Документ описывает ключевые факторы, движущие информационную безопасность и стратегии компании Cisco по их контролю. Основные угрозы включают увеличенное время обнаружения вторжений и изменения в бизнес-моделях, требующие адаптации подходов к кибербезопасности. Cisco предлагает интегрированные решения для защиты сетей, централизованное управление и инновационные технологии для предохранения от современных угроз.

1. 3 скакуна, несущих информационную
безопасность вперед и стратегия
Cisco по их обузданию
Лукацкий Алексей
alukatsk@cisco.com
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.

2. Что заставляет ИБ (и Cisco) двигаться вперед?

3. Скакун №1: Угрозы
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.3

4. Время обнаружения вторжений очень велико
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – один из
самых долгих
инцидентов в 2014-м
году
Ponemon
206
HP
416
Symantec
305

5. Один пример: эксплойт-кит Angler
Постоянные обновления увеличили уровень проникновения Angler до 40%
В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная
система
Уязвимости Flash
Смена цели
Вымогатели
Angler
Непрерывное забрасывание
«крючков в воду» увеличивает
шанс на компрометацию
Шифрованиетела ВПО
Социальный
инжиниринг
Смена IP Сайты-
однодневки
Ежедневные
доработки
TTD
Меры
защиты
Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email

6. Изменение в поведении атак
Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов
Скорость

7. Дополнительная информация по угрозам
Уже выпущен!

8. https://www.youtube.com/watch?v=uJOQJuhWR-E https://www.youtube.com/watch?v=dGrgI_S3yOA
Еще больше деталей про угрозы

9. Скакун №2: Изменение бизнес-моделей
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.9

10. Десктопы Бизнес-
приложения
Сетевая
инфраструктура
Так было в прошлом

11. Критическая
инфраструктура
(Amazon, Rackspace,
Windows Azure и т.д.)
Бизнес-приложения
(Salesforce, Marketo,
DocuSign и т.д.)
Мобильные
пользователи
Удаленные
пользователи
Десктопы Бизнес-
приложения
Сетевая
инфраструктура
Что сегодня и завтра?
Операторы связи
Промышленные
сети

12. Что предлагает Cisco?
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.12

13. Гипотезы безопасности Cisco
Консалтинг Интеграция УправлениеЗнание угроз ПлатформыВидимость
Операционный фокус Нехватка людей
+
Цифровая эволюция
+
Требуются изменения в ИБ

14. 14© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CLUS: AMP
Data Center
Закрыта
сделка по
Sourcefire
Security
for ACI
RSAC: AMP
Everywhere
OpenAppID
2014 ASR
Global
Security Sales
Organization
Приобретена
Neohapsis
AMP Everywhere
Приобретена
ThreatGRID
Cisco ASA with
FirePOWER
Services
Security
and Trust
Organization
Managed
Threat
Defense
Talos
Integrated
Threat
Defense
2013 2015
Security
Everywhere
Закрыта
сделка по
OpenDNS
Приобретена
Portcullis
Приобретение
Lancope
Последние инновации Cisco в области ИБ

15. Филиалы
ЛВС
Периметр
АСУ ТП
ЦОД
Оконечные
устройства
Интеграция и максимальное покрытие от уровня сети до
оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов
– ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Повсеместная безопасность

16. AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security
AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud
Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security
& Hosted Email
CWS
Threat Grid
Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower
Services
Повсеместный AMP
ПКПК
Периметрсети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect

17. Повсеместно… с учетом жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ

18. Web
Filtering and
Reputation
Security
Intelligence
File Type
Blocking
Application
Visibility &
Control
Indicators of
Compromise
Traffic
Intelligence
File
Reputation
Cognitive
Threat
Analytics
До
После
www.website.com
Во время
File
Retrospection
Мобильный
пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
Allow Warn Block
Partial
Block
Основной офис
ASA/NGIPS
AMP
Appliance
WSA ESA
AMP for
Endpoints
Админ
Перенапр
авление
трафика
Угрозы
HQ
File
Sandboxing
Пример: Cisco Advanced Malware Protection

19. www
Mobile UserУдаленный офис
www www
Allow Warn Block Partial Block
Основной офис
ASA StandaloneWSA ISR G2 AnyConnect®
АдминПеренаправ
ление
трафика
www
HQ
До
ПослеВо время
File
Retrospection
File
Sandboxing
Webpage
Outbreak
Intelligence
ISR 4k
Отчеты
Работа с логами
Управление
Web
Reputation
and Filtering
SaaS
Anomaly
Detection
File
Reputation
Anti-Malware
Cognitive
Threat
Analytics
SaaS Visibility
CAS
CAS
Cloud Data
Loss
Prevention
CAS
Application
Visibility
and Control
Мобильный
пользователь
SaaS
Anomaly
Detection
www.website.c
om
AMP AMP TG CTA
Пример: Cisco Cloud Web Security

20. Богатый контекст
Василий
Планшет
Здание 7, корпус 2, 1 этаж
11:00 AM Europe/Moscow 11-00 AM
Беспроводная сеть
Повсеместный контекст
Кто
Что
Где
Когда
Как
Отсутствие контекста
IP Address 192.168.1.51
Не известно
Не известно
Не известно
Не известно
Нужный пользователь с нужным
устройством попадет в сеть только из
нужного места с необходимыми правами
Любой пользователь. Любое устройство
откуда угодно попадает в сеть
Результат
Контекст:

21. Netflow
NGIPS
Lancope StealthWatch
AMP
AMP Threat Grid
FireSIGHT Console
CWS
WSA
ESA
FirePOWER Services
ISE объединяет все решения Cisco по ИБ
ISE
Как ЧтоКтоГдеКогда
Во
время
ПослеДо

22. 4 основных и 2 отраслевых набора решений
• ASA 5585
• ASAv
• ISE
• Lancope
• AnyConnect
• AMP
• CWS
• OpenDNS
• ISE
• TrustSec
• StealthWatch
• wIPS
• FirePOWER
• ESA
• WSA
• AMP
Защита
периметра
Защита
внутренней
сети
Защита ЦОДа
Защита
пользователей
• Firepower 9300
• Cloud Web Security
и Cognitive Threat
Analytics
• OpenDNS Umbrella
• ISA 3000
• ASA 5506H
• StealthWatch
• ISE
• NGIPS
ICSSP
А также AMP
Threat Grid и
OpenDNS
Investigate для
глубокого
анализа угроз
А еще
различные
сервисы по
безопасности

23. От маркетинга к реальным решениям

24. • Многие компании имеют
множество разных
продуктов, часто
поглощенных у других
игроков рынка
• Обычно это выглядит так,
как будто кто-то вывалил
кучу деталей Lego на
ковёр
• Заказчики вынуждены
либо использовать
продукты неправильно,
либо не на полную мощь
Как объединить продукты в решения?

25. • Мы не знаем, что нам
делать со всеми этими
деталями, как нам
получить то, что на
картинке?
• Нужны подробные
рекомендации по
превращению отдельных
продуктов в целостную
архитектуру,
протестированную на
совместимость с
прикладными решениями
Необходима стройная и понятная архитектура

26. Заголовок слайда

27. Пример Cisco SAFE для ритейла

28. Пример SAFE для защищенного периметра
© 2015 Cisco and/or its affiliates. All rights reserved.

