Документ представляет комплексную стратегию безопасности компании Cisco, включая защиту сети, оборудования и данных клиентов. Описываются угрозы безопасности, внутренние и внешние риски, а также основные принципы взаимодействия между IT и Infosec. Также детализируются стратегии управления устройствами и внедрения политики безопасности в контексте новых технологий и растущего числа подключенных устройств.

1. Как компания Cisco
защищает сама
себя
Алексей Жуков
alzhukov@cisco.com
12.04.© 2015 Cisco and/or its
Безопасность
здесь и сейчас

2. Что из себя сейчас представляет Cisco?
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved.2

3. 300 партнёров использующих 550
точек подключения к сети Cisco
Что из себя представляет Cisco и что мы
защищаем?
16 главных точек выхода в Internet
~32 TB полосы пропускания
используется ежедневно
1350 лабораторий
160+ компаний было приобретено
500 cloud/ASP провайдеров
(официально )
122k сотрудников
Офисы в 170 странах
~3M IP-адресов
Сеть из 215,000 устройств
275,000 хостов
2500+ IT-приложений
26k домашних или малых
офисов Cisco Virtual Office
425 устройств IDS/IPS
~3TB данных сетевой
телеметрии собирается каждый
день
Один CSIRT аналитик
на каждые 7000
сотрудников

4. Кто, что, зачем… КАК?
Государства
Раскрытие данных
Публикации
Человеческий фактор
Ошибки конфигурирования
Дефекты программирования
Дефекты сетевой инфрастурктуры
Инсайдеры
Фрод
Промышленный шпионаж
Угрозы репутации
и бренду
Кража IP
Инсайдерская
торговля
Взлом и
проникновение в
сеть
Кража данных
клиентов
Атаки через нас
на клиентов
Случайные
Криминал Политические
риски

5. • Офисная культура –
взаимодействие, интеграция,
обмен, сотрудничество
• Бизнес-культура– ориентация
на клиента, скорость принятия
решений, принятие рисков
• Культура партнёров – широкое
использование аутсорсинга
Культура Cisco
Безопасность и
ограничения весьма не
интуитивны в
культуре компании

6. Роли и зоны ответственности
Information Technology (IT)
Предоставление сервисов для
улучшения бизнес-показателей
Ключевые метрики:
Удовлетворённость пользователей и
эффективность их работы
Скорость внедрения и реакции
Затраты
Структура управления:
Manager
CIO
COO
Information Security (InfoSec)
Защита инфраструктуры Cisco, систем и
сервисов, а также чувствительной
информации Cisco и наших клиентов и
партнёров
Ключевые метрики:
Инциденты (Количество, среднее и медианное
время на обнаружение и противодействие)
Риски и годовые потери в результате
инцидентов
Соответствие требованиям политик и
регуляторов
Структура управления:
Manager
CISO
COO
Сдержки и противовесы 

7. Почему это так важно?
Хорошо отображает
взаимоотношения между IT и
Infosec
Службы IT и Infosec в Cisco
потратили годы, чтобы в итоге
понять, что партнёрство
наиболее выгодно всем!
Very first Spy vs. Spy cartoon Mad Magazine (с) 1961

8. Как это было достигнуто?
• Инструменты совместной
работы;
• Гибкость и возможности
глобальных команд;
• Периодические «живые»
встречи для обсуждения
ключевых моментов;
• Совместное бюджетное и
ресурсное планирование;
• Совместная защита бюджета
и ресурсов;
• Совместное отстаивание
своих позиций перед высшим
руководством 
Ключевые IT ЛПР
Основные Infosec ЛПР

9. Мы все про это уже слышали…
Безопасность
Производительность
Безопасность
ПростотаФункциональность
Citation: garfdn.org

10. но реальность такова:
• Увеличивающийся тренд коммодизации и
консьюмеризации в IT и Security;
• IT и Security центры затрат;
• Пользователи просто хотят делать свою
работу с наименьшим количеством граблей по
пути;
• И делают её на основе своего баланса
риска/вознаграждения;
• Если IT не в состоянии предоставить
решение, пользователи сами найдут его;
Всё это значит одно – безопасность должна быть
встроена и являться неотъемлемой частью IT-
решений!!!
Citation: etsy.com

