Документ представляет собой обзор Cisco ASA с функцией Firepower, первого в отрасли межсетевого экрана нового поколения, который обеспечивает углубленное межсетевое экранирование и защиту от вредоносного ПО. Он подчеркивает преимущества многоуровневой защиты от угроз, улучшенной прозрачности сетевой активности и комплексной защиты на протяжении всего жизненного цикла атаки. Также обсуждаются проблемы традиционных моделей безопасности и необходимость динамических механизмов мониторинга и контроля.

1. МСЭ нового поколения,
смотрящий глубже и шире
Cisco ASA с функциями FirePOWER
Алексей Лукацкий
Бизнес-консультант по безопасности
26/09/14
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

2. Встречайте: Cisco ASA с функцией FirePOWER
Первый в отрасли межсетевой экран нового поколения (NGFW), который смотрит
шире и глубже
Особенности
► Межсетевое экранирование Cisco® ASA в сочетании с системой
предотвращения вторжений Sourcefire® нового поколения
► Усиленная защита от вредоносного кода Advanced Malware
Protection (AMP)
► Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и
контроля приложений (AVC) и фильтрации URL-адресов
Преимущества
► Непревзойденная, многоуровневая защита от угроз
► Беспрецедентная прозрачность сетевой активности
► Комплексная защита от угроз на всем протяжении атаки
► Снижение стоимости и сложности систем
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2

3. Проблемы с традиционной моделью
«эшелонированной» безопасности
Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность
Ручные и статические
механизмы
Медленный отклик,
ручное управление,
низкая
результативность
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3

4. Результат печален – потребитель проигрывает
Секунды Минуты Часы Дни Недели Месяцы Годы
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Источник: 2012 Verizon Data Breach Investigations Report
От атаки до
компрометации
От компрометации до
утечки
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4

5. Эволюция механизмов безопасности
Уровень безопасности
Статические
механизмы
Вмешательство
человека
Полуавто-
матические
Механизмы
на основе
прогнозиро-
вания
Текущие
требования
Динами-
ческие
механизмы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5

6. Cisco: в центре внимания — безопасность!
Приобретение компании Sourcefire
Security
• Ведущие в отрасли СОПВ нового поколения
• Мониторинг сетевой активности
• Advanced Malware Protection
• Разработки отдела по исследованию уязвимостей
• Инновации в ПО с открытым исходным кодом
AMP + FirePOWER
(технология OpenAppID)
AMP > управляемая защита от угроз
(VRT)
Коллективные исследования Cisco –
подразделение Talos по исследованию и
анализу угроз
• Подразделение Sourcefire по исследованию уязвимостей — VRT
• Подразделене Cisco по исследованию и информированию об
угрозах — TRAC
• Подразделение Cisco по безопасности приложений — SecApps
2013 2014 2015...
Cognitive + AMP
Приобретение компании Cognitive
Security
• Передовая служба исследований
• Улучшенные технологии поведенческого
анализа в режиме реального времени
Коллективный анализ вредоносного
кода > Система коллективной
информационной безопасности
Приобретение компании
ThreatGRID
• Коллективный анализ
вредоносного кода
• Анализ угроз
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6

7. Что не так с прежними МСЭ нового поколения?
Фокусируются на приложениях... Но полностью упускают из вида
угрозу
0100 111001 1001 11 111 0
0100 1110101001 1101 111 0011 0
100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
01000 01000111 0100 11101 1000111010011101 1000111010011101 1100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0111100 011 1010011101 1
Прежние МСЭ нового поколения могли уменьшить область атаки, но усовершенствованный
вредоносный код часто обходил защитные механизмы.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7

8. Современный ландшафт угроз требует большего, чем
просто контроль приложений
54%
компрометаций
остаются незамеченными
месяцами
60%
данных
похищается за
несколько
часов
Целое сообщество злоумышленников
остается нераскрытым, будучи у всех на виду
Они стремительно атакуют и остаются
неуловимыми
100%
организаций подключаются
к доменам, содержащим
вредоносные файлы или службы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8