29. Маршрутизатор ISR
S2S VPN, унифицированные
коммуникации, Trustsec, CWS,
анализ Netflow
Коммутатор Catalyst
Контроль доступа + Trustsec,
анализ Netflow, ISE
Безопасность хостов
Антивирус, AMP for Endpoints
Унифицированная БЛВС
Контроль доступа + Trustsec,
анализ Netflow, WirelessIPS, ISE
WAN
ASA с сервисами
FirePower
FW, NGIPS, AVC, AMP, фильтрация
URL
Email Security
Appliance
Централизованная защита
email, антиспам, антивирус,
DLP, AMP
ISE + Cisco Threat
Defense
Централизованные ISE и
CTD
Контроль доступа +
Trustsec, Проверка на
соответствие,
Защита от угро на основе
анализа потоков Netflow
Internet
От архитектуры к решению: защищаем филиал

30. Маршрутизатор ISR
ISR 4321
Коммутатор Catalyst
Catalyst 3850-48
Безопасность хостов
Антивирус, AnyConnect 4.0,
AMP for Endpoints
Унифицированная БЛВС
WLC 5508, AP3701i,MSEv
ASA с сервисами
FirePOWER
ASA 5515 w/ FP Services
Email Security
Appliance
ESA в центральном
офисе
ISE
ISE в центральном
офисе
Vlan 10
G1/1
G2/1
Trunk
G1/2
G1/23
G2/1
10.1.1.0/24
10.1.2.0/24
Vlan 12
12.1.1.0/24
WAN
Internet
От решения – к низкоуровневому дизайну

31. Сеть L2/
L3
Управление
доступом +
TrustSec
к комплексу
зданий
Зона общих
сервисов
Система
предотвра-
щения
вторжений
нового
поколения
Зона сервера
приложений
Зона
соответствия
стандартам PCI
Зона базы
данных
Анализ
потока
Безопасность
хоста
Баланси-
ровщик
нагрузки
Анализ
потока
МСЭ
Антивре-
доносное
ПО
Анали-
тика
угроз
Управление
доступом +
TrustSec
Система
предотвра-
щения
вторжений
нового
поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-
тор
МСЭ веб-
приложений
Централизованное управление
Политики/
Конфигурация
Мониторинг/
контекст
Анализ/
корреляция
Аналитика
Регистрация
в журнале/
отчетность
Аналитика
угроз
Управление
уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
Пример SAFE для ЦОДа: те же компоненты

32. FirePOWER Services

33. Что такое платформа FirePOWER сегодня?
► Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
► Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
► Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
► Фильтрация URL-адресов на основе
репутации и классификации
► Система Advanced Malware Protection с
функциями ретроспективной защиты
► Система управления уязвимостями и
SIEM
VPN и политики
аутентификации
Фильтрация URL-
адресов
(по подписке)FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль
приложений
Межсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование
сети
Предотвращени
е вторжений (по
подписке)
Устройство ASA ISR Virtual

34. Внедрение ASAv : виртуальный МСЭ+VPN
§ Часто для фильтрации между зонами и
тенантами применяется МСЭ в режиме
мульти-контекст
§ Для передачи трафика используются транки
§ Проблема – масштабирование фильтрации
Запад-Восток требует ресурсов МСЭ и
масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§ ASAv – может быть пограничным МСЭ и
может обеспечивать фильтрацию Восток-
Запад
§ На каждого тенанта или зону можно
развернуть одну или несколько ASAv для FW
+ VPN
§ Масштабируемая терминация VPN S2S и RA
§ Поддержка сервисов vNGIPS, vAMP и другихVzone 1 Vzone 2
Multi Context Mode ASA

35. Видимость и прозрачность всего в сети
Типичный
NGFW
Cisco®
FirePOWER
Services
Типичный
IPS

36. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
обнаружено
Событие нарушения
зафиксировано,
пользователь
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует
Skype. Пользователь
идентифицирован, IT и HR
уведомлены.
IT & HR
провели с
пользователем
работу
Идентификация приложений «на лету»

37. Блокирование передачи файлов Skype

38. «Черные списки»: свои или централизованные

39. • Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого
уровней
• Разрешенные адреса /
диапазоны адресов
• И т.д.
Создание «белых списков»

40. За счет анализа происходящего на узлах
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского
приложения
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?

41. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение
зафиксировано,
уведомления отправлены
IT
восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA
with FirePOWER обнаружил хост и
ненормальное поведение сервера в
ЦОД и уведомил IT.
Новый актив
обнаружен
Поведение
обнаружено
Обнаружение посторонних / аномалий

42. Инвентаризация и профилирование узлов
• Профиль хоста
включает всю
необходимую для
анализа информацию
• IP-, NetBIOS-, MAC-
адреса
• Операционная система
• Используемые
приложения
• Зарегистрированные
пользователи
• И т.д.
• Идентификация и
профилирование
мобильных устройств

43. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие
сохранено
LINUX
SERVER
WINDOWS
SERVER Linux не
уязвим
Windows
server уязвим
Атака
блокирована
Атака скоррелирована
с целью
Новая Windows-атака направлена на
Windows и Linux сервера. Атаки
скоррелированы с профилем цели.
Событие об атаке сгенерировано.
Встроенная корреляция событий безопасности

44. Автоматизированная, комплексная защита от угроз
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDFПочта
Админ.
запрос
PDF
Почта
Админ.
запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWWWWW
WWW
Динамические механизмы безопасности
http://
http://WWWВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Приоритет 2
Приоритет 3
Оценка вредоносного воздействия
5 ИК

45. Встроенная система корреляции событий
• Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
• Приложения
• Уязвимости
• Протоколы
• Пользователи
• Операционные системы
• Производитель ОС
• Адреса
• Место в иерархии компании
• Статус узла и т.п.

46. Автоматизация создания и настройки политик
Анализ сети, протоколов, приложений, сервисов,
устройств, ОС, уязвимостей и др. позволяет
автоматизировать создание политик и правил МСЭ и IPS

47. Использование информации об уязвимостях

48. • Система MaxPatrol от Positive
Technologies – один из самых
распространенных отечественных
сканеров безопасности
• Интеграция Cisco FireSIGHT с PT
MaxPatrol позволяет получать от сканера
безопасности информацию о сервисах и
приложениях, запущенных на узлах сети,
а также об их уязвимостях с целью
корреляции этой информации и более
эффективного использования Cisco
FirePOWER NGFW и Cisco FirePOWER
NGIPS
Интеграция с PT MaxPatrol

49. Признаки (индикаторы) компрометации
События СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера

50. Мониторинг общей информации о сети
• Корреляция событий безопасности,
трафика и вредоносного кода
• Активность конкретных
пользователей и их приложений
• Используемые ОС и активность
сетевого обмена
• Оценка событий по уровню
воздействия и приоритета
• Статистика по вредоносному коду и
зараженным файлам
• Геолокационные данные
• Категории сайтов и посещаемые
URL

51. Мониторинг сетевых событий
• Использование сервисов
• Использование приложений
• Использование операционных систем
• Распределение соединений
• Активность пользователей
• Уязвимые узлы и приложения
• И т.д.