11. Принципы безопасности в IT-внедрениях
ДА, но не НЕТ.
• Если упорный и талантливый атакующий
захочет что-то украсть, он рано или поздно
это сделает;
• Невозможно запрограммировать
человеческий фактор;
• Решения создаются для 85% обычных
клиентов;
• Золотое правило – относитесь к ним
доброжелательно, прозрачно
коммуницируйте что вы делаете
• Основывайтесь на внятных политиках
• Необходимо иметь сбалансированные
проактивные и реактивные инвестиции
Citation: XKCD.com

12. Как мы защищаем свою сеть и устройства
пользователей в ней?
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved.13

13. Какие доступны стратегии для устройств –
Desktop & Mobile
•Принадлежит компании и управляется ею же
•Минимальный выбор оборудования (минимизация расходов)
•Традиционный эталонный образ для установки
•Полная поддержка со стороны IT
Традиционная
•Corporate Owned Personally Enabled – принадлежит компании, заточено под пользователя
•Более широкий выбор (за счёт более высоких расходов)
•Разрешены прямые поставки от производителя (zero image)
•IT сохраняет за собой контроль и обеспечивает безопасность
COPE
•Личные устройства (максимальный выбор)
•Контроль со стороны IT ослаблен
•Поддержка со стороны IT минимальна
•Наименьшие затраты
BYOD

14. Текущее положение дел с устройствами в Cisco (31 декабря
2016)
81,169 42,6847,904
131,757
Корпоративные
устройства
(CYOD)
8,751
66,519
Личные
устройства
(BYOD)
1.25
устройств на
пользователя
42,613 14,180 271145559

15. И это не только телефоны
Количество носимых гаджетов в
организациях утроилось в период с 2015
по 2017.
76% компаний при этом констатируют,
что это повышает производительность
труда.
86% планируют увеличивать
использование таких устройств.
* Saleforce.com Wearables Report

16. При этом мы видим интересные тренды
Мощность мобильных устройств
увеличивается
Гибридные устройства по своей
функциональности приближаются к ПК
Станосится больше IoT устройств
При этом поставщики часто не думают о функциях
безопасности в них.
Они очень разные 
Увеличивается кол-во носимых гаджетов

17. Рекомендации
1. Будьте проактивны – эти устройства
придут в вашу сеть с вашей
помощью или без нее!
2. Выберите стратегию развития
вашей сети и безопаснсти в ней:
Традиционная, COPE, BYOD
3. Осознавайте те ограничения и
тренды, которые привносят IoT
устройства.

18. Прогноз по количеству устройств в сети Cisco к
2020
380,788Пользовательских устройств
??
19

19. Как мы планируем поддерживать устройства в будущем
Корпоративные устройства
•Company Owned & Personally Enabled (COPE)
•Некоторый набор устройств с полной IT-поддержкой
•Выбор устройств ограничен
•Для тех, кому необходима полная поддержка или высокий уровень безопасности
BYO Laptops, Smartphones & Tablets
•Личные или принадлежащие контрактнику или партнёру
•Доступ на основе Trusted Device Policy (требует процедуры подключения к сети)
•Широкий набор устройств с поддержкой коммьюнити
•Для тех, кому не важна поддержка или для контрактников или партнёров
IoE устройства и вещи
•Традиционный, COPE, или BYOD
•Очень ограниченный доступ к сети (но без процедуры подключения к ней)
•Типы устройств практически не ограничены

20. Политики и технологии,
позволяющие
предоставлять доступ к
сети, на основе
состояния и
«здоровья» устройства
Что такое «доверенные устройства»?

21. Модель «доверенных устройств»
Каждое устройство должно
быть ассоциировано с
уникальным пользователем
Устройство должно
использовать
поддерживаемую ОС и иметь
все необходимые патчи для
неё
Не допускаются рутованные
или jailbroken устройства
Все устройства должны быть
сконфигурированы для
автоматической установки
патчей, патч должен быть
установлен в течении четырёх
недель с момента выхода
Устройство должно быть
защищено паролем или PIN
заданной длины, блокировка
должна быть настроена на 10
минут или меньше
Конфиденциальная
информация на устройстве
должна быть зашифрована
На устройстве должна быть
установлена и иметь
актуальную версию
поддерживаемая защита от
зловредного кода
Устройство должно быть
сконфигурировано таким
образом, чтобы у IT была
возможность удалённо
«зачистить» все данные
Устройство должно передавать
IT информацию о ПО, патчах,
приложениях и компонентах
систем безопасности

