Как компания Cisco защищает сама себя

1. Как компания Cisco защищает сама себя
Руслан Иванов
Системный инженер-консультант
ruivanov@cisco.com
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

2. Что из себя сейчас представляет Cisco?
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.2

3. 300 партнёров использующих
550 точек подключения к сети
Cisco
Что из себя представляет Cisco и что мы защищаем?
16 главных точек выхода в Internet
~32 TB полосы пропускания
используется ежедневно
1350 лабораторий
160+ компаний было приобретено
500 cloud/ASP провайдеров
(официально J)
3
122k сотрудников
Офисы в 170 странах
~3M IP-адресов
Сеть из 215,000 устройств
275,000 хостов
2500+ IT-приложений
26k домашних или малых
офисов Cisco Virtual Office
425 устройств IDS/IPS
~3TB данных сетевой
телеметрии собирается
каждый день
Один CSIRT
аналитик на
каждые 7000
сотрудников

4. Кто, что, зачем… КАК?
Государства
Раскрытие данных
Публикации
Человеческий фактор
Ошибки конфигурирования
Дефекты программирования
Дефекты сетевой
инфрастурктуры
Инсайдеры
Фрод
Промышленный шпионаж
Угрозы
репутации и
бренду
Кража IP
Инсайдерская
торговля
Взлом и
проникновение в
сеть
Кража данных
клиентов
Атаки через
нас на
клиентов
Случайные
TROJAN
4
Криминал Политические
риски

5. Культура Cisco
• Офисная культура –
взаимодействие,
интеграция, обмен,
сотрудничество
• Бизнес-культура–
ориентация на клиента,
скорость принятия решений,
принятие рисков
• Культура партнёров –
широкое использование
аутсорсинга
5
Безопасность и
ограничения весьма
не интуитивны в
культуре компании

6. Роли и зоны ответственности
Information Technology (IT)
Предоставление сервисов для
улучшения бизнес-показателей
Ключевые метрики:
§ Удовлетворённость пользователей
и эффективность их работы
§ Скорость внедрения и реакции
§ Затраты
Структура управления:
§ Manager
§ CIO
§ COO
Information Security (InfoSec)
Защита инфраструктуры Cisco, систем
и сервисов, а также чувствительной
информации Cisco и наших клиентов и
партнёров
Ключевые метрики:
§ Инциденты (Количество, среднее и
медианное время на обнаружение и
противодействие)
§ Риски и годовые потери в результате
инцидентов
§ Соответствие требованиям политик и
регуляторов
Структура управления:
§ Manager
§ CISO
§ COO
Сдержки и противовесы J
6

7. Почему это так важно?
Хорошо отображает
взаимоотношения между IT
и Infosec
Службы IT и Infosec в Cisco
потратили годы, чтобы в
итоге понять, что
партнёрство наиболее
выгодно всем!
7
Very first Spy vs. Spy cartoon Mad Magazine (с) 1961

8. Как это было достигнуто?
• Инструменты совместной
работы;
• Гибкость и возможности
глобальных команд;
• Периодические «живые»
встречи для обсуждения
ключевых моментов;
• Совместное бюджетное и
ресурсное планирование;
• Совместная защита
бюджета и ресурсов;
• Совместное отстаивание
своих позиций перед
высшим руководством J
Ключевые IT ЛПР
Основные Infosec ЛПР
8

9. Мы все про это уже слышали…
Безопасность
Производительность
Безопасность
ПростотаФункциональность
Citation: garfdn.org
9

10. но реальность такова:
Citation: etsy.com
• Увеличивающийся тренд коммодизации и
консьюмеризации в IT и Security;
• IT и Security центры затрат;
• Пользователи просто хотят делать свою
работу с наименьшим количеством
граблей по пути;
• И делают её на основе своего баланса
риска/вознаграждения;
• Если IT не в состоянии предоставить
решение, пользователи сами найдут его;
Всё это значит одно – безопасность должна
быть встроена и являться неотъемлемой
частью IT-решений!!!
10

11. Принципы безопасности в IT-внедрениях
ДА, но не НЕТ.
• Если упорный и талантливый
атакующий захочет что-то украсть, он
рано или поздно это сделает;
• Невозможно запрограммировать
человеческий фактор;
• Решения создаются для 85% обычных
клиентов;
• Золотое правило – относитесь к ним
доброжелательно, прозрачно
коммуницируйте что вы делаете
• Основывайтесь на внятных политиках
• Необходимо иметь сбалансированные
проактивные и реактивные инвестицииCitation: XKCD.com
11

12. Как мы защищаем свою сеть и устройства
пользователей в ней?
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.12