52. Мониторинг событий безопасности
• Основные нарушители
• Основные атаки
• Заблокированные атаки
• Основные цели
• Приоритет событий
• Уровень воздействия

53. Дополнительная информация по FirePOWER

54. Cisco Advanced Malware Protection

55. Почему традиционный периметр не защищает?
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы

56. А это подтверждение статистики
16 апреля 2015 года
http://www.zdnet.com/article/
palo-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии

57. Современный ландшафт угроз требует
большего, чем просто контроль приложений
54%
компрометаций
остаются незамеченными
месяцами
60%
данных
похищается за
несколько
часов
Они стремительно атакуют и остаются
неуловимыми
Целое сообщество злоумышленников
остается нераскрытым, будучи у всех на виду
100%
организаций подключаются
к доменам, содержащим
вредоносные файлы или службы

58. • Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт
к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном вредоносном ПО?

59. AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security
AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud
Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security
& Hosted Email
CWS
Threat Grid
Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower
Services
AMP Everywhere
ПКПК
Периметрсети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect

60. Cisco AMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасностьТочечное обнаружение
Непрерывная и постоянна защитаРепутация файла и анализ его поведения

61. Cisco AMP защищает с помощью репутационной
фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств

62. Cisco AMP обеспечивает ретроспективную
защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак

63. Пример траектории файла

64. Неизвестный файл находится
по IP-адресу: 10.4.10.183.
Он был загружен через Firefox
Пример траектории файла

65. В 10:57 неизвестный файл
с IP-адреса 10.4.10.183 был
передан на IP-адрес 10.5.11.8
Пример траектории файла

66. Семь часов спустя файл был
передан через бизнес-
приложение на третье
устройство (10.3.4.51)
Пример траектории файла

67. Полчаса спустя с помощью
того же приложения файл был
скопирован еще раз на
четвертое устройство
(10.5.60.66)
Пример траектории файла

68. Решение Cisco® Collective
Security Intelligence Cloud
определило, что этот файл
является вредоносным. Для
всех устройств было
немедленно создано
ретроспективное событие
Пример траектории файла

69. Тотчас же устройство
с AMP для Endpoints
среагировало на
ретроспективное событие
и немедленно остановило
ВПО
и поместило в карантин
только что определенное
вредоносное ПО
Пример траектории файла

70. Через 8 часов после первой
атаки вредоносное ПО
пыталось повторно
проникнуть в систему через
исходную входную точку,
но было распознано
и заблокировано
Пример траектории файла

71. Ретроспективный анализ файлов позволяет
определить
• Какие системы были
инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной
точкой?
• Почему это произошло?
• Что еще произошло?

72. Вопросы конфиденциальности: AMP Private
Cloud 2.0
AMP Threat Grid
Dynamic Analysis
Appliance
Windows, Mac
Endpoint
Cisco
FirePOWER Sensor
Cisco Web
Security Appliance
Cisco Email
Security Appliance
Cisco ASA with
FirePOWER Services
Talos
Cisco AMP
Private Cloud
Appliance 2.x
Федерированные
данные
Хэши файлов
Анализируемые файлы
Опционально
Планы
Поддержка “air gap”

73. Cisco AMP Threat Grid
• Платформа для глубокого анализа
вредоносного кода
Доступ через портал, выделенное устройство или с
помощью API
• Может применяться при построении
собственных систем Threat Intelligence или
SOC
• Уже используется многими компаниями при
проведении расследований – EnCase,
Maltego и т.п.

74. Детальный анализ вредоносного ПО в AMP
Threat Grid

75. Типовые сценарии использования AMP Threat
Grid
• Доступ к порталу
• Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода
• Приватная маркировка загружаемых семплов (опционально)
• Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в
облако
• Интеграция с решениями Cisco
• AMP for Endpoints
• AMP for Networks (FP / ASA)
• AMP for WSA / CWS
• AMP for ESA / CES
• API для автоматизации передачи семплов в Threat Grid включен во все лицензии с
подпиской

76. Развертывание вне облака – на территории
заказчика
§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid
§ В целях соблюдения нормативных требований все данные остаются на территории заказчика
§ Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для
актуализации контекста
§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§ TG5000:
§ Анализ до 1500 образцов в день
§ Cisco UCS C220 M3 Chasis (1U)
§ 6 x 1TB SAS HDD (аппаратный RAID)
§ TG5500:
§ Анализ до 5000 образцов в день
§ Cisco UCS C220 M3 Chasis (1U)
§ 6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты

77. Повсеместный AMP Threat Grid
Подозрительный
файл
Отчет
Периметр
ПК
Firewall
& UTM
Email
Security
Analytics
Web
Security
Endpoint
Security
Network
Security
3rd Party
Integration
S E C U R I T
Y
Security
monitoring
platforms
Deep Packet
Inspection
Gov, Risk,
Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный
файл
Premium
content feeds
Security Teams

78. Cisco ISE

79. Сейчас труднее чем когда-либо увидеть, кто находится
в вашей сети и чем занимаются эти пользователи
?
Нельзя защитить то, что нельзя увидеть
?
опрошенных организаций не вполне
представляют себе, какие устройства
находятся в их сети
90%
компаний подтвердили,
что их мобильные устройства были
атакованы вредоносным ПО
за последние 12 месяцев
75%
79
© Компания Cisco и (или) ее дочерние компании, 2015 г.
Все права защищены. Конфиденциальная информация Cisco
?

80. Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам
Что
Когда
Где
Как
Платформа ISE
ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом
контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в
сеть
Физическая или
виртуальная
машина
Контекст
контроллер
ISE pxGrid

81. Проводная
Филиал
Беспроводная
Контролируйте все из одной точки
Сеть, данные, и приложения
Мобильн
ость
Применение политик и
использование политик
по всей сети
Безопасный доступ
отовсюду, независимо
от типа подключения
Мониторинг доступа,
активностей и
соответствие не
корпоративных
устройств, принимать
меры по необходимости
VPN
Партнер
Удаленный
сотрудник
Центральный
офис
Админ
КонтрактникГость

82. Профилирование ISE: обнаружение
пользователей и устройств
82
CDP/LLDP
RADIUS
NetFlow
HTTP
NMAP
Интегрированное профилирование: мониторинг
в масштабе
Активное сканирование: большая точность
Веб-канал данных об устройствах:
идентификация в масштабе
Сетевая инфраструктура обеспечивает локальную
функцию распознавания
Cisco® ISE дополняет информацию пассивной сети
данными об активных оконечных устройствах
Производители и партнеры постоянно предоставляют
обновления для новых устройств
Сенсор устройств Cisco
Сенсор устройств
(функция сети)
Активное
сканирование
оконечных
устройств
Вeб-канал данных
об устройствах*
Cisco ISE
Сокращение числа неизвестных устройств
в сети в среднем на 74%

83. Оценка соответствия устройств
Оценка состояния
Убедиться в соответствии политике устройства перед предоставлением доступа
Аутентификация
Authen'cate
User
Authen'cate
Endpoint
Posture
=
Unknown/
Non-­‐compliant
Карантин
dVLAN
dACLs
SGT
Оценка состояния
OS
HoDix
AV
/
AS
Personal
FW
More….
Исправить
WSUS
Launch
App
Scripts
Etc…
Posture
=
Compliant
Авторизовать
Permit
Access
• dACL
• dVLAN
• SGT
• Etc…
Возможности
• Различные агенты используются
для оценки состояния (Anyconnect
+ Web Agent)
• Обязательный, опциональные и
режим аудита дают гибкость в
развертывании
• Возможность построения
детальных правил с
использование разных критериев.
• Поддержка периодической
проверки и автоматического
исправления
AnyConnect

