Cisco strategy and vision of security 24 04_2014

Защита современного
предприятия
СЕЙЧАС И В БУДУЩЕМ
Михаил Кадер
mkader@cisco.com
Security-request@cisco.com

Лидер Gartner
Magic Quadrant
(Email Security, Web Security,
Network Access, SSL VPN)
Существенные
инвестиции
в R&D, M&A &
людей
#1 на рынке ИБ
ЦОДов
(Источник:
Infonetics)
#1 на рынке
сетевой безопасности
(Источник: Infonetics)
Названа одним
из 5-ти основных
Приоритетов
компании
Cisco Security Momentum

4
Проблемы и задачи

МОБИЛЬ-
НОСТЬ
ОБЛАКО УГРОЗЫ
Динамика рынка,
ориентированного на
потребителя, требует
сквозной архитектуры
безопасности

6
Любое устройство к любому облаку
ЧАСТНОЕ
ОБЛАКО
ОБЩЕ-
ДОСТУПНОЕ
ОБЛАКО
ГИБРИДНОЕ
ОБЛАКО

завтра20102000 2005
Изменение
ландшафта угроз
APTs и
кибервойны
Черви и вирусы
Шпионское ПО
и руткит
Антивирус
(Host-Based)
IDS/IPS
(Сетевой периметр)
Репутация (Global) и
песочница
Разведка и аналитика
(Облако)
Ответ
предприятия
Угрозы

8
Новая модель безопасности

9
Новая модель безопасности
ДО
Обнаружение
Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ
Контроль
Применение
Усиление
Видимость
Сдерживание
Устранение
Ландшафт угроз
Сеть Оконечные
устройства
Мобильные
Виртуальные
машины
Облако
В определенный
момент Непрерывно

10
Приобретение Sourcefire дополнило
портфель решений Cisco
ДО
Контроль
Усиление
ВО ВРЕМЯ ПОСЛЕ
Защита
Видимость
Ландшафт угроз
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis

11
Видимость лежит в основе всего!
Workflow(automation)Engine
APIs
Понять масштабы, локализовать и устранить
Широкая осведомленность о контексте
Внедрение политик для снижение ареала
распространения угроз
Сосредоточиться на угрозе: безопасность это
обнаружение, понимание и нейтрализация угрозы
Взлом
Контекст
Политика
Угроза

12
Стратегия развития продуктов зависит от
современных угроз
Workflow(автоматизация)Engine
Взлом
Контекст
Политика
Угроза
Видимость
Защита
Контроль
Усиление
Определение
Мониторинг
Инвентаризация
Карта
Сеть / Устройства
Пользователи / Приложения
Файлы / Данные
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
IPS
AV
anti-malware
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM
ДО ВО ВРЕМЯ ПОСЛЕ
APIs

13
Всеобъемлющий портфель решений Cisco в
области обеспечения безопасности
IPS и NGIPS
• Cisco IPS
• Cisco wIPS
• Cisco ASA Module
• FirePOWER NGIPS
Интернет-
безопасность
• Cisco WSA / vWSA
• Cisco Cloud Web Security
МСЭ и NGFW
• Cisco ASA / ASA-SM
• Cisco ISR / ASR Sec
• FirePOWER NGFW
• Meraki MX
Advanced Malware
Protection
• FireAMP
• FireAMP Mobile
• FireAMP Virtual
• AMP для FirePOWER
NAC +
Identity Services
• Cisco ISE / vISE
• Cisco ACS
Безопасность
электронной почты
• Cisco ESA / vESA
• Cisco Cloud Email Security
UTM
• Meraki MX
VPN
• Cisco AnyConnect
• Cisco ASA
• Cisco ISR / RVPN
Policy-based сеть
• Cisco TrustSec
• Cisco ISE
• Cisco ONE
инфраструктуры
• Cisco Cyber Threat
Defense
Контроль приложений
• Cisco ASA NGFW / AVC
• Cisco IOS AVC / NBAR
• Cisco SCE / vSCE
• FirePOWER NGFW
Secure DC
• Cisco ASA / 1000v /
ASAv / VSG
• Cisco TrustSec

14
Интеграция в сеть,
широкая база сенсоров,
контекст и автоматизация
Непрерывная защита от
APT-угроз, облачное
исследование угроз
Гибкие и открытые платформы,
масштабируемость,
всесторонний контроль,
управление
Стратегические задачи
Сеть Оконечные
Мобильные
Облака
Видимость всего и вся Фокус на угрозы Платформы