13. Какие доступны стратегии для устройств –
Desktop & Mobile
• Принадлежит компании и управляется ею же
• Минимальный выбор оборудования (минимизация расходов)
• Традиционный эталонный образ для установки
• Полная поддержка со стороны IT
Традиционная
• Corporate Owned Personally Enabled – принадлежит компании, заточено под
пользователя
• Более широкий выбор (за счёт более высоких расходов)
• Разрешены прямые поставки от производителя (zero image)
• IT сохраняет за собой контроль и обеспечивает безопасность
COPE
• Личные устройства (максимальный выбор)
• Контроль со стороны IT ослаблен
• Поддержка со стороны IT минимальна
• Наименьшие затраты
BYOD
13

14. Other12,218 38,656 16,242 18502
80,740 34,60610,537
68,531
Личные
устройства
(BYOD)
131,518
Принадлежат
компании
895
5,635
Какими устройствами пользуются в Cisco?
May 31, 2015
14

15. Как мы планируем поддерживать устройства в
будущем
Корпоративные устройства
• Company Owned & Personally Enabled (COPE)
• Некоторый набор устройств с полной IT-поддержкой
• Выбор устройств ограничен
• Для тех, кому необходима полная поддержка или высокий уровень безопасности
BYO Laptops, Smartphones & Tablets
• Личные или принадлежащие контрактнику или партнёру
• Доступ на основе Trusted Device Policy (требует процедуры подключения к сети)
• Широкий набор устройств с поддержкой коммьюнити
• Для тех, кому не важна поддержка или для контрактников или партнёров
IoE устройства и вещи
• Традиционный, COPE, или BYOD
• Очень ограниченный доступ к сети (но без процедуры подключения к ней)
• Типы устройств практически не ограничены
15

16. Политики и технологии,
позволяющие
предоставлять доступ к
сети, на основе
состояния и «здоровья»
устройства
Что такое концепция «доверенных устройств»?
16

17. Модель «доверенных устройств»
Каждое устройство должно
быть ассоциировано с
уникальным пользователем
Устройство должно
использовать
поддерживаемую ОС и
иметь все необходимые
патчи для неё
Не допускаются рутованные
или jailbroken устройства
Все устройства должны быть
сконфигурированы для
автоматической установки
патчей, патч должен быть
установлен в течении
четырёх недель с момента
выхода
Устройство должно быть
защищено паролем или PIN
заданной длины, блокировка
должна быть настроена на
10 минут или меньше
Конфиденциальная
информация на устройстве
должна быть зашифрована
На устройстве должна быть
установлена и иметь
актуальную версию
поддерживаемая защита от
зловредного кода
Устройство должно быть
сконфигурировано таким
образом, чтобы у IT была
возможность удалённо
«зачистить» все данные
Устройство должно
передавать IT информацию
о ПО, патчах, приложениях и
компонентах систем
безопасности
17

18. • Доступ к сети построен на
доверительной модели – чем больше мы
знаем об устройстве, тем больший
уровень доступа оно может получить
• Только доверенные устройства могут
получить доступ в основную сеть
• Недоверенные устройства (включая IoE
устройства и вещи) ограничены Internet
Only сетью или публичным облаком
• Набор используемых сервисов на разном
уровне различен, различны
используемые механизмы безопасности
Многоуровневый доступ к сети
Модель «доверенных устройств»
18

19. Модель «доверенных устройств»
Обеспечивается Cisco Identity Services Engine (ISE)
Согласованные, топологически независимые политики контроля доступа к
сетевой инфраструктуре на основе решения Cisco Identity Service Engine:
• Физические и виртуальные, мобильные устройства
• Проводной, беспроводной и удалённый доступ
• Привязка к узлу доступа
Обеспечения контроля доступа, безопасности данных и требований
политик
ГДЕ? КОГДА?ЧТО? КАК?КТО?
Знающие сетевой контекст сервисы идентификации и
аутентификации
19

20. Информационная безопасность – как она
обеспечивается в Cisco?
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.20

21. Политики
Физическая
безопасность
Сетевая безопасность
Укрепление
защиты хостов
Защита
приложений
Защита
данных
Проактивный контроль
Стратегия эшелонированной обороны
Мониторинг и анализ
событий Infosec
Защита Web и
Email
AMP для хостов
Межсетевые
экраны
Контроль доступа
AMP для сетей
Прозрачность и защита
21

22. Принципы и процедуры физической безопасности
Обнаружение попыток захвата
устройства
§ НУЖНО обнаружение логина авторизованного
админа
§ НУЖНО обнаружение bruteforce SSH
§ НУЖНО обнаружение password recovery
§ НУЖНО обнаружение замены устройства (UDI)
§ НУЖНО проверять целостность устройства
регулярно
— OS, конфигурация, файловая система
Невозможность обнаружения прослушки
(врезки)
§ НУЖНО защищать все протоколы контрольной
подсистемы
(BGP, IGP, LDP)
§ НУЖНО защищать все протоколы управления
(SSH, SNMP)
— Только атаки на подсистему данных
доступны
После каждой перезагрузки, link-down
событие, и т.д.
§ Устройство могло быть заменено;
§ Мог быть сделан Password recovery;
§ Проверить систему:
— Unique Device Identifier (UDI), OS,
конфигурацию, enable пароль
После неожиданного логина
администратора:
§ Сменить пароль на этого админа;
§ Проверить систему:
— OS, конфигурацию, enable пароль
Регулярно (Пример: раз в 24часа)
§ Проверка системы:
— OS, конфигурацию, enable пароль
22
AAA
server
Скрипты
Syslog
server
Вы могли пропустить событие!

