SlideShare a Scribd company logo
Cisco Security
Insight: зарисовки
о внутренней
кухне ИБ
Лукацкий Алексей
Бизнес-консультант по
безопасности
Cisco
Disclaimer
За 60 минут нельзя рассказать о том,
как построена ИБ внутри Cisco.
Упомянутые в презентации
процессы, сервисы, продукты,
технологии и подходы не являются
полным описанием того, что
делается внутри ИБ компании Cisco.
Упомянутые в презентации
процессы, сервисы, продукты,
технологии и подходы изменяются с
течением времени (в том числе и в
данный момент)
Презентация базируется на
публичной информации, раскрытие
которой разрешено службой ИБ
компании Cisco
Что такое Cisco сегодня?
3
• ИТ-компания
• Производственное
предприятие
• Финансовая компания
• Облачный провайдер /
провайдер услуг
• Издательство
• Учебный центр
• Телекомпания
B
4
16 основных Internet соединений
~47 TB пропускная способность
1350 лабораторий
200+ поглощений
300 соединений с партнерами
500+ CSPs
WebEx, Meraki, OpenDNS и
растущий портфель поглощаемых
• 133K работников
• 170 стран
• 193K устройств
пользователей
• ~1.5M IP-адресов
• 217K устройств
• 275K всего узлов
• 2500+ IT-приложений
• 26K подключенных
Cisco Virtual Offices
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Наши инвестиции в безопасность
175+ международных
сертификаций
150+
Продуктовых линеек
Cisco с Trustworthy
Technologies
80+ Red Team
20 НИОКР в 5 странах
70,000+
сотрудников
подписали
Code
of Conduct
every year
14,
230
Политик ИБ и защиты
данных,
аудитов
Security Advocates900+
35K+ Security Ninjas
Incident Responders100+
Обязательный Secure
Development Lifecycle
Программа Value Chain
Security
Программа защиты
данных
Operationalize Security
Cloud Security Ops and Technology
Trustworthy Systems
Customer Data Protection and Privacy
Supply Chain Security
Transparency and Validation
Security & Trust Organization (STO)
Разные виды
ИБ в Cisco
Security
challenge
inside Cisco
Угрозы на
Cisco за один
день
1.2 триллиона
Событий безопасности в день по всей сети
28 миллиарда
Netflows анализируется в день (Stealthwatch)
47 ТБ
Internet-трафика инспектируется
7.6 миллиарда
DNS-запросов в день (Umbrella)
13.4 миллиона
Срабатываний NGIPS в день
4.4 миллиона
Emails получается в день (ESA)
1000 фишинговых писем от службы ИБ
Никто не
справится с
этим
вручную
Security
challenge
inside Cisco
Результаты за
один день
Уровни автоматической защиты
6.25 Million
DNS-запросов блокируется
Umbrella
2.0 Million
Web-транзакций блокируется
WSA
2.5 Million
Email блокируется в день
ESA
17,000
файлов анализируется в день
ThreatGrid
& AMP
22
управляемых инцидента
CSIRT
2 / неделя Blackholed streams
CSIRT
Миссия NASA InSight
Я надеюсь, что озвученные мной инициативы и проекты
Cisco стимулируют появление у вас новых мыслей по защите
ваших предприятий. По каждому из описанных разделов
презентации мы сможем поговорить с вами более подробно!
Подход Trusted
Enterprise
В Cisco данным разрешено перемещаться
между…
Любыми
пользователями
Сотрудники
Контрактники
Партнеры
Любыми
устройствами
Корпоративные
Собственные
IoT
Любыми
приложениями
ЦОД
Мультиоблако
SaaS
В любых
местах
Внутри сети
Через VPN
Вне сети
4 столпа доверенного предприятия в Cisco
12
B
Secure
Administration
Identity Services
Engine (ISE)
Software Defined
Access
Доверенный
доступ
Single Sign On
802.1x
Multi-Factor
Authentication
Доверенная
идентичность
Trusted Endpoint
Trusted Server
Trusted Network
Network Services
Orchestrator
Доверенная
инфраструктура
Internal App
security
baselines
SaaS security
baselines
IaaS security
baselines
Доверенные
сервисы
Три технологии доверенной идентичности
Microsoft Active Directory
• Аутентификация пользователей в Windows, Macintosh и Linux
• Клиентские приложения: Outlook Email и Calendar, SharePoint, …
Аутентификация 802.1x
• Для проводных и беспроводных сетей, VPN
и домашних офисов
• Cisco Identity Services Engine (ISE)
Управление идентификацией
• Для мобильных, облачных и корпоративных приложений
• Многофакторная аутентификация и Single Sign on.
• Пользователи могут войти в систему один раз в начале дня и
оставаться в ней пока активна их сессия
Аутентификация 802.1x с помощью Cisco ISE
14
B
Корпоративный доступ
Wired, Wireless, VPN, Home Office
802.1x
802.1x
802.1x
SGT
Свыше миллиона
активных
профилированных
“устройств”
Max ~250K параллельных
“устройств”
26K домашних офисов;
~60K ПК
639 WLC; ~200K ПК
70 ASA; ~90K ПК
2K коммутаторов доступа
~200K ПК
8 DivBiz сегментов; ~8K ПК
98 стран
580 офисов
122K пользователей
Только Интернет
~14K гостей/неделя
Central Web Auth
Взаимодействие ИТ и ИБ (на примере проекта
Cisco ISE)
COO
CTO
SVP IT
VP IT
Any Device
Team
SVP
Infra Services
Sr. Dir
Network
Services
VP Ops/
Implementation
Sr. Dir
Strategy &
Security
Security
Services
Directory
Services
Sr. Dir
Data Centers
Sr. Dir
Arch/Design
SVP
Security & Trust
VP
InfoSec
Требования и
политики
безопасности
Отвечают за
мобильные
устройства,
ответственны
за проверки
устройств на
соответствие
политикам
ЦОД и
виртуальная
инфраструктура
Отвечают за
поддержку и
разворачивание
сетевых
сервисов
Отвечают за
поддержку и
разворачивание
сетевой
инфраструктуры
Отвечает за
ISE и
остальные
сервисы
безопасности
Инфраструктура и
сервисы Microsoft
Active Directory
Архитектура
решения и
высокоуровневый
дизайн
Operational
Excellence:
99.999%
Availability
Cisco ISE является мощным источником
контекста для мониторинга
Условия и права доступа зависят
от «идентификации» (контекста
доступа) устройства:
• OUI: Вендор + другие атрибуты
