Смотреть запись: https://www.youtube.com/watch?v=Hc99vXpuvJk
Многие предприятия до сих пор строят свою систему защиты опираясь на уже устаревший периметровый подход, сосредотачивая все средства безопасности в одной-двух контрольных точках сети, полностью забывая про возможность обходных каналов - WiFi, флешек, 4G и т.п. Да и про внутреннего нарушителя, который уже находится внутри сети и может выполнять свое “черное дело”, не боясь быть обнаруженным периметровыми средствами защиты. Что делать в такой ситуации? Строить в внутренней сети еще одну, но уже наложенную систему безопасности? А может быть попробовать возложить эту задачу на то, что и так есть и во что инвестированы немалые средства? Речь идет о сетевой инфраструктуре, о маршрутизаторах, коммутаторах и точках доступа, которые могут не только передавать трафик из точки А в точку Б, но и эффективно защищать этот трафик, выполняя одновременно роль сенсора, защитной стены и инструмента реагирования на инциденты безопасности. Решения Cisco и подход “Сеть как система защиты” могут это!
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Сетевая безопасность: две стороны одной медалиКРОК
Вебинар «Сетевая безопасность: две стороны одной медали» http://www.croc.ru/action/detail/56301/
Презентация Данила Дрожжина, эксперта по сетевой безопасности КРОК
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Сетевая безопасность: две стороны одной медалиКРОК
Вебинар «Сетевая безопасность: две стороны одной медали» http://www.croc.ru/action/detail/56301/
Презентация Данила Дрожжина, эксперта по сетевой безопасности КРОК
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий КайдаловHackIT Ukraine
Блокчейн — новая технология, которая лежит в основе децентрализованной платежной системы Биткоин и других криптовалют. К настоящему времени она обрела значительную популярность и сейчас по праву считается прорывной для финансового мира. Однако, с ростом популярности участились случаи успешного осуществления разнообразных атак на блокчейн системы.
В докладе рассмотрена технология блокчейн в целом, ее наиболее значимые инновации, детально разобран ряд конкретных атак на популярные системы и проанализированы факторы, которые привели к появлению таких атак.
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
Совместный вебинар АО ДиалогНаука и Palo Alto Networks посвящен целевым кибератакам и платформе, которая поможет их предотвратить.
Спикер: Евгений Кутумин, Systen Engineer Russia & CIS, Palo Alto Networks
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Ежегодный отчет по безопасности. Защитники и их тактикаCisco Russia
В своем ежегодном отчете по информационной безопасности мы не только анализируем то, что происходит по ту сторону баррикад, у злоумышленников. Мы уделяем пристальное внимание и тому, как на эти вызовы реагируют специалисты по информационной безопасности корпоративных и ведомственных предприятий. К сожалению, приходится признать, что уверенность специалистов по ИБ в отношении своей способности противостоять современных киберпреступникам и киберугрозам падает.
Видеозапись: https://www.youtube.com/watch?v=m9eaTGu2CWM
Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий КайдаловHackIT Ukraine
Блокчейн — новая технология, которая лежит в основе децентрализованной платежной системы Биткоин и других криптовалют. К настоящему времени она обрела значительную популярность и сейчас по праву считается прорывной для финансового мира. Однако, с ростом популярности участились случаи успешного осуществления разнообразных атак на блокчейн системы.
В докладе рассмотрена технология блокчейн в целом, ее наиболее значимые инновации, детально разобран ряд конкретных атак на популярные системы и проанализированы факторы, которые привели к появлению таких атак.
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
Совместный вебинар АО ДиалогНаука и Palo Alto Networks посвящен целевым кибератакам и платформе, которая поможет их предотвратить.
