS / IPS UTM NAC AV PKI “Запретить или разрешить” “Помочь МСЭ” “Нет ключа, нет доступа” Песочницы “Обнаружить неизвестное”
17.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Ключевой пункт: защитить и обнаружить • Сейчас большая часть трат IT безопасности приходится на ранние стадии последовательности атаки • Нужен другой баланс • “Организации должны изменить пропорцию инвестиций от 90% на предотвращение и 10% обнаружения и реагирования на пропорцию. 60/40 Петер Зондергард, Гартнер BRKSEC-2309 17 Рекогносцировка Захватить плацдарм - Доставка зловреда - Эксплуатация Локальная компрометация Команды и управление Последовательное распространение Закрепление Эксфильтрация
18.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Постулаты Cisco для разработки подхода Консалтинг Интеграция УправлениеЗнание угроз ПлатформыВидимость Реализуемость подхода Нехватка персонала + Осведомленность о проблемах безопасности + Требуется изменение подхода к построению ИБ
19.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Портфолио Cisco учитывает данную модель ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контроль МСЭ NGFW NAC + Identity Services VPN UTM NGIPS / AMP Web Security Email Security Advanced Malware Protection Анализ поведения сети Экономика Соответствие нормативным требованиям Реакция на инциденты
20.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Новая модель должна быть реализована повсюду, а не только на периметре! ДО Обнаружение Блокирование Защита ВО ВРЕМЯ ПОСЛЕ Контроль Применение Усиление Видимость Сдерживание Устранение Ландшафт угроз Сеть Оконечные устройства Мобильные устройства Виртуальные машины Облако В определенный момент Непрерывно
21.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public От модели к технологиям ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст МСЭ Приложения VPN Патчи Уязвимости IAM/NAC IPS Антивирус Email/Web IDS FPC Расследования AMD Log Mgmt SIEM
22.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Фокус на угрозы
23.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Проблемы с подходом «сделай сам» Admin Базируется на правилах • Зависимость от сложно создаваемых вручную правил • Зависимость от человеческого фактора Зависимость от времени • Занимает недели или месяцы на обнаружение • Требует постоянного тюнинга Security Team Очень сложно • Часто требует квалифицированный персонал для управления и поддержки 111010000 110 0111 Невозможно идти в ногу с последними угрозами
24.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco SIO + Sourcefire VRT = Cisco Talos
25.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Оцените масштаб охвата = В мире проживает 7,3 миллиарда человек Около 3-х угроз на каждого жителя Земли приходится ежедневно
26.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 5 департаментов DNS-запросов в день 90 МЛРД Файлов / семплов в день 18.5 МЛРД / 1,5 МЛН Web-запросов в день 16 МЛРД сообщений email в день 600 МЛРД
27.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Мозг архитектуры безопасности Cisco Действующее соединение SMTP? (ESA) Ненадлежащий или нежелательный контент? (ASA/WSA/CWS) Место для контроля и управления? (ASA/WSA) Вредоносное действие? (ASA/IPS) Вредоносный контент на оконечных устройствах? (AnyConnect) WWW Репутация Сигнатуры Сигнатуры Исследование угроз Регистрация доменов Проверка контента Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы Черные списки и репутация Партнерство со сторонними разработчиками Правила и логика для конкретных платформ Cisco Talos
28.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Где увидеть исследования Cisco Talos? http://blogs.cisco.com/taloshttp://www.talosintelligence.com
29.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public П Р О Д У К Т Ы С Е Р В И С Ы О Б Н А Р У Ж Е Н И Я Email ESA | ClamAV SpamCop SenderBase Email Reputation Malware Protection URL, Domain, IP Reputation Phishing Protection Spoof & Spam Detection Open Source Snort Rules ClamAV Sigs ClamAV Vulnerability Protection Malware Protection Policy & Control ПК AMP ClamAV Cloud & End Point IOCs Malware Protection IP Reputation Облака CWS CES OpenDNS URL, Domain, IP Reputation Malware Protection AVC Web WSA CWS URL, Domain, IP Reputation Malware Protection AVC Сеть FirePower/ASA ISR Meraki Policy & Control Malware Protection URL, Domain, IP Reputation Vulnerability Protection Услуги ATA IR Cloud & End Point IOCs Malware Protection URL, Domain, IP Reputation Vulnerability Protection Custom Protection Разведка ThreatGrid Cloud & End Point IOCs Malware Protection URL, Domain, IP Reputation Network Protection «Продукты» Cisco Talos