• Профилирование и/или DNS
• Почему MFA?
• Слабые или украденные учетные записи являются
мощным оружием хакеров, используемым в 95% всех
Web-атак. MFA может предотвратить это
• Цифровой логин
• Трансформация традиционного имени + пароль в что-то
более безопасное into something more secure and
бесшовное
• Пароль сам по себе больше не обеспечивает
безопасностьи
• MFA / Multi-Factor Authentication
• Больше чем одно устройство или технология
• Пример: приложения могут требовать дополнительный
одноразовый код или биометрию для входа
Многофакторная аутентификация
17 BRKCOC-1012
Yubikey поддержка, только дотронься и
ты вошел!
Генератор
мобильных кодов
Мобильное
приложение
Мобильное
сообщение (SMS)
Голосовой вызов
Приложение на
десктопе
Email
Yubi Key
Duo Push
Опции MFA
Доверенные оконечные устройства
Стандарт доверенного устройства
Регистрация устройства
Anti-malware
Версия ОС
Обновление ПО
Шифрование
Обнаружение root/jailbreak (только для мобильных)
Пароль/Скринсейвер
Удаленная очистка данных
Управление устройством (MDM)
Инвентаризация ПО и железа
Cisco Security Suites
CISCO CYODКУПЛЕНО CISCO
65,344
MOBILE
DEVICE
S
121,593
CISCO
SUPPLIED
DEVICES
6,230
41,655
13,472
74,947
48,802
341
Доверенные сервера
Стандарт доверенного сервера
Регистрация устройства
Управление конфигурацией
Защита ОС
Обновление ОС
Управление уязвимостями ПО и ОС
Защищенное управление
Централизованная аутентификация
Шифрование данных
Защита учетных записей и разделяемых секретов
Anti-malware
Интеграция с SIEM и реагированием на инциденты
Замкнутая программная среда (AWL)
IT UCS
серверов
12,042
Виртуальных
машин
47,526
Доверенные сетевые устройства
21
Аутентификация периметра (802.1x)
Защищенное управление
Контроль & автоматизация защищенной
конфигурации (SDN)
Сегментация
MFA для удаленного доступа
Шифрование WAN
Role Based Access Controls (ARBAC)
Политики защищенного доступа
(SNMP/SSH ACL)
Шифрование канала аутентификации
(TACACS шифрование)
Аутентификация и шифрование уровня
управления (SNMPv3)
Централизованная регистрация событий
Аутентификация и централизация хранилища
identity (TACACS+, LDAP)
Контролируемый защищенный авторитативный
DNS-сервис (pDNS, ODNS)
Защищенный источник времени (NTP)
Мониторинг административного доступа (AAA
Accounting & Logging)
Аутентификация протоколов маршрутизации
Контроль целостности имиджа сетевой ОС
Дифференцированный доступ (политика
динамических пользователей и устройств,
оценка состояния & защита)
Стандарт доверенного сетевого устройства
8,495
LAN Switches
7,607
Routers
653
Wireless LAN
Controllers
30,022
Cisco Virtual
Office
715
Firepower, ASA
Доверенные внутренние приложения
22
Стандарт доверенного приложения
Регистрация приложений (ServiceNow)
Управление конфигурацией
Централизованная аутентификация (SSO)
Оценка воздействия на приватность (GDPR)
Управление уязвимостями и патчами (Qualys, Rapid7)
Защищенное управление
Мониторинг и защита данных (DLP, IRM, шифрование)
Оценка исходного кода приложений (SCAVA)
Базовая и глубокая оценка приложений (BAVA/DAVA)
Управление ключами и шифрование
Защита SOAP, REST и API
Интеграция с SIEM и реагированием на инциденты
3982 внутренних приложений
Сложности
• Старые приложения
• Высокая кастомизация
• Поддержка после EOL
• Как управлять рисками
• Автоматизация стандарта
Движение в облака
• ~30% роста из года в год
• Свыше 600 облачных сервисов
проанализировано и
разрешено к использованию
• Многие обрабатывают данные
Highly Confidential или
Restricted
• Необходима совместимость
0
100
200
300
400
500
600
700
2012 2013 2014 2015 2016 2017
Доверенные облачные провайдеры
24
(Cloud Assessment and Service Provider Remediation CASPR)
BRKCOC-1012
Privacy and
Data Security
Application
Security
Infrastructure
Security
Authentication
and
Authorization
Vulnerability
Management
Support and
Operations
Incident
Analysis and
Response
Business
Continuity
Модели
CASPR
Public
Confidential
Highly
Confidential
Restricted
Logging and
Auditability
120+ вопросов
Модель зрелости безопасности
Политика на
базе
места/IP
вставки
безопасности
Политика на
базе
понимания
App/ID
на все
предприятие
Дизайн
потоков от
активов к
данным
по бизнес-целям
Обнаружение
активов &
данных
предприятие+3-и
стороны
Непрерывное
обнаружение
сеть+облако+ПК
Непрерывная
верификация
предприятие+3-и
стороны
1
2
3
4
5
6
Усиление инфраструктуры
Управление рисками
Динамический контекст
Эволюция угроз и доверия
Статическое
предотвращение
Распознавание лиц
На примере бета-проекта в Cisco
Cisco Trusted Access
Доверие
пользователь
-устройство
Доверие IoT
— И/ИЛИ —
доверие
приложения
м
Доступ
приложений
Сетевой
доступ
Нормализация
политик
Реагирование
на угрозы
1
2
3
4
5
6
Установление SD-
периметра
Автоматические
адаптивные политики
Практичный подход «Zero Trust» к безопасности
Установление
уровня доверия
Cisco iCAM
Cisco iCAM –
Intelligent Context
Aware Monitoring
(UEBA + DLP)
Cisco TIP –
внутренняя
платформа Big Data
Threat Intelligence
and Security Analytics
40 Billion
Файлов Cisco
защищено
16,000+
серверов
мониторится
10 секунд
на детект риска
200 TB
ElasticSearch
Cluster
2,2 PB
Hadoop Cluster
27 TB
памяти
2848
ядер
Users-to-Ops
100,000 : 1
ВНИМАНИЕ
Мы это не продаем!
Опыт внутренней разработки Cisco
Часто приходится создавать системы ИИ
самостоятельно
30
• Решение iCAM
разрабатывалось
внутри службы ИБ
Cisco для
мониторинга утечек
информации и
анализа поведения
пользователей
• Готового решения
мы не нашли
iCAM People
Data
Identity
Policy
Identity
Data
Center
