Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Новая концепция кибербезопасности Zero Trust

777 views

Published on

Рассказ о новой концепции кибербезопасности - Zero Trust, на конференции "Код ИБ" в Самаре

Published in: Technology
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/qURD } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/qURD } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/qURD } ......................................................................................................................... Download doc Ebook here { https://soo.gd/qURD } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Новая концепция кибербезопасности Zero Trust

  1. 1. Алексей Лукацкий Бизнес-консультант по безопасности Новая концепция кибербезопасности Zero Trust
  2. 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Существует всего два вида компаний – те, кого уже взломали, и те, кто еще об этом не знает!
  3. 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Почему несмотря на усилия, число инцидентов не становится меньше?
  4. 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 5 ноября4 ноября Дискретность проверок Пользователь А Вход в систему Пользователь Б Вход в систему Приложение X Доступ к данным Пользователь А Вход в систему Сетевой доступ 1 Доступ в Интернет Сетевой доступ 1 Доступ в Интернет Пользователь А Вход в систему А что было между? А что было между? Уязвимостей Прав доступа
  5. 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Trust Trusted SystemTrusted relationship Trustworthy Trust Domain Web of Trust Trusted Advisor Trusted Platform Module Trusted Computing Group Trusted Execution Technology Root of trust Trusted Execution Environment Trusted Computing Trusted Boot Trusted Network Connect Chain of trust Trusted Computer System Evaluation Criteria
  6. 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Мы стали заложниками термина «доверие» в ИБ L
  7. 7. К чему приводит злоупотребление доверием?
  8. 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public VPNFilter Инструменты Тактики • Направлена на периметровые устройства • Перенаправляет и изменяет сетевой трафик Процессы • Брать все, искать интересующее • Заразить и закрепиться • Фреймворк для построения собственных ботнетов • Модульная архитектура для обновления • Сложная C2 & многоходовая платформа • Ботнет из периметровых сетевых устройств и систем хранения • Инфицировано свыше 500K уязвимых устройств (не Cisco) Описание DNS мониторинг NGFW, NGIPS NTA
  9. 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Nyetya Presentation ID Инструменты Тактики • Цепочка поставок и от жертвы к жертве • Быстрое распространение • Разрушение систем / сетей Процессы • Разработан для максимально быстрого и эффективного нанесения ущерба • Похож на вымогателя, но является деструктивным по сути • Ransomware с тактикой червя • Спроектирован для распространения внутри, не снаружи • Использование Eternal Blue / Eternal Romance и Admin Tools (WMI/PSExec) • Продвинутый актор, ассоциированный с государством • Деструктивная атака маскировалась под Ransomware • Наиболее дорогой инцидент в истории Описание
  10. 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public CCleaner Инструменты Тактики • Цепочка поставок и от жертвы к жертве • Медленная внутренняя разведка • Сложная многоходовая атака Процессы • Высокоточная идентификация жертв через датамайнинг • Ориентирован на скрытность, рассчитан на долгую «игру» • Целевой фишинг • Комплексная разведка и профилирование цели • Кейлогер и вор пользовательских учетных данных • Продвинутый актор, ассоциированный с государством • Возможность выполнять сложные и длинные операции, фокусированные на краже интеллектуальной собственности Описание
  11. 11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Атака «водопой» (water hole) Взлом ASUS, Avast, поставщиков промышленного ПО и др.