84. Оценка соответствия устройств
Интеграция решений MDM
Проверка соответствия мобильных устройств
• Позволяет делать
мультивендорную интеграцию в
ISE инфраструктуре
• Макро и микро-уровень оценки
(Pin Lock, Jailbroken status)
• MDM атрибуты доступны как
опциив политике (Производитель,
Модель, IMEI, Серийный номер,
ОС Версия, Номер телефона)
• Контроль устройства в ISE из
портала Мои устройства (Device
Stolen àWipe Corporate data)
Возможности
Интернет
4
1 2
3
Регистрация в ISE
Разрешить интернет
доступ
Регистрация в MDM
Разрешить доступ
в корп. сеть

85. Простое и быстрое заведение устройств
• Полный цикл настройки и заведения устройства без поддержки IT службы
• Гибкие сценарии с одним или несколькими SSID
• Встроенный Certificate authority и портал для упрощения выписки сертификатов. Интегрируется с PKI
инфраструктурой
• Портал “Мои устройства” для управления собственными устройствами
• Поддержка интеграции с большинством MDM решений включая Cisco Meraki, MobileIron, Citrix, JAMF
Software и многие другие
Возможности
Bring Your own Device (BYOD)
Преимущества
Лучше безопасность
Минимизируем риск соединения
собственных устройств к сети
Гибкость
Работает с проводными и
беспроводными устройствами
Улучшить работу сети
Снять нагрузку заведения
устройств с IT службы
Описание
Простой и безопасный доступ в сеть
с любого устройства. Простой
процесс настройки и заведения
устройств.
Эффективно планируйте, управляйте и контролируйте доступ BYOD
Пользователь
пытается зайти в сеть
со своего устройства
ISE идентифицирует
пользователя как
сотрудника и направляет
на портал устройств BYOD
После удачной
аутентификации ISE
настраивает устройство и
выписывает сертификат,
применяет политику
Теперь устройство
зарегистрировано и
получает нужный доступ
в сеть

86. Улучшить работу гостей без ущерба
безопасности
Мгновенный,
беспарольный доступ
напрямую в Интернет
Быстрая,
самостоятельная
регистрация
Ролевой доступ с
помощью сотрудника
Гость
Гость
ГостьСпонсор
Интернет
Интернет
Интернет и
сеть

87. Теперь заказчики могут разворачивать
такие сервисы ISE, как профилирование,
оценка состояния, гостевой доступ и
BYOD на устройствах сетевого доступа,
произведенных сторонними
производителями (не Cisco).
Обеспечение такого же высокого уровня безопасности,
но для большого количества устройств
Преимущества
Что нового в ISE 2.0?
Систематическая защита
Развертывание платформы ISE на
всех сетевых устройствах, включая
сторонних производителей
Упрощение администрирования
Максимальное использование
заранее настроенных шаблонов
профилей для автоматического
конфигурирования доступа
устройств сторонних
производителей (не Cisco)
Увеличение ценности
Получение дополнительной
ценности на базе
существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных
устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для
работы с ISE
• Устройства сетевого доступа сторонних
производителей (не Cisco) могут работать с
обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
Интеграция с устройствами сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в
ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco

88. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Включите средство унифицированного реагирования с
обменом контекста
Cisco Platform Exchange Grid (pxGrid)
Когда
Где
Кто
Как
Что
Cisco и партнеры
Экосистемы
ISE
Cisco сеть
pxGrid
controller
ISE собирает контекст
из сети
1
Контекст обменивается
по технологии pxGRID
2
Партнеры используют
контекст для повышения
видимости и борьбы с
угрозами
3
Партнеры могут
запросить ISE о
блокировке угрозы
4
ISE использует данные
партнера для
обновления контекста и
политики доступа
5
Контекст
32
1
45

89. Обмен телеметрией с помощью PxGrid
С Cisco Web Security Appliance (WSA) и Identity Service Engine (ISE)
Улучшите контроль WEB контента со знанием пользователей и устройствКлючевые функции
Cisco Web Security Appliance
интегрируется с ISE и использует
pxGRID для получения данных
контекста для политики Web доступа
Преимущества
• Интеграция с Cisco Web Security Appliance для контроля тех кто может ходить в WEB
• Получение данных классификации с ISE через pxGRID. Использование TrustSec для упрощения
работы.
• ИспользованиеTrustSec для абстрагирования и классификации политики доступа
Возможности
Проще администрирование
Единый источник контекста и
данных пользователей.
Использование TrustSec для
абстрагирования политики
делает ее проще для WSA
Соответствие
Создавайте политики по типам
устройств, которые разрешат
или запретят WEB доступ
основываясь на состоянии
устройства
Кто:
Доктор
Что:
Ноутбук
Где:
офис
Кто:
Доктор
Что:
iPad
Где:
Офис
Кто:
Гость
Что:
iPad
Где:
Офис
Identity Service
Engine
WSA
Конфиденциальные
записи пациентов
Сеть сотрудников
Лучшая видимость
Детализация отчетности для
понимания того кто, когда, и с
каких устройств получал доступ
в Web

90. Быстрое сдерживание распространения угроз
С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)
Быстрое сдерживание распространения угроз с помощью FMC и ISEЧто нового в ISE 2.0?
Центр FMC Cisco совместно с ISE
идентифицирует и обращается к
подозрительному действию на
основании предустановленных политик
безопасности.
Преимущества
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
Возможности
FMC обнаруживает
подозрительный файл и
уведомляет ISE с
помощью pxGrid, изменяя
тег группы безопасности
(SGT)
на подозрительный
Доступ запрещается
каждой политикой
безопасности
Автоматические уведомления
Максимальное использование
ANC ISE для уведомления сети о
подозрительной активности в
соответствии с политикой
Раннее обнаружение угроз
FireSight сканирует активность и
публикует события в pxGrid
Корпоративный
пользователь
загружает файл
Максимальное использование
растущей экосистемы партнеров
и обеспечение быстрого
сдерживания распространения
угроз благодаря интеграции с ISE
FMC сканирует
действия
пользователя и файл
В соответствии
с новым тегом,
ISE распространяет
политику по сети

91. Легко интегрируется с партнерскими решениями
Как ЧтоКтоГдеКогда
ISE pxGrid
controller
Cisco
Meraki
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
SIEM EMM/MDM Firewall
Vulnerability
Assessment
Threat
Defense
IoT IAM/SSO PCAP
Web
Security
CASB
Performance
Management

92. Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы —
новые партнеры pxGrid
Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы
Что нового в ISE 2.0?
Структура pxGrid позволяет Cisco
интегрироваться с партнерами
экосистемы для предоставления
пользователям решения, которое
соответствует существующей
инфраструктуре.
Снижение затрат
Сокращение ресурсов, требуемых для
событий безопасности и сети,
благодаря упрощению доступа
к сети Cisco
Улучшенный мониторинг сети
Обеспечение мониторинга действий
пользователей и устройств в целях
аналитики и создание отчетов
о событиях
Преимущества
Упрощенное управление
Единое место для управления
политиками благодаря интеграции
ISE с решениями сторонних
производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать
политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации
серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности
ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в
ответ на события безопасности.
Межсетевой экран и контроль доступа