Lab
End
Points
Public
Cloud
User
Identity
Device
Identity
Applications
& Data
InfoSec
End User
HR/Legal
Manager
Raw Events
Corrective Action
Alert
Feedback
CPR
HRMS
LDAP
OnRamp
DCE
ISE
EMANCES
PSIRT
BI
DI
DLP
GDM
ARTCEPM
DSPL
iCAM: внутренняя разработка Cisco
Topic
(Services)
Behavior
Rules
События
пользователей
Box
Jive
SFDC
End-User’s
Manager
Уведомление
1
Behavior DB
4
Аномальное
поведение
6
7
Обратная связь
с менеджером
8
Анализ
поведения
5
Determine and Log the Cisco data at risk
Анализ событий3
Behavior Reconstruction
Balance
Security and
Productivity
Public Cloud
Обеспечение
контекста
User Identity: DSX, CES, HRMS, CPR
Data Identity: Symantec DLP, DSPL, PSIRT
Device Identity: ISE, DCE, GDM
Network Identity: EMAN
2
iCAM in green
Others in violet
ENG DC
Topic
Alfresco
Private Cloud
CITEIS
ENG Lab
Data Lake
…
…
Процесс работы iCAM в Cisco
• 10 секунд на детектирование
риска
• 24 часа на устранение риска
Скорость
• 4+ миллиардов событий
ежедневно
• 2000 инцидентов в квартал
Объемы
• 40+ миллиардов файлов Cisco
были защищены
• 16,000+ серверов мониторится
Ценность
для бизнеса
• User-To-Ops: 100,000 : 1
• 90% сигналов тревоги
управляются автоматически
• Только 1% инцидентов требует
ручной поддержки от Ops
Качество
операций
Эффект от iCAM в Cisco
15,2 миллиона долларов ежегодной экономии / сохранности
Cisco SOC
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования
Cisco Security Analytics Suite
NTA
EDR
SIEM
UEBA
/
CASB
AMP for Endpoints
Stealthwatch
CloudLock
Инфраструктура под
расследованием
Меры защиты и
восстановлени
я
Системы коммуникаций и
взаимодействия
РасследованиеМониторинг и
реагирование
Обогащение/TI
Телеметрия и
другие
источники
Решения провайдеров
по ИБ
Управление
сервисами
Security Analytics
Suite
AV Intel
Providers
Cloud
Infra
Service
Provider
Solutions
Digital
Forensics
Tools
Security
Case
Management
Enrichment
Providers
Threat Intel
Providers
Платформы для разведки
Threat
Intelligence
Malware
Analysis
Knowledg
e Base
Log
Management
Native
Logs
Cyber Security
Controls
Wiki
Comm &
Collab Apps
Internal
Infra
Ticketing
Training
Platforms
Physical Security
Controls
Сейчас
Sensor
Telemetry
Other Data
Sources
C облаков мы также берем данные для анализа
Компонент Предпочитаемое решение Альтернатива
Облачный L3-шлюз Cisco CSR Нет данных
Intrusion Detection (IDS) SourceFire for AWS Snort
Сбор NetFlow Stealthwatch Cloud License nfcapd/nfdump
Passive DNS Cisco’s PDNS Tool OpenDNS
PDNS (Open Source Project)
Operational Intelligence Splunk ELK
Захват сетевых пакетов CSIRT’s PCAP Solution В процессе изучения
Прикладные данные CloudLock SkyHigh
Структура CSIRT
39
NetFlow System Logs
Разведка и
исследования
4
Аналитики APT
14
Следователи
22/17
Аналитики
User
Attribution
Analysis
Tools
Case Tools Deep
Packet Analysis
Collaboration
Tools
Intel Feeds
Операционные инженеры3/26
THE INTERNET CISCO ASSETS
THREATS PER QUARTER THREAT DEFENCE
1,558,649,099
39,778,560
19,862,979
770,399,963
25,802,498
3,364,087
20,529
1,978 INCIDENTS MANAGED (QTR)
DNS-RPZ
BGP Blackhole
WSA
ESA
ANTIVIRUS
HIPS
ENDPOINT AMP
CSIRT
Prevention
2,417,877,715 = TOTAL THREATS PREVENTED(QTR)
Detection
Сколько инцидентов поступает в CSIRT?
Реагирование CSIRT: пример
41
Следовать
процессу
восстановления
CSIRT Zeus
Блекхолинг
атакующих IP
по BGP
Добавление IP
и доменов в
сигнатуры и
правила
средств
защиты
Следовать
процессу
CSIRT 0-Day
Уведомить
владельца
зараженного
узла
Отражение атак: BGP RTBH @Cisco
• OER – Optimized Edge Routing
• Также известен как Performance
Routing (PfR):
• Немедленно устанавливает null0 route
• Позволяет избежать дорогостоящего
изменения правил ACL или на МСЭ
• Использует iBGP и uRPF
• Не требует дополнительной настройки
• Настраивает /32 null0 route:
42
route x.x.x.x 255.255.255.255 null0
iBGP peering
Cisco Threat Mitigation System (TMS)
Единый инструмент для управления DNS RPZ* и BGP BH**
* - Response Policy Zones
** - Black Hole
Cisco Threat Mitigation System (TMS)
У нас SOC строится 17+ лет!
Cisco C-Bridge
• Средняя длительность интеграции инфраструктуры
покупаемых/поглощаемых компаний составляет около 1 года
после официального объявления
• В переходный период новые сотрудники должны иметь доступ к
корпоративным ресурсам с помощью VPN (AnyConnect)
• Политика безопасности Cisco запрещает применять разделение
туннелей (split-tunneling), что может привести к снижению
продуктивности сотрудников, ухудшению опыта, особенно для
инженерных команд
• В процессе интеграционного периода нет возможности
мониторить недоверенную сеть
Ряд сложностей у крупной компании
Почему Cisco запрещает split tunneling?
Тип компании Размер Да Нет
US Telecom 30,000 X
US Gov 5000 X
US Carrier 25,000 X
US Hardware Mfg 15,000 X
US Telecom 180,000 X *
US Telecom 250,000 X **
US DDoS SP 2,000 X
US Gov 100,000 X
US Aerospace 130,000 X
US Cyber R&D 1,000 X
US SP 43,000 x
• Служба ИБ Cisco InfoSec считает,
что split tunneling при
подключении пользователя к
недоверенной сети приводит к
высокому риску
• Угроза исходит из
скомпрометированных устройств,
через которые внешние
злоумышленники могут иметь
доступ внутрь Cisco
• Недавний неформальный опрос
Cisco CSIRT подтверждает, что
это общая практика * Исключение для принтеров на уровне портов
** Локальные LAN только, без Internet
BRKCOC-190048
Что такое C-Bridge?
• Фундаментально C-Bridge – это сетевое решение, использующее
маршрутизаторы, коммутаторы и средства защиты Cisco, для
предоставления быстрого, защищенного подключения и мониторинга