23. Ваша сеть физически безопасна?
Невозможно гарантировать физическую
безопасность сети
Password recovery, замена устройства, sniffing,
wiretaps, man-in-the-middle
Безопасные подсистемы контроля и управления
Безопасность подсистемы данных (IPsec)
Мониторинг изменения на устройствах (reload)
Проверка UDI (sh license udi)
Проверка корректности конфигурации устройства
Процедуры изоляции взломанных устройств
Процедуры возврата контроля над взломанными
устройствами
23
Source: Jan Matejko, „Stańczyk” (1862)

24. 24
Лучшие практики по защите IOS
Руководство Cisco по защите IOS Devices
§ Обезопасить операционные процедуры
— Мониторинг Security Advisories
— Использовать AAA, Централизованный сбор логов
— Использовать безопасные протоколы
§ Подсистема управления (SSH, SNMP, NetFlow)
— Отключить неиспользуемые сервисы, Password Security
— Обезопасить сессии управления
— Thresholding for Memory, CPU, Leaks
— Management Plane Protection (MPP)
§ Контрольная подсистема (ICMP, BGP, RSVP)
— Control Plane Policing (CoPP), Protection (CPPr), HW Rate-Limiters
§ Подсистема данных (продуктивный трафик)
— Защита от спуфинга с помощью uRPF, IPSG, Port Security, DAI, ACLs
— Traffic Access Control
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml

25. DDoS Mitigation – BGP RTBH @Cisco
OER – Optimized Edge Routing
Также известен как Performance Routing (PfR):
• Немедленно устанавливает null0 route
• Позволяет избежать дорогостоящего
изменения правил ACL или на МСЭ
• Использует iBGP и uRPF
• Не требует дополнительной настройки
Настраивает /32 null0 route:
25
route x.x.x.x 255.255.255.255 null0
iBGP peering

26. Контроль доступа в сети Cisco:
Два независимых глобальных кластера ISE
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.26

27. Cisco IT: политика внедрения
§ Избежать “Большого бума”
§ Слишком много новых функций сразу для единовременного внедрения
§ Модель “ISE Deployment Bundle” – функциональные наборы
§ Функциональность была объединена в группы, чтобы соответствовать срокам и
функциональным требованиям
§ Несколько кластеров были объединены в один
§ За и против для централизованного и распределённого: ISE Limits, Scalability, # EP,
Auth, Latency, AD…
§ “Стартуем с одним кластером и добавим другие, если и когда понадобится”
§ Основа – глобальная инфраструктура
§ Внедрение глобальной инфраструктуры виртуализации и серверов ISE
§ Гостевая сеть (ION) использует отдельный кластер для снижения рисков
§ Функционал “ISE Deployment Bundles” включается по географическому признаку
§ Использование разных Virtual IP для сервисов (например, WLAN, LAN, CVO, VPN)
для лучшей управляемости и контроля, а также ускорения внедрения

28. Cisco IT ISE Global Deployment
24-hour authentication map view
ISE PSNs Data Center (8) Network Devices Cluster (800+) Auth traffic to ISE PSNs

29. Недельная нагрузка на гостевую сеть Cisco ION
6,379 3,583
2,232
2,107

30. Требования IT:
поэтапное внедрение на базе «функциональных наборов»
Контроль доступа
Аутентифицировать
проводных,
беспроводных и
удалённых
пользователей
BYOD
Поддержка
«доверенных»
устройств и BYOD
Профилирование
Идентифицировать
пользователей и
устройства
Защита хостов
Защищать сеть от
инфицированных
устройств
Гостевой доступ
Ограничивать
неавторизованные
устройства и
пользователей
доступом только к сети
Интернет
Контроль устройств
Защита сети и
обеспечение
дифференцированного
доступа в сеть*
* В Cisco используется MDM-решение, интегрированное с ISE