22. • Доступ к сети построен на доверительной
модели– чем больше мы знаем об
устройстве, тем больший уровень доступа
оно может получить
• Только доверенные устройства могут
получить доступ в основную сеть
• Недоверенные устройства (включая IoE
устройства и вещи) ограничены Internet Only
сетью или публичным облаком
• Набор используемых сервисов на разном
уровне различен, различны используемые
механизмы безопасности
Многоуровневый доступ к сети
23
Модель «доверенных устройств»

23. Модель «доверенных устройств»
Обеспечивается Cisco Identity Services Engine (ISE)
Согласованные, топологически независимые политики контроля доступа
к сетевой инфраструктуре на основе решения Cisco Identity Service
Engine:
• Физические и виртуальные, мобильные устройства
• Проводной, беспроводной и удалённый доступ
• Привязка к узлу доступа
Обеспечения контроля доступа, безопасности данных и требований
политик
ГДЕ? КОГДА?ЧТО? КАК?КТО?
Использующие контекст сервисы идентификации и аутентификации

24. Контроль доступа в сети Cisco:
Два независимых глобальных кластера ISE
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved.25

25. Cisco IT ISE Global Deployment (24-hour authentication map view)
ISE PSNs Data Center (8) Network Devices Cluster (800+) Auth traffic to ISE PSNs

26. Требования IT
IT set out to deliver multiple capabilities with ISE
Контроль доступа
Аутентифицировать
проводных,
беспроводных и
удалённых
пользователей
BYOD
Поддержка
«доверенных»
устройств и BYOD
Профилирование
Идентифицировать
пользователей и
устройства
Защита хостов
Защищать сеть от
инфицированных
устройств
Гостевой доступ
Ограничивать
неавторизованные
устройства и
пользователей
доступом только к сети
Интернет
Контроль устройств
Защита сети и
обеспечение
дифференцированного
доступа в сеть*
* В Cisco используется MDM-решение, интегрированное с ISE

27. • Идентифицировать
устройства
• Оценить риски
1. Профилирование
• Пользователи и
устройства
• Идентификация
устройств в
беспроводном
сегменте
2. Аутентификация
• Оценка устройств
• Информация для
использования в
политиках для
принятия решений
3. Оценка
соответствия
• Применение политик с
учётом сетевого
контекста
• Недоверенные
устройства имеют
ограниченный доступ
4. Ограничение
Четыре шага к безопасной сети

28.  Избежать “Большого бума”
 Слишком много новых функций сразу для единовременного внедрения
 Модель “ISE Deployment Bundle”
 Функциональность была объединена в группы, чтобы соответствовать срокам и
функциональным требованиям
 Несколько кластеров были объединены в один
 За и против для централизованного и распределённого: ISE Limits, Scalability, # EP, Auth,
Latency, AD…
 “Стартуем с одним кластером и добавим другие, если и когда понадобится”
 Основа – глобальная инфраструктура
 Внедрение глобальной инфраструктуры виртуализации и серверов ISE сначала
 Гостевая сеть (ION) использует отдельный кластер для снижения рисков
 Функционал “ISE Deployment Bundles” включается по географическому признаку
 Использование разных Virtual IP для сервисов (например, WLAN, LAN, CVO, VPN) для лучшей
управляемости и контроля, а также ускорения внедрения
Cisco IT: политика внедрения

29. Кто вовлечён в проект и кто и за что отвечает?
COO
CTO
SVP IT
VP IT
Any Device Team
SVP
Infra Services
Sr. Dir
Network Services
VP Ops/
Implementation
Sr. Dir
Strategy & Security
Security
Services
Directory Services
Sr. Dir
Data Centers
Sr. Dir
Arch/Design
SVP
Security & Trust
VP
InfoSec
Требования и
политики
безопасности
Отвечают за
мобильные
устройства,
ответственны за
проверки
устройств на
соответствие
политикам
ЦОД и
виртуальная
инфраструктура
Отвечают за
поддержку и
разворачивание
сетевых сервисов
Отвечают за
поддержку и
разворачивание
сетевой
инфраструктуры
Отвечает за ISE и
остальные
сервисы
безопасности
Инфраструктура и
сервисы Microsoft
Active Directory
Архитектура
решения и
высокоуровневый
дизайн
Operational
Excellence:
99.999%
Availability