безопасности новых площадок
• Автономное решение, которые задействует управление идентификацией и
проверку пользовательских устройств для обеспечения доступа к
корпоративным ресурсам без компрометации безопасности предприятия
• Обеспечивает базу для реализации защитных мер и мониторинга старых
сетей
• Плотное взаимодействие разных команд Cisco:
• IT Acquisition Integration
• IT Network Services
• InfoSec Architecture
• InfoSec CSIRT
Внешний вид C-Bridge
BRKCOC-1900 50
Физическая безопасность C-Bridge
• Два набора замков (внутри +
снаружи) на внутренней и
внешней «дверцах» C-Bridge
• Закрытые двери не мешают
работать с проводами для их
подключения к сети и питанию
• После подключения внешняя
дверца может быть оставлена
открытой для обеспечения
вентиляции
BRKCOC-1900 51
Наполнение C-Bridge
• Стойка может быть высотой
до 20 RU
• Сейчас стойка заполнена на
16 RU с дополнительными
(запасными) 4 RU
• 4 RU для IT-наполнения, 12
RU для целей безопасности
и мониторинга
BRKCOC-1900 52
Аппаратные компоненты C-Bridge
Маршрутизация
• Cisco 4451 Integrated Services Router
• Cisco 2901 Integrated Services Router
Коммутация • Cisco Catalyst 3850 Switches
Безопасность
• Cisco ASA5545-X Adaptive Security Appliance
• Cisco FirePOWER 7150 Appliance with
Advanced Malware Protection
• Cisco NetFlow Generation Appliance 3340
• Cisco StealthWatch Flow Collector
Сервера • Cisco UCS C-Series rack servers
BRKCOC-1900 53
Программные компоненты C-Bridge
• InfoSec CSIRT мониторит весь доступ к/через Интернет
• В дополнение к межсетевому экранированию:
• Sourcefire IDS 7150 with AMP for Networks
• vWSA с AMP for Content с интеграцией с ThreatGrid
• Генерация несемплированного Netflow и передача в Cisco Stealthwatch
vFlowCollector
• CSIRT PDNS и Cisco Umbrella
• Qualys Vulnerability Scanner (виртуальный)
• BGP Black Hole/Quarantine
• DLP-функциональность
• Сбор Syslog
BRKCOC-1900 54
Облегченная версия C-Bridge
Создание многоуровневой
архитектуры C-Bridge :
• Малая: 2RU = ISR4451 с
модулем Etherswitch, FTD для
ISR (UCS-E) и UCS-E для
CSIRT VMs, до ~300Mbps
• Средняя: 3RU = ISR4451 с
модулем коммутации и 2x
UCS-E для CSIRT VMs +
ASA5555X-FTD, до ~600Mbps
• Большое: стандартное
решение на ½ стойки C-
Bridge, 1Gbps+
ß Vs. à
Преимущества C-Bridge
56
Скорость
Обеспечение параллельного доступа к
корпоративным ресурсам и
недоверенным сетям на 10 месяцев
быстрее
Масштабируемость
Решение может быть внедрено на одной
или нескольких площадках
Сетевая безопасность
Возможность мониторить Интернет и
внутренний трафик в недоверенной сети
для обнаружения потенциальных угроз
Cisco on Cisco
Почти полностью состоит из оборудования
Cisco, включая Stealthwatch, NGIPS,
Umbrella
Повторное использование
Одна стойка может быть повторно
использована в новых проектах
Продуктивность сотрудников
Устраняет необходимость применения
AnyConnect для доступа к локальным
ресурсам
Мониторинг
DNS
Внедрение Umbrella
58
(Апрель 2017)
AnyConnect модуль: 78k клиентов за первую неделю,
100k клиентов за 2 недели, 3 кейса
Первая неделя внедрения роумингового клиента:
431k дополнительных блокировок на 12.2k
уникальных узлов (10% от всего)
Верхние 100 пользователей генерят 70%
роуминговых блокировок
Облегченная защита для устройств не защищенных в
Cisco
Покрывает все порты и протоколы, не только web или
email
Аудит DNS-запросов из устройств, когда они не
подключены к Cisco
Результаты внедрения Umbrella
59
• Решение очень простое для внедрения
• Добавляет безопасности
• Облегченное внедрение без внесения изменений в сеть,
обновление через DHCP или статику
• Планирование и управление изменениями 90 дней
• 30 минут на внедрение!
“Все, что нужно, - распространить 4 строки
кода на несколько DNS серверов.”
• 166k событий ВПО блокировано в первые 24 часа,
снижая нагрузку на WSA:
• 62% меньше блокировок “bad web reputation”
• 96% меньше блокировок “bad URL category”
• 82% меньше блокировок“malware”
INTERNET
MALWARE
BOTNETS/C2
PHISHING
& HERE!
LANCOPE
WSA
(+ESA)
FIREPOWER
AM
P
AM
P
AM
P
AM
P
AMP
AMP
AM
P
AM
P
MERAKI
AM
P
AM
P
ASA
HER
E
HER
E
HERE
HER
E
HER
E
HQ
Branch Branch
Mobile
Mobile
Cisco Security
Ninja
Как обучить 20 тысяч сотрудников основам ИБ?
Различные программы
Несколько десятков модулей
Геймификация при донесении информации
Не только обучение (на высоких уровнях)
Признание и вовлечение
Результаты внедрения программы
Ключевые факторы успеха
• Не более 20 минут на
модуль; а еще лучше
десять
• Когорта экспертов
• Вирусный маркетинг
• Проектировщики учебных
курсов
• Соревнование
• Ломайте правила
• Креативные люди
• Вовлечение руководства
• Геймификация
Подводя итоги
Что приходится мониторить в 6 направлениях
Cisco STO?
122K человек/170 стран
26,000 домашних офисов
1,350 лабораторий
2,500 приложений/500 облачных
сервисов
3M IP-адресов/40K
маршрутизаторов
425 устройств, обнаруживающих
инциденты ИБ
350+ сотрудников службы ИБ
(включая расширенный состав)
4TБ данных собирается и
анализируется ежедневно
1.2трлн сетевых событий
15млрд потоков NetFlows
4.7млрд DNS-записей
75млн Web-транзакций
• Блокируется – 1.2M (WSA)
94% входящих e-mail блокируется
на периметре (ESA)
47TБ трафика инспектируется
• эквивалентно 3.8K часов видео blu-ray
5
Спасибо за внимание!
www.facebook.com/CiscoRu
© 2019 Cisco and/or its affiliates. All rights reserved.
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
www.vk.com/cisco
Оцените данную сессию в мобильном
приложении конференции
Контакты:
Тел.: +7 495 9611410
www.cisco.com

More Related Content

What's hot

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
Aleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
 

What's hot (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 

Similar to Зарисовки о том, как устроена кибербезопасность в Cisco

Услуги информационной безопасности
Услуги информационной безопасностиУслуги информационной безопасности
Услуги информационной безопасности
CTI2014
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Cisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
Cisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
Cisco Russia
 
Каталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаКаталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнеса
Cisco Russia
 
MMS 2010: Secure collaboration
MMS 2010: Secure collaborationMMS 2010: Secure collaboration
MMS 2010: Secure collaboration
Aleksei Goldbergs
 
Руководство по продажам ИКС
Руководство по продажам ИКСРуководство по продажам ИКС
Руководство по продажам ИКС
Diamantigor Igor.Suharev
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
Cisco Russia
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
Cisco Russia
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
Aleksey Lukatskiy
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Cisco Russia
 
Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...
Cisco Russia
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSec
Cisco Russia
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)
Cisco Russia
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Cisco Russia
 
Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2
Cisco Russia
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
Татьяна Янкина
 
Краткий обзор Cisco ISE
Краткий обзор Cisco ISEКраткий обзор Cisco ISE
Краткий обзор Cisco ISE
Cisco Russia
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 

Similar to Зарисовки о том, как устроена кибербезопасность в Cisco (20)

иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
 
Услуги информационной безопасности
Услуги информационной безопасностиУслуги информационной безопасности
Услуги информационной безопасности
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
 
Каталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаКаталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнеса
 
MMS 2010: Secure collaboration
MMS 2010: Secure collaborationMMS 2010: Secure collaboration
MMS 2010: Secure collaboration
 
Руководство по продажам ИКС
Руководство по продажам ИКСРуководство по продажам ИКС
Руководство по продажам ИКС
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
 
Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSec
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2Функции обеспечения безопасности в Cisco ISR G2
Функции обеспечения безопасности в Cisco ISR G2
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 
Краткий обзор Cisco ISE
Краткий обзор Cisco ISEКраткий обзор Cisco ISE
Краткий обзор Cisco ISE
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 

More from Aleksey Lukatskiy

Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
 

More from Aleksey Lukatskiy (11)

Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

Зарисовки о том, как устроена кибербезопасность в Cisco

  • 1. Cisco Security Insight: зарисовки о внутренней кухне ИБ Лукацкий Алексей Бизнес-консультант по безопасности Cisco
  • 2. Disclaimer За 60 минут нельзя рассказать о том, как построена ИБ внутри Cisco. Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы не являются полным описанием того, что делается внутри ИБ компании Cisco. Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы изменяются с течением времени (в том числе и в данный момент) Презентация базируется на публичной информации, раскрытие которой разрешено службой ИБ компании Cisco
  • 3. Что такое Cisco сегодня? 3 • ИТ-компания • Производственное предприятие • Финансовая компания • Облачный провайдер / провайдер услуг • Издательство • Учебный центр • Телекомпания
  • 4. B 4 16 основных Internet соединений ~47 TB пропускная способность 1350 лабораторий 200+ поглощений 300 соединений с партнерами 500+ CSPs WebEx, Meraki, OpenDNS и растущий портфель поглощаемых • 133K работников • 170 стран • 193K устройств пользователей • ~1.5M IP-адресов • 217K устройств • 275K всего узлов • 2500+ IT-приложений • 26K подключенных Cisco Virtual Offices © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
  • 5. Наши инвестиции в безопасность 175+ международных сертификаций 150+ Продуктовых линеек Cisco с Trustworthy Technologies 80+ Red Team 20 НИОКР в 5 странах 70,000+ сотрудников подписали Code of Conduct every year 14, 230 Политик ИБ и защиты данных, аудитов Security Advocates900+ 35K+ Security Ninjas Incident Responders100+ Обязательный Secure Development Lifecycle Программа Value Chain Security Программа защиты данных
  • 6. Operationalize Security Cloud Security Ops and Technology Trustworthy Systems Customer Data Protection and Privacy Supply Chain Security Transparency and Validation Security & Trust Organization (STO) Разные виды ИБ в Cisco
  • 7. Security challenge inside Cisco Угрозы на Cisco за один день 1.2 триллиона Событий безопасности в день по всей сети 28 миллиарда Netflows анализируется в день (Stealthwatch) 47 ТБ Internet-трафика инспектируется 7.6 миллиарда DNS-запросов в день (Umbrella) 13.4 миллиона Срабатываний NGIPS в день 4.4 миллиона Emails получается в день (ESA) 1000 фишинговых писем от службы ИБ Никто не справится с этим вручную
  • 8. Security challenge inside Cisco Результаты за один день Уровни автоматической защиты 6.25 Million DNS-запросов блокируется Umbrella 2.0 Million Web-транзакций блокируется WSA 2.5 Million Email блокируется в день ESA 17,000 файлов анализируется в день ThreatGrid & AMP 22 управляемых инцидента CSIRT 2 / неделя Blackholed streams CSIRT
  • 9. Миссия NASA InSight Я надеюсь, что озвученные мной инициативы и проекты Cisco стимулируют появление у вас новых мыслей по защите ваших предприятий. По каждому из описанных разделов презентации мы сможем поговорить с вами более подробно!
  • 11. В Cisco данным разрешено перемещаться между… Любыми пользователями Сотрудники Контрактники Партнеры Любыми устройствами Корпоративные Собственные IoT Любыми приложениями ЦОД Мультиоблако SaaS В любых местах Внутри сети Через VPN Вне сети
  • 12. 4 столпа доверенного предприятия в Cisco 12 B Secure Administration Identity Services Engine (ISE) Software Defined Access Доверенный доступ Single Sign On 802.1x Multi-Factor Authentication Доверенная идентичность Trusted Endpoint Trusted Server Trusted Network Network Services Orchestrator Доверенная инфраструктура Internal App security baselines SaaS security baselines IaaS security baselines Доверенные сервисы
  • 13. Три технологии доверенной идентичности Microsoft Active Directory • Аутентификация пользователей в Windows, Macintosh и Linux • Клиентские приложения: Outlook Email и Calendar, SharePoint, … Аутентификация 802.1x • Для проводных и беспроводных сетей, VPN и домашних офисов • Cisco Identity Services Engine (ISE) Управление идентификацией • Для мобильных, облачных и корпоративных приложений • Многофакторная аутентификация и Single Sign on. • Пользователи могут войти в систему один раз в начале дня и оставаться в ней пока активна их сессия
  • 14. Аутентификация 802.1x с помощью Cisco ISE 14 B Корпоративный доступ Wired, Wireless, VPN, Home Office 802.1x 802.1x 802.1x SGT Свыше миллиона активных профилированных “устройств” Max ~250K параллельных “устройств” 26K домашних офисов; ~60K ПК 639 WLC; ~200K ПК 70 ASA; ~90K ПК 2K коммутаторов доступа ~200K ПК 8 DivBiz сегментов; ~8K ПК 98 стран 580 офисов 122K пользователей Только Интернет ~14K гостей/неделя Central Web Auth
  • 15. Взаимодействие ИТ и ИБ (на примере проекта Cisco ISE) COO CTO SVP IT VP IT Any Device Team SVP Infra Services Sr. Dir Network Services VP Ops/ Implementation Sr. Dir Strategy & Security Security Services Directory Services Sr. Dir Data Centers Sr. Dir Arch/Design SVP Security & Trust VP InfoSec Требования и политики безопасности Отвечают за мобильные устройства, ответственны за проверки устройств на соответствие политикам ЦОД и виртуальная инфраструктура Отвечают за поддержку и разворачивание сетевых сервисов Отвечают за поддержку и разворачивание сетевой инфраструктуры Отвечает за ISE и остальные сервисы безопасности Инфраструктура и сервисы Microsoft Active Directory Архитектура решения и высокоуровневый дизайн Operational Excellence: 99.999% Availability
  • 16. Cisco ISE является мощным источником контекста для мониторинга Условия и права доступа зависят от «идентификации» (контекста доступа) устройства: • OUI: Вендор + другие атрибуты • Профилирование и/или DNS
  • 17. • Почему MFA? • Слабые или украденные учетные записи являются мощным оружием хакеров, используемым в 95% всех Web-атак. MFA может предотвратить это • Цифровой логин • Трансформация традиционного имени + пароль в что-то более безопасное into something more secure and бесшовное • Пароль сам по себе больше не обеспечивает безопасностьи • MFA / Multi-Factor Authentication • Больше чем одно устройство или технология • Пример: приложения могут требовать дополнительный одноразовый код или биометрию для входа Многофакторная аутентификация 17 BRKCOC-1012
  • 18. Yubikey поддержка, только дотронься и ты вошел! Генератор мобильных кодов Мобильное приложение Мобильное сообщение (SMS) Голосовой вызов Приложение на десктопе Email Yubi Key Duo Push Опции MFA
  • 19. Доверенные оконечные устройства Стандарт доверенного устройства Регистрация устройства Anti-malware Версия ОС Обновление ПО Шифрование Обнаружение root/jailbreak (только для мобильных) Пароль/Скринсейвер Удаленная очистка данных Управление устройством (MDM) Инвентаризация ПО и железа Cisco Security Suites CISCO CYODКУПЛЕНО CISCO 65,344 MOBILE DEVICE S 121,593 CISCO SUPPLIED DEVICES 6,230 41,655 13,472 74,947 48,802 341
  • 20. Доверенные сервера Стандарт доверенного сервера Регистрация устройства Управление конфигурацией Защита ОС Обновление ОС Управление уязвимостями ПО и ОС Защищенное управление Централизованная аутентификация Шифрование данных Защита учетных записей и разделяемых секретов Anti-malware Интеграция с SIEM и реагированием на инциденты Замкнутая программная среда (AWL) IT UCS серверов 12,042 Виртуальных машин 47,526