93. Улучшенный контроль с помощью авторизации на основе
местоположения
Авторизация на основе местоположения
Администратор определяет
иерархию местоположения и
предоставляет пользователям
конкретные права доступа на
основе их местоположения.
Преимущества
Что нового в ISE 2.0?
Интеграция платформы Cisco Mobility
Services Engine (MSE) позволяет
администраторам максимально
использовать ISE для авторизации
сетевого доступа на основе
местоположения пользователя.
Улучшенная реализация
политики
с помощью автоматического
определения местоположения и
повторной авторизации
Упрощенное управление
благодаря настройке авторизации
с помощью инструментов
управления ISE
Детализированный контроль
сетевого доступа с помощью
авторизации на основе
местоположения для отдельных
пользователей
Возможности
• Конфигурация иерархии местоположений по всем объектам местоположения
• Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения
• Повторное предоставление доступа на основе нового местоположения
С интеграцией платформы Cisco Mobility Services Engine (MSE)
Холл Палата Лаборатория
Скорая
помощь
Врач
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Данные
пациента
Местоположения для
доступа к данным
пациента
Палата
Скорая помощь
Лаборатория
Холл

94. Ролевой контроль доступа
Упрощение управления ИБ с ролевым доступом
• Ролевой контроль доступа
• Авторизация на уровне команд с подробной регистрацией действий
• Выделенный TACACS+ центр для сетевых администратаров
• Поддержка основных функций ACS5
Возможности
Управление устройствами TACACS+
Преимущества
Что нового в ISE 2.0?
Заказчики сейчас могут
использовать TACACS+ в ISE для
упрощения управления
устройствами и расширения
безопасности через гибкий и точный
контроль доступа к устройствам.
Упрощенное и
централизованное управление
Рост безопасности, compliancy,
подотчетности для всего
спектра задач
администрирования
Гибкий и точный контроль
Контроль и аудит конфигураций
сетевых устройств
Админы ИБ
TACACS+
Work Center
Сетевые админы
TACACS+
Work Center
Поддержка TACACS+ для управления устройствами
Централизованная видимость
Получение всесторонней
конфигурации TACACS+ через
TACACS+ administrator work
center

95. Зона
администратора
Зона
предприятия
Зона
POS
Зона
подрядчика
Мониторинг способствует принятию практических
решений благодаря сегментации и автоматизации
Сеть как регулятор
• Cisco ISE
• Портфель сетевых решений Cisco
• Cisco NetFlow
• Lancope StealthWatch
• Программно-определяемая
сегментация TrustSec Cisco
Зона
сотрудников
Зона
разработки

96. Cisco Cyber Threat Defense

97. А если вы не можете разместить сенсоры внутри?
Сеть как сенсор
(NaaS)
Динамическая сегментация
при обнаружении атаки
Сеть как
защитник
(NaaE)
Обнаружение аномалий
Обеспечение видимости
всего сетевого трафика
Обнаружение нарушений
политик пользователями
Внедрение контроля доступа
на критических участках
Динамические политики
доступа и контроля

98. Кто КтоЧто
Когда
Как
Откуда
Больше контекста
Высокомасштабиуремый сбор
Высокое сжатие => долговременное
хранилище
У нас есть NetFlow, дающий контекст
Но уже внутри сети

99. Cisco Cyber Threat Defense
Внутренняя сеть
NetFlow Capable
VPN
Устройств
а
Видимость, Контекст и Контроль
КУДА/ОТКУДА
КОГДА
КАК
ЧТО
КТО
Использовать данные NetFlow
для обеспечения видимости на
уровне доступа
Унифицировать информацию
на единой консоли для
расследований и отчетности
Связать данные потоков с Identity
и приложения для создания и
учета контекста

100. CTD добавляет к NetFlow контекст и привязку к ИБ
NAT
События
Известные C&C
сервера и ботнеты
Данные
пользователей
Приложения Приложения
& URL

101. Что позволяет обнаруживать NetFlow?
Отказ в обслуживании
SYN Half Open; ICMP/UDP/Port Flood
Распространение червей
Инфицированный узел сканирует сеть и соединяется с узлами
по сети; другие узлы начинают повторять эти действия
Фрагментированные атаки
Узел отправляет необычный фрагментированный трафик
Обнаружение ботнетов
Когда внутренний узел общается с внешним сервером C&C
в течение длительного периода времени
Изменение репутации узла
Потенциально скомпрометированные внутренние узлы или
получение ненормального скана или иные аномалии
Сканирование сети
Сканирование TCP, UDP, портов по множеству узлов
Утечки данных
Большой объем исходящего трафика VS. дневной квоты

102. • Непонятно
• Сложно
• Много времени на
определение
пользователя,
устройства и их
местоположения
Идентификация инцидентов проходит быстрее с контекстной информаций –
пользователь, местоположение, устройство
До Сейчас
Host 1.2.3.4 Scanning Ports of Host 3.3.3.3 Host 1.2.3.4 Scanning Ports of Host 3.3.3.3
VPN
Лэптоп
Ноябрьск
Финансы
POS
Ethernet
СПб
И. Иванов
С добавлением контекста от ISE система
становится лучше

103. Что показывает Cisco Cyber Threat Defense?
Встроенные правила
Быстрый показ деталей инцидента
Карта распространения

104. Возможность реагирования и
помещения нарушителя в карантин
Понятная идеология
Тревога à Событие ИБ
Детали à Узел à Отчет по
узлу

105. Информация об узле
Оповещения
Пользователи
Активность и
приложения
Хост
Группы хостов
Потоки

106. Информация о пользователе
Оповещения
Устройства
и сессии
Детали из AD
Пользователь

107. Обнаружение C&C-серверов и ботнетов

108. Идентификация подозрительной активности
Высокий Concern Index означает излишне
большое число подозрительных событий,
которые отличаются от установленного
эталона
Группа узлов Узел CI CI% Тревога События ИБ
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan

109. Обнаружение распространения вредоносного кода
Более 100 алгоритмов обнаружения

110. Обнаружение утечек данных

111. Обнаружение торрентов

112. Что еще мы можем видеть?
• File Sharing Index: показывает P2P-активность (например, торренты)
• Target Index: показывает узлы, которые вероятно являются жертвами атак
• Неавторизованный доступ: попытка нарушения, запрещенного на МСЭ
• Выкачка данных: подозрительная передача данных через периметр в течение
длительного времени

113. Что еще мы можем видеть?
• Утечка данных – передача большого объема данных через сеть
– Suspect Data Hoarding – узел скачивает данные с большого количества внутренних узлов
– Target Data Hoarding – узел закачивает необычно большой объем данных на другие узлы
• Исследуйте все узлы, с которыми взаимодействовал инфицированный узел

114. • Пока реальных информационных потоков между узлами и группами узлов с
нужным уровнем детализации карты сети
Визуализация потоков, сервисов и приложений

115. • Данный механизм позволяет отслеживать ошибки в настройках МСЭ
Визуализация потоков, сервисов и приложений