31. • Идентифицировать
устройства
• Оценить риски
1. Профилирование
• Пользователи и
устройства
• Идентификация
устройств в
беспроводном
сегменте
2. Аутентификация
• Оценка устройств
• Информация для
использования в
политиках для
принятия решений
3. Оценка
соответствия
• Применение политик с
учётом сетевого
контекста
• Недоверенные
устройства имеют
ограниченный доступ
4. Ограничение
Четыре шага к безопасной сети
ISE 1.2
Profiling
ISE 1.2
802.1X Auth
WLAN, CVO
ISE 1.3/1.4
802.1X Auth
CVO, Wired, VPN, MDM
ISE 1.4/2.0
802.1X Wired Auth Mode
MDM

32. Кто вовлечён в проект и кто и за что отвечает?
COO
CTO
SVP IT
VP IT
Any Device Team
SVP
Infra Services
Sr. Dir
Network Services
VP Ops/
Implementation
Sr. Dir
Strategy &
Security
Security
Services
Directory Services
Sr. Dir
Data Centers
Sr. Dir
Arch/Design
SVP
Security & Trust
VP
InfoSec
Требования и
политики
безопасности
Отвечают за
мобильные
устройства,
ответственны
за проверки
устройств на
соответствие
политикам
ЦОД и
виртуальная
инфраструктура
Отвечают за
поддержку и
разворачивание
сетевых
сервисов
Отвечают за
поддержку и
разворачивание
сетевой
инфраструктуры
Отвечает за
ISE и
остальные
сервисы
безопасности
Инфраструктура и
сервисы Microsoft
Active Directory
Архитектура
решения и
высокоуровневый
дизайн
Operational
Excellence:
99.999%
Availability

33. Примерный план внедрения (18 месяцев)
CY14 Q3 CY14 Q4 CY15 Q1 CY15 Q2 CY15 Q3 CY15 Q4
Fine tune Optimize
Foundation
ISE 1.2
Install
ISE 1.3
Upgrade
ISE 1.4
Upgrade
Infra
Design, Proof of Concepts, Data Analysis
Apply
patches
Fine tune Optimize
Network
Guest
Wireless
Monitor
Endpoint Analysis: Wired dot1x MM & Profiling
VPN
Wired
802.1x Authentication
Guest Access
Wireless (WLAN) Auth Deployment
CVO (Home Office) Wireless Auth
VPN Auth
CVO Wired Auth
Advanced Capabilities
Limited Sites Wired Auth
Global Wired Auth Deployment
Quarantine/Remediation
Posture Assessment & Enforcement (MDM)
Security Group Tagging (SGT)

34. Операционные ресурсы
2 Sr. Engineers + 2 Support
Engineers (multi zone)
§ Performance monitoring and tuning,
scalability for growth
§ HW/SW issues
§ Troubleshooting, field issues
§ Provisioning of Network Devices, and
Users support
§ Monitoring and Reporting (ISE reports
and Splunk)
§ Patch/Upgrade
§ Infra/VM issues, Change Request
support
§ Policy Management
2 Sr. Engineers, 1 Analyst, 1 PM
§ Learning and Testing new capabilities
§ SVL testing and certification support
§ Automation of new operational
activities
§ Limited Availability validation of new
features
§ Product and platform bug identification
and validation
§ Data analysis and scalability for new
capabilities
§ Acquiring knowledge of new
capabilities & cross functional
environment support
§ Documentation
+ Ресурсы на внедрение

35. Cisco IT: текущие метрики внедрения
§ Инфраструктура (продуктив)
§ Гостевые сервисы ISE 1.2, P13 8 VM серверов в одном глобальном внедрении
§ Основная сеть ISE 1.3, P2 24 VM сервера в одном глобальном внедрении
§ Сервисы
§ Гостевые сервисы (ION) (400+ офисов, потенциально до 130K+ пользователей и 14K в
неделю)
§ Internet Only Network требует предварительной регистрации на портале ISE; CWA (central web
auth)
§ 802.1X Wireless Auth Mode (400+ wlan офисов, 90K+ пользователей, ~150K хостов)
§ 802.1X Auth CVO* (27K маршрутизаторов для дома/малого офиса; ~60K хостов)
§ 802.1X Wired Monitor Mode (3.5K сетевых устройств, LAN коммутаторы и маршрутизаторы,
~200K хостов)
§ Wireless Policy Enforcement (2 партнёрских Extranet в пилотном режиме)
§ Текущий статус: ~600K+ спрофилированных устройств в БД; в максимуме до 60K+
конкурирующих устройств по всему миру
*CVO - Cisco Virtual Office, концепция решения для малого/домашнего офиса

36. Противодействие атакам и защита интернет-
сервисов в Cisco
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.36

37. Предотвращение атак @Cisco
350+ Cisco IPS сенсоров развернуто
сегодня
1.5M alarm в день
Миграция в процессе, под капотом:
§ FirePOWER Appliances
§ Network AMP Everywhere
§ TALOS Threat Intelligence
§ Contextual Analysis
§ Throughput and Capacity
§ API-интерфейсы для интеграции
37