  • 21. Доверенные сетевые устройства 21 Аутентификация периметра (802.1x) Защищенное управление Контроль & автоматизация защищенной конфигурации (SDN) Сегментация MFA для удаленного доступа Шифрование WAN Role Based Access Controls (ARBAC) Политики защищенного доступа (SNMP/SSH ACL) Шифрование канала аутентификации (TACACS шифрование) Аутентификация и шифрование уровня управления (SNMPv3) Централизованная регистрация событий Аутентификация и централизация хранилища identity (TACACS+, LDAP) Контролируемый защищенный авторитативный DNS-сервис (pDNS, ODNS) Защищенный источник времени (NTP) Мониторинг административного доступа (AAA Accounting & Logging) Аутентификация протоколов маршрутизации Контроль целостности имиджа сетевой ОС Дифференцированный доступ (политика динамических пользователей и устройств, оценка состояния & защита) Стандарт доверенного сетевого устройства 8,495 LAN Switches 7,607 Routers 653 Wireless LAN Controllers 30,022 Cisco Virtual Office 715 Firepower, ASA
  • 22. Доверенные внутренние приложения 22 Стандарт доверенного приложения Регистрация приложений (ServiceNow) Управление конфигурацией Централизованная аутентификация (SSO) Оценка воздействия на приватность (GDPR) Управление уязвимостями и патчами (Qualys, Rapid7) Защищенное управление Мониторинг и защита данных (DLP, IRM, шифрование) Оценка исходного кода приложений (SCAVA) Базовая и глубокая оценка приложений (BAVA/DAVA) Управление ключами и шифрование Защита SOAP, REST и API Интеграция с SIEM и реагированием на инциденты 3982 внутренних приложений Сложности • Старые приложения • Высокая кастомизация • Поддержка после EOL • Как управлять рисками • Автоматизация стандарта
  • 23. Движение в облака • ~30% роста из года в год • Свыше 600 облачных сервисов проанализировано и разрешено к использованию • Многие обрабатывают данные Highly Confidential или Restricted • Необходима совместимость 0 100 200 300 400 500 600 700 2012 2013 2014 2015 2016 2017
  • 24. Доверенные облачные провайдеры 24 (Cloud Assessment and Service Provider Remediation CASPR) BRKCOC-1012 Privacy and Data Security Application Security Infrastructure Security Authentication and Authorization Vulnerability Management Support and Operations Incident Analysis and Response Business Continuity Модели CASPR Public Confidential Highly Confidential Restricted Logging and Auditability 120+ вопросов
  • 25. Модель зрелости безопасности Политика на базе места/IP вставки безопасности Политика на базе понимания App/ID на все предприятие Дизайн потоков от активов к данным по бизнес-целям Обнаружение активов & данных предприятие+3-и стороны Непрерывное обнаружение сеть+облако+ПК Непрерывная верификация предприятие+3-и стороны 1 2 3 4 5 6 Усиление инфраструктуры Управление рисками Динамический контекст Эволюция угроз и доверия Статическое предотвращение
  • 26. Распознавание лиц На примере бета-проекта в Cisco
  • 27. Cisco Trusted Access Доверие пользователь -устройство Доверие IoT — И/ИЛИ — доверие приложения м Доступ приложений Сетевой доступ Нормализация политик Реагирование на угрозы 1 2 3 4 5 6 Установление SD- периметра Автоматические адаптивные политики Практичный подход «Zero Trust» к безопасности Установление уровня доверия
  • 29. Cisco iCAM – Intelligent Context Aware Monitoring (UEBA + DLP) Cisco TIP – внутренняя платформа Big Data Threat Intelligence and Security Analytics 40 Billion Файлов Cisco защищено 16,000+ серверов мониторится 10 секунд на детект риска 200 TB ElasticSearch Cluster 2,2 PB Hadoop Cluster 27 TB памяти 2848 ядер Users-to-Ops 100,000 : 1 ВНИМАНИЕ Мы это не продаем! Опыт внутренней разработки Cisco
  • 30. Часто приходится создавать системы ИИ самостоятельно 30 • Решение iCAM разрабатывалось внутри службы ИБ Cisco для мониторинга утечек информации и анализа поведения пользователей • Готового решения мы не нашли
  • 31. iCAM People Data Identity Policy Identity Data Center Lab End Points Public Cloud User Identity Device Identity Applications & Data InfoSec End User HR/Legal Manager Raw Events Corrective Action Alert Feedback CPR HRMS LDAP OnRamp DCE ISE EMANCES PSIRT BI DI DLP GDM ARTCEPM DSPL iCAM: внутренняя разработка Cisco
  • 32. Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … Процесс работы iCAM в Cisco
  • 33. • 10 секунд на детектирование риска • 24 часа на устранение риска Скорость • 4+ миллиардов событий ежедневно • 2000 инцидентов в квартал Объемы • 40+ миллиардов файлов Cisco были защищены • 16,000+ серверов мониторится Ценность для бизнеса • User-To-Ops: 100,000 : 1 • 90% сигналов тревоги управляются автоматически • Только 1% инцидентов требует ручной поддержки от Ops Качество операций Эффект от iCAM в Cisco 15,2 миллиона долларов ежегодной экономии / сохранности
  • 35. Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  • 36. Cisco Security Analytics Suite NTA EDR SIEM UEBA / CASB AMP for Endpoints Stealthwatch CloudLock
  • 37. Инфраструктура под расследованием Меры защиты и восстановлени я Системы коммуникаций и взаимодействия РасследованиеМониторинг и реагирование Обогащение/TI Телеметрия и другие источники Решения провайдеров по ИБ Управление сервисами Security Analytics Suite AV Intel Providers Cloud Infra Service Provider Solutions Digital Forensics Tools Security Case Management Enrichment Providers Threat Intel Providers Платформы для разведки Threat Intelligence Malware Analysis Knowledg e Base Log Management Native Logs Cyber Security Controls Wiki Comm & Collab Apps Internal Infra Ticketing Training Platforms Physical Security Controls Сейчас Sensor Telemetry Other Data Sources
  • 38. C облаков мы также берем данные для анализа Компонент Предпочитаемое решение Альтернатива Облачный L3-шлюз Cisco CSR Нет данных Intrusion Detection (IDS) SourceFire for AWS Snort Сбор NetFlow Stealthwatch Cloud License nfcapd/nfdump Passive DNS Cisco’s PDNS Tool OpenDNS PDNS (Open Source Project) Operational Intelligence Splunk ELK Захват сетевых пакетов CSIRT’s PCAP Solution В процессе изучения Прикладные данные CloudLock SkyHigh
  • 39. Структура CSIRT 39 NetFlow System Logs Разведка и исследования 4 Аналитики APT 14 Следователи 22/17 Аналитики User Attribution Analysis Tools Case Tools Deep Packet Analysis Collaboration Tools Intel Feeds Операционные инженеры3/26
  • 40. THE INTERNET CISCO ASSETS THREATS PER QUARTER THREAT DEFENCE 1,558,649,099 39,778,560 19,862,979 770,399,963 25,802,498 3,364,087 20,529 1,978 INCIDENTS MANAGED (QTR) DNS-RPZ BGP Blackhole WSA ESA ANTIVIRUS HIPS ENDPOINT AMP CSIRT Prevention 2,417,877,715 = TOTAL THREATS PREVENTED(QTR) Detection Сколько инцидентов поступает в CSIRT?
  • 41. Реагирование CSIRT: пример 41 Следовать процессу восстановления CSIRT Zeus Блекхолинг атакующих IP по BGP Добавление IP и доменов в сигнатуры и правила средств защиты Следовать процессу CSIRT 0-Day Уведомить владельца зараженного узла
  • 42. Отражение атак: BGP RTBH @Cisco • OER – Optimized Edge Routing • Также известен как Performance Routing (PfR): • Немедленно устанавливает null0 route • Позволяет избежать дорогостоящего изменения правил ACL или на МСЭ • Использует iBGP и uRPF • Не требует дополнительной настройки • Настраивает /32 null0 route: 42 route x.x.x.x 255.255.255.255 null0 iBGP peering