30. Что из себя сейчас представляет Cisco?
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved.31

31. Политики
Физическая безопасность
Сетевая безопасность
Укрепление защиты
хостов
Защита
приложений
Защита
данных
Проактивный контроль
Стратегия эшелонированной обороны
Мониторинг и анализ
событий Infosec
Защита Web и Email
AMP для хостов
Межсетевые
экраны
Контроль доступа
AMP для сетей
Прозрачность и защита
32

32. Принципы и процедуры физической безопасности
Обнаружение попыток захвата
устройства
НУЖНО обнаружение логина авторизованного
админа
НУЖНО обнаружение bruteforce SSH
НУЖНО обнаружение password recovery
НУЖНО обнаружение замены устройства (UDI)
НУЖНО проверять целостность устройства
регулярно
OS, конфигурация, файловая система
Невозможность обнаружения
прослушки (врезки)
НУЖНО защищать все протоколы контрольной
подсистемы
(BGP, IGP, LDP)
НУЖНО защищать все протоколы управления
(SSH, SNMP)
Только атаки на подсистему данных
доступны
После каждой перезагрузки, link-down
событие, и т.д.
Устройство могло быть заменено;
Мог быть сделан Password recovery;
Проверить систему:
Unique Device Identifier (UDI), OS,
конфигурацию, enable пароль
После неожиданного логина
администратора:
Сменить пароль на этого админа;
Проверить систему:
OS, конфигурацию, enable пароль
Регулярно (Пример: раз в 24часа)
Проверка системы:
OS, конфигурацию, enable пароль
AAA
server
Скрипты
Syslog
server
Вы могли пропустить событие!

33. Ваша сеть физически безопасна?
Невозможно гарантировать физическую
безопасность сети
Password recovery, замена устройства,
sniffing, wiretaps, man-in-the-middle
Безопасные подсистемы контроля и управления
Безопасность подсистемы данных (IPsec)
Мониторинг изменения на устройствах (reload)
Проверка UDI (sh license udi)
Проверка корректности конфигурации устройства
Процедуры изоляции взломанных устройств
Процедуры возврата контроля над взломанными
устройствами
34
Source: Jan Matejko, „Stańczyk” (1862)

34. Лучшие практики по защите IOS
Руководство Cisco по защите IOS Devices
Обезопасить операционные процедуры
Мониторинг Security Advisories
Использовать AAA, Централизованный сбор логов
Использовать безопасные протоколы
Подсистема управления (SSH, SNMP, NetFlow)
Отключить неиспользуемые сервисы, Password Security
Обезопасить сессии управления
Thresholding for Memory, CPU, Leaks
Management Plane Protection (MPP)
Контрольная подсистема (ICMP, BGP, RSVP)
Control Plane Policing (CoPP), Protection (CPPr), HW Rate-Limiters
Подсистема данных (продуктивный трафик)
Защита от спуфинга с помощью uRPF, IPSG, Port Security, DAI, ACLs
Traffic Access Control
35
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml

35. DDoS Mitigation – BGP RTBH @Cisco
OER – Optimized Edge Routing
Также известен как Performance Routing (PfR):
• Немедленно устанавливает null0 route
• Позволяет избежать дорогостоящего
изменения правил ACL или на МСЭ
• Использует iBGP и uRPF
• Не требует дополнительной настройки
Настраивает /32 null0 route:
route x.x.x.x 255.255.255.255 null0
iBGP peering

36. Next-Generation Intrusion Prevention
@Cisco
350+ Cisco IPS сенсоров развернуто
сегодня
1.5M alarm в день
Миграция в процессе, под капотом:
FirePOWER Appliances
Network AMP Everywhere
TALOS Threat Intelligence
Contextual Analysis
Throughput and Capacity
API-интерфейсы для интеграции
37

37. WSA внутри сети Cisco
Защита всей сети Cisco включая:
Хосты и мобильные устройства
Удаленный доступ VPN
Внутренние лаборатории
DMZ Лаборатории
ЦОД
Режим развертывания:
WCCPv2 перенаправление
Магистральные DMZ шлюзы
Отказоустойчивые пары на шлюз
Обычные веб порты
Репутационный анализ (WBRS)