38. Защита Интернет с помощью WSA @Cisco
Защита всей сети Cisco включая:
§ Хосты и мобильные устройства
§ Удаленный доступ VPN
§ Внутренние лаборатории
§ DMZ Лаборатории
§ ЦОД
Режим развертывания:
§ WCCPv2 перенаправление
§ Магистральные DMZ шлюзы
§ Отказоустойчивые пары на шлюз
§ Обычные веб порты
§ Репутационный анализ (WBRS)
38

39. Malware блокируется за Один День:
• 441K – Trojan Horse
• 61K - Other Malware
• 29K - Encrypted Files (monitored)
• 16.4K - Adware Messages
• 1K – Trojan Downloaders
• 55 - Phishing URLs
• 22 - Commercial System Monitors
• 5 - Worms
• 3 - Dialers
Cisco статистика WEB :
• HTTP это 25% трафика + SSL 6%
• 12.5 TB в/из за день
• 330-360M веб запросов в день
• 6-7M (2%) заблокировано
WSA Блокированные запросы:
• 6.5M+ Malware sites blocked/day
• 93.5% - Web Reputation
• 4.5% - URL Category
• 2% - Anti-Malware
Защита Интернет с помощью WSA @Cisco
39

40. Мобильные пользователи и безопасность
• Выбор технологии VPN
§ L2L IPSec FlexVPN
• Удаленные офисы - IOS маршрутизаторы
• Домашний офис – CVO (Cisco Virtual Office)
§ AnyConnect удаленный доступ VPN
• Ноутбуки, PCs
• Смартфоны, Планшеты, BYOD
§ Безклиентный SSL VPN
• Браузерный удаленный доступ
• Доступ к порталу откуда угодно
VPN шаблоны защиты трафика
§ Экономия полосы vs Защита
Site-to-site (L2L)
§ Централизованный выход в интернет
§ Прямой выход в интернет
филиалов(DIA)
Мобильный удаленный доступ (RA)
§ Полное туннелированние
— Централизовано NGFW и WSA
§ Сплит-Туннель
— Централизованый NGFW
— Облачный CWS
§ Без туннеля
— Облачный CWS
40

41. Перенаправление VPN трафика
на NGFW
ASA с FirePOWER Services служит как Remote-Access VPN Headend
Многоуровневая зашита трафика:
§ FW ACLs, NGFW, Web Security, NGIPS, AMP
§ Нет SSL инспекции на сегодняшний день
AnyConnect 4.0 VPN Client
§ IPSec IKEv2 или SSL VPN (DTLS-based)
Весь траффик туннелируется в центр, нет сплит-туннеля
§ Можно повысить целостность опцией Всегда-Работающего
туннеля (Always-On)
§ Включение до логина (SBL) применяется по необходимости
ISE может служить централизованным движком политик
§ Применяйте политики авторизации (VLAN, ACL)
§ TrustSec SGT Применение для удаленных пользователей
— ASA 9.2 вместе с ISE 1.3
§ Интеграция оценки состояния в ASA, поддержка RADIUS CoA
— AnyConnect 4.0 унифицированный NAC (Posture) Агент
41
ISP-1 ISP-2
DMZ
Сети
Интернет
пиринг
Удаленный
доступ (VPN)
Периметральный
МСЭ
Внутренние
сетиISE
AD

42. Перенаправление VPN трафика на WSA
ASA c FirePOWER Services служит как VPN шлюз
§ Видимость приложений, NGIPS и AMP сервисы
§ Защита шире чем нежели только WEB на WSA
WSA предоставляет сервисы WEB безопасности
§ Все сервисы WEB безопасности, описанные выше
§ Прозрачный или явный вид размещения
§ WCCPv2 выполняется на ASA или L3 коммутаторе
§ Доступно раскрытие HTTPS
§ Advanced Malware Protection (AMP) встроено
Известно как модель развертывания AnyConnect Secure
Mobility MUS (Mobile User Security)
§ Предоставляет честный SSO для удаленных
пользователей
§ ASA передает VPN идентификацию пользователя на
WSA
§ WSA не требуется производить аутентификацию
дополнительно
42
ISP-1 ISP-2
DMZ
Сети
Интернет
пиринг
Удаленный
доступ VPN
Периметральный
МСЭ
Внутрненние
сети
МЫ ЗДЕСЬ
http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa7-0/user_guide/AnyConnect_Secure_Mobility_SolutionGuide.pdf
AD