9. Прежним МСЭ нового поколения не хватает
возможностей мониторинга и контроля
Действенная защита от угроз невозможна без средств полноценного мониторинга
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9

10. Комплексная защита от угроз в течение всего
жизненного цикла атаки
ДО АТАКИ ВО ВРЕМЯ
Исследование
Внедрение
политик
Укрепление
Жизненный цикл атаки
АТАКИ
Обнаружение
Блокирование
Защита
ПОСЛЕ
АТАКИ
Локализация
Изолирование
Восстановление
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Защита в момент времени Непрерывная защита
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10

11. Комплексная защита требует
Отражения угроз Обнаружения угроз
Корреляции и
консолидации
82,000 новых угроз в день
180,000+ ежедневно
экземпляров
Троянцы виновны в 8 из 10
инфекций в 2013
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Source: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html

12. Первый в отрасли МСЭ нового поколения, смотрящий
шире и глубже других
CiscoASA с функциями FirePOWER
Особенности
► Межсетевое экранирование Cisco® ASA в сочетании с системой
предотвращения вторжений Sourcefire® нового поколения
► Усиленная защита от вредоносного кода Advanced Malware
Protection (AMP)
► Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и
контроля приложений (AVC) и фильтрации URL-адресов
Преимущества
► Непревзойденная, многоуровневая защита от угроз
► Беспрецедентная прозрачность сетевой активности
► Комплексная защита от угроз на всем протяжении атаки
► Снижение стоимости и сложности систем
«С помощью многоуровневой
защиты организации смогут
расширить возможности для
мониторинга, внедрить
динамические механизмы
безопасности и обеспечить
усиленную защиту в
течение всего жизненного
цикла атаки»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12

13. Непревзойденная комплексная и многоуровневая
защита
► Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
► Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
► Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
► Фильтрация URL-адресов на основе
репутации и классификации
► Система Advanced Malware Protection с
функциями ретроспективной защиты
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Advanced Malware
Protection
(по подписке)
FireSIGHT (по подписке)
Аналитика и
автоматизация
Cisco ASA
Фильтрация URL-
адресов
VPN и политики
аутентификации
Предотвращение
вторжений (по
подписке)
Мониторинг и
контроль
приложений
Кластеризация и
высокая доступность
Межсетевой экран
Маршрутизация и
коммутация
Встроенное
профилирование
сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13

14. В основе лежит платформа Cisco ASA 5500-X
Управление и эксплуатация
Защита
от угроз
Платформа ASA
Защита
унифицированных
коммуникаций
Защищенное
подключение
(IPSec / SSL VPN)
Анализ
протоколов
IPv4/v6
Контроль
доступа
 Высокопроизводительная масштабируемая платформа
 Высокая доступность, надежность и отказоустойчивость
 Интеллектуальные сетевые сервисы
 Виртуализация, прозрачность функционирования
 Широкий модельный ряд
 Сертификация производства в ФСТЭК по 3-му классу для МСЭ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14

15. Что привносят FirePOWER Services?
• Система предотвращения вторжений
нового поколения – проверка
содержимого
• Учет контекста
• Интеллектуальная система
безопасности – управление черными
списками
• Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению,
пользователю, URL-адресу
• И все эти компоненты прекрасно
интегрируются друг с другом
Используются политики системы предотвращения
вторжений
Политики контроля файлов
Контролируемый
Политика
трафик
Определение местоположения
межсетевого экрана
Интеллектуальная система
безопасности
Осведомленность об URL-
адресах
по IP-адресу
Политика в отношении
системы предотвращения
вторжений нового поколения
Политика в отношении
файлов
Политика в отношении
вредоносных программ
Коммутация,
маршрутизация, сеть VPN,
высокая доступность
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15

16. Беспрецедентная прозрачность сетевой активности
Категории Технологии FirePOWER Прежние IPS
Прежние МСЭ нового
поколения
Угрозы   
Пользователи   
Веб-приложения   
Протоколы приложений   
Передача файлов   
Вредоносный код   
Серверы управления и контроля
ботнета
  