116. Cisco TrustSec

117. Традиционная сегментация
Голос Данные PCI ПодрядчикКарантин
Уровень доступа
Уровень агрегации
VLAN Адресация DHCP-охват
Резервирование Маршрутизация Статический ACL
Простая сегментация с 2 сетями VLANБольше политик с использованием большего числа VLAN
Дизайн необходимо реплицировать на этажи,
здания, офисы и другие объекты. Затраты
могут быть чрезвычайно высокими
ACL

118. access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Гибкое и масштабируемое применение политик
Коммутатор Маршрутизатор Межсетевой
экран ЦОД
Коммутатор ЦОД
Автоматизация управления системой
безопасности
Повышение эффективности
Упрощенное управление доступом
Технология Cisco
TrustSec®
Сегментация на основе бизнес-политик
Политика
сегментации

119. Сегментация сети с помощью TrustSec
• Сегментация на основе RBAC, независимо от топологии
на основе адресов
• Роль на основе AD, атрибутов LDAP, типа устройства,
местоположения, времени, способов доступа и т. д.
• Использование технологии тегирования для
представления логической группы, траффик отправляется
вместе с тегом
• Внедрение политики на основе тегов для коммутаторов,
маршрутизаторов и МСЭ
• Централизованно определяемая политика сегментации,
которая может быть применена в любом месте сети
Сегментация TrustSec обеспечивает следующие
возможности:
Коммутаторы
Маршрутизаторы
Межсетевой экран
Коммутатор ЦОД
ПО гипервизора
Имя пользователя: johnd
Группа: управляющие
магазинами
Местонахождение: офис
магазина
Время: рабочие часы
SGT: менеджер
Применение
политики
Ресурс

120. Пример: Управление доступом пользователя к
ЦОД с помощью TrustSec
Голос Сотрудник Поставщики Гость Не соответст-
вует требованиям
Тег сотрудника
Тег поставщика
Тег посетителя
Несоответствующий тег
МСЭ ЦОД
Голос
Здание 3
WLAN — Данные — VLAN
Ядро комплекса зданий
ЦОД
Основное здание
Данные — VLAN
Сотрудник Не соответст-
вует требованиям
Политика (тег группы безопасности
(SGT)) применяется
к пользователям, устройствам
и серверам независимо
от тополологии
или местоположения.
TrustSec упрощает управление
ACL-списками для входящего
и исходящего трафика VLAN Уровень доступа

121. Cisco Web Security Appliance

122. Решения Cisco по защите и контролю доступа в
Интернет
ASA с FirePOWER Services /
Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance
(Physical & Virtual)
Cisco ISR с FirePOWER
Services

123. Web
Filtering
Cloud Access
Security
Web
Reputation
Application
Visibility and
Control
Parallel AV
Scanning
Data-Loss
Prevention
File
Reputation
Cognitive
Threat
Analytics*
До
ПослеВо время
File
Retrospection
www
Мобильный
пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial Block
Основной офис
WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client
АдминПеренаправле
-ние трафика
www
HQ
File
Sandboxing
Client
Authentication
Technique
* Roadmap feature: Projected release 2H CY15
Cisco® ISE
Cisco Web Security Appliance

124. 1. Сканируем текст
Cisco Web Usage Controls
URL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к
эталонным документам
4. Возвращаем самое
близкое значение
категории
2. Вычисляем релевантность
Finance
Adult
Health
Finance Adult Health
AllowWWW
WarnWWW WWW Partial
Block
BlockWWW
5. Enforces policy
If Unknown, the
Page Is Analyzed
BlockWWW
WarnWWW
AllowWWW
If Known

125. Сканирование malware в реальном времени
Dynamic Vectoring and Streaming
Сигнатурный и эвристический анализ
Эвристическое обнаружение
Идентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверка
Идентификация известного поведения
Множество
механизмов
сканирования
malware
Оптимизация эффективности и уровня обнаружения с
интеллектуальным мультисканированием
Расширение сигнатурного покрытия с
использованием нескольких механизмов
Улучшение впечатления с помощью
параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного
покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного
трафика с помощью перехвата и расшифровки SSL
соединений

126. Эмуляция в реальном времени
Sandbox реального времени
Анализ для защиты от атак 0-day

127. Layer 4 Traffic Monitor
Обнаружение зараженных узлов
Пользователи
Cisco®
S-Series
Network -
Layer
Analysis
Мощные данные antimalwareПредотвращение трафика
“Phone-Home”
§ Сканирует весь трафик, все порты и все
протоколы
§ Обнаружение malware, обходящее порт 80
§ Предотвращение трафика botnet
§ Автоматически обновляемые правила
§ Генерация правил в реальном времени
с помощью “dynamic discovery”
Инспекция
пакетов и
заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter

128. Предотвращение утечек данных
Снижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd-pary
вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
Расширенный
DLP
Базовый DLP
Dropbox
Facebook
Microsoft
Outlook
Gmail

129. Что делать с мобильными пользователями?
Cisco AnyConnect Secure Mobility Client
Пользователь с
ноутбуком, планшетом
или телефоном
Роуминг-пользователь
с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Вердикт
WSA веб
безопасность
Расположение web
безопасности
CWS web
безопасность
Router or firewall
re-route traffic to WSA or CWS
Перенаправление web
трафика
Работа с
WWW через
VPN
Перенаправление
трафика на
ближайший web
прокси
Cisco
AnyConnect®
Client
VPN
ACWS
VPN

130. Дополнительная информация по WSA

131. Cisco Email Security Appliance

132. Защита от угроз Cisco Email
Полная защита от угроз
Cisco® Talos
Репутационная фильтрация SenderBase
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Drop
Drop/Quarantine
Антивирус Drop/Quarantine
Advanced Malware Protection (AMP) Drop/Quarantine
Quarantine/Rewrite
Deliver Quarantine Rewrite URLs Drop
Обнаружение Graymail Rewrite

133. Защита от спама
Эшелонированная оборона
Входящая
хорошая, плохая,
неизвестная почта
SBRS
Поддержка
Cisco® SIO
What
Cisco
Anti-Spam
WhenWho
HowWhere
§ Нормальная почта
проверяется на спам
§ Подозрительная
почта ограничивается
и фильтруется
Известная плохая
почта блокируется
на границе сети
§ Определение URL репутации
и контекста
§ > 99% уровень обнаружения
§ < 1 на 1 миллион – уровень
ложных срабатываний
Mail Policies
«Белый» список
фильтруется от вирусов
Cisco
Anti-
spam
Engine
Cisco
Anti-
spam
Engine
Anti-
spam
Engine B
Anti-
spam
Engine
(Future)
Intelligent multiscan (IMS)

134. Эшелонированная оборона от вирусов
Cisco
Anti-Spam
§ Sophos
§ McAfee
§ Или оба -- Sophos и McAfee
Выбор антивирусов
Антивирусные механизмыАнтиспам

135. Защита от malware нулевого дня
Advanced Malware Protection
Outbreak FiltersAdvanced Malware Protection
Репутация
файлов
Известная репутация
«песочница»
Неизвестные файлы загружаются
в песочницу
(archived, Windows PE, PDF, MS Office)
Cisco® AMP
интеграция
Обновление
репутации

136. Защита от атак нулевого дня
Outbreak Filters
Advanced Malware Protection
Облачное детектирование
malware 0-day
Обнаружение вирусов
и malware 0-day
§ Среднее опережение*: более 13 часов
§ Атаки заблокированы*: 291 атака
§ Всего инкрементальная защита*: более 157 дней
Преимущества Outbreak Filters
Outbreak Filters
Cisco®
Talos
Вирусный
фильтр
Динамический
каранин

