SlideShare a Scribd company logo

Безопасность внутренней сети с помощью решений Cisco

Cisco Russia
Cisco Russia

Безопасность внутренней сети с помощью решений Cisco

Technology
1 of 47
Download to read offline
1 Безопасность внутренней сети с помощью решений Cisco Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
2 Архитектура безопасности Cisco Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Аналитический центр Talos Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг
3 Источник: 2012 Verizon Data Breach Investigations Report От компрометации до утечки От атаки до компрометации От утечки до обнаружения От обнаружения до локализации и устранения Секунды Минуты Часы Дни Недели Месяцы Годы 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы Периметр защищен, но инцидентов полно. Почему?
4 Проблемы с традиционной моделью «эшелонированной» безопасности на периметре Слабая прозрачность Многовекторные и продвинутые угрозы остаются незамеченными Точечные продукты Высокая сложность, меньшая эффективность Ручные и статические механизмы Медленный отклик, ручное управление, низкая результативностьНаличие обходных каналов Мобильные устройства, Wi- Fi, флешки, ActiveSync, CD/ DVD и т.п.
5 Какие проблемы мы должны решить во внутренней сети? Единая политика доступа, привязанная к пользователям, а не устройствам Разграничение доступа на уровне сетевой инфраструктуры Мониторинг подозрительной активности на уровне сети Защита от угроз во внутренней сети Мониторинг беспроводного эфира Сквозная защита на уровне ЦОД, периметра, удаленного доступа и BYOD
6 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 Software-Defined Segmentation based on business policy Что такое единая политика на уровне сети? Традиционная политика Политика TrustSec Источник Назначение Политика поддерживается везде Коммутатор Роутер VPN & МСЭ Коммутатор ЦОД Контроллер Wi-Fi Упрощение правил МСЭ, ACL и VLAN Предотвращение скрытых угроз Снижение затрат на перестройку архитектуры сети
7 Сервисы аутентификации Сервисы авторизации Управление жизненным циклом гостевого доступа Сервисы профилирования Сервисы оценки состояния Доступ для групп безопасности Identity Services Engine Упрощенное управление политиками Мне нужно разрешать подключение к сети только определенных пользователей и устройств Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми сервисами Мне нужно разрешить гостям доступ в сеть и управлять их настройками Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD) Мне нужно, чтобы в моей сети были чистые устройства Мне необходим масштабируемый способ реализации политики доступа в сети Реализация единой политики сетевого доступа с помощью Cisco ISE
8 Аутентификация пользователей и устройств Отличительные особенности идентификации Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных настольных систем Коммутатор Cisco Catalyst® Web-аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по MAC- адресам Web-аутентификация Сетевое устройство 802.1X IP-телефоныАвторизо-ванные пользователи Гости MAB и профилирование Планшеты На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
9 Защита комплексных и динамичных сетей ISE Certificate Authority ü  Простое и гибкое внедрение ü  Устранение предположений относительно управления сертификатами BYOD ü  Предлагает возможность запрашивать, замораживать и/ или отзывать сертификаты ü  Аутентификация и сбор атрибутов в динамично изменяемых сетях ü  Расширенные алгоритмы для управления неопределенностью идентификации ü  Автоматизация управления доступом в сети с несколькими Active Directorie Множество Active Directory Поддержка 1M зарегистрированных устройств и 250K АКТИВНЫХ, одновременно подключаемых устройств
10 Идентификация устройств ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети Должно быть предусмотрено управление политиками для каждого типа устройств Необходима гарантия того, что устройство соответствует цифровым меткам Классификация устройств вручную и реализация политик Быстрый рост числа устройств и идентификация для реализации политик Проблема
11 Политика для личного iPad [ограниченный доступ] Точка доступа Политика для принтера [поместить в VLAN X] Автоматическое распознавание и идентификация миллионов устройств Принтер Личный iPad ISE CDP LLDP DHCP MAC-адрес CDP LLDP DHCP MAC-адрес ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей ПОЛИТИКА Точка доступа СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства Эффективная классификация устройств с использованием инфраструктуры Решение
12
13 Снижение числа неизвестных устройств в среднем на 74% Облегчение корпоративной мобильности Снижение сложности управления BYOD и доступа с устройства Настраиваемый дизайн и брендирование Новый опыт пользователей Всесторонняя защита устройства Улучшенное распознавание устройств ПК & мобильные платформы
14 Оценка соответствия узлов требованиям политик ИТ и безопасности и корпоративным стандартам Временный ограниченный доступ к сети до устранения проблем Пример политики для сотрудника •  Исправления и обновления Microsoft установлены •  Антивирус McAfee установлен, обновлен и работает •  Корпоративный ресурс проходит проверку •  Приложение предприятия выполняется Проблема: •  Наличие сведений о работоспособности устройства •  Различие уровней контроля над устройствами •  Затраты на устранение проблем Ценность: •  Временный (на web-основе) или постоянный агент •  Автоматическое устранение проблем •  Реализация дифференцированных политик на основе ролей Пользователь проводной, беспроводной, виртуальной сети Не соответствует требованиям
15 Гостевые политики Управление гостевым доступом Гости Web-аутентификация Беспроводный или проводной доступ Доступ только к Интернету Выделение ресурсов: гостевые учетные записи на спонсорском портале Уведомление: сведения о гостевой учетной записи в бумажном виде, по электронной почте или SMS Управление: права спонсоров, гостевые учетные записи и политики, гостевой портал Отчет: по всем аспектам гостевых учетных записей Интернет