Клиентские приложения   
Сетевые серверы   
Операционные системы   
Маршрутизаторы и коммутаторы   
Мобильные устройства   
Принтеры   
VoIP-телефония   
Виртуальные машины   
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16

17. Политика NGFW
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17

18. Распознавание приложений
• Анализ сетевого
трафика позволяет
распознавать широкий
спектр различных
приложений, которые
затем можно
использовать в
правилах политики
безопасности
• FirePOWER for ASA
распознает и
«российские»
приложения
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18

19. Идентификация приложений «на лету»
3D SENSOR
3D SENSOR
3D SENSOR
Событие нарушения
зафиксировано,
пользователь
идентифицирован
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
обнаружено
Обнаружено нарушение политик
безопасности. Хост использует
Skype. Пользователь
идентифицирован, IT и HR
уведомлены.
IT & HR
провели с
пользователем
работу
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19

20. Блокирование передачи файлов Skype
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20

21. Описание собственных приложений
• Приложения могут
быть описаны
шаблонами
ASCII
HEX
PCAP-файл
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21

22. Управление сигнатурами атак
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22

23. Реагирование на события
• Запуск сканирования NMAP с
заданными параметрами на
источник/направление атаки
• Блокировка нарушителя на
маршрутизаторе Cisco (RTBH)
• Блокировка нарушителя на
МСЭ Cisco ASA
• Установка необходимого
атрибута на хост
• Уведомление администратора
посредством Email/SNMP/Syslog
• Выполнение самописной
программы, написанной на
C/BASH/TCSH/PERL с
возможностью передачи
переменных из события
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23

24. Фильтрация URL
Различные категории URL
URLs категорированы по уровню рисков
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24

25. Контроль по типам файлов и направлению передачи
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25

26. Геолокация и визуализация местонахождения
атакующих
• Визуализация карт, стран и городов для
событий и узлов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26

27. Детали по геолокации
• IP –адреса должны быть
маршрутизируемыми
• Два типа геолокационных данных
Страна – включено по умолчанию
Full – Может быть загружено после
установки:
Почтовый индекс, координаты, TZ, ASN,
ISP, организация, доменное имя и т.д.
Ссылки на карты (Google, Bing и другие)
• Страна сохраняется в запись о
событии
Для источника & получателя
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27

28. «Черные списки»: свои или централизованные
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28

29. Создание «белых списков» / «списков соответствия»
• Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого уровней
• Разрешенные адреса / диапазоны
адресов
• И т.д.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29

30. Обнаружение посторонних / аномалий / несоответствий
3D SENSOR
3D SENSOR
3D SENSOR
Поведение
зафиксировано,
уведомления
отправлены
DEFENSE CENTER
3D SENSOR
IT
восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA
with FirePOWER обнаружил хост и
ненормальное поведение сервера в
ЦОД и уведомил IT.
Новый актив
обнаружен
Поведение
обнаружено
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30

31. Инвентаризация и профилирование узлов
• Профиль хоста
включает всю
необходимую для
анализа информацию
IP-, NetBIOS-, MAC-адреса
Операционная система
Используемые приложения
Зарегистрированные
пользователи
И т.д.
• Идентификация и
профилирование
мобильных устройств
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31

32. Профилирование протоколов
• Профиль протокола включает
29+ параметров соединения
IP-, NetBIOS-, MAC-адреса
Сетевой протокол
Транспортный протокол
Прикладной протокол
И т.д.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32

33. Препроцессоры для отдельных протоколов
• DCE/RPC
• DNS
• FTP и Telnet
• HTTP
• Sun RPC
• SIP
• GTP
• IMAP
• POP
• SMTP
• SSH
• SSL
• Modbus / DNP3
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33

34. Анализ происходящего на узлах
Кто на хосте
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Версия клиентского
приложения
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34

35. Встроенная корреляция событий безопасности
3D SENSOR
3D SENSOR
Атака
скоррелирована с
целью
WINDOWS
SERVER Linux не
Атака
блокирована
server уязвим
3D SENSOR
Событие
сохранено
DEFENSE CENTER
3D SENSOR
LINUX
SERVER
уязвим
Windows
Новая Windows-атака направлена на
Windows и Linux сервера. Атаки
скоррелированы с профилем цели.
Событие об атаке сгенерировано.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35

