Uploaded byPositive Hack Days
алексей лукацкий 1
Документ обсуждает изменения в угрозах и поведении пользователей в интернете, а также стратегии защиты от них. Он представляет собой руководство по интегрированным архитектурам кибербезопасности, охватывает различные подходы к обнаружению и предотвращению атак, а также технологии контроля доступа и управления политикой безопасности. Cisco предлагает решения и инструменты для защиты данных и обеспечения безопасного доступа к ресурсам.
More Related Content
алексей лукацкий 1
- 1. Как меняются угрозыи поведение пользователей в Интернет?! И как от этого защититься?! Алексей Лукацкий Бизнес-консультант по безопасности Cisco
- 2. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 2 СЕТЬ MOBILITYMOBILITY COLLABORATIONCOLLABORATION CLOUD НОВАЯ КАРТИНА УГРОЗ СНИЖЕНИЕ КОНТРОЛЯ
- 3. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 3 • Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной фильтрации, средства защиты баз данных и порталов и т.п.
- 4. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 4 СЕТЬ Видимость всего трафика Маршрутизация всех запросов Источники всех данных Контроль всех потоков Управление всеми устройствами Контроль всех пользователей Контроль всех потоков
- 5. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 5 Интегрированная архитектура ИБ Локальный и глобальный анализ угроз Общие политика & Управление Сеть, реализующа я политику Многофункциона- льное устройство Анализ угроз Политика & Управление Hardware Сеть Одноцелевое устройство Network Security Content Security Ана- лиз угроз Policy & Mgmt HW Ана- лиз угроз Policy & Mgmt HW Сеть Cisco SecureX обеспечивает: • Понимание контекста • Всесторонний обзор • Масштабируемый контроль • Динамическая адаптация к новым угрозам • Защита данных и приложений
- 6. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 6 Всесторонний обзор и масштабируемый контроль Глобальный и локальный анализ угроз Общие политика и управление Информация Реализация Behavioral Analysis Encryption Identity Awareness Device Visibility Policy Enforcement Access Control Threat Defense Sees All Traffic Routes All Requests Sources All Data Controls All Flows Handles All Devices Touches All UsersShapes All Streams Сеть, реализующая политику
- 7. © Компания Ciscoи (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 7
- 8. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 8 Обнаружение угроз на базе сигнатур / репутации Обнаружение угроз на базе аномалий Сетевой периметр МСЭ IPS/IDS Обманные системы Внутренняя сеть Контентная фильтрация Web/Email трафика Cisco Cyber Threat Defense © 2013 Lancope, Inc. All rights reserved.
- 9. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 9
- 10. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 10© 2013 Lancope, Inc. All rights reserved.
- 11. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 11 • Обнаружение брешей в настройках МСЭ • Обнаружение незащищенных коммуникаций • Обнаружение P2P-трафика • Обнаружение неавторизованной установки локального Web-сервера или точки доступа • Обнаружение попыток несанкционированного доступа • Обнаружение ботнетов (командных серверов) • Обнаружение атак «отказ в обслуживании» • Обнаружение инсайдеров • Расследование инцидентов • Troubleshooting
- 12. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 12 Что делает 10.10.101.89? Политика Время начала Тревога Источник Source Host Groups Цель Детали Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Множество хостов Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб © 2013 Lancope, Inc. All rights reserved.
- 13. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 13 • Cisco ISE – унифицированная система управления и контроля защищенным доступом к внутренним ресурсам Политика Время старта Тревога Источник Группа хостов источника Имя пользователя Тип устройства Цель Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество хостов © 2013 Lancope, Inc. All rights reserved.
- 14. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 14© 2013 Lancope, Inc. All rights reserved.
- 15. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 15© 2013 Lancope, Inc. All rights reserved.
- 16. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 16 • Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX) • До 120.000 событий в секунду на коллектор (до 3 миллионов на кластер) • Понимание контекста © 2013 Lancope, Inc. All rights reserved.