137. «Линия обороны» URL
Интеграция безопасности Email и Web
Email содержит URL
Cisco® Talos
URL репутация и
категоризация
Замена
Defang/Block
Перезапись
Перенаправить в облако
§ BLOCKEDwww.playb
oy.comBLOCKED
§ BLOCKEDwww.proxy
.orgBLOCKED
“This URL is blocked by
policy”

138. Top
вредоносных
URL
Пользователе
й кликнуло
Дата/время,
причина
перезаписи, URL
действие
Отслеживание взаимодействия с Web
Отслеживание URL, перезаписанное политикой
URL перезаписан
Пользователь кликает
на перезаписанный
URL
На базе
Email ID
На базе
LDAP
группы
На основе
IP адреса
Остановка 0-
day
Динамическая
информация
Образование
пользователей
Отчет о
перезаписанных
URL
Список
пользователей,
получивших
доступ к
перезаписанным
URL
Добавление
вредоносного
URL к списку

139. Безопасность Cisco Email
Обеспечение полного контроля исходящих
Ограничение
потока
AS/AV
проверки
Соответствие/
DLP
Шифрование
чувствительных
данных
DKIM/SPF

140. Экономика E-mail Security Appliance
§ Исходные данные:
§ Число сотрудников (почтовых ящиков) – 7000
§ Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника)
§ Объем спама – 60% (42000 сообщений)
§ Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек
§ Суммарные дневные затраты на спам – 14,583 человеко-дня
§ Средняя зарплата сотрудника – $1500
§ Потери компании
§ В день – $994,29
§ В месяц – $21784,5
§ В год – $248573,86
§ Выгоден ли антиспам в данной ситуации?
§ Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности

141. Больше деталей про экономику
https://www.youtube.com/watch?v=bcQWuKUMeb4

142. Дополнительная информация по ESA

143. Cisco AnyConnect

144. AnyConnect – больше чем просто VPN
SSL / DTLS
VPN
IPsec VPN
Оценка
состояния
(HostScan/ISE)
Cloud Web
Security
L2
саппликант
(Win Only)
Switches and
Wireless
controllers
ASA WSAISE/ACS Cloud Web
Security + AMP
Центральные устройства
ASR/
CSR
ISR
Базовый VPN Расширенный VPN Другие сервисы
Модуль
сетевой
видимости
AMP
Enabler

145. Решение Cisco AnyConnect Secure Mobility Solution
Широкая поддержка платформ
• Apple IOS, Android, Blackberry, Windows
Phone, Windows 7/8/10, MAC, Linux, ChromeOS
• Работа через клиента и через браузер
Постоянное подключение
• постоянно активное подключение,
• выбор оптимального шлюза,
• автоматическое восстановление подключения
Унифицированная безопасность и модульность
• Идентификация пользователей и устройств
• Проверка соответствия
• Интегрированная веб-безопасность
• Интеграция с защитой от вредоносного кода
• Поддержка VDI
Корпоративный
офис
Безопасный,
Постоянный
Доступ
ASA
Wired Wi-Fi
мобильная
или Wi-Fi
Мобильный сотрудник
Домашний
офис
Филиал

146. Защита промышленных сегментов

147. Потребность в специализированных МСЭ/IPS
Для промышленного
применения, АСУ ТП,
подстанций и т.п. требуется
небольшой, монтируемый DIN-
rail-type форм-фактор,
способный работать в
экстремальной окружающей
среде

148. Пассивная защита в промышленной сети
Сложности Ответ Cisco
• Пассивное
профилирование сети
• Отсутствие задержек
между устройствами и
системами, требующими
реального времени
• «Белые списки»
ожидаемого,
предупреждения по
аномалиями
• ICS означают статичность,
но часто нет возможности
проверить это
• ICS построены с
минимальным объемом
системных ресурсов
• Типичные ИТ-методы
идентификации устройств
могут привести к выходу
из строя индустриальные
системы

149. Обзор решений Cisco по безопасности АСУТП
§ Cisco ASA Firewall для сегментации (и в промышленном исполнении)
§ Cisco FirePower NGIPS с набором сигнатур для промышленных систем
§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с
ретроспективным анализом
§ Cisco AnyConnect для контроля доступа и оценки состояния NAC
§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении
неавторизованных подключений, оценка состояния и управление доступом.
§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий
с сервисами сквозной авторизации
§ Cisco Cyber Threat Defense (CTD)

150. VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD /
Manufacturing Zone
PCN /
Cell / Area Zone
?
?
Компоненты Cisco для защиты АСУ ТП

151. «Настольная» модель Cisco ASA 5506-X
7.92 x 8.92 x 1.73 in.
Параметр Значение
CPU Многоядерный
RAM 4 Гб
Ускоритель Да
Порты 8x GE портов данных,
1 порт управления с
10/100/1000 BASE-T
Консольный порт RJ-45, Mini USB
USB-порт Type ‘A’ supports 2.0
Память 64-GB mSata
Охлаждение Convection
Питание AC external, No DC

152. Cisco ASA 5506H-X в защищенном исполнении
*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:
9 x 9.2 x 2.5 in.
Параметр Значение
Порты 4 x портов данных
Управление 1 порт, 10/100/1000BASE-
T, 100BASE-FX,
1000BASE-X, SFP
Напряжение 5V (*** 5506 is 12V)
Диапазон температур От –20 до 60°C (рабочий)
От -40 до 85°C (обычный)
Монтаж Wall-Mount, Horizontal
Desk, Rack-Mount и DIN
rail-mount

153. Специальные сертификаты на Cisco ASA 5506H-X
Сертификаты соответствия
9 x 9.2 x 2.5 in.
IP40 per IEC 60529
KN22
IEC 61850-3
IEC 61000-6-5
IEC 61000-5
IEC 611000-4-18
IEEE 1613.1
IEEE C62.412
IEC 1613
IEC 61850-3
IEC 60068-2

154. Промышленный МСЭ/IDS Cisco ISA 3000

155. Основные характеристики Cisco ISA 3000
§ Производительность: 2 Gbps
§ Кол-во IPSec/SSL VPN: 25
§ IPv4 MAC Security ACE: 1000
§ Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)
§ 4 ядра Intel Rangely, SSD 64 GB
§ 8 GB DRAM, 16 GB Flash
§ Питание DC
§ Рабочая Температура -40 до +74 °C
§ Вес: 1.9 кг

156. Защитный функционал ASA 5506H-X / ISA 3000
► Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
► Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
► Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
► Фильтрация URL-адресов на основе
репутации и классификации
► Система Advanced Malware Protection с
функциями ретроспективной защиты
► Система управления уязвимостями и
SIEM
Cisco ASA
VPN и политики
аутентификации
Фильтрация URL-
адресов
(по подписке)FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль
приложений
Межсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование
сети
Предотвращени
е вторжений (по
подписке)

157. Поддержка промышленных протоколов

158. § Препроцессоры для промышленных протоколов, например, для Modbus, DNP3
§ Возможность написания собственных сигнатур
§ Свыше сотни встроенных сигнатур
CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin Iconics
Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft
ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE
Sielco
ScadaTec
Sinapsi
DATAC
WellinTech
Tridium
Schneider Electric
CODESYS
Отражение атак на промышленные системы