30.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Решения Cisco: полнота охвата
31.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public • Что присутствует в инфраструктуре, в каком состоянии находятся эти платформы (и при необходимости ограничить доступ ненадлежащих устройств) • Как обеспечить действительно гибкую контекстно-зависимую политику безопасности в рамках всей ИТ-инфраструктуры • Кто и как _реально_ взаимодействует по моей сетевой инфраструктуре (работают ли политики) • Комплекс вопросов и проблем, связанных с защитой периметра • Что делать, если мы 8 часов назад пропустили в сеть файл, который, как оказалось, был вредоносным? • Как моя инфраструктура выглядит для всего мира? • Какие инциденты произошли в моей инфраструктуре? Вопросы, на которые помогут ответить решения Cisco
32.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Внутренняя инфраструктура
33.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Сеть как защитная стена Сегментируйте сеть и контролируйте доступ Сегментация сети для локализации атак Контроль доступа для выполнения политик Контроль доступа пользователей на базе устройства, местоположения, типа сети, времени и других параметров (ISE) Физические и виртуальные разрешения и запреты (Access Control Lists) Единая политика для проводного/беспроводного/удаленного доступа (ISE, Unified Access Switches) Ролевой контроль доступа на базе топологии, способа доступа (TrustSec/SGT, ISE) Сегментация сети (VLAN, TrustSec/SGT, VRF/EVN)
34.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Сетевые ресурсыПолитика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативам P Что Когда Где Как Платформа Cisco Identity Services Engine (ISE) ISE - это централизованное решение, которое позволяет автоматизировать управление доступом к сетевым ресурсам с учетом контекста, «поделиться контекстом» с другими решениями и автоматизировать защиту Дверь в сеть Физическая или виртуальная машина Контекст контроллер ISE pxGrid
35.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public ISE обеспечивает сегментацию сети • Для любых пользователей и устройств • В качестве инструмента могут быть любые сетевые устройства (файерволы, коммутаторы, маршрутизаторы, WiFI…) Printer 1 Printer 2 SGT_Guest SGT_Building Management SGT_Employee Guest 1 Guest 2 Guest 3 Guest 4 Employee 1 Employee 2 Employee 3 Employee 4 SGT_FinanceServer SGT_Printers Fin 1 Fin 2 Temperature Device 1 Temperature Device 2 Surveillance Device 1 Surveillance Device 2 50° 50°
36.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Что более полезно с точки зрения безопасности? “Адрес скомпрометированного устройства 192.168.100.123” - ИЛИ - “Скомпрометировано устройство iPad Васи в строении 1” Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров. С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы. Cisco Platform Exchange Grid (pxGrid) Повышение эффективности решений партнеров через обмен контекстом
37.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Легко интегрируется с партнерскими решениями Как ЧтоКтоГдеКогда ISE pxGrid controller Cisco Meraki SIEM EMM/MDM Firewall Vulnerability Assessment Threat Defense IoT IAM/SSO PCAP Web Security CASB Performance Management
38.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Netflow NGIPS Lancope StealthWatch AMP AMP Threat Grid FireSIGHT Console CWS WSA ESA FirePOWER Services ISE это краеугольный камень ваших Cisco решений ISE Как ЧтоКтоГдеКогда Во время ПослеДо
39.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Система StealthWatch (сеть как сенсор) pxGrid Мониторинг на всех уровнях в реальном времени • Аналитика с использованием данных, собираемых по всей сети • Обнаружение ресурсов • Профилирование сети • Мониторинг выполнения политики безопасности • Обнаружение аномалий • Ускорение обработки инцидентов Cisco® Identity Services Engine Действие для нейтрализации угрозы Контекст NetFlow StealthWatch