- 17. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 17 InternetAtlanta San Jose New York ASR-1000 Cat6k UCS с Nexus 1000v ASA Cat6k 3925 ISR 3560-X 3850 Stack(s) Cat4kDatacenter WAN DM Z Access
- 18. © Компания Ciscoи (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 18
- 19. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 19 Architecture
- 20. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 20 Физическаясреда Cisco® ASA 5585-X Модуль ASA FW для Cisco Catalyst 6500 • Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети • Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде передачи данных между зонами доверия • Разделение внешних и внутренних объектов сети (трафик «север-юг») Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных Виртуальная/ многопользовательская среда Виртуальный межсетевой экран ASA 1000V контролирует границы сети Виртуальный шлюз безопасности (VSG) контролирует зоны Виртуальный шлюз безопасности Cisco (VSG) Cisco ASA 1000V Виртуальный межсетевой экран Трафик «восток-запад». Создание безопасных зон доверия между приложениями и пользователями в центре обработки данных • Разделение пользователей в многопользовательских средах • Разделяет приложения или виртуальные машины у одного пользователя Сегментация
- 21. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 21 Known Attackers Bots Web Attacks Undesirable Countries Web Fraud App DDoS Scrapers Phishing Sites Comment Spammers Vulnerabilities © Copyright 2012 Imperva, Inc. All rights reserved. 21
- 22. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 22 Dynamic Profiling Сигнатуры атак HTTP Protocol Validation Защита Cookie Web Fraud Detection Предотвращение мошенничества Защита от технических атак Защита от атак на бизнес-логику Корреляцияатак Геолокация IP Репутация IP Anti-Scraping Policies Bot Mitigation Policies
- 23. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 23 Web Application Firewall Сервер управления (MX) Пользователи Web сервера Web сервера Web Application Firewall Web сервера Web Application Firewall
- 24. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 24 • Cisco Nexus 1010-X – это устройство для виртуальных сервисов (до 10), позволяющее снизить TCO и сложность внедрения новых сервисов в виртуализированных средах
- 25. Конфиденциальная информация Cisco25© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Nexus 1000V • Распределенный свитч • NX-OS consistency VSG • Контроль на уровне VM • Zone-based FW ASA 1000V • МСЭ периметра, VPN • Инспекция протоколов vWAAS • Оптимизация WAN • Трафик приложений WAN рутера Сервера Контур A ASA 1000V Cloud Firewall Nexus 1000VФизическая инфраструктура Виртуализованный / облачный ЦОД vWAAS Cisco Virtual Security Gateway 7000+ заказчиков CSR 1000V (Cloud Router) • Шлюз WAN L3 • Маршрутизация и VPN Свитчи Экосистема • Citrix NetScaler VPX virtual ADC • Imperva Web App. Firewall Сетевые облачные сервисы Citrix NetScaler VPX Imperva SecureSphere WAF Cloud Services Router 1000V Зона A Зона B vPath VXLAN Multi-Hypervisor (VMware, Microsoft*, RedHat*, Citrix*) Network Analysis Module (vNAM)
- 26. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 26 • Простота внедрения в виртуализированный ЦОД • Поддержка гетерогенной инфраструктуры VMware vSphere, Microsoft Hyper-V, Red Hat KVM, Citrix Xen • Независимость от места установки МСЭ За счет vPatch трафик может быть передан независимо от местоположения МСЭ • Разделение ответственности по управлению со стороны сетевых администраторов, администраторов безопасности и администраторов серверов • Снижение совокупной стоимости владения • Максимизация инвестиций в платформу Cisco Nexus 1010-X
- 27. © Компания Ciscoи (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 27
- 28. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 28 PLIM Domain • На базе Linux • Service Engine для разных целей: • CGN • Arbor TMS • CCN • NPS MSC/FP Domain • IOS-XR • Control Plane • Data Forwarding • L3, L2 (управление) • Hw Management • Cisco Carrier Routing System (CRS) высокопроизводительная платформа операторской маршрутизации на скоростях до 322 Терабит/сек
- 29. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 29 CGSE PLIM и FP/MSC • Поддерживается на CRS-1 / CRS-3 • Максимальное число карт: 4slot chassis: 3 x CGSE 8slot chassis: 6 x CGSE 16slot chassis: 12 x CGSE