  12. 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверие антивирусу? Источник: Group-IB Нет антивируса 14% Kaspersky 44% Microsoft 16% Symantec 7% Dr.Web 8% Другие 11%
  13. 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Традиционная модель ИБ, основанная на доверии к периметру Защищенный периметр
  14. 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 17 каналов проникновения плохих парней в вашу организацию через доверенный периметр 1. E-mail 2. Web 3. Site-to-Site VPN 4. Remote Access VPN 5. Sharing resources 6. USB 7. Wi-Fi 8. Warez 9. BYOD 10. Embedded 11. Клиент-сервер с шифрованием 12. DevOps 13. Подрядчики 14. SSL Pinning 15. «Водопой» (Waterhole) 16. DNS 17. Облако
  15. 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Веками испытанный метод взлома Перестань действовать в лоб, взломай изнутри
  16. 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public В современных предприятиях данным разрешено перемещаться между… Любыми пользователями Сотрудники Контрактники Партнеры Любыми устройствами Корпоративные Собственные IoT Любыми приложениями ЦОД Мультиоблако SaaS В любых местах Внутри сети Через VPN Вне сети
  17. 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Политики белых списков для обычной активности Безопасность требует непрерывных обнаружения и верификации Бизнес все чаще оперирует в серой зоне Идентификатор пользователя Статус устройства Профиль устройства Зависимость приложений Файл · IOC Домен IP · URL Отправитель сообщения Шаблон поведения Политики черных списков для вредной активности © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
  18. 18. Нулевое доверие? Что это?
  19. 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Краткая история концепции Zero Trust Депериметризация Международная группа корпоративных CISO и производителей (Cisco хостила первую встречу) Фокусировка на решении проблемы “депериметризации” Первые рекомендации по “необходимости в доверии” Слияние подходов Forrester объявляет Zero Trust Google публикует их ZT подход, назвав BeyondCorp Forrester расширяет Zero Trust eXtended Gartner называет свою модель Continuous Adaptive Risk and Trust Assessment Генерализация Индустрия признает термин Zero Trust Architecture как общее название 2014 2010 2014 2017 Сегодня Jericho Forum ZT BeyondCorp CARTA & ZTX ZTA СЕГОДНЯ
  20. 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Три компонента оригинальной Zero Trust Устранение доверия к сети Предположим, что весь трафик, независимо от местоположения, является вредоносным трафиком, пока не будет подтверждено, что он авторизован, проверен и защищен Сегментация на уровне сети Стратегия минимума привилегий и строгий контроль доступа только к тем ресурсам, которые необходимы для выполнения своей работы Сетевой мониторинг и аналитика Постоянно проверяйте и регистрируйте весь трафик как на внутреннем, так и на внешнем уровне на предмет вредоносных действий © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Internal External
  21. 21. Zero-trust данные Защищайте и управляйте данными, классифицируйте и разрабатывайте схемы классификации данных, а также шифруйте данные как при хранении, так и при передаче Zero-trust пользователи Аутентификация пользователей и постоянный мониторинг и управление их доступом и привилегиями. Защитите пользователей, когда они взаимодействуют с интернетом Три новых компонента Zero Trust eXtended Zero-trust приложения Обеспечить контроль всего стека приложений, особенно соединений между контейнерами или гипервизорами в общедоступном облаке
  22. 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сравнение двух подходов Модель угроз Действие во времени Статичные политики Традиционный (Думаем, что исчерпывающе) знаем угрозы, защищаемся от них После авторизации права доступа действуют постоянно Не зависят от прошлого и текущего контекста, доступ не изменяется вслед за контекстом Модель доверия Действие на транзакцию Динамичные политики Zero Trust Знаем где данные, фокусируемся на ограничении доступа к ним Каждый пользователь, устройство и приложение должны аутентифицироваться и авторизация зависит от оценки рисков транзакции Изменяются в зависимости от контекста пользователя, устройства, приложения, учитывая предыдущие транзакции
  23. 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Use case для Zero Trust Доступ 3-их лиц Недоверенные сообщества Доверенные сообщества Устройства & мобильность Интернет вещей (IoT) • Изолированный доступ для поддержки • Доступ поставщиков к приложениям и данным • Разделение ключевых бизнес-функций • Гостевой доступ • Отделы I&O / SecOps • Региональные ограничения (например, Китай) • Локализованные сайты • Поглощенные активы • Интегрированные проводные/беспроводные сети • BYOD • Доступ по VDI • Виртуализированная инфраструктура • Изоляция / сегментация IoT в корпоративной сети • Изоляция трафика в ЦОДе
  24. 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Use case для Zero Trust Облака Локальная сеть ЦОДы VPN Overlay & routing • Изоляция Multi-tenant • Контроль бэкапов и резервирования • Контроль границ для сервисов • Контроль зависимостей между приложениями (app2app, app2infra) • Трафик «Восток – Запад» • Трафик «Север – Восток» • Взаимодействие между ЦОДами • Единый домен маршрутизации на всем протяжении • Изоляция маршрутов (глобальные vs виртуальные) • Обеспечение качества сервисов для критичных для бизнес приложений • Консолидация стека сетевой безопасности
  25. 25. Это все теория? А есть примеры реализации?
  26. 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Современная Cisco 1 10,690 UCS серверов 76,136 Виртуальных машин 28.1MW Питание в ЦОДах 87PБ Общее хранилище 72,354 сотрудников 434 офисов 94 стран 6,243 маршрутизаторов 8,415 коммутаторов 133,361 пользователей 192,770 Пользовательских устройств 100 сервисов SJC 45% RTP 14% AM Other 6% EU/EM 7% India 21% AP Other 7% Распреде- ление ИТ- персонала 7.6 миллиардов DNS запросов ежедневно 500+ Облачных ASP 47TБ ежедневно 468 WLCs
  27. 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проблемы доступа для наших приложений, сети и ЦОДов IoT-доверие Подтвердить профиль устройства, используя сетевые сенсоры перед предоставление доступа Доверие к приложениям Определение и подтверждение эталонного поведения трафика и приложений, используя хостовые и сетевые сенсоры Доверие «пользователь- устройство» Подтвердить идентификацию пользователя и здоровье устройства перед предоставлением доступа к вашим приложениям и сети Сетевая команда и команда ИБ Команда IT/OT/LoB Команда IT или Line-of- Business Команда ЦОД
  28. 28. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 4 столпа доверенного предприятия в Cisco Secure Administration Identity Services Engine (ISE) Software Defined Access Доверенный доступ Single Sign On 802.1x Multi-Factor Authentication Доверенная идентичность Trusted Endpoint Trusted Server Trusted Network Network Services Orchestrator Доверенная инфраструктура Internal App security baselines SaaS security baselines IaaS security baselines Доверенные сервисы
  29. 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Три технологии доверенной идентичности Microsoft Active Directory • Аутентификация пользователей в Windows, Macintosh и Linux • Клиентские приложения: Outlook Email и Calendar, SharePoint, … Аутентификация 802.1x • Для проводных и беспроводных сетей, VPN и домашних офисов • Cisco Identity Services Engine (ISE) Управление идентификацией • Для мобильных, облачных и корпоративных приложений • Многофакторная аутентификация и Single Sign on. • Пользователи могут войти в систему один раз в начале дня и оставаться в ней пока активна их сессия
  30. 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Аутентификация 802.1x с помощью Cisco ISE Корпоративный доступ Wired, Wireless, VPN, Home Office 802.1x 802.1x 802.1x SGT Свыше миллиона активных профилированных “устройств” Max ~250K параллельных “устройств” 26K домашних офисов; ~60K ПК 639 WLC; ~200K ПК 70 ASA; ~90K ПК 2K коммутаторов доступа ~200K ПК 8 DivBiz сегментов; ~8K ПК 98 стран 580 офисов 122K пользователей Только Интернет ~14K гостей/неделя Central Web Auth
  31. 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco ISE является мощным источником контекста для мониторинга Условия и права доступа зависят от «идентификации» (контекста доступа) устройства: • OUI: Вендор + другие атрибуты • Профилирование и/или DNS
  32. 32. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Многофакторная аутентификация 32BRKCOC-1012 • Почему MFA? • Слабые или украденные учетные записи являются мощным оружием хакеров, используемым в 95% всех Web-атак. MFA может предотвратить это • Цифровой логин • Трансформация традиционного имени + пароль в что-то более безопасное и бесшовное • Пароль сам по себе больше не обеспечивает безопасности • MFA / Multi-Factor Authentication • Больше чем одно устройство или технология • Пример: приложения могут требовать дополнительный одноразовый код или биометрию для входа
  33. 33. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Yubikey поддержка, только дотронься и ты вошел! Генератор мобильных кодов Мобильное приложение Мобильное сообщение (SMS) Голосовой вызов Приложение на десктопе Email Yubi Key Duo Push Опции MFA
  34. 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверенные оконечные устройства Стандарт доверенного устройства Регистрация устройства Anti-malware Версия ОС Обновление ПО Шифрование Обнаружение root/jailbreak (только для мобильных) Пароль/Скринсейвер Удаленная очистка данных Управление устройством (MDM) Инвентаризация ПО и железа Cisco Security Suites CISCO CYODКУПЛЕНО CISCO 65,344 MOBILE DEVICES 121,593 CISCO SUPPLIED DEVICES 6,230 41,655 13,472 74,947 48,802 341
  35. 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверенные сервера Стандарт доверенного сервера Регистрация устройства Управление конфигурацией Защита ОС Обновление ОС Управление уязвимостями ПО и ОС Защищенное управление Централизованная аутентификация Шифрование данных Защита учетных записей и разделяемых секретов Anti-malware Интеграция с SIEM и реагированием на инциденты Замкнутая программная среда (AWL) IT UCS серверов 12,042 Виртуальных машин 47,526
  36. 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверенные сетевые устройства 36 Аутентификация периметра (802.1x) Защищенное управление Контроль & автоматизация защищенной конфигурации (SDN) Сегментация MFA для удаленного доступа Шифрование WAN Role Based Access Controls (ARBAC) Политики защищенного доступа (SNMP/SSH ACL) Шифрование канала аутентификации (TACACS шифрование) Аутентификация и шифрование уровня управления (SNMPv3) Централизованная регистрация событий Аутентификация и централизация хранилища identity (TACACS+, LDAP) Контролируемый защищенный авторитативный DNS-сервис (pDNS, ODNS) Защищенный источник времени (NTP) Мониторинг административного доступа (AAA Accounting & Logging) Аутентификация протоколов маршрутизации Контроль целостности имиджа сетевой ОС Дифференцированный доступ (политика динамических пользователей и устройств, оценка состояния & защита) Стандарт доверенного сетевого устройства 8,495 LAN Switches 7,607 Routers 653 Wireless LAN Controllers 30,022 Cisco Virtual Office 715 Firepower, ASA
  37. 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверенные внутренние приложения 37 Стандарт доверенного приложения Регистрация приложений (ServiceNow) Управление конфигурацией Централизованная аутентификация (SSO) Оценка воздействия на приватность (GDPR) Управление уязвимостями и патчами (Qualys, Rapid7) Защищенное управление Мониторинг и защита данных (DLP, IRM, шифрование) Оценка исходного кода приложений (SCAVA) Базовая и глубокая оценка приложений (BAVA/DAVA) Управление ключами и шифрование Защита SOAP, REST и API Интеграция с SIEM и реагированием на инциденты 3982 внутренних приложений Сложности • Старые приложения • Высокая кастомизация • Поддержка после EOL • Как управлять рисками • Автоматизация стандарта
  38. 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Модель зрелости безопасности Политика на базе места/IP вставки безопасности Политика на базе понимания App/ID на все предприятие Дизайн потоков от активов к данным по бизнес-целям Обнаружение активов & данных предприятие+3-и стороны Непрерывное обнаружение сеть+облако+ПК Непрерывная верификация предприятие+3-и стороны 1 2 3 4 5 6 Усиление инфраструктуры Управление рисками Динамический контекст Эволюция угроз и доверия Статическое предотвращение
  39. 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Бета-проект: непрерывная верификация
  40. 40. От внутреннего решения к проверенной архитектуре
  41. 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public По настоящему жёсткую модель «нулевого доверия» реализовать нелегко Все сети являются враждебными Внешние и внутренние угрозы действуют постоянно Аутентификация и авторизация каждого устройства, приложения, пользователя и транзакции Системы автоматизации облегчают жизнь Политики изменяются в динамике, учитывая как можно больше источников данных Протоколируются все активности
  42. 42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Постепенная реализация Доверие пользователь- устройство Доверие IoT — И/ИЛИ — доверие приложениям Доступ приложений Сетевой доступ Нормализация политик Реагирование на угрозы 1 2 3 4 5 6 Установление SD- периметра Автоматические адаптивные политики Практичный подход «Zero Trust» к безопасности Установление уровня доверия
  43. 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проверка identity для любого пользователя и гигиены для любого устройства Удаленный доступ и доступ приложений Многофакторная аутентификация и (без)агентская оценка Задача №1 Надежность Время Джейлбрейк Старый браузер Неудачная фишинговая кампания Проверка мобильным пушем Патченный браузер Профиль соответствует Актуальная ОС Политика доступа