40.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Анализ NetFlow с помощью StealthWatch Обнаружение Выделение IoC Лучшее понимание/ реакция на IoC Определение всех приложений и сервисов в сети Политика и сегментация Обнаружение аномалий (NBAD) Сбор данных обо всех взаимодействиях, хорошая база для расследований
41.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Stealthwatch Management Console UDP-директор Сбор данных о потоках (Flow Collector) NetFlow, syslog, SNMP Инфраструктура, поддерживающая NetFlow Сенсор потоков (Flow Sensor) Веб-прокси Данные о пользователях и устройствах Cisco ISE Данные об актуальных угрозах Компоненты системы Stealthwatch www Лицензия Threat Feed Концентратор для устройств Cloud License Concentrator & Agents
42.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public AnyConnect – больше чем просто VPN SSL / DTLS VPN IPsec VPN Оценка состояния (HostScan/ISE) Cloud Web Security/ OpenDNS L2 саппликант (Win Only) Коммутаторы и контроллеры WLC ASA WSAISE/ACS Cloud Web Security + AMP Центральные устройства ASR/ CSR ISR Базовый VPN Расширенный VPN Другие сервисы Модуль сетевой видимости AMP Enabler
43.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Периметр
44.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public • Web Security Appliance – апробированная платформа очистки веб- трафика • Email Security Appliance – признанный в отрасли анти-спам Помните про возможность перезаписи URL и отслеживания кликов!!! Помним про вычистку ящика в Office365 по данным AMP в ESA 10.0 • Cloud Web Security (exScanSafe)/Open DNS • Cloud Email Security/…. • Современные межсетевые экраны/системы предотвращения вторжений • Платформа Cisco AMP – не только периметр (включая ThreatGrid) Периметр: набор признанных решений
45.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Платформы Cisco NGFW © 2017 Cisco and/or its affiliates. All rights reserved. 45 Все платформы NGFW управляются Firepower Management Center 250 Мбит/с -> 1,75 Гбит/с (сервисы NGFW + IPS) Firepower Threat Defense для ASA 5500-X 2 Гбит/с -> 8 Гбит/с (сервисы NGFW + IPS) Firepower серии 2100 41xx = 10 Гбит/с -> 24 Гбит/с 93xx = 24 Гбит/с -> 53 Гбит/с Firepower серии 4100 и Firepower 9300
46.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Аналитика безопасности URL © 2017 Cisco and/or its affiliates. All rights reserved. 46 • Дополнение механизмов безопасности на базе IP • Динамический фид TALOS, сторонние фиды и списки • Различные категории: вредоносное ПО, фишинг, CnC,… • Разные действия: Allow, Monitor, Block, Interactive Block,… • Настройка политик с помощью правил доступа или черного списка • Теги IoC для URL CnC и вредоносного ПО • Новый виджет для URL SI • Помещение URL-адреса в черный/белый список с помощью одного щелчка Категории URL-SI
47.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Анализ DNS-трафика © 2017 Cisco and/or its affiliates. All rights reserved. 47 • Поддержка аналитики безопасности для доменов • Решение вопросов, связанных с доменами fast-flux • Предоставляемые Cisco и определяемые пользователем (либо выбранные внешние) фиды DNS: CnC, спам, вредоносное ПО, фишинг • Разные действия: Block, Domain Not Found, Sinkhole, Monitor • IoC дополнены данными, основанными на анализе DNS-трафика • Новый виджет для SI DNS Список Действие
48.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public А что вы привязались к DNS? © 2017 Cisco and/or its affiliates. All rights reserved. 48 • Способ удобного взаимодействия с центрами управления • Прекрасный вариант масштабирования инфраструктуры распространения вредоносного ПО • Прекрасный вариант маскировки инфраструктуры распространения вредоносного ПО • Недурной апробированный туннельный транспорт • Ещё есть домены с опечатками … • Ещё есть возможность автоматической генерации доменов • И это всё абсолютно справедливо • Но мы же помним «с системами работают начинающие, профессионалы работают с людьми». • Давайте, посмотрим на маленький нюанс реализации… вы хотели посетить apple.com или аpple.com?
49.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Серьёзно, как это работает? © 2017 Cisco and/or its affiliates. All rights reserved.
50.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Всё для людей… © 2017 Cisco and/or its affiliates. All rights reserved. 50
51.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Действие DNS Sinkhole © 2017 Cisco and/or its affiliates. All rights reserved. 51 Локальный DNS-сервер SinkholeXПодключение к IP-адресу Sinkhole Политика NGFW DNS SI: серверы C&C Действие: DNS Sinkhole Создание событий SI и IoC Зараженный ПК (10.15.0.21)
52.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Добавьте безопасность на уровень DNS? Malware C2 Callbacks Phishing HQ Sandbox NGFW Proxy Netflow AV AV BRANCH Router/UTM AV AV ROAMING AV First line Network and endpoint Network and endpoint Endpoint Все начинается с DNS Предваряет IP подключение Все устройства Не зависит от порта
53.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Плохие сайты Фишинг Спам Заблокировано Cisco Umbrella. (DNS безопасность) Ссылка Web Redirect C2 Файлы Аттач Плохие домены Angler Nuclear Locky C2 malware Инфраструктура злоумышленника Инфраструктура шифрования OpenDNS/Umbrella предотвращает заражение и распространение вредоносного кода
54.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Самая простая система безопасности в мире! 1. Добавьте в ваши DNS сервера Forwarders: • 208.67.222.222 • 208.67.220.220 2. Зарегистрируйтесь 3. Добавьте адрес вашей сети для безопасности и мониторинга 4. Попросите сделать отчет 5. Можете продолжать использовать сервис и после окончания тестирования/срока действия лицензии! Запуск за несколько минут • Есть бесплатная опция для домашнего использования
55.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Платформа Cisco AMP
56.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco AMP предоставляет три выгоды 3 Защищает на всех этапах атаки До Во время После 2 Защита на нескольких рубежах Контент Сеть Хосты Cisco Talos Точечное обнаружение Ретроспективная безопасность 1 Несколько методов обнаружения
57.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public В Cisco AMP реализованы план А и план Б Ретроспективная безопасностьТочечное обнаружение Постоянная защитаРепутация и поведенческий анализ Уникальный Cisco AMP
58.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
59.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco AMP – ретроспективная безопасность ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак
60.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Детальный анализ вредоносного ПО в AMP Threat Grid
61.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Архитектура «AMP везде» Защита AMP по всей сети как интегрированная защита от угрог. AMP Threat Intelligence Cloud Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat Linux for servers and datacenters AMP on Web and Email Security Appliances AMP on Cisco® ASA Firewall with FirePOWER™ Services AMP Private Cloud Virtual Appliance AMP on FirePOWER NGIPS Appliance (AMP for Networks) AMP on Cloud Web Security and Hosted Email CWS/ CTA Threat Grid Malware Analysis + Threat Intelligence Engine AMP on ISR with FirePOWER Services AMP для Endpoints AMP for Endpoints Remote Endpoints AMP for Endpoints can be launched from Cisco AnyConnect® AMP on Meraki® MX
62.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public АВТОМАТИЗАЦИЯ КРОМЕ pxGrid
63.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Правила и политики корреляции в Firepower Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63 Правила корреляции позволяют применять БУЛЕВУ алгебру к наборам данных в консоли Firepower. Правила можно связать с действиями: Email, Syslog, SNMP или нейтрализация. Email Syslog SNMP Модуль нейтрализации 5 000 событий 500 событий 20 событий 10 событий 3 события Политика Правило Правило Событие Действие 100 событий
64.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public © 2017 Cisco and/or its affiliates. All rights reserved. 64 Пример правила Мы хотим: • Обеспечить только HTTPS- трафик по порту 443 • Трафик должен инициироваться хостом в заданном местоположении (атрибут хоста), и это POS • HTTPS-трафик должен быть направлен в сеть PCI • Иначе должно генерироваться событие.
