Документ обсуждает важность безопасности сетевой инфраструктуры и необходимость отказа от традиционных моделей защиты периметра. Он подчеркивает, что современные атаки становятся все более сложными, и традиционные методы защиты не могут адекватно справляться с угрозами. Рекомендуется использовать подход 'сеть как сенсор' и активировать встроенные функции безопасности для проактивного обнаружения и предотвращения вредоносной активности.

1. Cisco Confidential 1© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вы все еще опираетесь на
точки контроля в сети?
Выбросьте их на свалку!
Превратите всю сеть в СЗИ!
Алексей Лукацкий
Бизнес-консультант по безопасности, Cisco

2. Cisco Confidential 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Мобильность, облака,
Интернет вещей
Проблема №1
Целевые атаки
– это большая проблема
Проблема №2
Современная сеть
сложна
Проблема №3
*PonemonInstituteStudy

3. 3
Защита периметра – это только начало пути
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы

4. 4
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.
Вы знаете, что вы уже
скомпрометированы?
Вредоносный
трафик обнаружен в
100% сетей*
Cisco 2014 Annual Security Report
*Компании подключены к доменам, которые распространяют
вредоносные файлы или сервисы
Корпоративные сети уже скомпрометированы

5. 5
Проблемы с традиционной моделью
«эшелонированной» безопасности на периметре
Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность
Ручные и статические
механизмы
Медленный отклик,
ручное управление,
низкая
результативностьНаличие обходных каналов
Мобильные устройства,
Wi-Fi, флешки, ActiveSync,
CD/DVD и т.п. ç Как ваш NGFW защитит от этого?

6. “Мишенью для атаки может стать
все, что угодно!”
Никому нельзя верить. Cisco можно J
Приложениям, сертификатам, облакам, устройствам, пользователям…
“Сеть – это не только ПК и
пользователи”

7. “Безопасность сети становится
критичной задачей!”

8. 8
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
100%-й безопасности нет – станьте как пионер,
готовыми ко всему, включая заражение
ДО
Понять
Защитить
Усилить
ПОСЛЕ
Локализовать
Вылечить
Устранить
Обнаружить
Блокировать
Отразить
ВО ВРЕМЯ
Видимость и защита в течение всего жизненного цикла
Сеть как защитная
стена
Сеть как инструмент
реагирования
Сеть как сенсор
ACI
ACI

9. 9
Искусство сетевой безопасности
Важный совет
Усильте безопасность, используя
встроенную в сеть защиту
Сеть как сенсор, защитная стена и средство реагирования

10. 10
Сеть как сенсор
Пользователи ВредоносыУстройства Трафик Приложения

11. 11
Вы не можете защитить то, чего не видите
На периметре вы видите только верхушку айсберга
01010
10010
11
01010
10010
11
01010
10010
11
01010
10010
11

12. 12
Что сеть может сделать для вас?
Сеть как сенсор
Обнаружить аномальный трафик и вредоносы
Например, коммуникации с вредоносными сайтами или эпидемию ВПО внутри сети
Обнаружить использование приложений и
нарушение пользователями политик
Например, доступ к финансовому серверу, работу по Skype или утечки данных
Обнаружить посторонние устройства в сети
Например, работу несанкционированных 3G/4G-модема или точки доступа

13. 13
Обнаружить необнаруживаемое… Проактивно!
Пользователи ВредоносыПриложенияТрафикУстройство
Сеть как сенсор
Видимость сети, контроль, контекст и аналитика
ACI Vision: Policy Based, Automated Security at Scale
Обнаружение чужих AP (Wireless Security Module)
Обнаружение несоответствующих политике устройств (Device Sensor, ISE)
Обнаружение изменения репутации внешних и внутренних устройств (NetFlow, Lancope)
Обнаружение аномалий в трафике (NetFlow, Lancope, NBAR2)
Обнаружение сетевых DDoS-атак (Control Plane Policing, CleanAir)
Обнаружение источника и пути распространения APT (NetFlow, ISE, Lancope)
Обнаружение управления и работы вредоносного ПО (NetFlow, Lancope)
Обнаружение аномального поведения приложений (NBAR2)Обнаружение нарушения пользовательского доступа (Identity Services Engine, TrustSec)Обнаружение вредоносного ПО в почте и Web (ISR, Cisco Cloud Web Security)
Обнаружение вторжений, ботнетов, целевых атак, SQL Injection, вредоносного ПО
(IPS Module, Wireless IPS (wIPS), Sourcefire NGIPS)
Обнаружение распространения вредоносного ПО внутри (NetFlow, Lancope)
Обнаружение утечек данных (NetFlow, Lancope)
Система раннего предупреждения (Cisco Security Intelligence Operations)

14. 14
Распознавание широкого спектра устройств

15. 15
Опыт Cisco: идентификация и блокирование посторонних
беспроводных устройств
• Само мобильное устройство не может сказать, что оно «чужое»
• Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного
• Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают
контролировать беспроводной эфир
• Все это часть функционала платформы Cisco Mobility Services Engine

16. 16
Распознавание приложений и их функций на примере
Skype

17. 17
Учет контекста: кто, что, где, когда и как
• Профиль хоста включает всю
необходимую для анализа
информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система
• Используемые приложения
• Зарегистрированные
пользователи
• Сетевой протокол
• Транспортный протокол
• Прикладной протокол
• И т.д.
• Идентификация и
профилирование мобильных
устройств

18. 18
NetFlow – сердце подхода «Сеть как сенсор»
Путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информации
для каждого сетевого соединения
Каждое сетевое соединения
в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты,
время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент
для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n семплов

19. 19
Кто КтоЧто
Когда
Как
Откуда
Больше контекста
Высокомасштабиуремый сбор
Высокое сжатие => долговременное
хранилище
NetFlow с точки зрения контекста

20. 20
NetFlow – сердце подхода «Сеть как сенсор»
Пример: NetFlow Alerts с Lancope StealthWatch
Отказ в обслуживании
SYN Half Open; ICMP/UDP/Port Flood
Распространение червей
Инфицированный узел сканирует сеть и соединяется с узлами
по сети; другие узлы начинают повторять эти действия
Фрагментированные атаки
Узел отправляет необычный фрагментированный трафик
Обнаружение ботнетов
Когда внутренний узел общается с внешним сервером C&C
в течение длительного периода времени
Изменение репутации узла
Потенциально скомпрометированные внутренние узлы или
получение ненормального скана или иные аномалии
Сканирование сети
Сканирование TCP, UDP, портов по множеству узлов
Утечки данных
Большой объем исходящего трафика VS. дневной квоты

21. 21
NetFlow – сердце подхода «Сеть как сенсор»
NetFlow в действии: атака в процессе реализации
Стадия атаки Обнаружение
Использование уязвимостей
Злоумышленник сканирует IP-адреса и порты для поиска
уязвимостей (ОС, пользователи, приложения)
1
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе
Установка вредоносного ПО на первый узел
Хакер устанавливает ПО для получения доступа2
§ NetFlow может обнаружить входящий управляющий
трафик с неожиданного месторасположения
Соединение с “Command and Control”
Вредоносное ПО создает соединение с C&C серверами
для получения инструкций
3
§ NetFlow может обнаружить исходящий трафик к
известным адресам серверов C&C
Распространение вредоносного ПО на другие узлы
Атака других систем в сети через использование
уязвимостей
4
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе внутреннего узла
Утечка данных
Отправка данных на внешние сервера5
§ NetFlow может обнаружить расширенные потоки (HTTP, FTP,
GETMAIL, MAPIGET и другие) и передачу данных на внешние
узлы

22. 22
Обнаружение вредоносного кода на базе NetFlow
• Что делать, когда вы не
можете поставить сенсор IPS
на каждый сегмент сети?
• У вас же есть NetFlow на
каждом коммутаторе и
маршрутизаторе
• Отдайте его для обнаружения
аномальной активности
• Сканирование
• Целенаправленные угрозы
• Эпидемии вредоносного ПО
• DDoS
• Утечки данных
• Ботнеты

23. 23
StealthWatch 6.6 как часть CTD: что нового
• Alarm Workflow
• Новые алгоритмы безопасности
• Улучшения Threat Feed
• Поддержка NBAR2
• Интеграция с ISE расширяется
поддержкой карантина
• Улучшения управления
заданиями
• Поддержка Cisco UCS
• ANC – Assisted Network
Classification for Network Scanners
• FlowCollector 5000
• FlowReplicator High Availability
• Virtual FlowCollector 1K, 2K, 4K

24. 24
StealthWatch 6.7 как часть CTD: что нового
Функции безопасности
• Работа с прокси
• Интеграция с TrustSec
• External Lookup
• StealthWatch Security Update
• Новые алгоритмы безопасности
Ease of Use to Improve MTTK
• Улучшенный Work Flow
• Улучшенный Flow Queries
• Улучшения управления запросами и
заданиями
Устройства и платформы
• Обновление централизованного управления
• Dell 13G Hardware Platform
• Поддержка KVM Hypervisor для FC VE

25. 25
Репутационный анализ AMP Поведенческий анализ AMP
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
У нас есть эмуляция атак и песочница, но не только

26. 26
MAC
Выделенные
устройства
NGIPS / NGFW
на FirePOWER
ПК
Cloud Web Security
& Hosted Email
SaaS
Web & Email Security
Appliances
Мобильные устройства Cisco ASA с
FirePOWER Services
Платформа обнаружения вредоносного кода AMP
На маршрутизаторе, МСЭ, IPS, WSA/ESA, ПК, в облаке

27. 27
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

28. 28
Искусство сетевой безопасности
Важный совет
Знайте, что значит нормально
Сеть как сенсор
Трафик, Потоки, Приложения, Устройства, Пользователи

29. 29
Сеть как защитная стена

30. 30
Что сеть может сделать для вас?
Сеть как защитная стена
Сегментировать сеть для локализации атак
TrustSec - Secure Group Tagging, VRF, ISE и многое другое
Шифровать трафик для защиты данных в
процессе передачи
MACsec for Wired, DTLS for Wireless, IPSec/SSL for WAN и многое другое
Защитить филиалы при прямом доступе в
Интернет
IWAN, Cloud Web Security and More

31. 31
Искусство сетевой безопасности
Важный совет
Разделяй и защищай
Сегментируйте сеть для локализации атак
TrustSec, ISE, VLAN/VRF/EVN, ACL

32. 32
Сеть как защитная стена
ACI Vision: Policy Based, Automated Security at Scale
Сегментируйте сеть и контролируйте доступ для
локализации атак
Сегментация сети
для локализации атак
Контроль доступа
для выполнения политик
Контроль доступа пользователей на базе
устройства, местоположения, типа сети, времени
и других параметров (ISE)
Физические и виртуальные разрешения и запреты
(Access Control Lists)
Единая политика для проводного/беспроводного/
удаленного доступа (ISE, Unified Access Switches)
Ролевой контроль доступа на базе топологии,
способа доступа (TrustSec/SGT, ISE)
Сегментация сети (VLAN, TrustSec/SGT, VRF/EVN)

33. 33
Cisco TrustSec
Сегментация на базе ролей и политик
Гибкая и масштабируемая политика
Switch Router DC FW DC Switch
Простота управления доступом
Ускорение защитных операций
Единая политика везде
Кто может общаться и с кем
Кто может получить доступ к активам
Как система может общаться с
другими системами
Политика

34. 34
Реализация требований законодательства
Кампус Филиал Склад
Банки
ЦОД
Без сегментацииC сегментацией
Область
действия аудита
Упрощение
выполнение
требований и
ускорение аудита
при наличии
сегментации

35. ü 802.1X
ü MAB
ü WebAuth CISCO SWITCHES, ROUTERS, WIRELESS ACCESS POINTS
ISE: управление политиками в масштабах всей сети
Унификация политик вне зависимости от типа доступа
Сеть, поддерживающая 802.1X
ИДЕНТИФИКАЦИЯ
КОНТЕКСТ
КТО ЧТО ОТКУДА КОГДА КАК
ü Гостевой доступ
ü Профилирование
ü Состояние
Security Camera G/W Vicky Sanchez Francois Didier Frank Lee Personal iPad
Agentless Asset
Chicago Branch
Employee, Marketing
Wireline
3 p.m.
Consultant
HQ - Strategy
Remote Access
6 p.m.
Guest
Wireless
9 a.m.
Employee Owned
Wireless HQ

36. 36
Опыт Cisco: контроль доступа внутри такой же, что и на
периметре!
Тип
устройства
МестоположениеПользователь Оценка Время Метод доступа
Прочие
атрибуты

37. 37
Опыт Cisco: интеграция с MDM для контроля BYOD
Jail BrokenPIN Locked
EncryptionISE Registered PIN LockedMDM Registered Jail Broken

38. 38
Искусство сетевой безопасности
Важный совет
Шифруйте данные на лету
Защитите ваши данные с MACSec, IPSec, DTLS, CISF

39. 39
Шифрование и предотвращение перехвата данных
Реализуйте сетевую защиту для защиты от любопытных глаз
Сеть как защитная стена
ACI Vision: Policy Based, Automated Security at Scale
Шифрование данных Защита от перехвата
Защита от слежки:
Catalyst Integrated Security Feature Set (Port
Security, DHCP Snooping, IP Source Guard,
Dynamic ARP Inspection), IPv6 First Hop Security
Предотвращение атак на Wi-Fi-спектр: CleanAir
Реализация многоуровневого шифрования:
LAN Link (Wired) Encryption: MACsec
LAN Link (Wireless) Encryption: DTLS
WAN Link Encryption: IPSec, SSL
Mobile Device Encryption: ISE с MDM
Шифрование по ГОСТ 28147-89

40. 40
Защитите вашу инфраструктуру WAN
Умный WAN для филиалов
Масштабируемый WAN
и Интернет-доступ
Защищенные
соединения
Интеграция с Cloud Web Security, фильтрация
Web в реальном времени с контролем
приложений
Масштабируемая безопасность через Dynamic
Multipoint VPN (DMVPN)
Масштабируемая криптография, в т.ч. и на ГОСТ
Интегрированный МСЭ/IPS
Надежная аутентификация
Улучшенная производительность приложений
Едино для любого транспорта
Автоматические туннели Site-to-Site IPsec
Zero-touch Hub Configuration
Инкапсулация трафика
Сеть как защитная стена
ACI Vision: Policy Based, Automated Security at Scale

41. 41
Искусство сетевой безопасности
Важный совет
Используйте встроенную
безопасность
Вы уже инвестировали в вашу сетевую инфраструктуру
Активируйте TrustSec, NetFlow, шифрование и др.

42. 42
Сеть как инструмент реагирования

43. 43
Что сеть может сделать для вас?
Сеть как инструмент реагирования
Уменьшить время восстановления и ускорить
реагирование
Например, анализ траектории вредоносного кода, интеграция с AD на уровне сети
Автоматизировать настройку и динамически ее
менять исходя из ситуации в сети
Например, ACL, QoS, динамические политики, корреляция событий
Интегрироваться с другими решениями для
защиты инвестиций и роста качества защиты
Например, RESTful API, eStreamer API и т.п.

44. 44
Искусство сетевой безопасности
Важный совет
Автоматизируйте для ускорения
Уменьшение времени реагирования
Автоматизация настроек политик через APIC Enterprise Module

45. 45
Автоматизация защиты и реагирования
Cisco APIC Enterprise Module в действии
Интеграция с FirePOWER
Network-Wide Rapid Threat Detection and Mitigation
Идентификация пробелов
Обнаружение дупликатов
Идентификация конфликтов
Обнаружение нестыковок
Оценка соответствия
Пометка политик
Follow-Me ACL
Автоматизация ACLs для мобильности
Автоматизация
ACL
Автоматизации
нейтрализации ВПО
Performance Routing (PfR) Config.
IWAN
Оценка соответствия политик WAN
IWAN
QoS
Автоматизация
защиты филиалов

46. 46
Встроенная система корреляции событий FireSIGHT
позволяет собирать данные по всей сети
События СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера

47. 47
Возможность отслеживать движение вредоносного ПО и
злоумышленника по сети
• Какие системы были
инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной
точкой?
• Почему это произошло?
• Что еще произошло?

48. 48
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM),
облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование значения Сети
Текущая экосистема
партнеров Cisco

49. 49
Шифруйте линки и включите CISF
Защитите ваши данные
5 принципов для построения настоящей защиты сети
Включите NetFlow
Поймите, что у вас значит нормально
Обнаруживайте необнаруживаемое… Заранее
Внедрите TrustSec/сегментация
Локализация атак
Ролевое управление, независящее от топологии и
типа доступа
Внедрите APIC-EM
Ускорьте конфигурирование и устранение проблем
Внедрите Intelligent WAN
Защитите филиалы и допофисы
Видимость Фокус на угрозы Платформы

50. 50
Поддержка на решениях Cisco
Классификация Распространение SGT Реализация политик
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/-X
Catalyst 3750-E/-X
Catalyst 4500E (Sup6E/7E)
Catalyst 4500E (Sup8)
Catalyst 6500E (Sup720/2T)
Catalyst 3850/3650
WLC 5760
Wireless LAN Controller
2500/5500/WiSM2
Nexus 7000
Nexus 5500
Nexus 1000v (Port Profile)
ISR G2 Router, CGR2000
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/, 3750-E
Catalyst 3560-X, 3750-X
Catalyst 3850/3650
Catalyst 4500E (Sup6E)
Catalyst 4500E (7E, 8), 4500X
Catalyst 6500E (Sup720)
Catalyst 6500E (2T), 6800
WLC 2500, 5500, WiSM2
WLC 5760
Nexus 1000v
Nexus 6000/5600
Nexus 5500/22xx FEX
Nexus 7000/22xx FEX
ISRG2, CGS2000
ASR1000
ASA5500 Firewall
SXP
SXP
IE2000/3000, CGS2000
ASA5500 (VPN RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SXP
SXP SGT
SXP SGT
SXP SGT
SXP
GETVPN. DMVPN, IPsec
• Inline SGT on all ISRG2 except 800 series:
Catalyst 3560-X
Catalyst 3750-X
Catalyst 4500E (7E)
Catalyst 4500E (8E)
Catalyst 6500E (2T)
Catalyst 6800
Catalyst 3850/3650
WLC 5760
Nexus 7000
Nexus 5600
Nexus 1000v
ISR G2 Router, CGR2000
ASA 5500 Firewall
ASAv Firewall
ASR 1000 Router
CSR-1000v Router
SXP
SGT
SGFW
SGFW
SGFW
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
SXP SGT
SXP SGT
Nexus 6000
Nexus 6000 Nexus 5500
Nexus 5600
SXP SGT
SGT
GETVPN. DMVPN, IPsec
SGT

51. 51
Сеть как сенсор
Обнаружение аномального трафика
Обнаружение нарушений пользователями политик
Обнаружение чужих устройств, точек доступа & других
Сеть как защитная стена
Сегментация сети для локализации атак
Шифрование данных для защиты от человека посередине
Защита филиалов для Direct Internet Access
Сеть как инструмент реагирования
Автоматизированное, близкое к реальному времени отражение атак
Роль сетевой безопасности

52. 52
Искусство сетевой безопасности
Важный совет
Объедините усилия
Защита от вредоносного кода
Безопасность, ориентированная на угрозы
Сеть как сенсор, защитная стена и средство реагирования

53. Спасибо