43. CWS - Облачная WEB безопасность
ASA с FirePOWER Services служит как VPN шлюз
§ Видимость приложений, NGIPS и AMP сервисы
§ Защита для WEB предоставляется CWS (+
приложения +SSL)
§ Web траффик к CWS идет в сплит-туннель, не
через VPN
CWS как часть централизованной Web безопасности
§ Облачный WEB-прокси
§ Outbreak Intelligence и Сигнатурный анализ
§ AMP Cognitive Threat Analytics (CTA)
§ Раскрытие HTTPS поддерживается
§ Географическая отказоустойчивость
AnyConnect Web Security модуль предоставляет
перенаправление трафика в CWS
§ Защита с выключенным или включенным VPN
§ Поддерживается на Windows, MacOSX
§ AnyConnect Редактор профиля
43
ISP-1 ISP-2
DMZ
Сети
Интернет
пиринг
Удаленный
доступ (VPN)
Периметральный
МСЭ
Внутренние
сети
CWS
http://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/cws_dg_anyconnect_101714.pdf

44. Cloud Web Security для удаленных пользователей в Cisco
Пользователи вне VPN сети
§ AnyConnect Web Security Module
§ Cloud Web Security (CWS)
§ Перенаправление на ближайший CWS Tower
Эффективность решения
§ 1% всего исходящего трафика блокируется
§ Более 80,000 объектов в день
Обнаруживаемые вторжения ежедневно
§ Трояны, Шпионское ПО
§ Недавно зарегистрированные, неизвестные
домены
Видимость
§ Ретроспективный анализ AMP и отчетность CTA
44

45. SSL и контентная фильтрация на периметре
Основная цель SSL это достижение конфиденциальности в масштабе Интернета
§ Первые реализации датируются началом 90-х
§ Работает поверх TCP/IP, но ниже уровня приложений (уровень сессии)
§ Устанавливает безопасный туннель для передачи данных других протоколов
— HTTP over SSL = HTTPS
— FTP over SSL = FTPS
§ SSL прячет данные WEB, которые мы бы хотели контролировать
— HTTP сообщения протокола полностью шифрованы
— Содержимое передаваемых данных также спрятано
§ SSL шифрование данных приложений становится нормой
— SSL это уже порядка 30-40% обычного Enterprise трафика и цифра быстро увеличивается
— Salesforce, Office 365, Facebook, Twitter, Gmail
§ Атаки все чаще используют HTTPS чтобы быть незамеченными
— Например шифрованная загрузка файлов Zeus и дальнейший вывод зашифрованных данных
Описание проблемы
45
HTTPS://

46. Опции расшифровки SSL: WSA
46
SSL расшифровка с помощью Web Security Appliance
(WSA).
Поддерживается в прозрачном и явном режимах
§ В прозрачном режиме, нет доступа к клиентским заголовкам
§ В явном URL и порты назначения в заголовках
Политики расшифровки указывают какой трафик нужно проверять:
§ Уровень репутации (WBRS), URL категории
Действие политики
§ Пропустить, Мониторинг, Расшифровать, Отбросить
HTTPS опции расшифровки на прокси:
§ Расшифровать для аутентификации, обнаружение приложений
(AVC)
§ Расшифровать для уведомления пользователя (EUN) и
подтверждения
Обработка неправильных сертификатов (Отброс, Расшифровка,
Мониторинг)
Отзыв сертификата с помощью CRL и OCSP
Расшифровка имеет приоритет перед политикой доступа
ISP-1 ISP-2
DMZ
сети
Интернет
пиринг
Удаленный
доступ
Периметральный
VPN
Внутренние
сети
WSA
DNS

47. Расшифровка SSL: что видит пользователь?
При выборе решения для расшифровки SSL
подумайте о следующем:
§ Сломанная цепь доверия;
§ Что увидит пользователь.
§ Расшифровывайте только то, что необходимо.
§ Используйте имеющуюся инфраструктуру PKI.
§ Загружайте сертификаты через GPO/Скрипты.
§ Не каждое приложение или устройство имеет
изменяемое хранилище сертификатов.
47

48. „Почта это пережиток прошлого”
Злоумышленники похищают учетные данные нормальных пользователей и высылают спам с
вредоносным содержимым
§ Далее посылают спам от аккаунтов с хорошей репутацией
Спам на сегодняшний день более опасен и его все тяжелее обнаружить
§ Высоконаправленный, низкообъёмные сообщения спама имеют высокую репутацию, либо отсутствие
репутации вовсе. Вредоносный спам это первый шаг (фишинговые письма) в смешанном типе атаки
Объем спам сообщений вырос на 250% с Января по Ноябрь 2014 (100 миллиардов в день)
48
Source: Cisco 2014 Midyear Security Report

49. Анатомия APT атаки
49
Корпоративная сеть
Атакующий
Периметр
(Входящий)
Периметр
(Исходящий)
Проникновение и установление
бэкдора
1
C2 Server
Admin Node
Разведка и
обследование
2
Эксплуатация и
повышение
привелегий
3
Модификация и
закрепление на месте
(Повторяем 2,3,4)
4
Вывод
данных
5