- 30. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 30 ServiceApp1 ServiceApp2 ServiceInfra1 ServiceApp3 CGSE TMS Card CP/PI https RP/PRP • Карта без физических интерфейсов ServiceInfra: управление от маршрутного процессора ServiceApp для входящего (грязного) трафика и исходящего (чистого) трафика Может быть (или нет) в VRFs Используем BGP маршруты или статические маршруты для перенаправления трафика на карту ServiceApp for Mgmt взаимодействует с платформой Peakflow SP Collector Поддержка до 10Gbps на одну карту CGSE (до 12 карт на шасси) • CGSE+ Парой вместе с MSC140 / FP140 (только для CRS-3) Увеличение производительности в x3 / x4 раз
- 31. © Компания Ciscoи (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 31
- 32. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 32 Больше 4-х часов 8% От 2 до 4 часов 29% От 1 до 2 часов 36% От 0.5 до 1 часа 23% Минимум 2.1 часа в день тратится на поиск информации по безопасности 41% тратят больше чем 2 часа в день
- 33. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 33 • IntelliShield Alert Manager Portal – Защищенный Web-портал • Adaptive Intelligence Management System (AIMS) - «скрытый» набор приложений и баз данных для анализа и исследований • Historical Alert Database – база данных о 18,500 различных версий продуктов, 5500 продуктах, 1700 производителе • Система документооборота – отслеживание, связывание, уведомление об уязвимости и контроль методов устранения
- 34. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 34 • Тактические, эксплуатационные и стратегические исследования • Независимость от вендора • Профессиональные писатели и редакторы • Совместимость с CVE • UCS-рейтинг • Генерация отчетов • Настраиваемые ‘Smart Filters’ • Разные варианты уведомления • Vulnerability Workflow Management System • Всесторонняя база данных
- 35. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 35 • База данных уязвимостей • Пользовательские профайлы • Настраиваемые уведомления • Контроль заявок и задач
- 36. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 36 • Поиск и выборка по любым параметрам производитель, продукт, версия, ключевые слова, критичность, дата и т.д.
- 37. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 37 • Создание списка ВАШИХ продуктов • Подстройка под вашу специфику - производитель, продукт, версия или service pack
- 38. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 38 • Контроль задач и переписка с исследователями
- 39. © Компания Ciscoи (или) ее дочерние компании, 2013 г. Все права защищены. 39 • Различные пороговые значения для генерации уведомлений • Пользователи уведомляются только о тех уязвимых продуктах, которые у него есть
- 40.
Editor's Notes
- #3 #1 Security is a critical component of all the transformational shifts happening in the IT industry at large, and further, the network is becoming more relevant. #2 These transitions are changing the security model…go to next slide.
- #4 Visibility into the new network isn’t the only challenge that IT faces. There continues to be a lingering disconnect between the goals and objectives of the Network and Security teams. What is needed is a holistic approach that addresses the big picture that the CEO is facing. You need a solution that drives these different objectives towards each other – that enables business acceleration while securing the entire distributed environment. But how do you do that?
- #6 An added benefit is that the integration of security into the network also enables and supports the consolidation of the network infrastructure. As the network transitions to a broad and dynamic business environment, security based on that network moves from an overlay solutions to an actual security architecture integrated into the network environment.
- #7 Embedding Security within the infrastructure of the network achieves comprehensive visibility and scalable enforcement. Visibility from the network drives up into the organization’s policy. Cloud-Based Global Threat Intelligence with the absolutely latest threat landscape is applied and enforcement is pushed back down into the network. The network is changing from a source of information to a series of enforcement points.