  44. 44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проверка identity для любого пользователя и гигиены для любого устройства Задача №1 MFA – один из простых и эффективных способов для существенного снижения рисков ИБ и рисков нарушения требований
  45. 45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Matches Cisco Industrial Network Director profile Assign access with a scalable group tag (SGT) Сканер (напр. 802.1X) Сенсор (напр., DHCP) От кампуса до периметра WAN Кто Headless Что Siemens Energy Automation Когда 10:30 AM PST Откуда Floor-1, San Jose, Bldg 19 Как Wireless, Port 31, UPNP Итого Фиды (бес)проводных сенсоров и IoT платформ pxGrid Политика доступа Определить, классифицировать и проверить профили для устройств on-prem Задача №2 Для IT/OT/LoB команд
  46. 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сетевая фабрика или МСЭ предприятия Гостевые Рабочие устройства Сервера разработкиPCI сервераHR VPCs IoT устройства Снижение площади атаки на базе ролевого доступа; не сетевой топологии (например, VLAN) Сеть, ЦОД и облако Политика доступа Сегментация сети через программно-определяемый доступ Задача №3
  47. 47. • И это для пользовательских устройств. А есть еще: • Оборудование в конференц-комнатах • IP-телефоны, видеотелефоны • IoT, медицинские системы, климатические системы • Банкоматы Почему изменения в сети? По умолчанию запретить доступ Дать, если доверяем Отобрать, если угрожает Контекст
  48. 48. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Контейнер, VM или обычные сервера От ЦОД до мультиоблака Политика доступа Проверка поведения приложений для любой инфраструктуры (on-prem или облачной) Задача №4 Для ЦОД команд Группирование в кластеры с помощью ML Анализ East-West трафика и оценка уязвимостей CVE-1 МикросегментацияБелые спискиЗапрещено Workloads
  49. 49. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Приложения через SaaS или SD-периметр Single Sign-On App Access User+Device Частные прилож. Публичные прил. Любое устройство/пользователь, включая личные и третьих лиц Политика доступа Предоставление простого, защищенного доступа к специфичным приложениям Задача №4
  50. 50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Эффективная политика управления доступом к данным Задача №5 Продуктовый APIs и сервисы внедрения Доступ к данным нормализован независимо от местоположения запроса Интегрированное портфолио и партнерские решения Политика доступа
  51. 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Zero Trust решает три основные задачи Непрерывная верификация и обнаружение Запрос приложения Проверка Identity Проверка гигиены Применение политик Защищен- ный доступ Непрерывная верификация и обнаружение Сетевой запрос Проверка профиля Метка East- West трафика Применение политик Защищен- ный доступ Непрерывная верификация и обнаружение Запрос ЦОДа Эталонный East-West трафик Проверка поведения приложения Генерация белого списка Защищен- ный доступ Доверенный доступ устройств и пользователей Доверенный доступ IoT Доверенная работа приложений
  52. 52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Zero Trust – путь развития многих игроков рынка ИБ но не российских L
  53. 53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public С чего начать? Доверие пользователь- устройство Доверие IoT — И/ИЛИ — доверие приложениям Доступ приложений Сетевой доступ Нормализация политик Реагирование на угрозы 1 2 3 4 5 6 Установление SD- периметра Автоматические адаптивные политики Практичный подход «Zero Trust» к безопасности Установление уровня доверия
  54. 54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вам необязательно делать все и сразу – начните с малого Идентификация пользователей и устройств Контроль доступа на основе состояния устройств (уязвимости, соответствие политикам и т.п.) Сегментация внутренней сети и ЦОД Контроль доступа BYOD Аутентификация и авторизация каждого приложения при взаимодействии app2app и app2infra Контроль доступа к данным
  55. 55. Спасибо за внимание! alukatsk@cisco.com

×