15
Видимость: Cisco видит больше конкурентов
Сетевые
сервера
ОС
Рутера и
свитчи
Мобильные
Принтеры
VoIP
телефоны
машины
Клиентские
приложения
Файлы
Пользователи
Web
Прикладные
протоколы
Сервисы
Вредоносное
ПО
Сервера
управления
ботнетами
Уязвимости
NetFlow
Сетевое
поведение
Процессы

16
?
Фокус на угрозы

17
Обнаружить, понять и остановить угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано

18
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование

19
Снижение сложности & рост возможностей
платформы
Аналитика и исследования угроз
Централизованное управление
Устройства, Виртуалки
Платформа сетевой
Платформа контроля
устройств
Облачная
платформа
Устройства, виртуалки
ПК, мобильные,
виртуалки
Хостинг

20
Ключевые особенности
архитектуры Cisco по ИБ

21
Архитектура безопасности Cisco
Управление Общие политики безопасности и управление безопасностью
API
управления безопасностью
API Cisco ONE
API платформы
API интеллектуальных
ресурсов облака
Координация
Физическое устройство Виртуальные Облако
Уровень
элементов
инфраструктуры
Платформа
сервисов
Услуги и
Приложения
API устройства – OnePK, OpenFlow, CLI
Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)
Уровень данных ASIC Уровень данных ПОМаршрутизация – коммутация – вычисление
Управление
доступом
Учет
контекста
Анализ
контекста
Прозрачность
приложений
Предотвращение
угроз
Приложения Cisco в сфере безопасности Сторонние приложения
APIAPI

22
Платформа сервисов безопасности
ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Маршрутизаторы
и коммутаторы Cisco
Общедоступное
и частное облако
ВЕРТИКАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
ГОРИЗОНТАЛЬНОЕ
Устройства обеспечения
Виртуализированное устройство |
автоматическое масштабирование |
многопользовательская среда
Устройство обеспечения безопасности,
действующее как программируемый
сетевой контроллер

23
Мозг архитектуры безопасности Cisco
Действующее
соединение SMTP?
(ESA)
Ненадлежащий или
нежелательный
контент?
(ASA/WSA/CWS)
Место для
контроля и
управления?
(ASA/WSA)
Вредоносное
действие?
(ASA/IPS)
Вредоносный контент на
оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование
угроз
Регистрация
доменов
Проверка
контента
Ловушки для
спама, ловушки
для хакеров,
интеллектуальные
анализаторы
Черные списки
и репутация
Партнерство
со сторонними
разработчиками
Правила и логика
для конкретных платформ
Cisco Security Intelligence Operations

24
Немного фактов о SIO
Глобальная и локальная корреляция
через автоматический и человеческий
анализ
АНАЛИТИКА & ДАННЫЕ УГРОЗ
Широкий спектр источников данных
об угрозах & уязвимостях
БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ
Контекстуальная политика с
распределенным внедрением
ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру-
ктура
больших
данных
Обновления
в реальном
времени
Доставка
через
облако
150M
оконечных
устройств
14M
шлюзов
доступа
1.6M
устройств
Самообуча
ющиеся
алгоритмы
НИОКР
Open Source
Community

25
Проблемы с традиционным мониторингом
Admin
Базируется на правилах
• Зависимость от сложно
создаваемых вручную
правил
• Зависимость от
человеческого фактора
Зависимость от времени
• Занимает недели или
месяцы на обнаружение
• Требует постоянного
тюнинга
Security
Team
Очень сложно
• Часто требует
квалифицированный
персонал для управления
и поддержки
111010000 110 0111
Невозможно
идти в ногу с
последними
угрозами

СОВРЕМЕННЫЕ АЛГОРИТМЫ
Поведенческие алгоритмы
САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА
Теория игр и само-оптимизация
АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ
Учет сетевого, Web и Identity контекста
ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ
КИБЕР УГРОЗ
Поведенческий анализ
ОБНАРУЖЕНО

27
Потенциальная
угроза
Поведенческий
анализ
аномалий
Машинное
обучение
Внутренние
пользователи
Обнаружение угроз с Cognitive Threat Analytics

28
Безопасность WWWСеть
Identity & Политики
Будущее облачной аналитики угроз
Облачная аналитика и исследования угроз
Web
Rep
IPS
Rep
Email
Rep
Репутация
Глобальная аналитика
Портал угроз
Сетевые политики
Телеметрия
Телеметрия
сети
Поведенческий анализ
Глобальные данные об
угрозах
CTA

29
Решения Cisco в области веб-безопасности и
защиты электронной почты
Блокировка
фишинговых атак,
вирусов и спама
Защита от угроз
Безопасность данных
Защита данных
транзитного
трафика
и контроль приложений
и уменьшение
последствий угроз
веб-безопасности
Защита данных
в режиме онлайн
и контроль
использования
Веб-
электронной почты
Лидеры рейтинга Magic Quadrant
компании Gartner в 2013 году
Основные отличительные
особенности:
 Снижение совокупной
стоимости владения
 Эффективность и надежность
 Гибкое развертывание

30
Строгая защита входящего Web-трафика
WWW
Время запроса
Время ответа
Cisco® SIO
Фильтрация URL
Репутационные фильтры
Dynamic Content Analysis (DCA)
Сигнатурные антивирусные движки
БлокироватьWWW
РазрешитьWWW
ПредупредитьWWW WWW Частично
блокировать

31
Анализ репутации и добавление контекста
Ценность контента в режиме реального времени
Владелец
подозрительного
домена
Сервер в
местоположении
с высоким
уровнем риска
Динамический
IP-адрес
Домен
зарегистрирован
< 1 мин.
192.1.0.68
пример
.com
Example.org17.0.2.12 ПекинЛондонСан-ХосеКиев HTTPSSLHTTPS
Домен
> 2 лет
Домен
< 1 месяца
Веб-сервер
< 1 месяца
Кто КакГде Когда
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 011
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
Оценка IP репутации

32
1.Сканирование текста
Решения Cisco по контролю использования
Web-ресурсов на базе SIO
WWW
База данных
URL-адресов
3.Расчет приблизительной
категории документа
4.Заключение о наиболее
близкой категории
2. Оценка релевантности
Финансы
Для
взрослых
Здоровье
Финансы
Для
взрослых
Здоровье
РазрешеноWWW Предупреж-
дение
WWW WWW Частичная
блокировка
БлокировкаWWW
5. Применение политики
Если контент неизвестен,
страница анализируется
БлокировкаWWW
Предупреж-
дение
WWW
РазрешениеWWW
Если контент известен

33
Всесторонний контроль с Cisco Web Security
Сотни
Поведение
150,000+ микро-
приложений• Непрерывно обновляемая
база URL, покрывающая свыше
50 миллионов сайтов в мире
• Динамическая категоризация в
реальном времени для
неизвестных URL
• Контроль мобильных, web 2.0
приложений и приложений для
взаимодействия
• Применение политики к
пользователям и устройствам
• Гибкая политика контроля для
разных приложений
• Видимость всей активности по
сети
HTTP://
+
Application Visibility and Control (AVC)Фильтрация URL

34
Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика
ботнетов (“Phone-home”)
• Сканирование всего трафика, на всех
портах, по всем протоколам
• Обнаружение вредоносного ПО,
обходящего порт 80
• Предотвращение трафика ботнетов
Мощные данные для борьбы с
вредоносным кодом
• Автоматически обновляемые
правила
• Генерация правил в реальном
времени, используя “динамическую
идентификацию”
Инспекция
пакетов и
заголовков
Интернет

35
Решения Cisco в области безопасности электронной
почты на базе SIO
Устройство Облако Гибридные Управляемые
Защита от угроз
Защита о спама и вирусов
Целевая защита от угроз
Безопасность данных
Предотвращение потери данных
Шифрование
Централизованная
прозрачность и контроль
Поддержка
нескольких устройств

36
Защита Cisco Email Security
Cisco® SIO
Репутационная фильтрация SenderBase
Предотвращение спама и и спуфинга
Антивирусное сканирование & AMP
Анализ URL в реальном времени
Доставка Карантин Переписать URL Отбросить
Отбросить
Отбросить/Карантин
Отбросить/Карантин
Карантин/Переписать