- #9 The first step in defending against these attacks is to adopt a different strategy. This table categorizes common defense systems by where they are deployed – at the perimeter or network interior, and by their detection strategy – signature/reputation-based or behavioral-based.Cisco has traditionally positioned security products at the network perimeter using signature and reputation-based methods. On the network interior, application-oriented security products such as email and web content inspection can also use signature and reputation-based methods.All of these products are very good at eliminating known threats. However, advanced persistent threats are typically not known in advance. Signature-based security solutions are not usually very effective against them.The alternative to this type of detection is behavior-based detection. This method uses pattern recognition technologies to determine when network traffic patterns are abnormal, signaling a possible attack.In order to defend against against advanced persistent threats, behavior-based detection technology provides an edge because it doesn’t require foreknowledge of the attack – just recognition of the attack pattern.At the network perimeter, the traditional behavior-based security product is the Honeypot. This is an interesting technology but used mostly for forensics and is beyond the scope of our discussion.Cisco’s Cyber Threat Defense Solution operates on the network interior and is specifically designed to use of behavior-based threat detection.
- #10 The key to Cisco’s Cyber Threat Defense Solution is NetFlow. NetFlow is a very simple technology that Cisco created in the early 90s as a way of providing visibility into the network.As data flows between a source and destination, Cisco equipment collects key information about that data and sends it to a device called a NetFlow Collector.This exchange of data is called a “flow”. Flows can tell you what kind of data was exchanged, how much, and at what rate. The information in a flow can be used to describe network behaviors, and by applying the correct analysis, can also be used to detect threats.
- #15 Flow Action field can provide additional contextState-based NSEL reporting is taken into consideration in StealthWatch’s behavioral analysisConcern Index points accumulated for Flow Denied eventsNAT stitching
- #16 Flow Action field can provide additional contextState-based NSEL reporting is taken into consideration in StealthWatch’s behavioral analysisConcern Index points accumulated for Flow Denied eventsNAT stitching
- #20 Transcript:\r\nSo one of the things that I had mentioned before is that the traditional data center, we have the internal DC is everything below this line. Traditionally, in the past few years, many customers have not had any security south of this line. They would actually put all of their emphasis for enforcing policy and imposing any kind of transitions from a security or service prospective at this data center edge. Well, we're starting to find, as things change, is that a lot of what customers are doing from an East West prospective, let's say, with server zone, even with compliance zones or other types of business led practices, that we're starting to see this hard DC edge dissolve a little bit. Not that it's going away, but that customers are implementing the security zones or security boundaries a lot further into the network fabric. Now, the reason why it's so critical that we look at this and come to understand why this is important, is that when you deal with a network edge, a network edge is something that is pretty much equal across the board. I mean, almost every security product out there was really designed to operate at an edge. So a lot of times our customers are faced with situations where they're trying to choose from a product. And it could be our product, it could be a competitive product. They're going through a list of features. They're going through what we call data sheet warfare or actually looking at a variety of things. Our customers are looking at what they want. They like the interface. They like the management. They like the features, whatever it may be, but there isn't a lot of real cohesive networking components at the edge. I mean, it's an in and an out, an inside and an outside. It's pretty straightforward, and pretty much all vendors are relatively equal when it comes to dealing with edge networks. But when we start getting into the fabric, this is where things change drastically. Because inside of the fabric, inside of a Nexus 7000 environment 7K, 5K, 2K hierarchies with Endeavour on top of rack, et cetera, we're dealing with a completely different animal than we are at the edge. We're dealing with different criteria. We're dealing with different requirements. We're looking at the need, if we're going to add security here, we're looking at the need for security solutions to integrate natively with these data center networking technologies. This is not something that our edge competition can really do. This is something that Cisco does better than anyone because we're sitting side by side with our data center groups and the Nexus team, et cetera, when they're writing code, and we're able to make changes and adjustments to our products to make sure that they fit into the network.\r\n\r\nAuthor's Original Notes: