3. Лидер Gartner
Magic Quadrant
(Email Security, Web Security,
Network Access, SSL VPN)
Существенные
инвестиции
в R&D, M&A &
людей
#1 на рынке ИБ
ЦОДов
(Источник:
Infonetics)
#1 на рынке
сетевой безопасности
(Источник: Infonetics)
Названа одним
из 5-ти основных
Приоритетов
компании
Cisco Security Momentum
6. 6
Любое устройство к любому облаку
ЧАСТНОЕ
ОБЛАКО
ОБЩЕ-
ДОСТУПНОЕ
ОБЛАКО
ГИБРИДНОЕ
ОБЛАКО
7. завтра20102000 2005
Изменение
ландшафта угроз
APTs и
кибервойны
Черви и вирусы
Шпионское ПО
и руткит
Антивирус
(Host-Based)
IDS/IPS
(Сетевой периметр)
Репутация (Global) и
песочница
Разведка и аналитика
(Облако)
Ответ
предприятия
Угрозы
10. 10
Приобретение Sourcefire дополнило
портфель решений Cisco
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis
11. 11
Видимость лежит в основе всего!
Workflow(automation)Engine
APIs
Понять масштабы, локализовать и устранить
Широкая осведомленность о контексте
Внедрение политик для снижение ареала
распространения угроз
Сосредоточиться на угрозе: безопасность это
обнаружение, понимание и нейтрализация угрозы
Взлом
Контекст
Политика
Угроза
12. 12
Стратегия развития продуктов зависит от
современных угроз
Workflow(автоматизация)Engine
Взлом
Контекст
Политика
Угроза
Видимость
Сдерживание
Устранение
Обнаружение
Блокирование
Защита
Контроль
Применение
Усиление
Определение
Мониторинг
Инвентаризация
Карта
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM
ДО ВО ВРЕМЯ ПОСЛЕ
APIs
13. 13
Всеобъемлющий портфель решений Cisco в
области обеспечения безопасности
IPS и NGIPS
• Cisco IPS
• Cisco wIPS
• Cisco ASA Module
• FirePOWER NGIPS
Интернет-
безопасность
• Cisco WSA / vWSA
• Cisco Cloud Web Security
МСЭ и NGFW
• Cisco ASA / ASA-SM
• Cisco ISR / ASR Sec
• FirePOWER NGFW
• Meraki MX
Advanced Malware
Protection
• FireAMP
• FireAMP Mobile
• FireAMP Virtual
• AMP для FirePOWER
NAC +
Identity Services
• Cisco ISE / vISE
• Cisco ACS
Безопасность
электронной почты
• Cisco ESA / vESA
• Cisco Cloud Email Security
UTM
• Meraki MX
VPN
• Cisco AnyConnect
• Cisco ASA
• Cisco ISR / RVPN
Policy-based сеть
• Cisco TrustSec
• Cisco ISE
• Cisco ONE
Мониторинг
инфраструктуры
• Cisco Cyber Threat
Defense
Контроль приложений
• Cisco ASA NGFW / AVC
• Cisco IOS AVC / NBAR
• Cisco SCE / vSCE
• FirePOWER NGFW
Secure DC
• Cisco ASA / 1000v /
ASAv / VSG
• Cisco TrustSec
14. 14
Интеграция в сеть,
широкая база сенсоров,
контекст и автоматизация
Непрерывная защита от
APT-угроз, облачное
исследование угроз
Гибкие и открытые платформы,
масштабируемость,
всесторонний контроль,
управление
Стратегические задачи
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
устройства
Облака
Видимость всего и вся Фокус на угрозы Платформы
15. 15
Видимость: Cisco видит больше конкурентов
Сетевые
сервера
ОС
Рутера и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложения
Прикладные
протоколы
Сервисы
Вредоносное
ПО
Сервера
управления
ботнетами
Уязвимости
NetFlow
Сетевое
поведение
Процессы
17. 17
Обнаружить, понять и остановить угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
18. 18
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование
19. 19
Снижение сложности & рост возможностей
платформы
Аналитика и исследования угроз
Централизованное управление
Устройства, Виртуалки
Платформа сетевой
безопасности
Платформа контроля
устройств
Облачная
платформа
Устройства, виртуалки
ПК, мобильные,
виртуалки
Хостинг
21. 21
Архитектура безопасности Cisco
Управление Общие политики безопасности и управление безопасностью
API
управления безопасностью
API Cisco ONE
API платформы
API интеллектуальных
ресурсов облака
Координация
Физическое устройство Виртуальные Облако
Уровень
элементов
инфраструктуры
Платформа
сервисов
безопасности
Безопасность
Услуги и
Приложения
API устройства – OnePK, OpenFlow, CLI
Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)
Уровень данных ASIC Уровень данных ПОМаршрутизация – коммутация – вычисление
Управление
доступом
Учет
контекста
Анализ
контекста
Прозрачность
приложений
Предотвращение
угроз
Приложения Cisco в сфере безопасности Сторонние приложения
APIAPI
22. 22
Платформа сервисов безопасности
ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Маршрутизаторы
и коммутаторы Cisco
Общедоступное
и частное облако
ВЕРТИКАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
Устройства обеспечения
безопасности
Виртуализированное устройство |
автоматическое масштабирование |
многопользовательская среда
Устройство обеспечения безопасности,
действующее как программируемый
сетевой контроллер
23. 23
Мозг архитектуры безопасности Cisco
Действующее
соединение SMTP?