36. Автоматизированная, комплексная защита от угроз
Непревзойденная защита в течение всего жизненного цикла атаки
Корреляция между векторами атаки
Админ.
запрос
Почта
PDF
5 ИК
3 ИК
Раннее предупреждение о современных типах угроз
Ретроспективная защита
Админ.
запрос
ПPоDчтFа
Сокращение времени между обнаружением и нейтрализацией
Узел A
Узел B
Узел C
Корреляция между контекстом и угрозами
Оценка вредоносного воздействия
Динамические механизмы безопасности
WWW
WWWWWW
Адаптация политик к рискам
http://
WWhWttp:// ВЕБ
Приоритет 1
Приоритет 2
Приоритет 3
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36

37. Встроенная система корреляции событий
• Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
Приложения
Уязвимости
Протоколы
Пользователи
Операционные системы
Производитель ОС
Адреса
Место в иерархии компании
Статус узла и т.п.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37

38. Встроенная система корреляции событий
• Различные типы события для
системы корреляции
Атаки / вторжение
Активность пользователя
Установлено соединение
Изменение профиля трафика
Вредоносный код
Изменение инвентаризационных
данных (например, появление нового
узла в сети или ОС на узле)
Изменение профиля узла
Появление новой уязвимости
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38

39. Встроенная система корреляции событий
• В зависимости от типа
события могут быть
установлены
дополнительные
параметры системы
корреляции
• Возможность создания
динамических политик
безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39

40. Автоматизация создания и настройки политик
Анализ сети, протоколов, приложений, сервисов,
устройств, ОС, уязвимостей и др. позволяет
автоматизировать создание политик и правил МСЭ и IPS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40

41. Оценка вредоносного воздействия
Каждому событию вторжения присваивается
уровень воздействия атаки на объект
УРОВЕНЬ
ВОЗДЕЙСТВИЯ
1
2
3
4
0
ДЕЙСТВИЯ
АДМИНИСТРАТОРА
ПРИЧИНЫ
Немедленно принять
меры, опасность
Событие соответствует
уязвимости,
существующей на данном
узле
Провести расследование,
потенциальная опасность
Открыт соответствующий
порт или используется
соответствующий
протокол, но уязвимости
отсутствуют
Принять к сведению,
опасности пока нет
Соответствующий порт
закрыт, протокол не
используется
Принять к сведению,
неизвестный объект
Неизвестный узел в
наблюдаемой сети
Принять к сведению,
неизвестная сеть
Сеть, за которой не
ведется наблюдение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41

42. Использование информации об уязвимостях
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42

43. Признаки (индикаторы) компрометации
События
СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43

44. Анализ траектории движения вредоносных программ
• Сетевая платформа использует индикаторы компрометации, анализ
файлов и траекторию движения файла для того, чтобы показать, как
вредоносный файл перемещается по сети, откуда он появился, что стало
причиной его появления и кто еще пострадал от него
Сеть
Endpoint
Контент
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44

45. Обнаружение вредоносного кода с помощью AMP
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
Идентичная
сигнатура
идентифицирующие
метки
Расширенная
аналитика
Признаки
компрометации
Сопоставление
потоков устройств
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45

46. Блокирование вредоносного кода
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46

47. Обнаружение известного вредоносного кода
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47

48. Полная информация о вредоносном коде
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48

49. Если статус файла неизвестен, он отправляется в
песочницу
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49

50. Анализ траектории вредоносного кода
• Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло?
• Когда это произошло?
• Что еще произошло?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50

51. Мониторинг общей информации о сети
• Корреляция событий безопасности,
трафика и вредоносного кода
• Активность конкретных
пользователей и их приложений
• Используемые ОС и активность
сетевого обмена
• Оценка событий по уровню
воздействия и приоритета
• Статистика по вредоносному коду и
зараженным файлам
• Геолокационные данные
• Категории сайтов и посещаемые URL
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51

52. Мониторинг общей информации о сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52

53. Мониторинг общей информации о сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53

54. Мониторинг общей информации о сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54

55. Мониторинг сетевых событий
• Использование сервисов
• Использование приложений
• Использование операционных систем
• Распределение соединений
• Активность пользователей
• Уязвимые узлы и приложения
• И т.д.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55

56. Мониторинг событий безопасности
• Основные нарушители
• Основные атаки
• Заблокированные атаки
• Основные цели
• Приоритет событий
• Уровень воздействия
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56

57. Детализация событий безопасности
• Подробная информация о
событии безопасности
• Возможность изменения
правил реагирования
• Возможность тюнинга правила
/ сигнатуры
• Сетевой дамп
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57

58. Анализ сетевого дампа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58

59. ASA with FirePOWER объединяет все вместе
ДО АТАКИ ВО ВРЕМЯ
Исследование
Внедрение
политик
Укрепление
Жизненный цикл атаки
АТАКИ
Обнаружение
Блокирование
Защита
ПОСЛЕ
АТАКИ
Локализация
Изолирование
Восстановление
МСЭ/VPN NGIPS
Исследования ИБ
Защита Web
Advanced Malware
Protection
Видимость и автоматизация
Контроль приложений
Контроль угроз
Ретроспективный
анализ
IoCs/Реагирование
на инциденты
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59

60. Вопрос не в том, произойдет ли заражение, а как скоро
мы его обнаружим, устраним и поймем причины
Подтверждение атаки и заражения
Уведомление Карантин Сортировка
Анализ вредоносного ПО и атак
Создание
системы
испытаний
Статический
анализ
Увеличение числа устройств с
вредоносным ПО
• С чего начать?
• Насколько тяжела ситуация?
• Какие системы были
затронуты?
• Что сделала угроза?
• Как можно восстановить?
• Как можно предотвратить ее
повторение?
Исправление
Поиск сетевого
трафика
Анализ
устройств
Поиск журналов
устройств
Подтверждение
Не удалось обнаружить заражение
Сетевой анализ
Обновление профиля
Сканирование
устройств
Стоп
Заражение
отсутствует
Анализ
увеличения
числа устройств
Профиль
вредоносного
ПО
Задание правил
(из профиля)
Заражение обнаружено
Поиск повторного заражения
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60

61. Объединяя все вместе, ASA with FirePOWER
WWW
Эл. почта Оконечные устройства Интернет
Сеть Система Устройства
Непрерывная передача
предотвращения
вторжений IPS
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Непрерывный анализ
Объем и контрольные
точки
Поток
телеметрических
данных
Идентифицирующие метки
и метаданные файла
Файловый и сетевой ввод/вывод
Информация о процессе
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61

62. …позволяет непрерывно анализировать широкий
спектр угроз и реагировать на них…
WWW
Эл. почта Оконечные устройства Интернет
Сеть Система Устройства
Повышенные уровни обнаружения, отслеживания
и реагирования
Непрерывная подача
предотвращения
вторжений IPS
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Анализ
Поведенческие Траектория
Поиск
угроз
Ретроспективное
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Непрерывный анализ
Объем и контрольные
точки
Поток
телеметрических
данных
Сигнатура и метаданные файла
10010111001 10 100111
0001110 1001
101000 0110 00
Файловый и сетевой ввод/вывод
Информация о процессе
пост-фактум
признаки
вторжения
обнаружение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 62

63. … что дает уверенность и контроль того, откуда именно
следует начать
Кто
Что
Где
Когда
Как
Сфокусируйтесь
сначала на этих
пользователях
Эти приложения
пострадали
Взлом затронул эти
области сети
Такова картина
атака с течением
времени
Это источник
угрозы и путь ее
распространения
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 63