65.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Правила могут быть простыми Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 65
66.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Правила должны формулироваться на основе логики © 2017 Cisco and/or its affiliates. All rights reserved. 66 Source IP is in 192.168.0.0/16 Source IP is in 10.0.0.0/8 Source IP is in 172.16.0.0/12 O R Destination IP is not in 192.168.0.0/16 Destination IP is not in 10.0.0.0/8 Destination IP is not in 172.16.0.0/12 O R Impact Flag is 3 - Yellow Impact Flag is 4 - Blue O R A N D If “an Intrusion Event occurs”. . . Скомпрометированный хост, вероятно, атакует внешние системы из вашей сети. Sending IP is in 192.168.0.0/16 Sending IP is in 10.0.0.0/8 Sending IP is in 172.16.0.0/12 O R Receiving IP is in 192.168.0.0/16 Receiving IP is in 10.0.0.0/8 Receiving IP is in 172.16.0.0/12 O R If “a Malware Event occurs” “by retrospective network-based malware detection” O R В вашей сети был файл, который недавно классифицирован как вредоносное ПО! Пора что-то ДЕЛАТЬ!
67.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Автоматизация нейтрализации © 2017 Cisco and/or its affiliates. All rights reserved. 67 Примеры модулей нейтрализации • Cisco ISE (pxGrid Mitigation) • Установка атрибута хоста • Скан Nmap • Скрипты • F5 iRules • Netscaler • … События Intrusion События Discovery Действия пользователей События хостов События Connection Профили трафика Событие Malware Правила корреляции Условия Политики корреляции Правила корреляции События корреляции Действия (API, Email, SNMP)
68.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public © 2017 Cisco and/or its affiliates. All rights reserved. 68 О чем мы с вами не поговорили… • https://developer.cisco.com/site/firepower/discover/overview/index.gsp • Database Access API • eStreamer API • Read / Write REST API • Host Input API • Remediation API Интегрируйте (программным образом) межсетевые экраны и другие решения (например, Cisco ISE) в свою инфраструктуру управления безопасностью!
69.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public А что ещё для «после»
70.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco WSA (Web Security Appliance) Внешняя телеметрия (BlueCoat Sec. GW) Cisco CWS (Cloud Web Security) Cisco Cognitive Threat Analytics (CTA) Инциденты Угрозы Уведомления об угрозах Реагирование на инциденты HQ STIX / TAXII API CTACTACTA SIEM: Splunk, ArcSight, Q1 Radar, ... HQ Платформа очистки веб- трафика Cloud Платформа очистки веб- трафика Логи Web (входная телеметрия) Обнаружение взломов, Видимость сложных угроз Архитектура Cognitive Threat Analytics
71.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Процесс реагирования Сила в интеграции с другими решениями Cisco • Подтвержденные взломы: • Автоматическое создание тикета, используя существующий SIEM для команды на очистку или переустановку ПК Подозреваемые взломы и целевые атаки: Комбинация высокого риска и высокой уверенности с подозреваемой утечкой данных может быть эскалирована на аналитиков 3-го уровня поддержки для ручного анализа
72.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Ретроспектива с Cisco AMP ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак
73.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример траектории файла
74.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox Пример траектории файла
75.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8 Пример траектории файла
76.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Семь часов спустя файл был передан через бизнес- приложение на третье устройство (10.3.4.51) Пример траектории файла
77.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66) Пример траектории файла
78.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие Пример траектории файла
79.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПО и поместило в карантин только что определенное вредоносное ПО Пример траектории файла
80.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано Пример траектории файла
81.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public - События угроз - CVSS - IOC - Оценка уязвимотей - Нотификация об угрозах Threat Centric NAC AMP Qualys Cisco ISE Endpoints Cisco ISE защищает вашу сеть от брешей в данных с помощью сегментации скомпрометированных или уязвимых узлов Оценка Данные об уязвимостях Расширенное управление С помощью оценки уязвимостей и threat intelligence Быстрое реагирование с автоматизированными обновлениями в режиме реального времени на основании метрик угроз и данных об уязвимостях Who What When Where How Posture Threat Vulnerability P Создайте политики авторизации на основании анализа угроз и уязвимостей Политика доступа Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC) TC-NAC
82.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Threat Centric NAC Выберите вендора для оценки уязвимостей SCAN REQUEST VULNERABILITY SCANS SCANNER CVSS Score • В ISE 2.2, TC-NAC поддерживает Tenable, Cisco Threat Analytics (CTA) и Rapid7. • Стандартный “listener” будет поддерживаться для анализа угроз с помощью STIX framework для автоматической отправки инфицированных узлов в карантин. ISE 2.2 STIX Cisco CTA TC-NAC
83.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public MnT FMC Rapid Threat Containment с Firepower Management Center и ISE Controller WWW NGFW 2. Правила корреляции запускают систему реагирования 3. pxGrid EPS Карантин + Re-Auth1. Инциденты / IOCs i-Net Threat Containment
84.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public MnT FMC Rapid Threat Containment с Firepower Management Center и ISE Controller WWW NGFW 4. Endpoint Assigned Quarantine + CoA- Reauth Sent i-Net Threat Containment
85.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public MnT FMC RTC с AMP, FMC и ISE Controller WWW NGFW 4. Endpoint Assigned Quarantine + CoA- Reauth Sent i-Net Threat Containment
86.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public FMC Controller WWW NGFW i-Net Flow Collector RTC с Stealthwatch & ISE 1. SW анализирует потоки с коллектора 2. SW получает контекст с ISE 3. Админ предупреждается о подозрительном поведении Threat Containment
87.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public FMC Controller WWW NGFW i-Net Flow Collector RTC с Stealthwatch и ISE4. Админ инициирует карантин 5. Endpoint Assigned Quarantine + CoA- Reauth Sent Threat Containment
88.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public FMC Controller WWW NGFW i-Net Flow Collector RTC с Stealthwatch и ISE 6. Применяются новые правила доступа 6a. Может запретить доступ 6b. Может фильтровать в сети (исходящий) 6b. Может фильтровать в сети (входящий) Threat Containment
89.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public РЕЗЮМИРУЯ
90.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Не видя ничего, ничего и не обнаружишь Сетевые сервера ОС Рутера и свитчи Мобильные устройства Принтеры VoIP телефоны Виртуальные машины Клиентские приложения Файлы Пользователи Web приложения Прикладные протоколы Сервисы Вредоносное ПО Сервера управления ботнетами Уязвимости NetFlow Сетевое поведение Процессы
91.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Борьба с угрозами ДО, ВО ВРЕМЯ и ПОСЛЕ - ВЕЗДЕ ДО Обнаружение Блокирование Защита ВО ВРЕМЯ ПОСЛЕ Контроль Применение Усиление Видимость Сдерживание Устранение Ландшафт угроз Сеть Оконечные устройства Мобильные устройства Виртуальные машины Облако В определенный момент Непрерывно
92.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Внедрение ИБ там, где нужно БИЗНЕСУ, а не там, где получается Малый и средний бизнес, филиалы Кампус Центр обработки данных Thi s Thi s This image cannot Th is Th is Th is Th is Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Аналитический центр Talos Удаленные устройства Доступ Облачный шлюз безопасности This imag e Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг
93.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public www.cs.co/security_hub Security Hub • Вебинары • Статьи • Отчеты • Видео • Брошюры • Инфографика • Решения • Демонстрации • Сервисы • Trial • …
94.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public www.cs.co/security_hub Security Hub • Виртуальная демонстрация ü AMP ü Firepower ü ESA • Бесплатная пробная версия Cisco Umbrella
95.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Download now