38. Malware блокируется за Один День:
• 441K – Trojan Horse
• 61K - Other Malware
• 29K - Encrypted Files (monitored)
• 16.4K - Adware Messages
• 1K – Trojan Downloaders
• 55 - Phishing URLs
• 22 - Commercial System Monitors
• 5 - Worms
• 3 - Dialers
Cisco статистика WEB :
• HTTP это 25% трафика + SSL 6%
• 12.5 TB в/из за день
• 330-360M веб запросов в день
• 6-7M (2%) заблокировано
WSA Блокированные запросы:
• 6.5M+ Malware sites blocked/day
• 93.5% - Web Reputation
• 4.5% - URL Category
• 2% - Anti-Malware
WSA внутри сети Cisco
39

39. Мобильные пользователи и безопасность
• Выбор технологии VPN
L2L IPSec FlexVPN
• Удаленные офисы - IOS маршрутизаторы
• Домашний офис – CVO (Cisco Virtual Office)
AnyConnect удаленный доступ VPN
• Ноутбуки, PCs
• Смартфоны, Планшеты, BYOD
Безклиентный SSL VPN
• Браузерный удаленный доступ
• Доступ к порталу откуда угодно
VPN шаблоны защиты трафика
Экономия полосы vs Защита
Site-to-site (L2L)
Централизованный выход в интернет
Прямой выход в интернет
филиалов(DIA)
Мобильный удаленный доступ (RA)
Полное туннелированние
Централизовано NGFW и WSA
Сплит-Туннель
Централизованый NGFW
Облачный CWS
Без туннеля
Облачный CWS

40. Заворот VPN трафика на NGFW
ASA с FirePOWER Services служит как Remote-Access VPN
Headend
Многоуровневая зашита трафика:
FW ACLs, NGFW, Web Security, NGIPS, AMP
AnyConnect 4.3 VPN Client
IPSec IKEv2 или SSL VPN (DTLS-based)
Весь траффик туннелируется в центр, нет сплит-туннеля
Можно повысить целостность опцией Всегда-Работающего
туннеля (Always-On)
Включение до логина (SBL) применяется по необходимости
ISE может служить централизованным движком политик
Применяйте политики авторизации (VLAN, ACL)
TrustSec SGT Применение для удаленных пользователей
ASA вместе с ISE
Интеграция оценки состояния в ASA, поддержка RADIUS
CoA
AnyConnect 4.3 унифицированный NAC (Posture) Агент
ISP-1 ISP-2
DMZ
Сети
Интернет
пиринг
Удаленный
доступ (VPN)
Периметральный МСЭ
Внутренние
сетиISE
AD

41. Заворот VPN трафика на WSA
ASA c FirePOWER Services служит как VPN шлюз
Видимость приложений, NGIPS и AMP сервисы
Защита шире чем нежели только WEB на WSA
WSA предоставляет сервисы WEB безопасности
Все сервисы WEB безопасности, описанные выше
Прозрачный или явный вид размещения
WCCPv2 выполняется на ASA или L3 коммутаторе
Доступно раскрытие HTTPS
Advanced Malware Protection (AMP) встроено
ISP-1 ISP-2
DMZ
Сети
Интернет
пиринг
Удаленный
доступ VPN
Периметральный
МСЭ
Внутрненние
сети
МЫ ЗДЕСЬ
http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa7-0/user_guide/AnyConnect_Secure_Mobility_SolutionGuide.pdf
AD

42. CWS - Облачная WEB безопасность
ASA с FirePOWER Services служит как VPN шлюз
Видимость приложений, NGIPS и AMP сервисы
Защита для WEB предоставляется CWS (+
приложения +SSL)
Web траффик к CWS идет в сплит-туннель, не через
VPN
CWS как часть централизованной Web безопасности
Облачный WEB-прокси
Outbreak Intelligence и Сигнатурный анализ
AMP Cognitive Threat Analytics (CTA)
Раскрытие HTTPS поддерживается
Географическая отказоустойчивость
AnyConnect Web Security модуль предоставляет
перенаправление трафика в CWS
Защита с выключенным или включенным VPN
(OpenDNS)
Поддерживается на Windows, MacOSX
AnyConnect Редактор профиля
ISP-1 ISP-2
DMZ
Сети
Интернет
пиринг
Удаленный доступ
(VPN)
Периметральный
МСЭ
Внутренние
сети
CWS
http://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/cws_dg_anyconnect_101714.pdf