16 Модернизированный гостевой доступ с ISE 1.3 Простота доступа без снижения уровня безопасности Брендирование и использование тем «Спонсорство» для мобильного гостевого доступа Модернизированный гостевой доступ Собственные шаблоны за минуты, внедрение за часы (не дни) Your credentials username: trex42 password: littlearms Create Accounts Print Email SMS Уведомление по SMS Поддержка для ПК, Mac и мобильных платформ
17 Масштабируемая реализация Сети VLAN Списки управления доступом (ACL) Метки групп безопасности * Шифрование MACSec * Управление доступом на основе политик Обеспечивает реализацию политик Абсолютный контроль Удаленный пользователь VPN Пользователь с беспроводным доступом Пользователь с проводным доступом Устройства * = СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ И УЧЕТОМ КОНТЕКСТА Виртуальный рабочий стол Центр обработки данных Интранет Интернет Зоны безопасности Инновации Cisco
18 Маркировка трафика данными о контексте Доступ для групп безопасности (SGA) Медицинские карты пациентов (конфиденциальная информация) Неограниченный доступ для сотрудников Интернет Врач Финансовая служба Гость СНИЖЕНИЕ ЭКСПЛУАТАЦИОННЫХ РАСХОДОВ Масштабируемая реализация политик независимо от топологии сети МАСШТАБИРУЕМАЯ И ЕДИНООБРАЗНАЯ РЕАЛИЗАЦИЯ ПОЛИТИК Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA) ПОВЫШЕНИЕ МАНЕВРЕННОСТИ КОМПАНИИ Инновации Cisco
19 Политики на основе понятного технического языка Повышение уровня реализации политик во всей сети Таблица доступа согласно политике на основе ролей Ресурсы D1 (10.156.78.100) Медицинские карты пациентов D3 (10.156.54.200) Электронная почта в интранет-сети D5 (10.156.100.10) Финансовая служба D6 D4 D2 Разрешения Интранет- портал Почтовый сервер Серверы финансовой службы Медицинские карты пациентов Врач Интернет IMAP Нет доступа Совместный web-доступ к файлам Финансовая служба Интернет IMAP Интернет Нет доступа ИТ-админист- ратор WWW, SQL, SSH Полный доступ SQL SQL Матрица политик Совместный web- доступ к файлам permit tcp S1 D1 eq https permit tcp S1 D1 eq 8081 deny ip S1 D1 …… …… permit tcp S4 D6 eq https permit tcp S4 D6 eq 8081 deny ip S4 D6 Требует затрат времени Ручные операции Предрасположенность к ошибкам Простота Гибкость Учет характера деятельности permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 permit tcp dst eq 135 deny ip ACL-список "Врач - карта пациента" Врачи Финансовая служба ИТ-администраторы S1 (10.10.24.13) S2 (10.10.28.12) S3 (10.10.36.10) S4 (10.10.135.10) Отдельные пользователи
20 •  Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой)) •  400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый Пример снижения TCO С традиционным ACL-списком на межсетевом экране Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети 4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE С использованием Cisco ISE 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
21 Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети •  Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой)) •  400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый Пример снижения TCO (2) С традиционным ACL-списком на межсетевом экране Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE 4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE С использованием Cisco ISE 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
22 Эксплуатация Эффективное управление Объединенный мониторинг безопасностью и политиками Состояние контекста и панели мониторинга для проводных и беспроводных сетей Централизованное планирование задач управления на несколько дней Рабочие потоки настройки инструктивного характера Сокращение сроков диагностики и устранения неполадок Интеграция с Cisco NCS Prime
© 2011 Cisco and/or its affiliates. All rights reserved. 23
24 Вовлечение конечного пользователя в управление Эффективное управление Снижение нагрузки на ИТ-персонал Адаптационный период для устройств, саморегистрация, выделение ресурсов запрашивающему клиенту* Снижение нагрузки на службу технической поддержки Простой, интуитивно понятный интерфейс пользователя Модель самообслуживания Портал регистрации устройства пользователя*, портал для приглашения гостей * запланировано на лето 2012 г.
25 Портал самоуправления
26 Как контролируется доступ в сети Cisco?! Тип устройства МестоположениеПользователь Оценка Время Метод доступа Прочие атрибуты
27 Что более полезно с точки зрения безопасности? “Адрес скомпрометированного устройства 192.168.100.123” - ИЛИ - “Скомпрометировано устройство iPad Васи Иванова в стр.1” Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров. С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы. Cisco Platform Exchange Grid (pxGrid) Повышение эффективности решений партнеров через обмен контекстом
28 Экосистема партнеров Cisco ISE Security Information and Event Management (SIEM) и Threat Defense Mobile Device Management Приоритезация событий, анализ пользователей/устройств •  ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения •  Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и привилегий доступа с событиями в SIEM/TD •  Партнеры могут предпринимать действия к пользователям/устройствам через ISE Обеспечение защищенного доступа и соответствия устройства •  ISE является шлюзом политик для сетевого доступа мобильных устройств •  MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства •  ISE связывает привилегии доступа с контекстом соответствия
29 Интеграция с MDM Оценка соответствия мобильного устройства Всесторонний защищенный доступ Initial Posture Validation MS Patches Av and AS Installation Application and Process Running State Интеграция с MDM Проверка корпоративных и личных мобильных устройств MDM Policy Check Статус регистрации устройства Статус соответствия устройства Статус шифрования диска Статус установки блокировки экрана Стасус Jailbreak Производитель Модель IMEI Серийный номер Версия ОС Номер телефона
