В данной сессии мы рассмотрим комплексную систему защиты внутренней сети организации от актуальных угроз. Разберем как можно выявлять инциденты безопасности с помощью интеллектуальной сети Cisco. Узнаем как с помощью сети можно эффективно останавливать внутренние и внешние атаки. Рассмотрим реализацию на решениях Cisco следующих сценариев: выявления зараженных хостов, их изоляцию и карантин, контроль трафика между рабочими станциями, перенаправление трафика для расследования инцидентов. В ходе презентации будут рассмотрены новые возможности для защиты сетей решений Cisco: Lancope StealthWatch и Identity Services Engine, а также архитектуры Cisco TrustSec.

1. Архитектура*защиты*внутренней*сети
Владимир*Илибман
Менеджер*по*продуктам*Cisco
01.10.15 ©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.

2. • Типичные(сценарии(атак(на(
сети
• Использование(сети(как(
сенсора
• Сеть(как(защитная(стена
• Сеть(как(инструмент(
реагирования
• “Продвинутые” сценарии(
сетевой(защиты

3. Мобильность,(облака,(
Интернет(вещей
Проблема(№1
Целевые(атаки
– это(большая(проблема
Проблема(№2
Современная(сеть(
сложна
Проблема(№3
**PonemonInstitute*Study

4. Защита*периметра*– это*только*начало*пути
Источник:*2012*Verizon*Data*Breach*Investigations*Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего
числа взломов
Взломы*
осуществляются*за*
минуты
Обнаружение*и*
устранение*
занимает*недели*и*
месяцы

5. Анатомия атаки
Enterprise(Network
Атакующий
Perimeter
(Inbound)
Perimeter
(Outbound)
Поиск*жертвы
(SNS)
1
C2*Server
Фишинговое письмо
(you@gmail.com)
2
http://welcome.to.jangle.com/exploit.php
Жертва*открывает*ссылку3
Установка*бота,*back*door*
подключается*и*получает*команды*
от C2Éсервера
4
Сканирование*и*размножение5
Найден*привилегированный*
аккаунт.*Доступ*к*AD.*Доступ*к*
резервным*копиям*БД,*изменение*
или*кража
6
Admin*Node
Архивирование*данных,*нарезка*на*
мелкие*куски,*передача*наружу*по*
зашифрованным*каналам*через*
открытый*протокол*(HTTPS,*DNS*и*
т.д.)
7
Система*скомпрометирована*и*данные*у*злоумышленников.*
backdoor*может*оставаться*в*спящем*режиме,*чтобы*иметь*
возможность*получать*новые*данные*в*будущем,*вносить*
изменения,*либо*уничтожаются*все*следы*преступления,*
зачастую*со*всеми*данными*(пример*на*базе*Shamoon
malware)
8

6. This image cannot currently be displayed.This image cannot currently be displayed.
Вы(знаете,(что(вы(уже(
скомпрометированы?(
Вредоносный(
трафик(обнаружен(в(
100%(сетей*
Cisco*2014*Annual*Security*Report
*Компании*подключены*к*доменам,*которые*распространяют*
вредоносные*файлы*или*сервисы
Корпоративные*ITÉсистемы*уже*
скомпрометированы

7. “Мишенью(для(атаки(может(стать(
все,(что(угодно!”
Пользовательским*устройствам*нельзя*доверять
Взломанные*приложения,*дублированные*сертификаты,*перехваченные*
пароли,*скомпрометированные*устройства…
“Сеть(– это(не(только(ПК(и(
пользователи”

8. “Безопасность(сети(становится(
критичной(задачей!”
Сеть*становится*доверенным*источником*
информации

9. ЖИЗНЕННЫЙ( ЦИКЛ(АТАКИ
100%Éй*безопасности*нет*– станьте*как*пионер,*
готовыми*ко*всему,*включая*заражение
ДО
Понять
Защитить
Усилить
ПОСЛЕ
Локализовать
Вылечить
Устранить
Обнаружить
Блокировать
Отразить
ВО(ВРЕМЯ
Видимость*и*защита*в*течение*всего*жизненного*цикла
Сеть(как(защитная
стена
Сеть(как(инструмент
реагирования(
Сеть(как(сенсор
ACI
ACI

10. Сеть(как(сенсор
Пользователи ВредоносыУстройства Трафик Приложения

11. Вы*не*можете*защитить*то,*чего*не*видите
На*периметре*вы*видите*только*верхушку*айсберга
0101
0100
1011
0101
0100
1011
0101
0100
1011
0101
0100
1011

12. Что*сеть*может*сделать*для*вас?**
Сеть*как*сенсор
Обнаружить(аномальный(трафик(и(вредоносы
Например,*коммуникации*с*вредоносными*сайтами*или*эпидемию*ВПО*внутри*сети
Обнаружить(использование(приложений(и(
нарушение(пользователями(политик
Например,*доступ*к*финансовому*серверу,*работу*по*Skype или*утечки*данных
Обнаружить(посторонние(устройства(в(сети
Например,*работу*несанкционированных*3G/4GÉмодема*или*точки*доступа

13. Обнаружить*необнаруживаемое…*Проактивно!
Пользователи ВредоносыПриложенияТрафикУстройство
Сеть*как*сенсор
Видимость*сети,*контроль,*контекст*и*аналитика
ACI*Vision:*Policy*Based,*Automated*Security*at*Scale
Обнаружение*чужих*AP*(Wireless*Security*Module)
Обнаружение*несоответствующих*политике*устройств (Device*Sensor,*ISE)
Обнаружение*изменения*репутации*внешних*и*внутренних*устройств*(NetFlow,*Lancope)
Обнаружение*аномалий*в*трафике*(NetFlow,*Lancope,*NBAR2)
Обнаружение*сетевых*DDoSÉатак*(Control*Plane*Policing,*CleanAir)
Обнаружение*источника*и*пути*распространения*APT*(NetFlow,*ISE,*Lancope)
Обнаружение*управления*и*работы*вредоносного*ПО*(NetFlow,*Lancope)
Обнаружение*аномального*поведения*приложений*(NBAR2)Обнаружение*нарушения*пользовательского*доступа*(Identity*Services*Engine,*TrustSec)Обнаружение*вредоносного*ПО*в*почте*и*Web (Email*&*Web*Security*Appliances)
Обнаружение*вторжений,*ботнетов,*целевых*атак,*SQL*Injection,*вредоносного*ПО
(*Wireless*IPS*(wIPS),*ASA*NGFW,*FirePOWER NGIPS)
Обнаружение*распространения*вредоносного*ПО*внутри*(NetFlow,*Lancope)
Обнаружение*утечек*данных*(NetFlow,*Lancope)
Продвинутые*технологии*выявления*вредоносов (Advanced*Malware*Protection)

14. ISE*Éраспознавание*широкого*спектра*устройств

15. Опыт Cisco: идентификация и блокирование
посторонних беспроводных устройств
Само*мобильное* устройство*не*может*сказать,*что*оно*«чужое»
! Нужен*внешний*независимый*контроль*с*помощью*систем*контроля*доступа,* в*т.ч.*и*
беспроводного
Cisco*Wireless*Controller*/*Cisco*Wireless*Adaptive*IPS*/*Cisco*Wireless*Location*Services
помогают*контролировать* беспроводной*эфир
! Все*это*часть*функционала*платформы*Cisco*MSE/*CMX

16. Распознавание*приложений*и*их*функций*на*примере*
Skype

17. Учет*контекста:*кто,*что,*где,*когда*и*как*
Профиль*хоста*включает*всю*
необходимую* для*анализа*
информацию
! IPÉ,*NetBIOSÉ,*MACÉ
адреса
! Операционная*система
! Используемые*
приложения
! Зарегистрированные*
пользователи
! Сетевой*протокол
! Транспортный*протокол
! Прикладной*протокол
! И*т.д.
Идентификация* и*
профилирование*мобильных*
устройств

18. NetFlow*– сердце*подхода*«Сеть*как*сенсор»
Путь*к*самообучаемым*сетям
Сетевые(потоки(для(наблюдаемости(и(безопасности
Мощный(источник(информации
для(каждого(сетевого(соединения
Каждое*сетевое*соединения
в*течение*длительного*интервала*времени
IPÉадрес*источника*и*назначения,*IPÉпорты,*
время,*дата*передачи*и*другое
Сохранено*для*будущего*анализа
Важный(инструмент
для(идентификации(взломов
Идентификация*аномальной*активности
Реконструкция*последовательности*событий
Соответствие*требованиям*и*сбор*доказательств
NetFlow для*полных*деталей,*NetFlowÉLite*для*1/n*
семплов

19. Платформа*с*поддержкой*NetFlow Platforms
WAN
Switch Router Router Firewall DC*Switch ServerUser
Экспортеры(NetFlow
Catalyst*2960ÉX*(NetFlow*Lite) É Sample*
Only
Catalyst*3560ÉX*(SMÉ10G*module*only)
Catalyst*3750ÉX*(SMÉ10G*module*only)
Catalyst*3850/3650 (FNF*v9*SGT*support)
Catalyst*4500E (Sup7E/7LE)
Catalyst*4500E*(Sup8)*(FNF*v9*SGT*
support)
Catalyst*6500E*(Sup2T)*(FNF*v9*SGT*
support)
Catalyst*6800*(FNF*v9*SGT*support)
Cisco*ISR*G2*(FNF*v9*SGT*support)
Cisco*ISR*4000 (FNF*v9*SGT*support)
Cisco*ASR1000 (FNF*v9*SGT*support)
Cisco*CSR*1000v*(FNF*v9*SGT*support)
NetFlow*Capable*
StealthWatch* Management* Console
StealthWatch* FlowCollector
StealthWatch* FlowSensor
ISE
Больше:*http://www.cisco.com/c/en/us/solutions/enterpriseÉnetworks/threatÉdefense/index.html
Cisco*WLC*5760*(FNF*v9)
Cisco*WLC*5520,*8510,*8540*(v9) *
ASA5500,*5500ÉX*(NSEL)
Nexus*7000*(M*Series*I/O*modules*– FNF*
v9)
Nexus*1000v*(FNF*v9)
Cisco*NetFlow Generation*Appliance*(FNF*
v9)
Cisco*UCS*VIC*(VIC*
1224/1240/1280/1340/1380)
Cisco*AnyConnect Client*(IPFIX)**
**Осень 2015

20. Кто КтоЧто
Когда
Как
Откуда
Больше*контекста
Высокомасштабиуремый сбор
Высокое*сжатие*=>*долговременное*
хранилище
NetFlow с*точки*зрения*контекста

21. NetFlow – сердце*подхода*«Сеть*как*сенсор»
Пример:*NetFlow*Alerts*с*Lancope StealthWatch
Отказ(в(обслуживании
SYN(Half(Openz(ICMP/UDP/Port(Flood
Распространение( червей
Инфицированный(узел(сканирует(сеть(и(соединяется(с(узлами(
по(сетиz(другие(узлы(начинают(повторять(эти(действия
Фрагментированные( атаки
Узел(отправляетнеобычный(фрагментированный(трафик
Обнаружение( ботнетов
Когда(внутренний(узел(общается(с(внешним(сервером(C&C
в(течение(длительного(периода(времени
Изменение( репутации( узла
Потенциально(скомпрометированные(внутренние(узлы(или
получение(ненормального(скана(или(иные(аномалии(
Сканирование( сети
Сканирование(TCP,(UDP,(портов(по(множеству(узлов
Утечки(данных
Большой(объем(исходящего(трафика(VS.(дневной(квоты

22. NetFlow – сердце*подхода*«Сеть*как*сенсор»
NetFlow в*действии:*атака*в*процессе*реализации
Стадия(атаки Обнаружение
Использование(уязвимостей
Злоумышленник(сканирует(IPäадреса(и(порты(для(поиска(
уязвимостей (ОС,(пользователи,(приложения)
1
! NetFlow может*обнаружить*сканирование*диапазонов*IP
! NetFlow может*обнаружить*сканирование*портов*на*
каждом*IPÉадресе
Установка(вредоносного(ПО(на(первый(узел
Хакер(устанавливает(ПО(для(получения(доступа2
! NetFlow может*обнаружить*входящий*управляющий*
трафик*с*неожиданного*месторасположения
Соединение(с “Command(and(Control”
Вредоносное(ПО(создает(соединение(с(C&C(серверами(
для(получения(инструкций
3
! NetFlow может*обнаружить*исходящий*трафик*к*
известным*адресам*серверов*C&C
Распространение(вредоносного(ПО(на(другие(узлы
Атака(других(систем(в(сети(через(использование(
уязвимостей
4
! NetFlow может*обнаружить*сканирование*диапазонов*IP
! NetFlow может*обнаружить*сканирование*портов*на*
каждом*IPÉадресе*внутреннего*узла
Утечка(данных
Отправка(данных(на(внешние(сервера5
! NetFlow может*обнаружить*расширенные*потоки*(HTTP,*FTP,**********
GETMAIL,*MAPIGET*и*другие)*и*передачу*данных*на*внешние*
узлы

23. Обнаружение*вредоносного*кода*на*базе*NetFlow
Что*делать,*когда*вы*не*
можете*поставить* сенсор*IPS
на*каждый*сегмент*сети?
У*вас*же*есть*NetFlow на*
каждом*коммутаторе* и*
маршрутизаторе
Отдайте*его*для*обнаружения*
аномальной* активности
! Сканирование
! Целенаправленные*
угрозы
! Эпидемии*вредоносного*
ПО
! DDoS
! Утечки*данных
! Ботнеты

24. StealthWatch 6.6*и*6.7 как*часть*CTD:*что*нового
Новые(функции:
! Поддержка Cisco*UCS*
платформы*(скорость*до*240*000*
fps*на*коллектор)
! Поддержка*NBAR2
! Интеграция*с*ISE*расширяется*
поддержкой*карантина
! Улучшения*управления*
заданиями
Функции(безопасности
! Интеграция(с(прокси
! Интеграция*с*ISE*
расширяется*поддержкой*
карантина
! Интеграция*с*TrustSec
! External*Lookup
! StealthWatch Security*Update
! Новые*алгоритмы*
безопасности

25. Сеть(как(защитная(стена(

26. Что*сеть*может*сделать*для*вас?**
Сеть*как*защитная*стена
Сегментировать сеть(для(локализации(атак
TrustSec*É Secure*Group*Tagging,*VRF,*ISE*и*многое*другое
Шифровать трафик(для(защиты(данных(в(
процессе(передачи
MACsec for*Wired,*DTLS*for*Wireless,*IPSec/SSL*for*WAN*и*многое*другое
Активировать встроенные(функции(защиты(
инфраструктуры
Catalyst*Integrated*Security*Features*(CISF),*IOS*Security**Baseline…

27. Cisco*TrustSec
Сегментация*на*базе*ролей*и*политик
Гибкая(и(масштабируемая(политика
Switch Router DC*FW DC*Switch
Простота*управления*доступом
Ускорение*защитных*операций
Единая*политика*везде
Кто*может*общаться*и*с*кем
Кто*может*получить*доступ*к*активам
Как*система*может*общаться*с*
другими*системами
Политика

28. access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Cisco*TrustSec:*сегментация*по*ролям*и*политикам
Традиционная*политика
Политика*TrustSec
Простота*управления*доступом
Ускорение*защитных*операций
Единая*политика*везде
Network*Fabric
Switch Router DC FW DC SwitchWireless
Гибкая(и(масштабируемая(политика

29. Применение(
политик
Классификация Распространение
TrustSec в*действии
Routers
ISE
DC*Firewall
Сервера
приложен
ий
Wireless
Remote
Access
Switch
DC*Switch Сервера*
баз*
данных
Directory
Пользователи
Network5 SGT
8 SGT
7 SGT

30. Поддержка*на*решениях*Cisco
Классификация Распространение*SGT Реализация*политик
Catalyst*2960ÉS/ÉC/ÉPlus/ÉX/ÉXR
Catalyst*3560ÉE/ÉC/ÉX
Catalyst*3750ÉE/ÉX
Catalyst*4500E*(Sup6E/7E)
Catalyst*4500E*(Sup8)
Catalyst*6500E*(Sup720/2T)
Catalyst*3850/3650
WLC*5760
Wireless*LAN*Controller*
2500/5500/WiSM2
Nexus*7000
Nexus*5500
Nexus*1000v*(Port*Profile)
ISR*G2*Router,*CGR2000
Catalyst*2960ÉS/ÉC/ÉPlus/ÉX/ÉXR
Catalyst*3560ÉE/ÉC/,*3750ÉE
Catalyst*3560ÉX,*3750ÉX
Catalyst*3850/3650
Catalyst*4500E*(Sup6E)
Catalyst*4500E*(7E,*8),*4500X
Catalyst*6500E*(Sup720)
Catalyst*6500E*(2T),*6800
WLC*2500,*5500,*WiSM2
WLC*5760
Nexus*1000v
Nexus*6000/5600*
Nexus*5500/22xx*FEX
Nexus*7000/22xx*FEX
ISRG2,*CGS2000
ASR1000
ASA5500*Firewall
SXP
SXP
IE2000/3000,*CGS2000
ASA5500*(VPN*RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SXP
SXP SGT
SXP SGT
SXP SGT
SXP
GETVPN.( DMVPN,( IPsec
• Inline*SGT*on*all*ISRG2*except*800*series:
Catalyst*3560ÉX
Catalyst*3750ÉX
Catalyst*4500E*(7E)
Catalyst*4500E*(8E)
Catalyst*6500E*(2T)
Catalyst*6800
Catalyst*3850/3650
WLC*5760
Nexus*7000
Nexus*5600
Nexus*1000v
ISR*G2*Router,*CGR2000
ASA*5500*Firewall
ASAv*Firewall
ASR*1000*Router
CSRÉ1000v*Router
SXP
SGT
SGFW
SGFW
SGFW
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
SXP SGT
SXP SGT
Nexus*6000
Nexus*6000 Nexus*5500
Nexus*5600
SXP SGT
SGT
GETVPN.( DMVPN,( IPsec
SGT

31. Реализация*требований*законодательства
Банки
C сегментацией
Область(
действия(аудита
Упрощение(
выполнение(
требований( и(
ускорение(аудита(
при(наличии(
сегментации
Кампус Филиал Склад
ЦОД
Без(сегментации

32. " 802.1X(
" MAB
" WebAuth CISCO*SWITCHES,*ROUTERS,*WIRELESS*ACCESS*POINTS
ISE:*управление*политиками*в*масштабах*всей*сети
Унификация*политик*вне*зависимости*от*типа*доступа
Сеть,(поддерживающая(802.1X
ИДЕНТИФИКАЦИЯ
КОНТЕКСТ
КТО ЧТО ОТКУДА КОГДА КАК
" Гостевой(доступ
" Профилирование
" Состояние
Security(Camera(G/W Vicky(Sanchez Francois(Didier Frank(Lee Personal(iPad
Agentless*Asset
Chicago*Branch*
Employee,*Marketing
Wireline
3*p.m.*
Consultant
HQ*É Strategy
Remote*Access
6*p.m.
Guest
Wireless
9*a.m.
Employee*Owned
Wireless*HQ

33. Опыт*Cisco:*контроль*доступа*внутри*такой*же,*
что*и*на*периметре*сети!
Тип(
устройства
МестоположениеПользователь Оценка Время Метод(доступа
Прочие(
атрибуты

34. Опыт*Cisco:*интеграция*с*MDM для*контроля*
BYOD
3
4
Jail(BrokenPIN(Locked
EncryptionISE(Registered PIN(LockedMDM(Registered Jail(Broken

35. ISE*получает*интеграцию(с(MSE 8.0/(
CMX
Это*обеспечивает*:
! Возможность*использовать*
атрибуты*местоположения*в*
политике
! Определять*зоны(безопасности
! Периодически*проверять*
местоположение*в*случае*
изменений
! Проводить*переавторизацию в*
случае*изменения*локации
Опыт*Cisco:*Интеграция*информации
о*местоположении
!
NEW
ISE(2.0

36. Сеть(как(инструмент(реагирования

37. Что*сеть*может*сделать*для*вас?**
Сеть*как*инструмент*реагирования
Уменьшить(время(восстановления(и(ускорить(
реагирование
Например,(анализ(траектории(вредоносного(кода,(интеграция(с(AD на(уровне(сети
Автоматизировать(настройку(и(динамически(ее(
менять(исходя(из(ситуации(в(сети
Например, ACL,(QoS, динамические(политики,(корреляция(событий
Интегрироваться(с(другими(решениями(для(
защиты(инвестиций(и(роста(качества(защиты
Например, RESTful API,(eStreamer API и(т.п.

38. Как*TrustSec может*помочь?
Enterprise(Network
Attacker
Perimeter
(Inbound)
Perimeter
(Outbound)
Research*targets
(SNS)
1
C2*Server
Spear*Phishing
(you@gmail.com)
2
http://welcome.to.jangle.com/exploit.php
Victim*clicks*link*unwittingly*3
Bot*installed,*back*door*established*
and*receives*commands*from*C2*
server*
4
TrustSec блокирует*общение*между*рабочими*станциями,*
что*сильно*усложняет*сканирование,*OS*Finger*printing,**
exploitation,*и privilege*escalation
5
Admin*Node
Используем*возможности*
TrustSec чтобы*замедлить*
потенциальную*атаку,*
усложнить*жизнь*
атакующему*и*увеличить*
шансы*на*его*обнаружение

39. Контроль*трафика*между*рабочими*станциями
1 Сканирование
Distribution*Switch
Access*Switch
BYOD*Device PC
AP
Беспроводная*сеть Проводной*сегмент
2 Эксплуатация
уязвимостиЗаражённый
PC
Employee*Tag
AntiÉMalwareÉACL*
deny***icmp
deny***udp src dst eq domain
deny***tcp src dst eq 3389
deny***tcp src dst eq 1433
deny***tcp src dst eq 1521
deny***tcp src dst eq 445
deny***tcp src dst eq 137
deny***tcp src dst eq 138
deny***tcp src dst eq 139
deny***udp src dst eq snmp
deny***tcp src dst eq telnet
deny***tcp src dst eq www
deny***tcp src dst eq 443
deny***tcp src dst eq 22
deny***tcp src dst eq pop3
deny***tcp src dst eq 123
Пример ACL*для*
блокированияPtH
(SMB*over*TCP),
используемый*
эксплойтом
SGACL*Policy
• Контроль*трафика*с*помощью*
технологии*TrustSec
• Работает*на*уровне*коммутаторов*
endÉtoÉend* для*динамических*и*
статических*адресов

40. Network*Sensor
(Lancope)
NGFW
Campus/DC
Switches/WLC
Угрозы
API É PxGrid
API*É PxGrid
ISE
Сетевые*сенсоры Применение*политики
Обмен*
Политика*#$ Контекст
TrustSec
Security*Group*Tag
SIEM
Confidential
Data
Реагирование*на*инциденты*с*помощью*
TrustSec и*программного*интерфейса*PxGrid

41. Обнаружение*атак*и*противодействие*им TrustSec
110000111000
110000111000
Мед.*
оборудование
Clinic*ABC
Backbone
Обнаружение*
угроз
SIEM
Floor*1*SW
Floor*2*SW
Data*Center
DC*FW
POSÉтерминал
Billing*DB
ISE
OS(Type: Windows*XP*Embedded
User:*Mary
AD(Group:*Nurse
Asset(Registration:*Yes
MAC(Address:(aa:bb:cc:dd:ee:ff
EHR
Server
Рабочая*станция
врача
PxGrid/EPS
Изменить SGT:
Suspicious
Source:*Lancope*StealthWatch
Event:*TCP*SYNC*Scan
Source*IP:*1.2.3.4
Response:*Quarantine
Security(Group(= SuspiciousSGACL
Policy
Сохранение* и/или
использование
Suspicious tag*для*
будущего*расследования*
инцидента
Suspicious tag*
следует*за*
устройством
ASA*Firewall*Policy

42. Перенаправление*трафика*для*расследования*
инцидента
User
ScanningCompromised
User
1
Exploitation
2
SGACL
Коммутатор
Маршрутизатор
NGIDS
Flow*Collector
SIEM
NetFlow
NetFlow
Event*Log NetFlow
ISE
PxGrid*EPS
Назначаем
Quarantine(SGT
скомпрометированному(
пользователю
Перенаправление
трафика
Коммутатор
• Будет*работать*на*
ASA,*ISR4000*и
ASR1000®
• PolicyÉbased*routing*
с*использованием*
SGT®
• Перенаправление*
на*основе SGT,*
например,*для*
карантина*или*
анализа*
подозрительного*
трафика.

43. Шифруйте( линки и(включите CISF
Защитите*ваши*данные
5*принципов*для*построения*настоящей*защиты*
сети Включите NetFlow(
Поймите,*что*у*вас*значит*нормально
Обнаруживайте*необнаруживаемое…*Заранее
Внедрите(TrustSec/сегментацию
Локализация*атак
Ролевое*управление,*независящее*от*топологии*и*
типа*доступа
Начните(с(интеграции( компонентов(безопасности
Ускорьте*конфигурирование*и*устранение*проблем
Внедрите(Intelligent(WAN(
Защитите*филиалы*и*допофисы
Видимость Фокус(на(угрозы Платформы

44. Сеть(как(сенсор
Обнаружение*аномального*трафика
Обнаружение*нарушений*пользователями*политик
Обнаружение*чужих*устройств,*точек*доступа &*других
Сеть(как(защитная(стена
Сегментация*сети*для*локализации*атак
Шифрование*данных*для*защиты*от*человека*посередине
Защита*филиалов*для*Direct*Internet*Access
Сеть(как(инструмент(реагирования
Автоматизированное,*близкое*к*реальному*времени*отражение*атак
Роль*сетевой*безопасности

45. Ждем(ваших(сообщений(с(хештегом
#CiscoConnectKZ
©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.
Спасибо
Пожалуйста,*заполните*анкеты.*
Ваше*мнение*очень*важно*для*нас.
Contacts:
Name
Phone
EÉmail*