Взгляд Cisco на борьбу с целенаправленными угроами
•
1 like•483 views
Краткий взгляд на борьбу с целенаправленными угрозами
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (20)
Similar to Взгляд Cisco на борьбу с целенаправленными угроами
Similar to Взгляд Cisco на борьбу с целенаправленными угроами (20)
More from Cisco Russia
More from Cisco Russia (20)
Взгляд Cisco на борьбу с целенаправленными угроами
- 1. Борьба с целенаправленными угрозами Алексей Лукацкий Бизнес-консультант по безопасности 12 November 2014 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
- 2. Признаки APT: многовекторность нападения ПРЕДПРИЯТИЕ ЦОД Угроза распространяется по сети и захватывает как можно больше данных Интернет и облака ПУБЛИЧНАЯ СЕТЬ Заражение точки входа происходит за пределами предприятия КАМПУС ПЕРИМЕТР Продвинутые угрозы обходят средства защиты периметра © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
- 3. Признаки APT: Использование нескольких уязвимостей сразу © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
- 4. Признаки APT: незаметность и сфокусированность Секунды Минуты Часы Дни Недели Месяцы Годы 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Источник: 2012 Verizon Data Breach Investigations Report От атаки до компрометации От компрометации до утечки От утечки до обнаружения От обнаружения до локализации и устранения 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
- 5. Борьба с APT должна обеспечиваться по всей сети © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
- 6. Комплексная защита от APT в течение всего жизненного цикла атаки ДО АТАКИ ВО ВРЕМЯ Исследование Внедрение политик Укрепление Жизненный цикл атаки АТАКИ Обнаружение Блокирование Защита ПОСЛЕ АТАКИ Локализация Изолирование Восстановление Сеть Терминал Мобильное устройство Виртуальная машина Облако Защита в момент времени Непрерывная защита © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
- 7. С помощью чего бороться с целенаправленными угрозами? Минимум • МСЭ и IPS • Сегментация сети • Системы контроля доступа в Интернет • Защита ПК/ноутбуков Неплохо бы • NAC • Контроль приложений (черные/ белые списки) • МСЭ/IPS следующего поколения • SIEM • Защита мобильных устройств Идеально • Анализ сетевого трафика • Расследование инцидентов • Анализ содержимого • Адаптивный контроль доступа • Система обнаружения брешей (BDS) © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
- 8. 5 ключевых элементов борьбы с целенаправленными угрозами Реальное время или близкое к нему Анализ пост-фактум Сеть Анализ сетевого трафика Расследование инцидентов на уровне сети Содержимое Анализ содержимого Оконечные устройства Анализ поведения на оконечных устройствах Расследование инцидентов на уровне оконечных устройств © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
- 9. Мы не выделяем APT в отдельный класс проблем IPS и NGIPS • Cisco IPS • Cisco wIPS • Cisco ASA Module • FirePOWER NGIPS Интернет- безопасность • Cisco WSA / vWSA • Cisco Cloud Web Security МСЭ и NGFW • Cisco ASA / ASA-SM • Cisco ISR / ASR Sec • FirePOWER NGFW • Meraki MX Advanced Malware Protection • FireAMP • FireAMP Mobile • AMP для Network • AMP для Content NAC + Identity Services • Cisco ISE / vISE • Cisco ACS Безопасность электронной почты • Cisco ESA / vESA • Cisco Cloud Email Security UTM • Meraki MX • ASA with FirePOWER VPN • Cisco AnyConnect • Cisco ASA • Cisco ISR / RVPN/Булава Policy-based сеть • Cisco TrustSec • Cisco ISE • Cisco ONE Мониторинг инфраструктуры • Cisco Cyber Threat Defense Контроль приложений • Cisco ASA NGFW / AVC • Cisco IOS AVC / NBAR • Cisco SCE / vSCE • FirePOWER NGFW Secure DC • Cisco ASA / 1000v / ASAv / VSG • Cisco TrustSec © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
- 10. Но ключевыми решениями для борьбы с APT являются Cisco ASA with FirePOWER Services • МСЭ + IPS следующего поколения • Устанавливается в ключевых точках сети Cisco Cyber Threat Defense • Система мониторинга аномальной активности • Собирает статистику с сетевого оборудования Cisco Advanced Malware Protection • Система борьбы с вредоносным кодом • Работает на уровне сети, контента и оконечных устройств FireSIGHT • Система мониторинга и корреляций событий ИБ, расследования инцидентов © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
- 11. Благодарю за внимание © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Editor's Notes
- We are ushering in a new era of capabilities around discovering and stopping threats. Let me demonstrate how through the typical anatomy of a threat. Many of us have web and email gateways to stop infections from a user host. But it’s very easy today for the user to go outside the enterprise and get infected. Once inside, they’ll move around throughout the enterprise, propagating from host to host to execute their mission. For a long time, we’ve used cloud based threat defense, but now we’re adding intelligence to detect things like known bad IPs, bad web locations, and with this, can help our customers analyze their networks. So we’re adding intelligence to defense.
- Cybercriminals are learning that harnessing the power of the Internet’s infrastructure yields far more benefits than simply gaining access to individual computers. The newest twist in malicious exploits is to gain access to web hosting servers, name servers, and data centers and to take advantage of the tremendous processing power and bandwidth they provide. Through this approach, exploits can reach many more unsuspecting computer users and have a far greater impact on the organizations targeted, whether the goal is to make a political statement, undermine an adversary, or generate revenue.
- You are already compromised. For large and small enterprises, breaches occur within minutes of the attack, yet we don’t discover it for months.
- Cisco ASA with FirePOWER Services addresses the full attack continuum before, during and after an attack, with a truly integrated threat defense. THE WAY WE ANALYZE THE PROBLEM IS BY LOOKING AT THE ENTIRE ATTACK CONTINUUM OF THINGS YOU MUST DO: BEFORE, DURING AND AFTER AN ATTACK TAKES PLACE. IN ORDER TO DEAL WITH THE INDUSTRIALIZED THREAT, WE NEED TO LOOK AT THESE PHASES COMPREHENSIVELY: BEFORE AN ATTACK: WE NEED TO KNOW WHAT WE ARE DEFENDING….YOU NEED TO KNOW WHATS ON YOUR NETWORK TO BE ABLE TO DEFEND IT – DEVICES / OS / SERVICES / APPLICATIONS / USERS WE NEED TO IMPLEMENT ACCESS CONTROLS, ENFORCE POLICY AND BLOCK APPLICATIONS AND OVERALL ACCESS TO ASSETS. HOWEVER POLICY AND CONTROLS ARE A SMALL PIECE OF WHAT NEEDS TO HAPPEN. THEY MAY REDUCE THE SURFACE AREA OF ATTACK, BUT THERE WILL STILL BE HOLES THAT THE BAD GUYS WILL FIND. ATTACKERS DO NOT DISCRIMINATE. THEY WILL FIND ANY GAP IN DEFENSES AND EXPLOIT IT TO ACHIEVE THEIR OBJECTIVE. DURING THE ATTACK: WE MUST HAVE THE BEST DETECTION OF THREATS THAT YOU CAN GET ONCE WE DETECT ATTACKS, WE CAN BLOCK THEM AND DEFEND OUR ENVIRONMENT AFTER THE ATTACK: INVARIABLY ATTACKS WILL BE SUCCESSFUL, AND WE NEED TO BE ABLE TO DETERMINE THE SCOPE OF THE DAMAGE, CONTAIN THE EVENT, REMEDIATE, AND BRING OPERATIONS BACK TO NORMAL YOU ALSO NEED TO ADDRESS A BROAD RANGE OF ATTACK VECTORS, WITH SOLUTIONS THAT OPERATE EVERYWHERE THE THREAT CAN MANIFEST ITSELF – ON THE NETWORK, ENDPOINT, MOBILE DEVICES, VIRTUAL ENVIRONMENTS. FINALLY, TRADITIONAL SECURITY TECHNOLOGIES ONLY OPERATE AT A POINT IN TIME. THEY HAVE ONE SHOT TO DETERMINE IF SOMETHING IS BAD OR NOT. WITH TODAY’S THREAT LANDSCAPE FULL OF ADVANCED MALWARE AND ZERO DAY ATTACKS POINT IN TIME ALONE DOES NOT WORK. WHAT IS NEEDED IS A CONTINUOUS CAPABILITY, ALWAYS WATCHING, ALWAYS ANALYZING AND CAN DETECT, CONTAIN AND REMEDIATE A THREAT REGARDLESS OF TIME.
- AMY TO UPDATE
- To summarize, Cisco ASA with FirePOWER harnesses best-in-class technology with truly integrated multilayer protection in a single device. It provides superior visibility that helps you detect and prioritize threats. And it automates security, to simplify operations and improve response time. Find out more at www.cisco.com/XXXX.