64. ASA with FirePOWER - это не только NGFW ДО
Sandboxing
ВО
ВРЕМЯ
NG Sandbox for Evasive Malware Автоустранение / Динамические
Collective Security
Intelligence (Talos)
политики
Репутация URL и IP Dynamic Outbreak Controls
Адаптивная
безопасность
Malware File Trajectory Обнаружение пост-фактум
Host Trajectory Ретроспективный анализ
NGIPS
Open APP-ID SNORT Open IPS
Threat Hunting
User Identity
AV and Basic Protections
Web—URL Controls
Application Visibility
Gen1 IPS
Обычный Classic Stateful Stateful Firewall
Firewall
Поведенческие
признаки
компрометации
Сетевой Anti-
Malware (AMP)
*Anti-Malware для
NGFW
1
Расследования и управление логами
Понимание контекста (устройства, сеть, ПК)
Управление
событиями
(SIEM)
Управление
инцидентами
Управление
уязвимостями
ПК (AMP)
ПОСЛЕ Только Cisco
Cisco и
конкуренты
Интерфейс
n управления
*Агент
2
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 64

65. Экосистема Cisco ASA with FirePOWER
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 65

66. Сравнение Cisco ASA с функциями FirePOWER и
прежних МСЭ нового поколения
Возможности
Cisco ASA с
функциями FirePOWER
Прежние МСЭ нового
поколения
Упреждающая защита на основе репутации На высшем уровне Не имеется
Автоматизация мониторинга, учета контекста и
интеллектуальной безопасности
На высшем уровне Не имеется
Репутация файлов, отслеживание активности файлов,
ретроспективный анализ
На высшем уровне Не имеется
Индикаторы компрометации На высшем уровне Не имеется
СОВ нового поколения На высшем уровне Имеется1
Мониторинг и
контроль приложений
На высшем уровне Имеется
Политика допустимого применения/Фильтрация URL-
адресов
На высшем уровне Имеется
Удаленный доступ по VPN На высшем уровне Не на уровне предприятия
Межсетевое экранирование с отслеживанием состояния,
высокая доступность, кластеризация
На высшем уровне Имеется2
1- Обычно для 1-го поколения СОВ. 2 - Возможности высокой доступности зависят от производителя МСЭ нового поколения
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 66

67. Лучшая эффективность защиты
Security Value Map for
Intrusion Prevention System (IPS)
Security Value Map for
Breach Detection
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 67

68. Note: This table format is for example purposes only –
due to strict NSS Labs rules, only official reports may be shown to customers
Подтверждение качества защиты
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 68

69. Варианты исполнения Cisco ASA with FirePOWER
FirePOWER Services for 5500-X (ПО) FirePOWER Services for 5585-X (модуль)
ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X ASA 5585-X
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 69

70. Модульная функциональность
• 5 вариантов заказа защитных функций
• Подписка на 1 или 3 года (включая обновления)
• Функция AVC (NGFW) включена по умолчанию
Активирует функции FirePOWER Services
Постоянная и поставляется вместе с устройством
• Обновления AVC включены в SMARTnet
IPS
URL
URL
AMP
IPS
AMP
IPS
IPS
TA TAC TAMC
URL
URL
TAM
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 70

71. Управление Cisco Security
NetOPS Workflows - CSM 4.6/7 или ASDM-ASA-On-
Box
1
SecOPS 2 Workflows - FireSIGHT Management Center
Управление NGFW/NGIPS
Forensics / Управление логами
Network AMP / Trajectory
Управление уязвимостями
Управление инцидентами
Адаптивная политика ИБ
Ретроспективный анализ
Корреляция событий (SIEM)
Распознавание
Категории анализа
Угрозы
Пользователи
Web-приложения
Прикладные протоколы
Передача файлов
Вредоносный код
Command & Control Servers
Клиентские приложения
Сетевые сервера
Операционные системы
Рутера & коммутаторы
Мобильные устройства
Принтеры
VoIP-телефоны
Виртуальные машины
FireAMP Connector
(Managed by FMC)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 71

72. Cisco ASA с функциями FirePOWER
Первый в отрасли МСЭ нового поколения, смотрящий шире и глубже
Непревзойденная прозрачность
▶ Полная осведомленность о сетевом контексте для
устранения уязвимостей
Комплексная защита от угроз
▶ Лучшая в своем классе многоуровневая защита
в одном устройстве
Автоматизация
▶ Простота управления, динамическое реагирование
и восстановление
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 79

73. Благодарю
за внимание
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 80