  • 43. Cisco Threat Mitigation System (TMS) Единый инструмент для управления DNS RPZ* и BGP BH** * - Response Policy Zones ** - Black Hole
  • 44. Cisco Threat Mitigation System (TMS)
  • 45. У нас SOC строится 17+ лет!
  • 47. • Средняя длительность интеграции инфраструктуры покупаемых/поглощаемых компаний составляет около 1 года после официального объявления • В переходный период новые сотрудники должны иметь доступ к корпоративным ресурсам с помощью VPN (AnyConnect) • Политика безопасности Cisco запрещает применять разделение туннелей (split-tunneling), что может привести к снижению продуктивности сотрудников, ухудшению опыта, особенно для инженерных команд • В процессе интеграционного периода нет возможности мониторить недоверенную сеть Ряд сложностей у крупной компании
  • 48. Почему Cisco запрещает split tunneling? Тип компании Размер Да Нет US Telecom 30,000 X US Gov 5000 X US Carrier 25,000 X US Hardware Mfg 15,000 X US Telecom 180,000 X * US Telecom 250,000 X ** US DDoS SP 2,000 X US Gov 100,000 X US Aerospace 130,000 X US Cyber R&D 1,000 X US SP 43,000 x • Служба ИБ Cisco InfoSec считает, что split tunneling при подключении пользователя к недоверенной сети приводит к высокому риску • Угроза исходит из скомпрометированных устройств, через которые внешние злоумышленники могут иметь доступ внутрь Cisco • Недавний неформальный опрос Cisco CSIRT подтверждает, что это общая практика * Исключение для принтеров на уровне портов ** Локальные LAN только, без Internet BRKCOC-190048
  • 49. Что такое C-Bridge? • Фундаментально C-Bridge – это сетевое решение, использующее маршрутизаторы, коммутаторы и средства защиты Cisco, для предоставления быстрого, защищенного подключения и мониторинга безопасности новых площадок • Автономное решение, которые задействует управление идентификацией и проверку пользовательских устройств для обеспечения доступа к корпоративным ресурсам без компрометации безопасности предприятия • Обеспечивает базу для реализации защитных мер и мониторинга старых сетей • Плотное взаимодействие разных команд Cisco: • IT Acquisition Integration • IT Network Services • InfoSec Architecture • InfoSec CSIRT
  • 51. Физическая безопасность C-Bridge • Два набора замков (внутри + снаружи) на внутренней и внешней «дверцах» C-Bridge • Закрытые двери не мешают работать с проводами для их подключения к сети и питанию • После подключения внешняя дверца может быть оставлена открытой для обеспечения вентиляции BRKCOC-1900 51
  • 52. Наполнение C-Bridge • Стойка может быть высотой до 20 RU • Сейчас стойка заполнена на 16 RU с дополнительными (запасными) 4 RU • 4 RU для IT-наполнения, 12 RU для целей безопасности и мониторинга BRKCOC-1900 52
  • 53. Аппаратные компоненты C-Bridge Маршрутизация • Cisco 4451 Integrated Services Router • Cisco 2901 Integrated Services Router Коммутация • Cisco Catalyst 3850 Switches Безопасность • Cisco ASA5545-X Adaptive Security Appliance • Cisco FirePOWER 7150 Appliance with Advanced Malware Protection • Cisco NetFlow Generation Appliance 3340 • Cisco StealthWatch Flow Collector Сервера • Cisco UCS C-Series rack servers BRKCOC-1900 53
  • 54. Программные компоненты C-Bridge • InfoSec CSIRT мониторит весь доступ к/через Интернет • В дополнение к межсетевому экранированию: • Sourcefire IDS 7150 with AMP for Networks • vWSA с AMP for Content с интеграцией с ThreatGrid • Генерация несемплированного Netflow и передача в Cisco Stealthwatch vFlowCollector • CSIRT PDNS и Cisco Umbrella • Qualys Vulnerability Scanner (виртуальный) • BGP Black Hole/Quarantine • DLP-функциональность • Сбор Syslog BRKCOC-1900 54
  • 55. Облегченная версия C-Bridge Создание многоуровневой архитектуры C-Bridge : • Малая: 2RU = ISR4451 с модулем Etherswitch, FTD для ISR (UCS-E) и UCS-E для CSIRT VMs, до ~300Mbps • Средняя: 3RU = ISR4451 с модулем коммутации и 2x UCS-E для CSIRT VMs + ASA5555X-FTD, до ~600Mbps • Большое: стандартное решение на ½ стойки C- Bridge, 1Gbps+ ß Vs. à
  • 56. Преимущества C-Bridge 56 Скорость Обеспечение параллельного доступа к корпоративным ресурсам и недоверенным сетям на 10 месяцев быстрее Масштабируемость Решение может быть внедрено на одной или нескольких площадках Сетевая безопасность Возможность мониторить Интернет и внутренний трафик в недоверенной сети для обнаружения потенциальных угроз Cisco on Cisco Почти полностью состоит из оборудования Cisco, включая Stealthwatch, NGIPS, Umbrella Повторное использование Одна стойка может быть повторно использована в новых проектах Продуктивность сотрудников Устраняет необходимость применения AnyConnect для доступа к локальным ресурсам
  • 58. Внедрение Umbrella 58 (Апрель 2017) AnyConnect модуль: 78k клиентов за первую неделю, 100k клиентов за 2 недели, 3 кейса Первая неделя внедрения роумингового клиента: 431k дополнительных блокировок на 12.2k уникальных узлов (10% от всего) Верхние 100 пользователей генерят 70% роуминговых блокировок Облегченная защита для устройств не защищенных в Cisco Покрывает все порты и протоколы, не только web или email Аудит DNS-запросов из устройств, когда они не подключены к Cisco
  • 59. Результаты внедрения Umbrella 59 • Решение очень простое для внедрения • Добавляет безопасности • Облегченное внедрение без внесения изменений в сеть, обновление через DHCP или статику • Планирование и управление изменениями 90 дней • 30 минут на внедрение! “Все, что нужно, - распространить 4 строки кода на несколько DNS серверов.” • 166k событий ВПО блокировано в первые 24 часа, снижая нагрузку на WSA: • 62% меньше блокировок “bad web reputation” • 96% меньше блокировок “bad URL category” • 82% меньше блокировок“malware” INTERNET MALWARE BOTNETS/C2 PHISHING & HERE! LANCOPE WSA (+ESA) FIREPOWER AM P AM P AM P AM P AMP AMP AM P AM P MERAKI AM P AM P ASA HER E HER E HERE HER E HER E HQ Branch Branch Mobile Mobile
  • 61. Как обучить 20 тысяч сотрудников основам ИБ?
  • 65. Не только обучение (на высоких уровнях)
  • 68. Ключевые факторы успеха • Не более 20 минут на модуль; а еще лучше десять • Когорта экспертов • Вирусный маркетинг • Проектировщики учебных курсов • Соревнование • Ломайте правила • Креативные люди • Вовлечение руководства • Геймификация
  • 70. Что приходится мониторить в 6 направлениях Cisco STO? 122K человек/170 стран 26,000 домашних офисов 1,350 лабораторий 2,500 приложений/500 облачных сервисов 3M IP-адресов/40K маршрутизаторов 425 устройств, обнаруживающих инциденты ИБ 350+ сотрудников службы ИБ (включая расширенный состав) 4TБ данных собирается и анализируется ежедневно 1.2трлн сетевых событий 15млрд потоков NetFlows 4.7млрд DNS-записей 75млн Web-транзакций • Блокируется – 1.2M (WSA) 94% входящих e-mail блокируется на периметре (ESA) 47TБ трафика инспектируется • эквивалентно 3.8K часов видео blu-ray 5
  • 71. Спасибо за внимание! www.facebook.com/CiscoRu © 2019 Cisco and/or its affiliates. All rights reserved. www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia www.vk.com/cisco Оцените данную сессию в мобильном приложении конференции Контакты: Тел.: +7 495 9611410 www.cisco.com