43. Cloud Web Security для удаленных пользователей в Cisco
Пользователи вне VPN сети
AnyConnect Web Security Module
Cloud Web Security (CWS)
Перенаправление на ближайший CWS Tower
Эффективность решения
1% всего исходящего трафика блокируется
Более 80,000 объектов в день
Обнаруживаемые вторжения ежедневно
Трояны, Шпионское ПО
Недавно зарегистрированные, неизвестные домены
Видимость
Ретроспективный анализ AMP и отчетность CTA

44. „Почта это пережиток прошлого”
Злоумышленники похищают учетные данные нормальных пользователей и высылают спам с
вредоносным содержимым
Далее посылают спам от аккаунтов с хорошей репутацией
Спам на сегодняшний день более опасен и его все тяжелее обнаружить
Высоконаправленный, низкообъёмные сообщения спама имеют высокую репутацию, либо отсутствие
репутации вовсе. Вредоносный спам это первый шаг (фишинговые письма) в смешанном типе атаки
Объем спам сообщений вырос на 250% с Января по Ноябрь 2014 (100 миллиардов в день)
Source: Cisco 2016 Midyear Security Report

45. Анатомия APT атаки
46
Enterprise Network
Атакующий
Периметр
(Входящий)
Периметр
(Исходящий)
Проникновение и установление
бэкдора
1
C2 Server
Admin Node
Разведка и
обследование
2
Эксплуатация и
повышение
привелегий
3
Модификация и
закрепление на месте
(Повторяем 2,3,4)
4
Вывод
данных
5

46. Безопасность почты, это до сих пор важно? @Cisco
93% всей входящей почты блокируется ESA как СПАМ, репутационной базой;
Дополнительные блокировки совершает Cisco AMP (сканирование вложений);
Все основные типы сложных атак которые проходили на Cisco начинались с почты;
Все логируется централизованно для дальнейшего расследования инцидентов.

47. 3.5M Писем блокируется ежедневно
ESA Заблокировано Emails* / mo Emails / day Emails / employee / day %
By reputation 73 M 3.3 M 43 94%
By spam content 4.3 M 0.2 M 3 5%
By invalid receipts 0.4 M 0.02 M 0.25 1%
Доставлено почты Emails / mo Emails / day Emails / employee / day %
Попытки 124 M 5.6 M 73
Blocked 77 M 3.5 M 46 63%
Доставлено 37 M 1.7 M 22 30%
Доставлно, помечено
“Маркетинг”
9 M 0.4 M 5 7%
Malware
SPAM
ESA в @Cisco
48

48. Advanced Malware Protection
Сетевой AMP доступен в:
Отдельных FirePOWER устройствах
ASA FirePOWER Services
Отдельных выделенных AMP устройствах
Web Security Appliance (WSA)
Email Security Appliance (ESA)
Cloud Web Security (CWS)
AMP для хостов:
Windows, MAC OS X, Linux
Android Мобильные устройства
AMP ThreatGrid платформа для унифицированного анализа Malware и
расследований
Устройство, устанавливаемое в сети
Облачный портал
AMP Везде – Всесторонний подход к видимости
49

49. Расследование инцидентов в сети Cisco –
Обнаружение и блокирование
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved.50

50. Идентификация пользователя в @Cisco
51
Источник Предоставляемая информация
DHCP
Server
Назначенный IP, MAC адрес
VPN
Headend
IP, назначенный пользователю, WAN-
адрес
NAT
Gateway
IP-трансляция в соответствии с RFC
1918, NAT-привязка
ISE
IP назначение для пользователя, MAC
адрес

51. Cyber Threat Defense с помощью NetFlow @Cisco
Сборщики потоков расположены глобально
15 миллиардов потоков в день в Cisco
Lancope Stealthwatch
Ad-hoc поиск
Аналитика сети
Анализ и предупреждения
Попытки вывода данных
Обмен файлами и их раздача
Большие объемы потоков
Соединения с ботнетами
52

52. UMBRELLA
Сервисы защиты
Сервис сетевой безопасности
Защита любого устройства везде
INVESTIGATE
Интеллект
Обнаружение и
прогнозирование атак
перед их началом
Продукты и технологии