37
• Заведомо легитимная
почта доставляется
• Подозрительные
сообщения
ограничиваются по
скорости и фильтруются
от спама
• Заведомо нежелательная
почта блокируется
IronPort
Anti-Spam
Входящая почта
Хорошие, плохие
и неизвестные сообщения
Фильтрация
по репутации
Cisco о Cisco
Наш корпоративный
опыт работы
с электронной почты
Категория сообщения % Сообщения
Остановлено фильтрацией на основе репутации 93.1% 700,876,217
Остановлено по причине недействительных получателей 0.3% 2,280,104
Обнаружен спам 2.5% 18,617,700
Обнаружен вирус 0.3% 2,144,793
Остановлено фильтром контента 0.6% 4,878,312
Общее количество сообщений об угрозах: 96.8% 728,797,126
Чистые сообщения 3.2% 24,102,874
Общее количество сообщений: 752,900,000
Фильтрация репутации SenderBase
Предотвращение угроз в реальном времени

38
Блокирование фишинговых атак и скрытых угроз
Репутационный фильтр
Спам-фильтр
Анализ контента сообщение
Черные списки
Защита от спуфинга
Блокирование неожидаемых
сообщений
Перенаправление подозрительных
ссылок для анализа и выполнения в
защищенное облако
Фильтрация плохих URL базируется
на репутации web и категориях

39
Строгий исходящий контроль
Шифрование
важной почты
Соответствие
политикам/
DLP
Контроль числа
исходящих
сообщений
Проверки AS/AV DKIM/SPF
Отправитель
Получатель

40
Централизованное управление & отчеты
Централизованный
репортинг
Централизованное
Встроенный анализ угроз Расследования инцидентов
Понимание
Через угрозы,
данные и приложения
Контроль
Соответствующие политики для
офисов и удаленных пользователей
Видимость
Видимость через различные
устройства, сервисы и сетевой уровень
Централизованное
политиками
Делегированное

41
Веб-безопасность облака Cisco
 Ведущий провайдер в области веб-безопасности
облака в 2012 г компания Infonetics
 Лидер рейтинга Magic Quadrant компании Gartner
в 2013 году
 Время безотказной работы сервисов 99,998%
 Экономия затрат 30–40% по сравнению
с решениями локального развертывания
 Лучшее решение по веб-безопасности
с централизованным управлением для
распределенных организаций
 ISR G2 с управляемой доступностью до Q3FY14
CWS
Защитаотнового
вредоносногоПО
иконтроль
Защита
пользователей
вроуминге
(AnyConnect)
Intelligence
Network
Connectors
Обеспечение
безопасностина
базеоблака
Гибкое развертывание
ISR G2* ASA Устройства
веб-безопасности
(WSA)
Облако VPN

42
AMP на Cisco Email и Web Security
• Поддерживается
На Cisco Email Security Appliance
На Cisco Web Security Appliance
На Cisco Cloud Web Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
вредоносных файлов

43
Интеграция AMP & VRT & ESA/WSA/CWS
AMP клиент – единый модуль, который применяется в WSA и ESA
Web/Sender
Reputation
Web/
Email
Proxy
VRT Sandboxing
WSA/ESA/CWS
Amp connector
Локальные
AV-сканеры
Запрос репутации файла
AMP
Cloud
Неизвестный файл,
загрузка в песочницу
Обновление
репутации
файлов
Sandbox
connector
AMP Client
Local
Cache
Обновление
ретроспективы

44
File SHA Hash
‘Fingerprint’
Неизвестно 1->100
Файл
распознан
Файл неизвестен
Отправить в песочницу?
Да
Нет
1->59 : чисто
60->100: заражено
Вердикт «Чисто»
Вердикт «Заражено»
Реакция по политики
ESA / WSA
Amp
Service
Amp Cloud Service
Вердикт
«Чисто» + отправить
в песочницу
Вердикт «Чисто»
Amp Client
Чисто
Заражено
Вердикт Рейтинг
Нет рейтинга
Принятие решений в связке AMP и ESA/WSA/CWS

Межсетевой экран нового поколения Cisco ASA
5500-X. Он единственный у Cisco?
• В 4 раза быстрее чем прежние модели ASA
5500
• Лучший в отрасли межсетевой экран ASA
и решение AnyConnect
• Сервисы межсетевого экрана нового
поколения
• Различные расширенные сервисы
безопасности, не снижающие
производительность
Application
Visibility&
Control(AVC)
Intrusion
Prevention
(IPS)
SecureRemote
Access
(AnyConnect)
WebSecurity
Essentials
(WSE)
Веб-
облака
Сервисы Cisco ASA NGFW (программное обеспечение)
Межсетевой экран нового поколения Cisco ASA
серии 5500-X (на аппаратной платформе)

Межсетевые экраны: вертикальное и
горизонтальное масштабирование
Cisco 7600 Routers ISR Routers
Catalyst 6500 Switches Nexus Switches
ASA Meraki MX
ASA 1000v VSG CWS
Sourcefire FW
ASAv
ASR Routers

47
Решения безопасности Sourcefire
ИНТЕЛЛЕКТУ-АЛЬНАЯ
СИСТЕМА
КОЛЛЕКТИВНОЙ
БЕЗОПАСНОСТИ
Центр управления
УСТРОЙСТВА | ВИРТУАЛЬНЫЕ
МЕЖСЕТЕВОЙ
ЭКРАН НОВОГО
ПОКОЛЕНИЯ
ПРЕДОТВРАЩЕНИЕ
ВТОРЖЕНИЙ
НОВОГО
ПОКОЛЕНИЯ
РАСШИРЕННАЯ
ЗАЩИТА ОТ
ВРЕДОНОСНЫХ
ПРОГРАММ
ЗАВИСИМОСТЬ ОТ КОНТЕКСТА ХОСТЫ | ВИРТУАЛЬНЫЕ
МОБИЛЬНЫЕ

48
FirePOWER™:
single-pass, высокопроизводительное, с низкой задержкой
• Гибкая интеграция в программное
обеспечение
NGIPS,NGFW, AMP
Все вышеперечисленные
(просто выбрать соответствующий размер)
• Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с ->40 Гбит/с
Стекирование для масштабирования,
кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем
предотвращения вторжения, межсетевых экранов
нового поколения
от NSS Labs
До 320 ядер RISC
До 40 Гбит/с (система предотвращения вторжений)

49
Производительностьимасштабируемостьсистемыпредотвращениявторжений
Центр
обработки
данных
Комплекс зданий
Филиал
Малый/домаш-ний
офис
Интернет-
периметр
FirePOWER 7100 Series
500 Мбит/с – 1 Гбит/с
FirePOWER 7120/7125/8120
1 - 2 Гбит/с
FirePOWER 8100/8200
2 - 10 Гбит/с
FirePOWER серии 8200
10 – 40 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series
50 – 250 Мбит/с

50
Виртуальный сенсор
Виртуальные сенсоры
Виртуальный центр защиты
• Встроенное или пассивное развертывание
• Полный набор функциональных возможностей системы
предотвращения вторжений нового поколения
• Развертывается как виртуальное устройство
• Сценарии использования
Преобразование SNORT
Небольшие / удаленные площадки
Виртуализированные рабочие нагрузки (PCI)
• Управляет до 25 сенсорами
физические и виртуальные
одно окно
• Сценарии использования
Быстрая оценка
Предварительное тестирование перед производством
Операторы связи
ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает
RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.
DC

51
NGFW NGIPS AMP
Одна платформа служит для обработки всеv
жизненным циклом атаки
ДО
Вы видите,
вы контролируете
ВО ВРЕМЯ
Интеллектуальные
и с учетом контекста
ПОСЛЕ
Ретроспективные
средства безопасности

52
Межсетевой экран нового поколения: на базе системы
предотвращения вторжений нового поколения
• Ресурсы и пользователи, сопоставленные с
помощью FireSIGHT
• Нарушения правил доступа, обнаруженные
встроенными системами предотвращения
вторжений нового поколения
• Контроль приложений и контроль доступа,
коммутация и маршрутизация,
обеспечиваемые межсетевым экраном
• ЕДИНСТВЕННЫЙ межсетевой экран
нового поколения, который содержит
полнофункциональную систему
предотвращения вторжений нового
поколения

53
Межсетевой экран нового поколения Sourcefire
Ориентирован на угрозы
• Система предотвращения вторжений
нового поколения – проверка содержимого
• FireSIGHT – учет контекста
• Интеллектуальная система безопасности –
управление черным списком
• Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению,
пользователю, URL-адресу
• И все эти компоненты прекрасно
интегрируются друг с другом
Используются политики системы предотвращения
вторжений
Политики контроля файлов
Политика
межсетевого экрана
Политика в отношении
системы предотвращения
вторжений нового поколения
файлов
вредоносных программ
Контролируемый
трафик
Коммутация,
маршрутизация, сеть VPN,
высокая доступность
Осведомленность об URL-
адресах
Интеллектуальная система
Определение местоположения
по IP-адресу

54
Выделенное устройство Advanced
Malware Protection (AMP)
for FirePOWER (NGIPS, NGFW)
FireAMP для узлов, виртуальных
и мобильных устройств
Защита от вредоносного кода (антивирус)

55
Наш подход к расширенной защите от вредоносных программ
SaaS Manager
Сенсор Sourcefire
Центр управления FreeSIGHT
Лицензия на
AMP Malware
#
✔✖
#
Сервисы
обнаружения и анализ
больших данных
AMP для сетей AMP для оконечных устройств
SSL:443 | 32137
Пульсация: 80

56
Dedicated Advanced
Malware Protection
Appliance
AMP for FirePOWER
(NGIPS / NGFW)
AMP for Gateway:
Email Security
Appliance
Web Security
Appliance
Cloud Web Security
Gateway Network
PC’s
Mac’s
Mobile Devices
Virtual Machines
Endpoint
Public Cloud
Private Cloud
До
В
процессе
После
Облачные
преимущества:
 Коллективная
разведка
 Непрерывный
анализ
 Ретроспектива
 Отслеживание
 Анализ причин
 Контроль

57
FireAMP Private Cloud
 Портал управления для
быстрого внедрения и
менеджмента
 Защита на уровне сети и
оконечных устройств
 Обезличенные файлы
могут передаваться в
глобальное облако
 Отслеживание эпидемий

58
Какие системы были заражены?
Почему это произошло?
Где источник заражения?
За что еще он отвечает?
С кем он еще взаимодействовал?
Смотритевсуть:траекторияустройства
Смотрите широко: траектория сети
Анализ траектории файла и устройства – поиск
источника заражения

59
Время появления
Инфицированные системы
Сетевая траектория файла

60
Анализ траектории файла

61
Комплексная защиты от вредоносных программ
• Полный набор
функций
• Непрерывный анализ
• Интегрированные
инструменты
реагирования
• Анализ
больших данных
• Контроль
и восстановление
Интеллектуальная система коллективной безопасности

62
Sourcefire Defense Center®
• Настраиваемая инструментальная
панель
• Комплексные отчеты и оповещения
• Централизованное управление
политиками
• Иерархическое управление
• Обеспечение высокой доступности
• Интеграция с существующими системами

63
DC750 DC1500 DC3500
Макс. число управляемых
устройств*
10 35 150
Макс. число событий системы
предотвращения вторжений
20 млн. 30 млн. 150 млн.
Система хранения событий 100 Гб 125 Гб 400 Гб
Макс. сетевая карта
(хосты | пользователи)
2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.
Макс. скорость потока
(потоков/с)
2000 потоков/с 6000 потоков/с 10000 потоков/с
Возможности
высокой доступности
Дистанционное управление (LOM)
RAID 1, LOM,
High Availability
pairing (HA)
RAID 5, LOM,
HA, резервный
источник питания пер. тока
Устройства центра обеспечения защиты
* Макс. число устройств зависит от типа сенсора и частоты событий

64
Одна консоль – множество ролей

65
Управление политиками

66
Пассивное
обнаружение
В первую очередь необходимо знать, что у вас есть
Невозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Пользователи
Коммуникации
Уязвимости
Все время
в режиме
реального времени

67
Полный FireSIGHT
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?

68
Автоматизация создания политик и правил

69
Инструментальная панель

70
Понимание контекста в FireSIGHT
Просмотр всего трафика
приложения...
Поиск приложений
с высокой степенью риска... Кто их использует?
Какие использовались операционные
системы?
Чем еще занимались эти пользователи?
Как выглядит их трафик за период времени?

71
Различные категории URL
URLs категорированы по уровню рисков
Фильтрация URL

72
Контроль по типам файлов

73
«Черные списки»
 Что это?
•Сигналы тревоги и правила блокирования:
•Трафик ботнетов и C&C / Известные злоумышленники /
открытые прокси/релеи
•Источники вредоносного ПО, фишинга и спама
•Возможно создание пользовательских списков
•Загрузка списков от Sourcefire или иных источников
 Как это может помочь?
•Блокировать каналы вредоносных коммуникаций
•Непрерывно отслеживать любые
несанкционированные и новые изменения

74
• Визуализация карт, стран и городов для событий и
узлов
Геолокация

75
Дизайнер пользовательских отчетов

76
Платформы ASA и FirePOWER
Производительность
и размещение в сети
Устройство системы
предотвращения вторжений
Интегрированный межсетевой
экран + система предотвращения
вторжений
Домашний офис / небольшой филиал
50-250 Мбит/с
FirePOWER 7010/20/30 ASA 5505
Филиал
500 Мбит/с - 1 Гбит/с
FirePOWER 7100 ASA 5512/5515
Интернет-периметр
1-2 Гбит/с
FirePOWER 7120/7125/8120 ASA 5525/5545
Комплекс зданий
2-10 Гбит/с
FirePOWER 8100/8200 ASA 5555 & 5585-10/20
Центр обработки данных,
10-40 Гбит/с
FirePOWER 8200/8300 ASA 5585-40/60
Примечание. К автономным системам предотвращения вторжений могут применяться ограничения в отношении
использования в домашних офисах и небольших филиалах

77
Не забывайте: приложения зачастую используют
шифрование
• и по умолчанию используют SSL
• Преимущества решения внешнего дешифрования Sourcefire
Повышенная производительность – ускорение и политика
Централизованное управление ключами
Поддержка взаимодействия со сторонними продуктами
SSL1500 SSL2000 SSL8200
1,5 Гбит/с 2,5 Гбит/с 3,5 Гбит/с
4 Гбит/с 10 Гбит/с 20 Гбит/с

78
Решение SSL Appliance
• «Известный серверный ключ» для SSL
v2
Требуется доступ к серверному ключу
Выполняет дешифрование входящих
данных SSL
• «Повторное подписание сертификата»
для SSL v3
Требуется промежуточный сертификат
в браузерах
Выполняет дешифрование исходящих
данных SSL
Метод известного серверного ключа
Метод повторного подписывания сертификата

79
Гибкие варианты развертывания
На территории и за пределами территории потребителя
Варианты
разверты-
вания
Коннекторы /
Переадре-
сация
На территории потребителя Облако
Облако
МСЭМаршрутизатор Роуминг
Виртуальное
решение
Межсетевой экран
Роуминг
Устройство
Клиентские
системы
Неявная Явная
МСЭМаршрутизатор
Неявная Явная

80
Предотвращение потери данных
Снижение риска утечки конфиденциальной информации
На территории
заказчика
Интеграция
политик DLPс
использованием
протокола ICAP
CWS
Устройства веб-безопасности
(WSA)
Облако
DLP другого
производителя
+
Базовая
политика
DLP
Расширенная политика
DLP

Модель открытого
программирования
Распределение
контекстных
атрибутов
Использование
меток для активов
Next Generation
Encryption

82
Every Platform Needs Context
Every Platform has Context to Share
pxGrid
обмен
контекстом
Информация для обмена информацией о
безопасности– pxGrid
SIO
Единая
инфраструктура
Прямые,
защищенные
интерфейсы

83
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM),
облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование значения Сети
Текущая экосистема
партнеров Cisco

Широкий охват и глубина видимости IP-устройств в сети
Платформа для анализа контекста и
управления политиками
Cisco Identity Service Engine (ISE)

85
Cisco ISE - унифицированное управление
контекстом и сетью
Преимущества унифицированного
управления контекстом
Более глубокое понимание вопросов, связанных с
сетью и с безопасностью
Более детальное управление BYOD и
чувствительными пользователями/группами
Выявление важных сетевых событий и событий
безопасности и создание условий для их
использования
Унификация пакетов политик
Готовность к Всеобъемлющему Интернет
Кто | Что | Где | Когда | Как
Инфраструктура
ИТ или IoT
Cisco ISE
Политики
Совместное
использовани
е контекста
Выполнение
сетевых
действий
Сеть на базе
Cisco

87
Тип
Местополож
ение
Пользователь
Оценка Время Метод доступа
Прочие
атрибуты
Пример политики доступа

88
Cisco ISE и SIEM/защита от угроз
• Уточнение, на каких событиях в сфере безопасности требуется
сосредоточиться
• Анализ безопасности на базе устройства, пользователя и группы
позволяет SIEM/TD тщательно проверить определенные среды, например,
BYOD или группы пользователей высокого риска
• Обеспечение эффективности событий в сфере безопасности в сети
Сетевой карантин для
пользователей и
устройств с помощью ISE
SIEM & TD ПРИНИМАЮТ МЕРЫ
Идентификация, тип устройства, оценка состояния,
уровень авторизации, местоположение
CISCO ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ
Преимущества

89
Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения
• Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и
привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства
• ISE связывает привилегии доступа с контекстом соответствия
Cisco ISE + pxGrid = экосистема безопасности

90
Пример контроля доступа с интеграцией с MDM
90
Jail BrokenPIN Locked
EncryptionISE Registered PIN LockedMDM Registered Jail Broken

91
Sourcefire API Framework для интеграции с другими
решениями
• eStreamer – Защищенный канал для передачи данных о событиях ИБ
• Host Input – Использование 3rd данных об узлах и уязвимостях
• Remediation – Реагирование через решения 3rd фирм
• JDBC Interface – Запросы по событиям безопасности и узлам

92
Объединенная партнерская программа Sourcefire по категориям
Объединенная ИНФРАСТРУКТУРА API

сенсоров
мест
контроля в
реальном времени
СЕТЬ КАК СЕНСОР

95
TrustSec
Enabled
Enterprise
Network
Identity
Services
Engine
NetFlow: Switches, Routers,
и ASA 5500
Контекст:
NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое
понимание внутренней активности в сети
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы
Cisco Identity, Device, Posture, Application
Cyber Threat Defense обеспечивает внутренние
контроль и защиту

96
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch
FlowCollector
StealthWatch
Management
Console
NetFlow
StealthWatch
FlowSensor
StealthWatch
FlowSensor VE
Users/Devices
Cisco ISE
NetFlow
StealthWatch
FlowReplicator
Другие коллекторы
https
https
NBAR NSEL

97
Cisco CTD: обнаружение угроз без сигнатур
Что делает 10.10.101.89?
Политика Время начала Тревога Источник Source Host
Groups
Цель Детали
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная утечка
данных
10.10.101.89 Атланта,
Десктопы
Множество хостов Наблюдается 5.33 Гб. Политика
позволяет максимум до 500 Мб

98
Cisco CTD: обнаружение угроз без сигнатур
Высокий Concern Index показывает значительное
количество подозрительных событий
Группа узлов Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов

99
Cisco CTD и Cisco ISE: сила в единстве
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя пользователя Тип устройства Цель
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная
утечка данных
10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество
хостов

100
Cisco Cyber Threat Defense

101
Cisco Cyber Threat Defense: крупным планом
Обнаружение разных типов
атак, включая DDoS
Детальная статистика о всех
атаках, обнаруженных в сети

102
7%
17%
76%
Трафик между ЦОДами
Восток – Запад
Север–Юг
ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ

103
ТРАДИЦИОННАЯ
СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛЬ SDN
В ЦОДАХ
БУДУЩАЯ
ОТКРЫТАЯ МОДЕЛЬ
Сеть узлов Виртуализация SDN Application Centric
Infrastructure
Виртуализированные МСЭ
Cisco ASA 1000V / VSG
Cisco ONE / eXtensible Network
Controller
Cisco vESA / vWSA
Imperva WAF / Citrix NetScaler
Традиционные решения
по защите ЦОД
Межсетевой экран
«север-юг»
Предотвращение
вторжений
Cisco ACI
Cisco Application
Programmable Interface
Controller (APIC)
Cisco ASAv
Эволюция ЦОДов

104
ВИРТУАЛЬНАЯ ФИЗИЧЕСКАЯ
ASA 5585-X
Кластеризация с
поддержкой состояния
Масштабирование до 640
Гбит/с
ASAv
Полный набор
функций ASA
Независимость от
гипервизора
Масштабирование
ASA
Новое решение – Cisco ASAv

КОНТРОЛЬ
ДОСТУПА
Firewall
ОСОЗНАНИЕ
КОНТЕНТА
ОСОЗНАНИЕ
КОНТЕКСТА
Identity, Данные, Место
ОСОЗНАНИЕ
УГРОЗ
Malware, APT
Firewall Контентные шлюзы
Интегрированная
платформа
Виртуализа
ция
Облако
УстройствоЦОДСеть
Интегрированная платформа для защиты
Стратегия Cisco

Решение по безопасности,
встроенное,
а не пристроенное

Cisco strategy and vision of security 24 04_2014

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Cisco strategy and vision of security 24 04_2014

Similar to Cisco strategy and vision of security 24 04_2014 (20)

More from Tim Parson

More from Tim Parson (12)

Cisco strategy and vision of security 24 04_2014