50. Безопасность почты, это до сих пор важно? @Cisco
93% всей входящей почты блокируется ESA как СПАМ, репутационной базой;
Дополнительные блокировки совершает Cisco AMP (сканирование вложений);
Все основные типы сложных атак которые проходили на Cisco начинались с почты;
Все журналируется централизованно для дальнейшего расследования инцидентов.
50

51. 3.5M Писем блокируется ежедневно
ESA Заблокировано Emails* / mo Emails / day Emails / employee / day %
By reputation 73 M 3.3 M 43 94%
By spam content 4.3 M 0.2 M 3 5%
By invalid receipts 0.4 M 0.02 M 0.25 1%
Доставлено почты Emails / mo Emails / day Emails / employee / day %
Попытки 124 M 5.6 M 73
Blocked 77 M 3.5 M 46 63%
Доставлено 37 M 1.7 M 22 30%
Доставлно, помечено
“Маркетинг”
9 M 0.4 M 5 7%
Malware
SPAM
ESA в @Cisco
51

52. 52
Advanced Malware Protection
Сетевой AMP доступен в:
§ Отдельных FirePOWER устройствах
§ ASA FirePOWER Services
§ Отдельных выделенных AMP устройствах
§ Web Security Appliance (WSA)
§ Email Security Appliance (ESA)
§ Cloud Web Security (CWS)
AMP для хостов:
§ Windows, MAC OS X, Linux
§ Android Мобильные устройства
AMP ThreatGrid платформа для унифицированного анализа Malware и
расследований
§ Устройство, устанавливаемое в сети
§ Облачный портал
AMP Везде – Всесторонний подход к видимости

53. Расследование инцидентов в сети Cisco –
Обнаружение и блокирование
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.53

54. Идентификация пользователя в @Cisco
54
Источник Предоставляемая
информация
DHCP
Server
Назначенный IP, MAC адрес
VPN
Headend
IP, назначенный пользователю,
WAN-адрес
NAT
Gateway
IP-трансляция в соответствии с
RFC 1918, NAT-привязка
ISE
IP назначение для пользователя,
MAC адрес

55. Cyber Threat Defense с помощью NetFlow @Cisco
Сборщики потоков расположены глобально
15 миллиардов потоков в день в Cisco
Lancope Stealthwatch
Ad-hoc поиск
Аналитика сети
Анализ и предупреждения
§ Попытки вывода данных
§ Обмен файлами и их раздача
§ Большие объемы потоков
§ Соединения с ботнетами
55

56. Анализ и защита DNS @Cisco
DNS критичный Интернет-сервис
CSIRT журналирует 2.5 миллиарда DNS запросов/в день
DNS запросы и ответы помогают:
§ Какие домены запрашивают пользователи
§ Обнаруживать некоторые атаки
Журналирование DNS-запросов позволяет обнаруживать:
§ Новые домены (регистрация менее недели)
§ Fast Flux домены (множество IP, короткий TTL)
§ Esoteric домены (уникальность, случайная генерация)
§ DDNS домены
§ Ошибки поиска доменного имени (lookup failure)
§ Всплески DNS-трафика
§ Командные сервера ботнетов, закодированные в
зловредном коде
Корреляция с NetFlow, Packet Capture и журналами
приложений
56
NetBIOS suffix
qname/nbname
qtype/nbtype
Src/Dst

57. Карантиные политики с помощью
ISE EPS/ANC
• Использование EPS (Endpoint Protection Services), также известного как ANC – Adaptive Network Control
• Одна из наименее известных и редко используемых функций ISE
• Серверы ISE могут глобально контролировать MAC-адреса заражённых машин и отправлять их в
карантин
• Инфицированные хосты могут сохранять ограниченный доступ к системам лечения
• Карантин и выход из карантина могут быть ручным или автоматическим (по команде API)
Драматичное снижение времени сдерживания эпидемий
57

58. Расследование и предотвращение инцидентов
Big Data Analytics @Cisco
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.58

59. Инфраструктура работы с журналами @Cisco
Вертикально масштабируемая
архитектура работы с журналами:
• Глобальный поиск
• Региональное хранение журналов
• Резервирование путей доставки журналов
• Splunk, Kibana, Apache и OpenSOC и т.д.
Множество источников данных:
• Системы обнаружения вторжений (IDS/IPS)
• NetFlow-телеметрия от сетевых устройств
• Журналы Web Proxy (WSA)
• Журналы с почтовых шлюзов (ESA)
• DNS и другие журналы
59

60. Расследование и предотвращение инцидентов –
Big Data Analytics @Cisco
Масштаб данных за один день работы:
• Инспектирование 22TB сетевого трафика
• 1TB данных (в среднем) журналируется и
индексируется
• Проксируется 8 миллиардов web-объектов
• Журналируется 2.5 миллиарда DNS-запросов
60
Текущая ёмкость хранилища 1,2 PB (1200TB)