Спикер: Евгений Кутумин, Systen Engineer Russia & CIS, Palo Alto Networks
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Ежегодный отчет по безопасности. Защитники и их тактикаCisco Russia
В своем ежегодном отчете по информационной безопасности мы не только анализируем то, что происходит по ту сторону баррикад, у злоумышленников. Мы уделяем пристальное внимание и тому, как на эти вызовы реагируют специалисты по информационной безопасности корпоративных и ведомственных предприятий. К сожалению, приходится признать, что уверенность специалистов по ИБ в отношении своей способности противостоять современных киберпреступникам и киберугрозам падает.
Видеозапись: https://www.youtube.com/watch?v=m9eaTGu2CWM
Ежегодный отчет Cisco по ИБ. Состояние защитыCisco Russia
Уже стало хорошей традицией для Cisco выпускать ежегодные отчеты по анализу угроз информационной безопасности, которые были зафиксированы специалистами компании Cisco. Не стал исключением и прошедший, 2015-й год, который запомнился тем, что злоумышленники стали еще быстрее в своих противоправных действиях, стали более скрытными, а их активность стала более прибыльной.
Видеозапись: https://www.youtube.com/watch?v=ER2cxsIr_S0
Углубленное изучение Security Group Tags: Детальный обзорCisco Russia
Security Group Tag (SGT) Обзор
– Высокоуровневый обзор
– Обзор технологии
Обзор вариантов использования и дизайна
– Разработаем политику TrustSec
– Контроль беспроводного доступа
– Контроль доступа в сегментах общего проживания
– Контроль доступа Партнера/Вендора/Контрактника
– Улучшенный дизайн с VRF для Университета
– Контроль доступа в сфере здравоохранения
– Контроль доступа в много-подсистемных сетях
– Контроль доступа в ритейловых сетях
– Контроль доступа и сегментация ЦОД
– Оркестрация системы контроля доступа для облачных и локальных
решений
Практические советы по выбору и настройке Cisco VPNSkillFactory
Сергей Кучеренко – инструктор онлайн-школы SkillFactory, CCIE Security и международный эксперт по информационной безопасности – о Cisco VPN: очень многообразной и сложной технологии, разобраться в которой бывает непросто даже опытным специалистам.
В данной сессии мы рассмотрим комплексную систему защиты внутренней сети организации от актуальных угроз. Разберем как можно выявлять инциденты безопасности с помощью интеллектуальной сети Cisco. Узнаем как с помощью сети можно эффективно останавливать внутренние и внешние атаки. Рассмотрим реализацию на решениях Cisco следующих сценариев: выявления зараженных хостов, их изоляцию и карантин, контроль трафика между рабочими станциями, перенаправление трафика для расследования инцидентов. В ходе презентации будут рассмотрены новые возможности для защиты сетей решений Cisco: Lancope StealthWatch и Identity Services Engine, а также архитектуры Cisco TrustSec.
Анонс новых решений по безопасности Cisco с выставки Interop 2014Cisco Russia
Анонс новых решений по безопасности Cisco с выставки Interop 2014:
- Cisco ISE 1.3
- AnyConnect 4.0
- Cyber Threat Defense 2.0
- новые партнеры в рамках pxGRID
Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...Positive Hack Days
Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Cisco к вопросам кибербезопасности АСУ ТП. Представлены основные решения Cisco для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
• Введение
• Обзор системы Cisco Stealthwatch
• Архитектура и развертывание Stealthwatch
• Начало работы с системой Stealthwatch
• Модель тревог
• Резюме
Возможность наблюдать все потоки трафика, приложения, пользователей и устройства, как известные, так и неизвестные, имеет решающее значение для выявления аномальных процессов в вашей сети. Система StealthWatch с помощью продвинутых методов поведенческого анализа преобразует данные о работе существующей инфраструктуры в полезную аналитическую информацию, позволяющую улучшить контроль состояния сети и информационную безопасность, а также быстрее реагировать на инциденты.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
3. 3
Защита периметра – это только начало пути
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
4. 4
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.
Вы знаете, что вы уже
скомпрометированы?
Вредоносный
трафик обнаружен в
100% сетей*
Cisco 2014 Annual Security Report
*Компании подключены к доменам, которые распространяют
вредоносные файлы или сервисы
Корпоративные сети уже скомпрометированы
5. 5
Проблемы с традиционной моделью
«эшелонированной» безопасности на периметре
Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность
Ручные и статические
механизмы
Медленный отклик,
ручное управление,
низкая
результативностьНаличие обходных каналов
Мобильные устройства,
Wi-Fi, флешки, ActiveSync,
CD/DVD и т.п. ç Как ваш NGFW защитит от этого?
6. “Мишенью для атаки может стать
все, что угодно!”
Никому нельзя верить. Cisco можно J
Приложениям, сертификатам, облакам, устройствам, пользователям…
“Сеть – это не только ПК и
пользователи”
8. 8
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
100%-й безопасности нет – станьте как пионер,
готовыми ко всему, включая заражение
ДО
Понять
Защитить
Усилить
ПОСЛЕ
Локализовать
Вылечить
Устранить
Обнаружить
Блокировать
Отразить
ВО ВРЕМЯ
Видимость и защита в течение всего жизненного цикла
Сеть как защитная
стена
Сеть как инструмент
реагирования
Сеть как сенсор
ACI
ACI
9. 9
Искусство сетевой безопасности
Важный совет
Усильте безопасность, используя
встроенную в сеть защиту
Сеть как сенсор, защитная стена и средство реагирования
11. 11
Вы не можете защитить то, чего не видите
На периметре вы видите только верхушку айсберга
01010
10010
11
01010
10010
11
01010
10010
11
01010
10010
11
12. 12
Что сеть может сделать для вас?
Сеть как сенсор
Обнаружить аномальный трафик и вредоносы
Например, коммуникации с вредоносными сайтами или эпидемию ВПО внутри сети
Обнаружить использование приложений и
нарушение пользователями политик
Например, доступ к финансовому серверу, работу по Skype или утечки данных
Обнаружить посторонние устройства в сети
Например, работу несанкционированных 3G/4G-модема или точки доступа
13. 13
Обнаружить необнаруживаемое… Проактивно!
Пользователи ВредоносыПриложенияТрафикУстройство
Сеть как сенсор
Видимость сети, контроль, контекст и аналитика
ACI Vision: Policy Based, Automated Security at Scale
Обнаружение чужих AP (Wireless Security Module)
Обнаружение несоответствующих политике устройств (Device Sensor, ISE)
Обнаружение изменения репутации внешних и внутренних устройств (NetFlow, Lancope)
Обнаружение аномалий в трафике (NetFlow, Lancope, NBAR2)
Обнаружение сетевых DDoS-атак (Control Plane Policing, CleanAir)
Обнаружение источника и пути распространения APT (NetFlow, ISE, Lancope)
Обнаружение управления и работы вредоносного ПО (NetFlow, Lancope)
Обнаружение аномального поведения приложений (NBAR2)Обнаружение нарушения пользовательского доступа (Identity Services Engine, TrustSec)Обнаружение вредоносного ПО в почте и Web (ISR, Cisco Cloud Web Security)
Обнаружение вторжений, ботнетов, целевых атак, SQL Injection, вредоносного ПО
(IPS Module, Wireless IPS (wIPS), Sourcefire NGIPS)
Обнаружение распространения вредоносного ПО внутри (NetFlow, Lancope)
Обнаружение утечек данных (NetFlow, Lancope)
Система раннего предупреждения (Cisco Security Intelligence Operations)
15. 15
Опыт Cisco: идентификация и блокирование посторонних
беспроводных устройств
• Само мобильное устройство не может сказать, что оно «чужое»
• Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного
• Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают
контролировать беспроводной эфир
• Все это часть функционала платформы Cisco Mobility Services Engine
17. 17
Учет контекста: кто, что, где, когда и как
• Профиль хоста включает всю
необходимую для анализа
информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система
• Используемые приложения
• Зарегистрированные
пользователи
• Сетевой протокол
• Транспортный протокол
• Прикладной протокол
• И т.д.