(ESA)
Ненадлежащий или
нежелательный
контент?
(ASA/WSA/CWS)
Место для
контроля и
управления?
(ASA/WSA)
Вредоносное
действие?
(ASA/IPS)
Вредоносный контент на
оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование
угроз
Регистрация
доменов
Проверка
контента
Ловушки для
спама, ловушки
для хакеров,
интеллектуальные
анализаторы
Черные списки
и репутация
Партнерство
со сторонними
разработчиками
Правила и логика
для конкретных платформ
Cisco Security Intelligence Operations
24. 24
Немного фактов о SIO
Глобальная и локальная корреляция
через автоматический и человеческий
анализ
АНАЛИТИКА & ДАННЫЕ УГРОЗ
Широкий спектр источников данных
об угрозах & уязвимостях
БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ
Контекстуальная политика с
распределенным внедрением
ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру-
ктура
больших
данных
Обновления
в реальном
времени
Доставка
через
облако
150M
оконечных
устройств
14M
шлюзов
доступа
1.6M
устройств
безопасности
Самообуча
ющиеся
алгоритмы
НИОКР
Open Source
Community
25. 25
Проблемы с традиционным мониторингом
Admin
Базируется на правилах
• Зависимость от сложно
создаваемых вручную
правил
• Зависимость от
человеческого фактора
Зависимость от времени
• Занимает недели или
месяцы на обнаружение
• Требует постоянного
тюнинга
Security
Team
Очень сложно
• Часто требует
квалифицированный
персонал для управления
и поддержки
111010000 110 0111
Невозможно
идти в ногу с
последними
угрозами
26. СОВРЕМЕННЫЕ АЛГОРИТМЫ
Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА
Теория игр и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ
Учет сетевого, Web и Identity контекста
ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ
КИБЕР УГРОЗ
Поведенческий анализ
ОБНАРУЖЕНО
28. 28
Безопасность WWWСеть
Identity & Политики
Будущее облачной аналитики угроз
Облачная аналитика и исследования угроз
Web
Rep
IPS
Rep
Email
Rep
Репутация
Глобальная аналитика
Портал угроз
Сетевые политики
Телеметрия
безопасности
Телеметрия
сети
Поведенческий анализ
Глобальные данные об
угрозах
CTA
29. 29
Решения Cisco в области веб-безопасности и
защиты электронной почты
Блокировка
фишинговых атак,
вирусов и спама
Защита от угроз
Безопасность данных
Защита данных
транзитного
трафика
Прозрачность
и контроль приложений
Обнаружение
и уменьшение
последствий угроз
веб-безопасности
Защита данных
в режиме онлайн
Мониторинг
и контроль
использования
приложений
Веб-
безопасность
Безопасность
электронной почты
Лидеры рейтинга Magic Quadrant
компании Gartner в 2013 году
Основные отличительные
особенности:
Снижение совокупной
стоимости владения
Эффективность и надежность
Гибкое развертывание
30. 30
Строгая защита входящего Web-трафика
WWW
Время запроса
Время ответа
Cisco® SIO
Фильтрация URL
Репутационные фильтры
Dynamic Content Analysis (DCA)
Сигнатурные антивирусные движки
Advanced Malware Protection
БлокироватьWWW
БлокироватьWWW
БлокироватьWWW
РазрешитьWWW
ПредупредитьWWW WWW Частично
блокировать
БлокироватьWWW
БлокироватьWWW
БлокироватьWWW
31. 31
Анализ репутации и добавление контекста
Ценность контента в режиме реального времени
Владелец
подозрительного
домена
Сервер в
местоположении
с высоким
уровнем риска
Динамический
IP-адрес
Домен
зарегистрирован
< 1 мин.
192.1.0.68
пример
.com
Example.org17.0.2.12 ПекинЛондонСан-ХосеКиев HTTPSSLHTTPS
Домен
зарегистрирован
> 2 лет
Домен
зарегистрирован
< 1 месяца
Веб-сервер
< 1 месяца
Кто КакГде Когда
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 011
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
Оценка IP репутации
32. 32
1.Сканирование текста
Решения Cisco по контролю использования
Web-ресурсов на базе SIO
WWW
База данных
URL-адресов
3.Расчет приблизительной
категории документа
4.Заключение о наиболее
близкой категории
2. Оценка релевантности
Финансы
Для
взрослых
Здоровье
Финансы
Для
взрослых
Здоровье
РазрешеноWWW Предупреж-
дение
WWW WWW Частичная
блокировка
БлокировкаWWW
5. Применение политики
Если контент неизвестен,
страница анализируется
БлокировкаWWW
Предупреж-
дение
WWW
РазрешениеWWW
Если контент известен
33. 33
Всесторонний контроль с Cisco Web Security
Сотни
приложений
Поведение
приложений
150,000+ микро-
приложений• Непрерывно обновляемая
база URL, покрывающая свыше
50 миллионов сайтов в мире
• Динамическая категоризация в
реальном времени для
неизвестных URL
• Контроль мобильных, web 2.0
приложений и приложений для
взаимодействия
• Применение политики к
пользователям и устройствам
• Гибкая политика контроля для
разных приложений
• Видимость всей активности по
сети
HTTP://
+
Application Visibility and Control (AVC)Фильтрация URL
34. 34
Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика
ботнетов (“Phone-home”)
• Сканирование всего трафика, на всех
портах, по всем протоколам
• Обнаружение вредоносного ПО,
обходящего порт 80
• Предотвращение трафика ботнетов
Мощные данные для борьбы с
вредоносным кодом
• Автоматически обновляемые
правила
• Генерация правил в реальном
времени, используя “динамическую
идентификацию”
Инспекция
пакетов и
заголовков
Интернет
35. 35
Решения Cisco в области безопасности электронной
почты на базе SIO
Устройство Облако Гибридные Управляемые
Защита от угроз
Защита о спама и вирусов
Целевая защита от угроз
Безопасность данных
Предотвращение потери данных
Шифрование
Централизованная
прозрачность и контроль
Поддержка
нескольких устройств
Виртуальные
36. 36
Защита Cisco Email Security
Cisco® SIO
Репутационная фильтрация SenderBase
Предотвращение спама и и спуфинга
Антивирусное сканирование & AMP
Анализ URL в реальном времени
Доставка Карантин Переписать URL Отбросить
Отбросить
Отбросить/Карантин
Отбросить/Карантин
Карантин/Переписать
37. 37
• Заведомо легитимная
почта доставляется
• Подозрительные
сообщения
ограничиваются по
скорости и фильтруются
от спама
• Заведомо нежелательная
почта блокируется
IronPort
Anti-Spam
Входящая почта
Хорошие, плохие
и неизвестные сообщения
Фильтрация
по репутации
Cisco о Cisco
Наш корпоративный
опыт работы
с электронной почты
Категория сообщения % Сообщения
Остановлено фильтрацией на основе репутации 93.1% 700,876,217
Остановлено по причине недействительных получателей 0.3% 2,280,104
Обнаружен спам 2.5% 18,617,700
Обнаружен вирус 0.3% 2,144,793
Остановлено фильтром контента 0.6% 4,878,312
Общее количество сообщений об угрозах: 96.8% 728,797,126
Чистые сообщения 3.2% 24,102,874
Общее количество сообщений: 752,900,000
Фильтрация репутации SenderBase
Предотвращение угроз в реальном времени
38. 38
Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых
сообщений
Перенаправление подозрительных
ссылок для анализа и выполнения в
защищенное облако
Фильтрация плохих URL базируется
на репутации web и категориях
40. 40
Централизованное управление & отчеты
Централизованный
репортинг
Централизованное
управление
Встроенный анализ угроз Расследования инцидентов
Понимание
Через угрозы,
данные и приложения
Контроль
Соответствующие политики для
офисов и удаленных пользователей
Видимость
Видимость через различные
устройства, сервисы и сетевой уровень
Централизованное
управление
политиками
Делегированное
управление
41. 41
Веб-безопасность облака Cisco
Ведущий провайдер в области веб-безопасности
облака в 2012 г компания Infonetics
Лидер рейтинга Magic Quadrant компании Gartner
в 2013 году
Время безотказной работы сервисов 99,998%
Экономия затрат 30–40% по сравнению
с решениями локального развертывания
Лучшее решение по веб-безопасности
с централизованным управлением для
распределенных организаций
ISR G2 с управляемой доступностью до Q3FY14
CWS
Защитаотнового
вредоносногоПО
Прозрачность
иконтроль
приложений
Защита
пользователей
вроуминге
(AnyConnect)
Intelligence
Network
Connectors
Обеспечение
безопасностина
базеоблака
Гибкое развертывание
ISR G2* ASA Устройства
веб-безопасности
(WSA)
Облако VPN
42. 42
AMP на Cisco Email и Web Security
• Поддерживается
На Cisco Email Security Appliance
На Cisco Web Security Appliance
На Cisco Cloud Web Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов
43. 43
Интеграция AMP & VRT & ESA/WSA/CWS
AMP клиент – единый модуль, который применяется в WSA и ESA
Web/Sender
Reputation
Web/
Email
Proxy
VRT Sandboxing
WSA/ESA/CWS
Amp connector
Локальные
AV-сканеры
Запрос репутации файла
AMP
Cloud
Неизвестный файл,
загрузка в песочницу
Обновление
репутации
файлов
Sandbox
connector
AMP Client
Local
Cache
Обновление
ретроспективы
44. 44
File SHA Hash
‘Fingerprint’
Неизвестно 1->100
Файл
распознан
Файл неизвестен
Отправить в песочницу?
Да
Нет
1->59 : чисто
60->100: заражено
Вердикт «Чисто»
Вердикт «Заражено»
Реакция по политики
ESA / WSA
Amp
Service
Amp Cloud Service
Вердикт
«Чисто» + отправить
в песочницу
Вердикт «Чисто»
Amp Client
Чисто
Заражено
Вердикт Рейтинг
Нет рейтинга
Принятие решений в связке AMP и ESA/WSA/CWS
45. Межсетевой экран нового поколения Cisco ASA
5500-X. Он единственный у Cisco?
• В 4 раза быстрее чем прежние модели ASA
5500
• Лучший в отрасли межсетевой экран ASA
и решение AnyConnect
• Сервисы межсетевого экрана нового
поколения
• Различные расширенные сервисы
безопасности, не снижающие
производительность
Application
Visibility&
Control(AVC)
Intrusion
Prevention
(IPS)
SecureRemote
Access
(AnyConnect)
WebSecurity
Essentials
(WSE)
Веб-
безопасность
облака
Сервисы Cisco ASA NGFW (программное обеспечение)
Межсетевой экран нового поколения Cisco ASA
серии 5500-X (на аппаратной платформе)
48. 48
FirePOWER™:
single-pass, высокопроизводительное, с низкой задержкой
• Гибкая интеграция в программное
обеспечение
NGIPS,NGFW, AMP
Все вышеперечисленные
(просто выбрать соответствующий размер)
• Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с ->40 Гбит/с
Стекирование для масштабирования,
кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем
предотвращения вторжения, межсетевых экранов
нового поколения
от NSS Labs
До 320 ядер RISC
До 40 Гбит/с (система предотвращения вторжений)
50. 50
Виртуальный сенсор
Виртуальные сенсоры
Виртуальный центр защиты
• Встроенное или пассивное развертывание
• Полный набор функциональных возможностей системы
предотвращения вторжений нового поколения
• Развертывается как виртуальное устройство
• Сценарии использования
Преобразование SNORT
Небольшие / удаленные площадки
Виртуализированные рабочие нагрузки (PCI)
• Управляет до 25 сенсорами
физические и виртуальные
одно окно
• Сценарии использования
Быстрая оценка
Предварительное тестирование перед производством
Операторы связи
ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает
RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.
DC
51. 51
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
NGFW NGIPS AMP
Одна платформа служит для обработки всеv
жизненным циклом атаки
ДО
Вы видите,
вы контролируете
ВО ВРЕМЯ
Интеллектуальные
и с учетом контекста
ПОСЛЕ
Ретроспективные
средства безопасности
52. 52
Межсетевой экран нового поколения: на базе системы
предотвращения вторжений нового поколения
• Ресурсы и пользователи, сопоставленные с
помощью FireSIGHT
• Нарушения правил доступа, обнаруженные
встроенными системами предотвращения
вторжений нового поколения
• Контроль приложений и контроль доступа,
коммутация и маршрутизация,
обеспечиваемые межсетевым экраном
нового поколения
• ЕДИНСТВЕННЫЙ межсетевой экран
нового поколения, который содержит
полнофункциональную систему
предотвращения вторжений нового
поколения
53. 53
Межсетевой экран нового поколения Sourcefire
Ориентирован на угрозы
• Система предотвращения вторжений
нового поколения – проверка содержимого
• FireSIGHT – учет контекста
• Интеллектуальная система безопасности –
управление черным списком
• Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению,
пользователю, URL-адресу
• И все эти компоненты прекрасно
интегрируются друг с другом
Используются политики системы предотвращения
вторжений
Политики контроля файлов
Политика
межсетевого экрана
Политика в отношении
системы предотвращения
вторжений нового поколения
Политика в отношении
файлов
Политика в отношении
вредоносных программ
Контролируемый
трафик
Коммутация,
маршрутизация, сеть VPN,
высокая доступность
Осведомленность об URL-
адресах
Интеллектуальная система
безопасности
Определение местоположения
по IP-адресу
54. 54
Выделенное устройство Advanced
Malware Protection (AMP)
Advanced Malware Protection
for FirePOWER (NGIPS, NGFW)
FireAMP для узлов, виртуальных
и мобильных устройств
Защита от вредоносного кода (антивирус)
55. 55
Наш подход к расширенной защите от вредоносных программ
SaaS Manager
Сенсор Sourcefire
Центр управления FreeSIGHT
Лицензия на
AMP Malware
#
✔✖
#
Сервисы
обнаружения и анализ
больших данных
AMP для сетей AMP для оконечных устройств
SSL:443 | 32137
Пульсация: 80
56. 56
Advanced Malware Protection
Dedicated Advanced
Malware Protection
Appliance
AMP for FirePOWER
(NGIPS / NGFW)
AMP for Gateway:
Email Security
Appliance
Web Security
Appliance
Cloud Web Security
Gateway Network
PC’s
Mac’s
Mobile Devices
Virtual Machines
Endpoint
Public Cloud
Private Cloud
До
В
процессе
После
Облачные
преимущества:
Коллективная
разведка
Непрерывный
анализ
Ретроспектива
Отслеживание
Анализ причин
Контроль
57. 57
FireAMP Private Cloud
Портал управления для
быстрого внедрения и
менеджмента
Защита на уровне сети и
оконечных устройств
Обезличенные файлы
могут передаваться в
глобальное облако
Отслеживание эпидемий
58. 58
Какие системы были заражены?
Почему это произошло?
Где источник заражения?
За что еще он отвечает?
С кем он еще взаимодействовал?
Смотритевсуть:траекторияустройства
Смотрите широко: траектория сети
Анализ траектории файла и устройства – поиск
источника заражения
61. 61
Комплексная защиты от вредоносных программ
• Полный набор
функций
• Непрерывный анализ
• Интегрированные
инструменты
реагирования
• Анализ
больших данных
• Контроль
и восстановление
Интеллектуальная система коллективной безопасности
62. 62
Sourcefire Defense Center®
• Настраиваемая инструментальная
панель
• Комплексные отчеты и оповещения
• Централизованное управление
политиками
• Иерархическое управление
• Обеспечение высокой доступности
• Интеграция с существующими системами
безопасности
63. 63
DC750 DC1500 DC3500
Макс. число управляемых
устройств*
10 35 150
Макс. число событий системы
предотвращения вторжений
20 млн. 30 млн. 150 млн.
Система хранения событий 100 Гб 125 Гб 400 Гб
Макс. сетевая карта
(хосты | пользователи)
2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.
Макс. скорость потока
(потоков/с)
2000 потоков/с 6000 потоков/с 10000 потоков/с
Возможности
высокой доступности
Дистанционное управление (LOM)
RAID 1, LOM,
High Availability
pairing (HA)
RAID 5, LOM,
HA, резервный
источник питания пер. тока
Устройства центра обеспечения защиты
* Макс. число устройств зависит от типа сенсора и частоты событий
66. 66
Пассивное
обнаружение
В первую очередь необходимо знать, что у вас есть
Невозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время
в режиме
реального времени
70. 70
Понимание контекста в FireSIGHT
Просмотр всего трафика
приложения...
Поиск приложений
с высокой степенью риска... Кто их использует?
Какие использовались операционные
системы?
Чем еще занимались эти пользователи?
Как выглядит их трафик за период времени?
73. 73
«Черные списки»
Что это?
•Сигналы тревоги и правила блокирования:
•Трафик ботнетов и C&C / Известные злоумышленники /
открытые прокси/релеи
•Источники вредоносного ПО, фишинга и спама
•Возможно создание пользовательских списков
•Загрузка списков от Sourcefire или иных источников
Как это может помочь?
•Блокировать каналы вредоносных коммуникаций
•Непрерывно отслеживать любые
несанкционированные и новые изменения
76. 76
Платформы ASA и FirePOWER
Производительность
и размещение в сети
Устройство системы
предотвращения вторжений
нового поколения
Интегрированный межсетевой
экран + система предотвращения
вторжений
Домашний офис / небольшой филиал
50-250 Мбит/с
FirePOWER 7010/20/30 ASA 5505
Филиал
500 Мбит/с - 1 Гбит/с
FirePOWER 7100 ASA 5512/5515
Интернет-периметр
1-2 Гбит/с
FirePOWER 7120/7125/8120 ASA 5525/5545
Комплекс зданий
2-10 Гбит/с
FirePOWER 8100/8200 ASA 5555 & 5585-10/20
Центр обработки данных,
10-40 Гбит/с
FirePOWER 8200/8300 ASA 5585-40/60
Примечание. К автономным системам предотвращения вторжений могут применяться ограничения в отношении
использования в домашних офисах и небольших филиалах
77. 77
Не забывайте: приложения зачастую используют
шифрование
• и по умолчанию используют SSL
• Преимущества решения внешнего дешифрования Sourcefire
Повышенная производительность – ускорение и политика
Централизованное управление ключами
Поддержка взаимодействия со сторонними продуктами
SSL1500 SSL2000 SSL8200
1,5 Гбит/с 2,5 Гбит/с 3,5 Гбит/с
4 Гбит/с 10 Гбит/с 20 Гбит/с
78. 78
Решение SSL Appliance
• «Известный серверный ключ» для SSL
v2
Требуется доступ к серверному ключу
Выполняет дешифрование входящих
данных SSL
• «Повторное подписание сертификата»
для SSL v3
Требуется промежуточный сертификат
в браузерах
Выполняет дешифрование исходящих
данных SSL
Метод известного серверного ключа
Метод повторного подписывания сертификата
79. 79
Гибкие варианты развертывания
На территории и за пределами территории потребителя
Варианты
разверты-
вания
Коннекторы /
Переадре-
сация
На территории потребителя Облако
Облако
МСЭМаршрутизатор Роуминг
Виртуальное
решение
Межсетевой экран
нового поколения
Роуминг
Устройство
Устройство
Клиентские
системы
Неявная Явная
МСЭМаршрутизатор
Неявная Явная
80. 80
Предотвращение потери данных
Снижение риска утечки конфиденциальной информации
На территории
заказчика
Интеграция
политик DLPс
использованием
протокола ICAP
CWS
Устройства веб-безопасности
(WSA)
Облако
Устройство
DLP другого
производителя
+
Базовая
политика
DLP
Расширенная политика
DLP
82. 82
Every Platform Needs Context
Every Platform has Context to Share
pxGrid
обмен
контекстом
Информация для обмена информацией о
безопасности– pxGrid
SIO
Единая
инфраструктура
Прямые,
защищенные
интерфейсы
83. 83
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM),
облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование значения Сети
Текущая экосистема
партнеров Cisco
84. Широкий охват и глубина видимости IP-устройств в сети
Платформа для анализа контекста и
управления политиками
Cisco Identity Service Engine (ISE)
85. 85
Cisco ISE - унифицированное управление
контекстом и сетью
Преимущества унифицированного
управления контекстом
Более глубокое понимание вопросов, связанных с
сетью и с безопасностью
Более детальное управление BYOD и
чувствительными пользователями/группами
Выявление важных сетевых событий и событий
безопасности и создание условий для их
использования
Унификация пакетов политик
Готовность к Всеобъемлющему Интернет
Кто | Что | Где | Когда | Как
Инфраструктура
ИТ или IoT
Cisco ISE
Политики
Совместное
использовани
е контекста
Выполнение
сетевых
действий
Сеть на базе
Cisco
88. 88
Cisco ISE и SIEM/защита от угроз
• Уточнение, на каких событиях в сфере безопасности требуется
сосредоточиться
• Анализ безопасности на базе устройства, пользователя и группы
позволяет SIEM/TD тщательно проверить определенные среды, например,
BYOD или группы пользователей высокого риска
• Обеспечение эффективности событий в сфере безопасности в сети
Сетевой карантин для
пользователей и
устройств с помощью ISE
SIEM & TD ПРИНИМАЮТ МЕРЫ
Идентификация, тип устройства, оценка состояния,
уровень авторизации, местоположение
CISCO ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ
Преимущества
89. 89
Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения
• Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и
привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства
• ISE связывает привилегии доступа с контекстом соответствия
Cisco ISE + pxGrid = экосистема безопасности
90. 90
Пример контроля доступа с интеграцией с MDM
90
Jail BrokenPIN Locked
EncryptionISE Registered PIN LockedMDM Registered Jail Broken
91. 91
Sourcefire API Framework для интеграции с другими
решениями
• eStreamer – Защищенный канал для передачи данных о событиях ИБ
• Host Input – Использование 3rd данных об узлах и уязвимостях
• Remediation – Реагирование через решения 3rd фирм
• JDBC Interface – Запросы по событиям безопасности и узлам
95. 95
TrustSec
Enabled
Enterprise
Network
Identity
Services
Engine
NetFlow: Switches, Routers,
и ASA 5500
Контекст:
NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое
понимание внутренней активности в сети
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы
Cisco Identity, Device, Posture, Application
Cyber Threat Defense обеспечивает внутренние
контроль и защиту
96. 96
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch
FlowCollector
StealthWatch
Management
Console
NetFlow
StealthWatch
FlowSensor
StealthWatch
FlowSensor VE
Users/Devices
Cisco ISE
NetFlow
StealthWatch
FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
97. 97
Cisco CTD: обнаружение угроз без сигнатур
Что делает 10.10.101.89?
Политика Время начала Тревога Источник Source Host
Groups
Цель Детали
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная утечка
данных
10.10.101.89 Атланта,
Десктопы
Множество хостов Наблюдается 5.33 Гб. Политика
позволяет максимум до 500 Мб
98. 98
Cisco CTD: обнаружение угроз без сигнатур
Высокий Concern Index показывает значительное
количество подозрительных событий
Группа узлов Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
99. 99
Cisco CTD и Cisco ISE: сила в единстве
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя пользователя Тип устройства Цель
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная
утечка данных
10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество
хостов
101. 101
Cisco Cyber Threat Defense: крупным планом
Обнаружение разных типов
атак, включая DDoS
Детальная статистика о всех
атаках, обнаруженных в сети
103. 103
ТРАДИЦИОННАЯ
СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛЬ SDN
В ЦОДАХ
БУДУЩАЯ
ОТКРЫТАЯ МОДЕЛЬ
Сеть узлов Виртуализация SDN Application Centric
Infrastructure
Виртуализированные МСЭ
Cisco ASA 1000V / VSG
Cisco ONE / eXtensible Network
Controller
Cisco vESA / vWSA
Imperva WAF / Citrix NetScaler
Традиционные решения
по защите ЦОД
Межсетевой экран
«север-юг»
Предотвращение
вторжений
Cisco ACI
Cisco Application
Programmable Interface
Controller (APIC)
Cisco ASAv
Эволюция ЦОДов
104. 104
ВИРТУАЛЬНАЯ ФИЗИЧЕСКАЯ
ASA 5585-X
Кластеризация с
поддержкой состояния
Масштабирование до 640
Гбит/с
ASAv
Полный набор
функций ASA
Независимость от
гипервизора
Масштабирование
ASA
Новое решение – Cisco ASAv