30 Интеграция с MDM 3 Jail BrokenPIN Locked EncryptionISE Registered PIN LockedMDM Registered Jail Broken
31 Быстрое реагирование на угрозы через SIEM / TD Расширение политик доступа & соответствия с MDM Устранение уязвимостей оконечных устройств Политика защиты индустриальных сетей и IoT Облегченное расследование инцидентов и проблем SSO защищенный доступ к защищаемым данным на мобильных устройствах Усиление эффекта Cisco Security через партнерство Распределение контекста с широким спектром решений партнеров
32 Преимущества экосистема партнеров Cisco pxGrid делает решения партнеров более эффективными Адаптивная аутентификация Ø  Ассоциация контекстных данных с приложениями & аутентификацией пользователя Ø  Снижение риска кражи данных и проникновений за счет более гибкой аутентификации Политика доступа для индустриальных сетей Ø  Сегментация на основе политик с контекстом и контролем АСУТП сетей Ø  Быстрая идентификация, изоляция и нейтрализация посторонних устройств Захват пакетов и расследование инцидентов Ø  Ассоциация контекстных данных пользователей/ролей с сетевыми дампами Ø  Рост аккуратности и скорости расследования инцидентов Новые SIEM / TD партнеры присоединяются к экосистеме партнеров ISE Приоритезация уязвимостей оконечных устройств Ø  Идентификация и приоритезация сетевых уязвимостей оконечных устройств Ø  Снижение времени на расследование и уведомление для снижения векторов атак
33 Cisco ISE поддерживает трехзвенную схему и объединяет решения Cisco в единый комплекс ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Контроль сетевого доступа Передача контекста Ограничение доступа и локализация нарушителей •  Cisco ASA •  Cisco FireSIGHT •  S-Terra CSP VPN •  Cisco ISR •  Cisco Catalyst •  Cisco Nexus •  Cisco WSA •  Cisco CTD •  SIEM •  pxGRID
34 Cisco ASA with FirePOWER / Cisco FirePOWER помогают мониторить активность внутри сети ►  Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений ►  Система гранулярного мониторинга и контроля приложений (Cisco® AVC) ►  Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER ►  Фильтрация URL-адресов на основе репутации и классификации ►  Система Advanced Malware Protection с функциями ретроспективной защиты Cisco ASA VPN и политики аутентификации Фильтрация URL- адресов (по подписке)FireSIGHT Аналитика и автоматизация Advanced Malware Protection (по подписке) Мониторинг и контроль приложений Межсетевой экран Маршрутизация и коммутация Кластеризация и высокая доступность Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI Встроенное профилирование сети Предотвращение вторжений (по подписке) FW + NGFW + NGIPS + AMP + URL + SSL VPN + IPSec VPN
35 3D SENSOR 3D SENSOR 3D SENSOR DEFENSE CENTER 3D SENSOR P2P запрещенное приложение обнаружено Событие нарушения зафиксировано, пользователь идентифицирован Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены. IT & HR провели с пользователем работу Идентификация приложений «на лету»
36 Гибкие политики работы с приложениями
37 Создание «белых списков» / «списков соответствия» •  Разрешенные типы и версии ОС •  Разрешенные клиентские приложения •  Разрешенные Web-приложения •  Разрешенные протоколы транспортного и сетевого уровней •  Разрешенные адреса / диапазоны адресов •  И т.д.  
38 3D SENSOR 3D SENSOR 3D SENSOR DEFENSE CENTER 3D SENSOR Поведение зафиксировано, уведомления отправлены IT восстановили активы Хосты скомпрометированы Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT. Новый актив обнаружен Поведение обнаружено Обнаружение посторонних / аномалий / несоответствий
39 Встроенная система корреляции событий (без SIEM) •  Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных •  Приложения •  Уязвимости •  Протоколы •  Пользователи •  Операционные системы •  Производитель ОС •  Адреса •  Место в иерархии компании •  Статус узла и т.п.
40 Cisco FirePOWER не только мониторит активность, но и обнаруживает угрозы внутри сети ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Firewall NGFW Управление уязвимостями VPN UTM NGIPS Web Security Исследования ИБ Advanced Malware Protection Ретроспективный анализ IoC / реагирование на инциденты
41 Идентификация и блокирование посторонних беспроводных устройств в Cisco •  Само мобильное устройство не может сказать, что оно «чужое» •  Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного •  Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают контролировать беспроводной эфир •  Все это часть функционала платформы Cisco Mobility Services Engine
42 Cisco AMP Everywhere объединяет… MAC Май 2014 Выделенные устройства Февраль 2013 NGIPS / NGFW на FirePOWER Октябрь 2012 ПК Январь 2012 Cloud Web Security & Hosted Email Март 2014 SaaS Web & Email Security Appliances Март 2014 Мобильные устройства Июнь 2012 Cisco ASA с FirePOWER Services Сентябрь 2014
43 Cisco Advanced Malware Protection проводит анализ и пост-фактум ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Контроль сетевого доступа Обнаружение и блокирование вредоносного кода Ретроспективный анализ
44 Управление инцидентами с помощью FireSIGHT Кто Что Где Когда Как Сфокусируйтесь сначала на этих пользователях Эти приложения пострадали Взлом затронул эти области сети Такова картина атака с течением времени Это источник угрозы и путь ее распространения
45 Анализ траектории вредоносного кода •  Какие системы были инфицированы? •  Кто был инфицирован? •  Когда это произошло? •  Какой процесс был отправной точкой? •  Почему это произошло? •  Когда это произошло? •  Что еще произошло?
46 Признаки (индикаторы) компрометации События СОВ Бэкдоры Подключения к серверам управления и контроля ботнетов Наборы эксплойтов Получение администраторских полномочий Атаки на веб- приложения События анализа ИБ Подключения к известным IP серверов управления и контроля ботнетов События, связанные с вредоносным кодом Обнаружение вредоносного кода Выполнение вредоносного кода Компрометация Office/PDF/Java Обнаружение дроппера
47