• Идентификация и
профилирование мобильных
устройств
18. 18
NetFlow – сердце подхода «Сеть как сенсор»
Путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информации
для каждого сетевого соединения
Каждое сетевое соединения
в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты,
время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент
для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n семплов
20. 20
NetFlow – сердце подхода «Сеть как сенсор»
Пример: NetFlow Alerts с Lancope StealthWatch
Отказ в обслуживании
SYN Half Open; ICMP/UDP/Port Flood
Распространение червей
Инфицированный узел сканирует сеть и соединяется с узлами
по сети; другие узлы начинают повторять эти действия
Фрагментированные атаки
Узел отправляет необычный фрагментированный трафик
Обнаружение ботнетов
Когда внутренний узел общается с внешним сервером C&C
в течение длительного периода времени
Изменение репутации узла
Потенциально скомпрометированные внутренние узлы или
получение ненормального скана или иные аномалии
Сканирование сети
Сканирование TCP, UDP, портов по множеству узлов
Утечки данных
Большой объем исходящего трафика VS. дневной квоты
21. 21
NetFlow – сердце подхода «Сеть как сенсор»
NetFlow в действии: атака в процессе реализации
Стадия атаки Обнаружение
Использование уязвимостей
Злоумышленник сканирует IP-адреса и порты для поиска
уязвимостей (ОС, пользователи, приложения)
1
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе
Установка вредоносного ПО на первый узел
Хакер устанавливает ПО для получения доступа2
§ NetFlow может обнаружить входящий управляющий
трафик с неожиданного месторасположения
Соединение с “Command and Control”
Вредоносное ПО создает соединение с C&C серверами
для получения инструкций
3
§ NetFlow может обнаружить исходящий трафик к
известным адресам серверов C&C
Распространение вредоносного ПО на другие узлы
Атака других систем в сети через использование
уязвимостей
4
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе внутреннего узла
Утечка данных
Отправка данных на внешние сервера5
§ NetFlow может обнаружить расширенные потоки (HTTP, FTP,
GETMAIL, MAPIGET и другие) и передачу данных на внешние
узлы
22. 22
Обнаружение вредоносного кода на базе NetFlow
• Что делать, когда вы не
можете поставить сенсор IPS
на каждый сегмент сети?
• У вас же есть NetFlow на
каждом коммутаторе и
маршрутизаторе
• Отдайте его для обнаружения
аномальной активности
• Сканирование
• Целенаправленные угрозы
• Эпидемии вредоносного ПО
• DDoS
• Утечки данных
• Ботнеты
23. 23
StealthWatch 6.6 как часть CTD: что нового
• Alarm Workflow
• Новые алгоритмы безопасности
• Улучшения Threat Feed
• Поддержка NBAR2
• Интеграция с ISE расширяется
поддержкой карантина
• Улучшения управления
заданиями
• Поддержка Cisco UCS
• ANC – Assisted Network
Classification for Network Scanners
• FlowCollector 5000
• FlowReplicator High Availability
• Virtual FlowCollector 1K, 2K, 4K
24. 24
StealthWatch 6.7 как часть CTD: что нового
Функции безопасности
• Работа с прокси
• Интеграция с TrustSec
• External Lookup
• StealthWatch Security Update
• Новые алгоритмы безопасности
Ease of Use to Improve MTTK
• Улучшенный Work Flow
• Улучшенный Flow Queries
• Улучшения управления запросами и
заданиями
Устройства и платформы
• Обновление централизованного управления
• Dell 13G Hardware Platform
• Поддержка KVM Hypervisor для FC VE
25. 25
Репутационный анализ AMP Поведенческий анализ AMP
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
У нас есть эмуляция атак и песочница, но не только
26. 26
MAC
Выделенные
устройства
NGIPS / NGFW
на FirePOWER
ПК
Cloud Web Security
& Hosted Email
SaaS
Web & Email Security
Appliances
Мобильные устройства Cisco ASA с
FirePOWER Services
Платформа обнаружения вредоносного кода AMP
На маршрутизаторе, МСЭ, IPS, WSA/ESA, ПК, в облаке
27. 27
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования
30. 30
Что сеть может сделать для вас?
Сеть как защитная стена
Сегментировать сеть для локализации атак
TrustSec - Secure Group Tagging, VRF, ISE и многое другое
Шифровать трафик для защиты данных в
процессе передачи
MACsec for Wired, DTLS for Wireless, IPSec/SSL for WAN и многое другое
Защитить филиалы при прямом доступе в
Интернет
IWAN, Cloud Web Security and More
32. 32
Сеть как защитная стена
ACI Vision: Policy Based, Automated Security at Scale
Сегментируйте сеть и контролируйте доступ для
локализации атак
Сегментация сети
для локализации атак
Контроль доступа
для выполнения политик
Контроль доступа пользователей на базе
устройства, местоположения, типа сети, времени
и других параметров (ISE)
Физические и виртуальные разрешения и запреты
(Access Control Lists)
Единая политика для проводного/беспроводного/
удаленного доступа (ISE, Unified Access Switches)
Ролевой контроль доступа на базе топологии,
способа доступа (TrustSec/SGT, ISE)
Сегментация сети (VLAN, TrustSec/SGT, VRF/EVN)
33. 33
Cisco TrustSec
Сегментация на базе ролей и политик
Гибкая и масштабируемая политика
Switch Router DC FW DC Switch
Простота управления доступом
Ускорение защитных операций
Единая политика везде
Кто может общаться и с кем
Кто может получить доступ к активам
Как система может общаться с
другими системами
Политика
34. 34
Реализация требований законодательства
Кампус Филиал Склад
Банки
ЦОД
Без сегментацииC сегментацией
Область
действия аудита
Упрощение
выполнение
требований и
ускорение аудита
при наличии
сегментации
35. ü 802.1X
ü MAB
ü WebAuth CISCO SWITCHES, ROUTERS, WIRELESS ACCESS POINTS
ISE: управление политиками в масштабах всей сети
Унификация политик вне зависимости от типа доступа
Сеть, поддерживающая 802.1X
ИДЕНТИФИКАЦИЯ
КОНТЕКСТ
КТО ЧТО ОТКУДА КОГДА КАК
ü Гостевой доступ
ü Профилирование
ü Состояние
Security Camera G/W Vicky Sanchez Francois Didier Frank Lee Personal iPad
Agentless Asset
Chicago Branch
Employee, Marketing
Wireline
3 p.m.
Consultant
HQ - Strategy
Remote Access
6 p.m.
Guest
Wireless
9 a.m.
Employee Owned
Wireless HQ
36. 36
Опыт Cisco: контроль доступа внутри такой же, что и на
периметре!
Тип
устройства
МестоположениеПользователь Оценка Время Метод доступа
Прочие
атрибуты
37. 37
Опыт Cisco: интеграция с MDM для контроля BYOD
Jail BrokenPIN Locked
EncryptionISE Registered PIN LockedMDM Registered Jail Broken
39. 39
Шифрование и предотвращение перехвата данных
Реализуйте сетевую защиту для защиты от любопытных глаз
Сеть как защитная стена
ACI Vision: Policy Based, Automated Security at Scale
Шифрование данных Защита от перехвата
Защита от слежки:
Catalyst Integrated Security Feature Set (Port
Security, DHCP Snooping, IP Source Guard,
Dynamic ARP Inspection), IPv6 First Hop Security
Предотвращение атак на Wi-Fi-спектр: CleanAir
Реализация многоуровневого шифрования:
LAN Link (Wired) Encryption: MACsec
LAN Link (Wireless) Encryption: DTLS
WAN Link Encryption: IPSec, SSL
Mobile Device Encryption: ISE с MDM
Шифрование по ГОСТ 28147-89
40. 40
Защитите вашу инфраструктуру WAN
Умный WAN для филиалов
Масштабируемый WAN
и Интернет-доступ
Защищенные
соединения
Интеграция с Cloud Web Security, фильтрация
Web в реальном времени с контролем
приложений
Масштабируемая безопасность через Dynamic
Multipoint VPN (DMVPN)
Масштабируемая криптография, в т.ч. и на ГОСТ
Интегрированный МСЭ/IPS
Надежная аутентификация
Улучшенная производительность приложений
Едино для любого транспорта
Автоматические туннели Site-to-Site IPsec
Zero-touch Hub Configuration
Инкапсулация трафика
Сеть как защитная стена
ACI Vision: Policy Based, Automated Security at Scale
41. 41
Искусство сетевой безопасности
Важный совет
Используйте встроенную
безопасность
Вы уже инвестировали в вашу сетевую инфраструктуру
Активируйте TrustSec, NetFlow, шифрование и др.
43. 43
Что сеть может сделать для вас?
Сеть как инструмент реагирования
Уменьшить время восстановления и ускорить
реагирование
Например, анализ траектории вредоносного кода, интеграция с AD на уровне сети
Автоматизировать настройку и динамически ее
менять исходя из ситуации в сети
Например, ACL, QoS, динамические политики, корреляция событий
Интегрироваться с другими решениями для
защиты инвестиций и роста качества защиты
Например, RESTful API, eStreamer API и т.п.
44. 44
Искусство сетевой безопасности
Важный совет
Автоматизируйте для ускорения
Уменьшение времени реагирования
Автоматизация настроек политик через APIC Enterprise Module
45. 45
Автоматизация защиты и реагирования
Cisco APIC Enterprise Module в действии
Интеграция с FirePOWER
Network-Wide Rapid Threat Detection and Mitigation
Идентификация пробелов
Обнаружение дупликатов
Идентификация конфликтов
Обнаружение нестыковок
Оценка соответствия
Пометка политик
Follow-Me ACL
Автоматизация ACLs для мобильности
Автоматизация
ACL
Автоматизации
нейтрализации ВПО
Performance Routing (PfR) Config.
IWAN
Оценка соответствия политик WAN
IWAN
QoS
Автоматизация
защиты филиалов
46. 46
Встроенная система корреляции событий FireSIGHT
позволяет собирать данные по всей сети
События СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера
47. 47
Возможность отслеживать движение вредоносного ПО и
злоумышленника по сети
• Какие системы были
инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной
точкой?
• Почему это произошло?
• Что еще произошло?
48. 48
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM),
облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование значения Сети
Текущая экосистема
партнеров Cisco
49. 49
Шифруйте линки и включите CISF
Защитите ваши данные
5 принципов для построения настоящей защиты сети
Включите NetFlow
Поймите, что у вас значит нормально
Обнаруживайте необнаруживаемое… Заранее
Внедрите TrustSec/сегментация
Локализация атак
Ролевое управление, независящее от топологии и
типа доступа
Внедрите APIC-EM
Ускорьте конфигурирование и устранение проблем
Внедрите Intelligent WAN
Защитите филиалы и допофисы
Видимость Фокус на угрозы Платформы
51. 51
Сеть как сенсор
Обнаружение аномального трафика
Обнаружение нарушений пользователями политик
Обнаружение чужих устройств, точек доступа & других
Сеть как защитная стена
Сегментация сети для локализации атак
Шифрование данных для защиты от человека посередине
Защита филиалов для Direct Internet Access
Сеть как инструмент реагирования
Автоматизированное, близкое к реальному времени отражение атак
Роль сетевой безопасности
52. 52
Искусство сетевой безопасности
Важный совет
Объедините усилия
Защита от вредоносного кода
Безопасность, ориентированная на угрозы
Сеть как сенсор, защитная стена и средство реагирования