61. Представляем OpenSOC
Объединяем аналитику событий безопасности и Big Data инструментарий
Multi Petabyte Storage
Interactive Query
Real-Time Search
Scalable Stream Processing
Unstructured Data
Data Access Control
Scalable Compute
OpenSOC
Real-Time Alerts
Anomaly Detection
Data Correlation
Rules and Reports
Predictive Modeling
UI and Applications
Big Data
Platform
Hadoop
Elastic
Search

62. Архитектура OpenSOC
Raw Network Stream
Network Metadata
Stream
Netflow
Syslog
Raw Application Logs
Other Streaming
Telemetry
HiveHBase
Raw Packet
Store
Long-Term
Store
Elastic Search
Real-Time
Index
Network
Packet Mining
and PCAP
Reconstruction
Log Mining
and Analytics
Big Data
Exploration,
Predictive
Modeling
Applications + Analyst Tools
Parse+Format
Enrich
Alert
Threat Intelligence
Feeds
Enrichment Data

63. § «Сырые» сетевые данные: Захват пакетов, Хранение, Реконструкция
§ Обработка телеметрии, Обогащение и Уведомления реального времени на основе
триггеров и правил
§ Поиск реального времени в телеметрических данных и сопоставление с корреляцией
из разнородных подсистем
§ Автоматизированные отчёты, обнаружение аномалий и вывод предупреждений
§ Внешние аналитические приложения и интеграция с существующими инструментами
анализа
Ключевые особенности системы

64. § Сделано в Cisco совместно с Hortonworks, используется внутри и
предоставляется как сервис клиентам (часть сервиса Cisco Advanced
Threat Analytics)
§ Бесплатный, Open Source, лицензия Apache
§ Построен на базе хорошо масштабируемых и зарекомендовавших
себя платформ (Hadoop, Kafka, Flume, Storm, Hive, Hbase, Elastic
Search)
§ Модульный и расширяемый дизайн
§ Гибкая модель внедрения (в корпоративной сети или в облаке)
Преимущества OpenSOC

65. Инсталляция OpenSOC @Cisco
Оборудование (40 RU)
§ 14 Data Nodes (UCS C240 M3)
§ 3 Cluster Control Nodes (UCS C220 M3)
§ 2 ESX Hypervisor Hosts (UCS C220 M3)
§ 1 PCAP Processor (UCS C220 M3 +
Napatech NIC)
§ 2 SourceFire Threat alert processors
§ 1 Anue Network Traffic splitter
§ 1 Маршрутизатор ASR1000Х
§ 1 48-портовый 10GE коммутатор Nexus
ПО
§ HDP 2.1
§ Kafka 0.8
§ Elastic Search 1.1
§ MySQL 5.5
Обрабатывает 1,2 Миллиона событий в
секунду в реальном времени

66. Архитектура решения OpenSOC @Cisco
AccessMessaging SystemData CollectionSource Systems StorageReal Time Processing
StormKafka
B Topic
N Topic
Elastic Search
Index
Web Services
Search
PCAP
Reconstruction
HBase
PCAP Table
Analytic
Tools
R / Python
Power Pivot
Tableau
Hive
Raw Data
ORC
Passive
Tap
PCAP Topic
DPI Topic
A Topic
Telemetry
Sources
Syslog
HTTP
File System
Другие
Flume
Agent A
Agent B
Agent N
B Topology
N Topology
A Topology
PCAP
Traffic
Replicator PCAP
Topology
DPI Topology

67. Приложения: сопоставление телеметрии и DPI
Шаг 1: Поиск
Шаг 2: Совпадения
Шаг 3: Анализ
Шаг 4: генерация анализ PCAP

68. Интеграция с инструментами анализа
Представление информации Отчёты

69. Целостный подход к жизненному циклу атаки
69
IPS Нового
поколения
NGIPS
Понимание контекста
Идентификация и атрибуты
пользователей
Инфраструктура и
протоколы
Сетевой
МСЭ
МСЭ нового
поколения
Мобильный и
удаленный доступ
SSL
расшифровка и
инспекция
Безопасность WEB и
контентная фильтрация
Безопасность
электронной почты
Анализ сетевого
трафика
Реагирование на
инциденты
Защита от
вредоносного кода
(AMP)
ДО
Исследование
Внедрение
политик
Укрепление
ВО ВРЕМЯ
Обнаружение
Блокирование
Защита
ПОСЛЕ
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
Открытый код
и утилиты

70. Грамотная стратегия, системный подход к решению
задач, ответственность и взаимодействие между людьми
- рецепт секретного соуса Cisco IT и Cisco InfoSec

71. CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом
#CiscoConnectRu
CiscoRu
© 2015 Cisco and/or its affiliates. All rights reserved.