Recommended

Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейУправление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейCisco Russia
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_serviceТатьяна Янкина
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроляCisco Russia
 
AnyConnect, NVM и AMP
AnyConnect, NVM и AMPAnyConnect, NVM и AMP
AnyConnect, NVM и AMPCisco Russia
 
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Cisco Russia
 
Application Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаApplication Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаCisco Russia
 

Recommended

Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейУправление доступом к внутренним ресурсам для внешних и внутренних пользователей
Управление доступом к внутренним ресурсам для внешних и внутренних пользователейCisco Russia
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_serviceТатьяна Янкина
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроляCisco Russia
 
AnyConnect, NVM и AMP
AnyConnect, NVM и AMPAnyConnect, NVM и AMP
AnyConnect, NVM и AMPCisco Russia
 
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Cisco Russia
 
Application Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаApplication Visibility and Control - обзор технологии и функционала
Application Visibility and Control - обзор технологии и функционалаCisco Russia
 
Avanpost PKI
Avanpost PKIAvanpost PKI
Avanpost PKIAvanpost Шаркова
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...Cisco Russia
 
Avanpost SSO
Avanpost SSOAvanpost SSO
Avanpost SSOAvanpost Шаркова
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к ИнтернетCisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Cisco Russia
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5Альбина Минуллина
 
Макс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиМакс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиNatasha Zaverukha
 
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XНовые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XCisco Russia
 
Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco Russia
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователейCisco Russia
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Kaspersky
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSCisco Russia
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Cisco Russia
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Cisco Russia
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Russia
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьCisco Russia
 
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиАлексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиExpolink
 
Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияVERNA
 

More Related Content

What's hot

3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...Cisco Russia
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к ИнтернетCisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Cisco Russia
 
Макс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиМакс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиNatasha Zaverukha
 
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XНовые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XCisco Russia
 
Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco Russia
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователейCisco Russia
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Kaspersky
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSCisco Russia
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Cisco Russia
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Cisco Russia
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Russia
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьCisco Russia
 

What's hot (20)

Avanpost PKI
Avanpost PKIAvanpost PKI
Avanpost PKI
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
 
Avanpost SSO
Avanpost SSOAvanpost SSO
Avanpost SSO
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
 
Макс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиМакс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасности
 
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-XНовые модели Cisco ASA 5506-X, 5508-X и 5516-X
Новые модели Cisco ASA 5506-X, 5508-X и 5516-X
 
Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сети
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасность
 

Similar to Безопасность внутренней сети с помощью решений Cisco

Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиАлексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиExpolink
 
Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияVERNA
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруCisco Russia
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Cisco Russia
 
AquaInspector - готовый сервер
AquaInspector - готовый серверAquaInspector - готовый сервер
AquaInspector - готовый серверsmart-soft
 
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...Expolink
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Углубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорУглубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорCisco Russia
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеCisco Russia
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Cisco Russia
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейCisco Russia
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДВарианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДCisco Russia
 
Руководство по продажам икс
Руководство по продажам иксРуководство по продажам икс
Руководство по продажам иксDiamantigor Igor.Suharev
 
руководство по продажам икс
руководство по продажам иксруководство по продажам икс
руководство по продажам иксDiamantigor Igor.Suharev
 
Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Expolink
 
Сеть как сенсор и как регулятор
Сеть как сенсор и как регуляторСеть как сенсор и как регулятор
Сеть как сенсор и как регуляторCisco Russia
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераCisco Russia
 

Similar to Безопасность внутренней сети с помощью решений Cisco (20)

Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиАлексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
 
Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятия
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
 
AquaInspector - готовый сервер
AquaInspector - готовый серверAquaInspector - готовый сервер
AquaInspector - готовый сервер
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
 
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Углубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорУглубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзор
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалей
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДВарианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОД
 
Руководство по продажам икс
Руководство по продажам иксРуководство по продажам икс
Руководство по продажам икс
 
руководство по продажам икс
руководство по продажам иксруководство по продажам икс
руководство по продажам икс
 
Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!
 
Сеть как сенсор и как регулятор
Сеть как сенсор и как регуляторСеть как сенсор и как регулятор
Сеть как сенсор и как регулятор
 
Ruckus Wireless Презентация
Ruckus Wireless ПрезентацияRuckus Wireless Презентация
Ruckus Wireless Презентация
 
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Безопасность внутренней сети с помощью решений Cisco

  • 1. 1 Безопасность внутренней сети с помощью решений Cisco Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
  • 2. 2 Архитектура безопасности Cisco Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Аналитический центр Talos Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг
  • 3. 3 Источник: 2012 Verizon Data Breach Investigations Report От компрометации до утечки От атаки до компрометации От утечки до обнаружения От обнаружения до локализации и устранения Секунды Минуты Часы Дни Недели Месяцы Годы 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы Периметр защищен, но инцидентов полно. Почему?
  • 4. 4 Проблемы с традиционной моделью «эшелонированной» безопасности на периметре Слабая прозрачность Многовекторные и продвинутые угрозы остаются незамеченными Точечные продукты Высокая сложность, меньшая эффективность Ручные и статические механизмы Медленный отклик, ручное управление, низкая результативностьНаличие обходных каналов Мобильные устройства, Wi- Fi, флешки, ActiveSync, CD/ DVD и т.п.
  • 5. 5 Какие проблемы мы должны решить во внутренней сети? Единая политика доступа, привязанная к пользователям, а не устройствам Разграничение доступа на уровне сетевой инфраструктуры Мониторинг подозрительной активности на уровне сети Защита от угроз во внутренней сети Мониторинг беспроводного эфира Сквозная защита на уровне ЦОД, периметра, удаленного доступа и BYOD
  • 6. 6 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 Software-Defined Segmentation based on business policy Что такое единая политика на уровне сети? Традиционная политика Политика TrustSec Источник Назначение Политика поддерживается везде Коммутатор Роутер VPN & МСЭ Коммутатор ЦОД Контроллер Wi-Fi Упрощение правил МСЭ, ACL и VLAN Предотвращение скрытых угроз Снижение затрат на перестройку архитектуры сети
  • 7. 7 Сервисы аутентификации Сервисы авторизации Управление жизненным циклом гостевого доступа Сервисы профилирования Сервисы оценки состояния Доступ для групп безопасности Identity Services Engine Упрощенное управление политиками Мне нужно разрешать подключение к сети только определенных пользователей и устройств Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми сервисами Мне нужно разрешить гостям доступ в сеть и управлять их настройками Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD) Мне нужно, чтобы в моей сети были чистые устройства Мне необходим масштабируемый способ реализации политики доступа в сети Реализация единой политики сетевого доступа с помощью Cisco ISE
  • 8. 8 Аутентификация пользователей и устройств Отличительные особенности идентификации Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных настольных систем Коммутатор Cisco Catalyst® Web-аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по MAC- адресам Web-аутентификация Сетевое устройство 802.1X IP-телефоныАвторизо-ванные пользователи Гости MAB и профилирование Планшеты На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
  • 9. 9 Защита комплексных и динамичных сетей ISE Certificate Authority ü  Простое и гибкое внедрение ü  Устранение предположений относительно управления сертификатами BYOD ü  Предлагает возможность запрашивать, замораживать и/ или отзывать сертификаты ü  Аутентификация и сбор атрибутов в динамично изменяемых сетях ü  Расширенные алгоритмы для управления неопределенностью идентификации ü  Автоматизация управления доступом в сети с несколькими Active Directorie Множество Active Directory Поддержка 1M зарегистрированных устройств и 250K АКТИВНЫХ, одновременно подключаемых устройств
  • 10. 10 Идентификация устройств ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети Должно быть предусмотрено управление политиками для каждого типа устройств Необходима гарантия того, что устройство соответствует цифровым меткам Классификация устройств вручную и реализация политик Быстрый рост числа устройств и идентификация для реализации политик Проблема
  • 11. 11 Политика для личного iPad [ограниченный доступ] Точка доступа Политика для принтера [поместить в VLAN X] Автоматическое распознавание и идентификация миллионов устройств Принтер Личный iPad ISE CDP LLDP DHCP MAC-адрес CDP LLDP DHCP MAC-адрес ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей ПОЛИТИКА Точка доступа СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства Эффективная классификация устройств с использованием инфраструктуры Решение
  • 12. 12
  • 13. 13 Снижение числа неизвестных устройств в среднем на 74% Облегчение корпоративной мобильности Снижение сложности управления BYOD и доступа с устройства Настраиваемый дизайн и брендирование Новый опыт пользователей Всесторонняя защита устройства Улучшенное распознавание устройств ПК & мобильные платформы
  • 14. 14 Оценка соответствия узлов требованиям политик ИТ и безопасности и корпоративным стандартам Временный ограниченный доступ к сети до устранения проблем Пример политики для сотрудника •  Исправления и обновления Microsoft установлены •  Антивирус McAfee установлен, обновлен и работает •  Корпоративный ресурс проходит проверку •  Приложение предприятия выполняется Проблема: •  Наличие сведений о работоспособности устройства •  Различие уровней контроля над устройствами •  Затраты на устранение проблем Ценность: •  Временный (на web-основе) или постоянный агент •  Автоматическое устранение проблем •  Реализация дифференцированных политик на основе ролей Пользователь проводной, беспроводной, виртуальной сети Не соответствует требованиям
  • 15. 15 Гостевые политики Управление гостевым доступом Гости Web-аутентификация Беспроводный или проводной доступ Доступ только к Интернету Выделение ресурсов: гостевые учетные записи на спонсорском портале Уведомление: сведения о гостевой учетной записи в бумажном виде, по электронной почте или SMS Управление: права спонсоров, гостевые учетные записи и политики, гостевой портал Отчет: по всем аспектам гостевых учетных записей Интернет
  • 16. 16 Модернизированный гостевой доступ с ISE 1.3 Простота доступа без снижения уровня безопасности Брендирование и использование тем «Спонсорство» для мобильного гостевого доступа Модернизированный гостевой доступ Собственные шаблоны за минуты, внедрение за часы (не дни) Your credentials username: trex42 password: littlearms Create Accounts Print Email SMS Уведомление по SMS Поддержка для ПК, Mac и мобильных платформ
  • 17. 17 Масштабируемая реализация Сети VLAN Списки управления доступом (ACL) Метки групп безопасности * Шифрование MACSec * Управление доступом на основе политик Обеспечивает реализацию политик Абсолютный контроль Удаленный пользователь VPN Пользователь с беспроводным доступом Пользователь с проводным доступом Устройства * = СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ И УЧЕТОМ КОНТЕКСТА Виртуальный рабочий стол Центр обработки данных Интранет Интернет Зоны безопасности Инновации Cisco
  • 18. 18 Маркировка трафика данными о контексте Доступ для групп безопасности (SGA) Медицинские карты пациентов (конфиденциальная информация) Неограниченный доступ для сотрудников Интернет Врач Финансовая служба Гость СНИЖЕНИЕ ЭКСПЛУАТАЦИОННЫХ РАСХОДОВ Масштабируемая реализация политик независимо от топологии сети МАСШТАБИРУЕМАЯ И ЕДИНООБРАЗНАЯ РЕАЛИЗАЦИЯ ПОЛИТИК Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA) ПОВЫШЕНИЕ МАНЕВРЕННОСТИ КОМПАНИИ Инновации Cisco
  • 19. 19 Политики на основе понятного технического языка Повышение уровня реализации политик во всей сети Таблица доступа согласно политике на основе ролей Ресурсы D1 (10.156.78.100) Медицинские карты пациентов D3 (10.156.54.200) Электронная почта в интранет-сети D5 (10.156.100.10) Финансовая служба D6 D4 D2 Разрешения Интранет- портал Почтовый сервер Серверы финансовой службы Медицинские карты пациентов Врач Интернет IMAP Нет доступа Совместный web-доступ к файлам Финансовая служба Интернет IMAP Интернет Нет доступа ИТ-админист- ратор WWW, SQL, SSH Полный доступ SQL SQL Матрица политик Совместный web- доступ к файлам permit tcp S1 D1 eq https permit tcp S1 D1 eq 8081 deny ip S1 D1 …… …… permit tcp S4 D6 eq https permit tcp S4 D6 eq 8081 deny ip S4 D6 Требует затрат времени Ручные операции Предрасположенность к ошибкам Простота Гибкость Учет характера деятельности permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 permit tcp dst eq 135 deny ip ACL-список "Врач - карта пациента" Врачи Финансовая служба ИТ-администраторы S1 (10.10.24.13) S2 (10.10.28.12) S3 (10.10.36.10) S4 (10.10.135.10) Отдельные пользователи
  • 20. 20 •  Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой)) •  400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый Пример снижения TCO С традиционным ACL-списком на межсетевом экране Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети 4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE С использованием Cisco ISE 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
  • 21. 21 Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети •  Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой)) •  400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый Пример снижения TCO (2) С традиционным ACL-списком на межсетевом экране Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE 4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE С использованием Cisco ISE 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
  • 22. 22 Эксплуатация Эффективное управление Объединенный мониторинг безопасностью и политиками Состояние контекста и панели мониторинга для проводных и беспроводных сетей Централизованное планирование задач управления на несколько дней Рабочие потоки настройки инструктивного характера Сокращение сроков диагностики и устранения неполадок Интеграция с Cisco NCS Prime
  • 23. © 2011 Cisco and/or its affiliates. All rights reserved. 23
  • 24. 24 Вовлечение конечного пользователя в управление Эффективное управление Снижение нагрузки на ИТ-персонал Адаптационный период для устройств, саморегистрация, выделение ресурсов запрашивающему клиенту* Снижение нагрузки на службу технической поддержки Простой, интуитивно понятный интерфейс пользователя Модель самообслуживания Портал регистрации устройства пользователя*, портал для приглашения гостей * запланировано на лето 2012 г.
  • 26. 26 Как контролируется доступ в сети Cisco?! Тип устройства МестоположениеПользователь Оценка Время Метод доступа Прочие атрибуты
  • 27. 27 Что более полезно с точки зрения безопасности? “Адрес скомпрометированного устройства 192.168.100.123” - ИЛИ - “Скомпрометировано устройство iPad Васи Иванова в стр.1” Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров. С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы. Cisco Platform Exchange Grid (pxGrid) Повышение эффективности решений партнеров через обмен контекстом
  • 28. 28 Экосистема партнеров Cisco ISE Security Information and Event Management (SIEM) и Threat Defense Mobile Device Management Приоритезация событий, анализ пользователей/устройств •  ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения •  Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и привилегий доступа с событиями в SIEM/TD •  Партнеры могут предпринимать действия к пользователям/устройствам через ISE Обеспечение защищенного доступа и соответствия устройства •  ISE является шлюзом политик для сетевого доступа мобильных устройств •  MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства •  ISE связывает привилегии доступа с контекстом соответствия
  • 29. 29 Интеграция с MDM Оценка соответствия мобильного устройства Всесторонний защищенный доступ Initial Posture Validation MS Patches Av and AS Installation Application and Process Running State Интеграция с MDM Проверка корпоративных и личных мобильных устройств MDM Policy Check Статус регистрации устройства Статус соответствия устройства Статус шифрования диска Статус установки блокировки экрана Стасус Jailbreak Производитель Модель IMEI Серийный номер Версия ОС Номер телефона
  • 30. 30 Интеграция с MDM 3 Jail BrokenPIN Locked EncryptionISE Registered PIN LockedMDM Registered Jail Broken
  • 31. 31 Быстрое реагирование на угрозы через SIEM / TD Расширение политик доступа & соответствия с MDM Устранение уязвимостей оконечных устройств Политика защиты индустриальных сетей и IoT Облегченное расследование инцидентов и проблем SSO защищенный доступ к защищаемым данным на мобильных устройствах Усиление эффекта Cisco Security через партнерство Распределение контекста с широким спектром решений партнеров
  • 32. 32 Преимущества экосистема партнеров Cisco pxGrid делает решения партнеров более эффективными Адаптивная аутентификация Ø  Ассоциация контекстных данных с приложениями & аутентификацией пользователя Ø  Снижение риска кражи данных и проникновений за счет более гибкой аутентификации Политика доступа для индустриальных сетей Ø  Сегментация на основе политик с контекстом и контролем АСУТП сетей Ø  Быстрая идентификация, изоляция и нейтрализация посторонних устройств Захват пакетов и расследование инцидентов Ø  Ассоциация контекстных данных пользователей/ролей с сетевыми дампами Ø  Рост аккуратности и скорости расследования инцидентов Новые SIEM / TD партнеры присоединяются к экосистеме партнеров ISE Приоритезация уязвимостей оконечных устройств Ø  Идентификация и приоритезация сетевых уязвимостей оконечных устройств Ø  Снижение времени на расследование и уведомление для снижения векторов атак
  • 33. 33 Cisco ISE поддерживает трехзвенную схему и объединяет решения Cisco в единый комплекс ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Контроль сетевого доступа Передача контекста Ограничение доступа и локализация нарушителей •  Cisco ASA •  Cisco FireSIGHT •  S-Terra CSP VPN •  Cisco ISR •  Cisco Catalyst •  Cisco Nexus •  Cisco WSA •  Cisco CTD •  SIEM •  pxGRID
  • 34. 34 Cisco ASA with FirePOWER / Cisco FirePOWER помогают мониторить активность внутри сети ►  Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений ►  Система гранулярного мониторинга и контроля приложений (Cisco® AVC) ►  Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER ►  Фильтрация URL-адресов на основе репутации и классификации ►  Система Advanced Malware Protection с функциями ретроспективной защиты Cisco ASA VPN и политики аутентификации Фильтрация URL- адресов (по подписке)FireSIGHT Аналитика и автоматизация Advanced Malware Protection (по подписке) Мониторинг и контроль приложений Межсетевой экран Маршрутизация и коммутация Кластеризация и высокая доступность Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI Встроенное профилирование сети Предотвращение вторжений (по подписке) FW + NGFW + NGIPS + AMP + URL + SSL VPN + IPSec VPN
  • 35. 35 3D SENSOR 3D SENSOR 3D SENSOR DEFENSE CENTER 3D SENSOR P2P запрещенное приложение обнаружено Событие нарушения зафиксировано, пользователь идентифицирован Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены. IT & HR провели с пользователем работу Идентификация приложений «на лету»
  • 36. 36 Гибкие политики работы с приложениями
  • 37. 37 Создание «белых списков» / «списков соответствия» •  Разрешенные типы и версии ОС •  Разрешенные клиентские приложения •  Разрешенные Web-приложения •  Разрешенные протоколы транспортного и сетевого уровней •  Разрешенные адреса / диапазоны адресов •  И т.д.  
  • 38. 38 3D SENSOR 3D SENSOR 3D SENSOR DEFENSE CENTER 3D SENSOR Поведение зафиксировано, уведомления отправлены IT восстановили активы Хосты скомпрометированы Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT. Новый актив обнаружен Поведение обнаружено Обнаружение посторонних / аномалий / несоответствий
  • 39. 39 Встроенная система корреляции событий (без SIEM) •  Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных •  Приложения •  Уязвимости •  Протоколы •  Пользователи •  Операционные системы •  Производитель ОС •  Адреса •  Место в иерархии компании •  Статус узла и т.п.
  • 40. 40 Cisco FirePOWER не только мониторит активность, но и обнаруживает угрозы внутри сети ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Firewall NGFW Управление уязвимостями VPN UTM NGIPS Web Security Исследования ИБ Advanced Malware Protection Ретроспективный анализ IoC / реагирование на инциденты
  • 41. 41 Идентификация и блокирование посторонних беспроводных устройств в Cisco •  Само мобильное устройство не может сказать, что оно «чужое» •  Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного •  Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают контролировать беспроводной эфир •  Все это часть функционала платформы Cisco Mobility Services Engine
  • 42. 42 Cisco AMP Everywhere объединяет… MAC Май 2014 Выделенные устройства Февраль 2013 NGIPS / NGFW на FirePOWER Октябрь 2012 ПК Январь 2012 Cloud Web Security & Hosted Email Март 2014 SaaS Web & Email Security Appliances Март 2014 Мобильные устройства Июнь 2012 Cisco ASA с FirePOWER Services Сентябрь 2014
  • 43. 43 Cisco Advanced Malware Protection проводит анализ и пост-фактум ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Контроль сетевого доступа Обнаружение и блокирование вредоносного кода Ретроспективный анализ
  • 44. 44 Управление инцидентами с помощью FireSIGHT Кто Что Где Когда Как Сфокусируйтесь сначала на этих пользователях Эти приложения пострадали Взлом затронул эти области сети Такова картина атака с течением времени Это источник угрозы и путь ее распространения
  • 45. 45 Анализ траектории вредоносного кода •  Какие системы были инфицированы? •  Кто был инфицирован? •  Когда это произошло? •  Какой процесс был отправной точкой? •  Почему это произошло? •  Когда это произошло? •  Что еще произошло?
  • 46. 46 Признаки (индикаторы) компрометации События СОВ Бэкдоры Подключения к серверам управления и контроля ботнетов Наборы эксплойтов Получение администраторских полномочий Атаки на веб- приложения События анализа ИБ Подключения к известным IP серверов управления и контроля ботнетов События, связанные с вредоносным кодом Обнаружение вредоносного кода Выполнение вредоносного кода Компрометация Office/PDF/Java Обнаружение дроппера
  • 47. 47