159. Защита операторов связи

160. Варианты реализации отражения DDoS-атак
DDoS
Сетевое
оборудование с
функциями отражения
DDoS
Специализированные
устройства для
борьбы с DDoS
Защитные устройства
с функциями защиты
от DDoS
Сервисы от оператора
связи или
специализированного
провайдера услуг
• Cisco ASR
9000 VSM
• Firepower 9300
• Cisco ISR
• Cisco ASR
• Cisco GSR
• Cisco CRS
• Cisco ASA 5500-X
• Cisco Stealthwatch
• Cisco SCE
• Cisco NGIPS

161. Платформа Firepower 9300
Модульная платформа операторского
класса с интерфейсами 10, 40, и 100 Гбит/с.
Объединение сервисов безопасности
компании Cisco и других компаний
Эластичная масштабируемость за счет
кластеризации
Ускоренная обработка для доверенных
приложений
Функции ПО Cisco ASA для операторов
связи
§ Эффективная защита на сетевом и транспортном уровне
§ Трансляция адресов операторского класса (Carrier-grade NAT)
§ Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1)
§ Анализ SCTP и Diameter в планах

162. Обзор платформы Cisco Firepower 9300
Модуль
управления
§ Внедрение и управление приложениями
§ Сетевые интерфейсы и распределение трафика
§ Кластеризация для сервисов Cisco® ASA и прочих
Модули
безопасности
§ Встроенный классификатор пакетов и потоков, а также ускоритель шифрования
§ Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка)
§ Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер)

163. Firepower 9300 изменяет модель интеграции сервисов
Унифицированная платформа сервисов безопасности
Данные
1001
0001011
1100010
1110
SSL FW WAF NGIPSDDoS AMP
Максимальная защита
Высокая
эффективность
Масштабируемость Гибкость
Обозначения:
Сервисы Cisco
Сервисы партнеров
• Radware vDP – первое из приложений 3-х компаний, ставшее элементом новый
архитектуры
• Защита от DDoS работает на входных интерфейсах Firepower 9300

164. А если у меня нет возможности для
покупки средств для мониторинга?
Используйте Cisco Threat Awareness
Service

165. Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис
анализа угроз, который расширяет видимость угроз и
является доступным 24-часа-в-сутки.
• Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной
активности
• Идентификация скомпрометированных сетей и
подозрительного поведения
• Помогает компаниям быстро идентифицировать
скомпрометированные системы
• Обеспечение рекомендаций
• Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации
• Позволяет улучшить общую защищенность

166. Cisco Threat Awareness Service
Базируясь на технологиях Cisco, сервис Threat Awareness
Service не требует:
• Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности,
и цены с ростом эффективности threat intelligence

167. Интеграция с отечественными
разработчиками
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.167

168. Cisco Security API
OpenDNS API
MDM API
eStreamer API
Threat Grid API
ESA API ASAv/ASA API
ISIS API
Host Input API
Remediation API

169. Развитие интеграционных решений
Инфраструктура API
ДО
Политика и
контроль
ПОСЛЕ
Анализ и
восстановление
Обнаружение и
блокирование
ВО ВРЕМЯ
Инфраструктура & Мобильность
NACУправление
уязвимостями
Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEMВизуализацияNetwork Access Taps

170. Развитие NME-RVPN: доверенная платформа
UCS-EN
• Доверенная платформа UCS-EN120SRU
§ Производится в России
• Поддерживается на Cisco ISR 29xx/39xx/4xxx
• Используется в качестве доверенной платформы для
российских средств защиты информации,
прошедших сертификацию в ФСТЭК и ФСБ:
§ СКЗИ S-Terra CSP VPN Gate
§ СКЗИ ViPNet Координатор
§ СКЗИ Dionis NX
§ МСЭ прикладного уровня Positive Technologies
Application Firewall
§ СОВ ViPNet IDS
§ Базовый доверенный модуль (БДМ) Элвис+
§ TSS VPN
§ Ведутся работы и с рядом других российских
разработчиков

171. Скакун №3: Законодательство
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.171

172. 2008
2010
2012 2013
2014
2015
2011
2000-е
ПДн
СТОv4 382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБАСУ ТП
КИИ
ПДн
СТОv5
СТО/РС
СТР-К
ПКЗ
Краткий обзор развития законодательства по ИБ
2016:
• ГИС
• 382-П
• СОПКА
• КИИ (?)

173. • Решения Cisco
позволяют
выполнить
многие
требования
приказа
ФСТЭК №17
по защите
ГИС/МИС
17-й приказ ФСТЭК и решения Cisco

174. • Решения Cisco
позволяют
выполнить
многие
требования
приказа
ФСТЭК №21
по защите
персональных
данных
21-й приказ ФСТЭК и решения Cisco

175. • Решения Cisco позволяют
выполнить многие
требования приказа ФСТЭК
№31 по защите
автоматизированных систем
управления
технологическими
процессами
• Эти решения могут быть
применены как в самом
промышленном сегменте,
так и на стыке с
корпоративной сетью или
Интернет
31-й приказ ФСТЭК и решения Cisco

176. ~650 ФСБ НДВ 34 123
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-Терра
СиЭсПи)
----
Ждем еще ряд важных
анонсов
Отсутствуют в
ряде продуктовых
линеек Cisco
----
На сертификацию
поданы новые
продукты
Линейки
продукции Cisco
прошли
сертификацию по
схеме «серийное
производство»
Продуктовых линеек
Cisco
сертифицированы во
ФСТЭК
Сертификация решений Cisco

177. Дополнительные сведения
Канал Cisco Russia на YouTube - https://www.youtube.com/user/CiscoRussiaMedia/

178. Дополнительные сведения
Раздел «Брошюры» на сайте www.cisco.ru

179. Как это все «пощупать»?
20.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.179

180. Варианты демонстрации по безопасности
• Физические продукты из
демо-пула
• Виртуальные версии
• Интерактивное демо в
dCloud
dCloud это портал Cisco для
интерактивных демонстраций
Охватывает все архитектуры
Простота бронирования и
использования
Доступен 24/7 для наших
партнеров и заказчиков
https://dcloud.cisco.com

181. Доступные в dCloud демонстрации по безопасности
• Cyber Threat Defense (=
Stealthwatch от Lancope)
• Cisco Content Security - WSA+AMP,
ESA и WSA+ASA
• Cisco Enterprise Branch Lite (ISR
G2)
• Cisco ASA with FirePOWER, Cisco
FireSIGHT, Cisco Sourcefire
• Cisco Trustsec User to Datacenter
• Cisco Unified Access
• Cisco ISE for MDM, for BYOD, for
Guest Management
• Cisco Cloud Web Security
• Splunk with Cisco Security
• Cisco AnyConnect 4.1 with AMP
• Cisco Self Learning Networks –
DDoS Prevention
• Cisco Hosted Security as a Service
• Cisco IWAN – Secure Connectivity

182. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

183. CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.
Илья Яблонко, CISSP,
менеджер по развитию решений ИБ
+7 912 607 55 66,
IYablonko@USSC.ru
Алексей Лукацкий
Бизнес-консультант по ИБ
+7 495 961 14 10
alukatsk@cisco.com