53. Карантин с помощью ISE EPS
Использует EPS (Endpoint Protection Services), известный как ANC – Adaptive Network Control
Одна из наименее используемых возможностей ISE
ISE может поместить конечное устройство в зону с ограниченным доступом в сеть
Инфицированные устройства при этом могут иметь доступ к средствам восстановления (серверам
обновлений, антивирусам, ..)
Может работать как в ручном, так и в автоматическом режиме
54

54. Incident Response @Cisco
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved.55

55. Роль Cisco CSIRT
“ .
Расследовать
Инциденты ИБ
Вовлекать
HR, юристов и правоохранительные
службы по необходимости
Предотвращать
Инциденты через анализ
угроз и реакцию на них
”11

56. Структура CSIRT
NetFlow System Logs
Разведка и
исследования
4
Аналитики APT
14
Следователи
22/17
Аналитики
User
Attribution
Analysis
Tools
Case Tools Deep
Packet Analysis
Collaboration
Tools
Intel Feeds
Инженеры26

57. Представляем OpenSOC
Мультипетабайтное
хранилище
Интерактивные запросы
Поиск в реальном времени
Масштабируемая обработка
потоков
Неструктурированные
данные
Контроль доступа к
данным
Масштабируемые
вычисления
Hadoop
Big Data
Platform
OpenSOC
Алерты в реальном
времени
Обнаружение
аномалий
Корреляция
данных
Правила и
отчеты
Прогнозное
моделирование
UI и приложения

58. Архитектура OpenSOC
ДоступСистема сообщенийСбор данныхИсточники ХранениеОбработка в реальном
времени
StormKafka
B Topic
N Topic
Elastic Search
Index
Web Services
Search
PCAP
Reconstruction
HBase
PCAP Table
Analytic Tools
R / Python
Power Pivot
Tableau
Hive
Raw Data
ORC
Passive
Tap
PCAP Topic
DPI Topic
A Topic
Telemetry
Sources
Syslog
HTTP
File System
Other
Flume
Agent A
Agent B
Agent N
B Topology
N Topology
A Topology
PCAP
Traffic
Replicator
PCAP
Topology
DPI Topology
Захват
телеметрии
Нормализац
ия
телеметрии
Парсинг
телеметрии
Анализ
PCAP
Анализ
телеметрии
Поиск и
индексирова
ние в
реальном
времени
Обнаружени
е аномалий
и машинное
обучение
Визуализаци
я
Расширяема
я
Автоматизи-
рованная
Интегрируе-
мая
Открытая
Хранение
Big Data
Пакетная
обработка
Платформа
Сервисы
API

59. Разные варианты визуализации

60. Разные варианты визуализации
Шаг1: Поиск
Шаг2:
Сравнение
Шаг3: Анализ
Шаг4: Создание PCAP

61. Целостный подход к жизненному циклу атаки
Control
Enforce
Harden
Detect
Block
Defend
Scope
Contain
Remediate
IPS Нового
поколения NGIPS
Понимание контекста
Идентификация и аттрибуты пользователей
Инфраструктура и
протоколы
Сетевой
МСЭ
МСЭ нового
поколения
Мобильный и
удаленный доступ
SSL Раскрытие и
инспекция
Безопасность WEB и
контентная фильтрация
Безопасность
электронной почты
Анализ сетевого
трафика
Реагирование на
инциденты
Открытый код и
утилиты
Защита от вредоносного
кода (AMP)

62. Тренды безопасности
Проверка устройств для доступа
Как через локальные системы
безопасности, так и через облачные
Увеличение кол-ва уязвимостей
мобильных устроств (особенно на базе
Android)
Защита данных
Управление правами
Усиление роли DLP

63. Рекомендации
1. Начните с определения политик
безопасности
2. Определитесь с тем , как вы будете
их внедрять
3. Оценивайте всю цепочку. Конечные
устройства, сеть, сервисы &
приложения.
4. Учитывайте будущее развитие

64. Свяжитесь с
нами
Тестируйте
Составьте план
внедрения
Напишите нам на security-request@cisco.com
или своему менеджеру Cisco для организации
встречи для более глубокого обсуждения
ваших потребностей и того, как мы можем их
удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план
внедрения решений по кибербезопасности
под ваши задачи
Что сделать после семинара?

65. #CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia