Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
ИКС - мощный межсетевой экран, разработанный в России, который выполняет более 80 различных функций. Интернет Контроль Сервер - идеальное решение для быстрого создания локальной сети и ее полного мониторинга.
Российский UTM решение с функциями контентной фильтрация, категории трафика SkyDNS, модулями DLP и IP-телефонии, встроенным антивирус, учетом трафика и контролем доступа, прокси-сервером, защитой корпоративной сети, почты, FTP, кластером, централизованным управлением,Web и jabber серверами.
Российский межсетевой экран. Контентная фильтрация, категории трафика SkyDNS, модуль DLP и IP-телефонии, встроенный антивирус, учет трафика и контроль доступа, прокси-сервер, защита корпоративной сети, почта, FTP, кластер, централизованное управление,Web и jabber сервер.
Интернет Контроль Сервер – программный межсетевой экран, разработанный в России (разработчик ООО «А-Реал Консалтинг»). Подходит для использования организациям малого и среднего бизнеса, бюджетным и государственным учреждениям, образовательным заведениям и библиотекам. Имеет бесплатную версию (ИКС Lite) до 8 пользователей.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
2. Решения Cisco по защите и контролю доступа в
Интернет
ASA с FirePOWER Services /
Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance
(Physical & Virtual)
Cisco ISR с FirePOWER
Services
3. Фильтрация Web - WSA/CWS & FirePOWER
• Фильтрация URL
• Репутация Web
• Web-приложения (Facebook, LinkedIn,
Twitter и т.д.)
• Идентификация пользователей
• Действия с политиками: Allow/Warn/Block
• Предупреждение пользователей
• Продвинутая генерация отчетов
• AMP/Advanced Malware Protection
• Мониторинг трафика L4
• Кеширование (WSA)
• Ограничение полосы пропускания
• Сигнатурные антивирусы
• Расшифрование высокого %
HTTPS
• Data Loss Prevention (WSA)
• Прозрачный / явный прокси (WSA)
• FTP & SOCKS Proxy (WSA)
• Мобильные пользователи (CWS)
• Расширенные функции Web-
прокси
• SSO для приложений SaaS
• Inline Stateful Firewall
• Контроль не-web приложений (Skype,
Oracle)
• Сетевые протоколы (SMTP, DNS, ICMP)
• Контроль доступа L3-7
• Сетевые возможности (NAT, Routing,
VPN, TCP Intercept и т.д.)
• NGIPS (File Trajectory, IoC)
WSA / CWS ASA с
FirePOWER
Корпоративный Web
Proxy
NGFW
4. Web
Filtering
Cloud Access
Security
Web
Reputation
Application
Visibility and
Control
Parallel AV
Scanning
Data-Loss
Prevention
File
Reputation
Cognitive
Threat
Analytics*
XX X X
До
ПослеВо время
X
File
Retrospection
www
Мобильный
пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial Block
Основной офис
WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client
АдминПеренаправл
е-ние
трафика
www
HQ
File
Sandboxing
X
Client
Authentication
Technique
* Roadmap feature: Projected release 2H CY15
XCisco® ISE
Cisco Web Security Appliance
5. 1. Сканируем текст
Cisco Web Usage Controls
URL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к
эталонным документам
4. Возвращаем самое
близкое значение
категории
2. Вычисляем релевантность
Finance
Adult
Health
Finance Adult Health
AllowWWW
WarnWWW WWW Partial
Block
BlockWWW
5. Enforces policy
If Unknown, the
Page Is Analyzed
BlockWWW
WarnWWW
AllowWWW
If Known
6. Репутационный анализ
Сила контекста реального времени
Suspicious
Domain Owner
Server in High
Risk Location
Dynamic IP
Address
Domain
Registered
< 1 Min
192.1.0.68example.comExample.org17.0.2.12 BeijingLondonSan JoseКиев HTTPSSLHTTPS
Domain
Registered
> 2 Year
Domain
Registered
< 1 Month
Web сервер < 1
места
Who HowWhere When
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP значение репутации
7. Сканирование malware в реальном времени
Dynamic Vectoring and Streaming
Сигнатурный и эвристический анализ
Эвристическое обнаружение
Идентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверка
Идентификация известного поведения
Множество
механизмов
сканирования
malware
Оптимизация эффективности и уровня обнаружения с
интеллектуальным мультисканированием
Расширение сигнатурного покрытия с
использованием нескольких механизмов
Улучшение впечатления с помощью
параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного
покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного
трафика с помощью перехвата и расшифровки SSL
соединений
8. Эмуляция в реальном времени
Sandbox реального времени
Анализ для защиты от атак 0-day
9. Layer 4 Traffic Monitor
Обнаружение зараженных узлов
Пользователи
Cisco®
S-Series
Network -
Layer
Analysis
Мощные данные antimalwareПредотвращение трафика
“Phone-Home”
§ Сканирует весь трафик, все порты и все
протоколы
§ Обнаружение malware, обходящее порт 80
§ Предотвращение трафика botnet
§ Автоматически обновляемые правила
§ Генерация правил в реальном времени
с помощью “dynamic discovery”
Инспекция
пакетов и
заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter
10. Предотвращение утечек данных
Снижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd
-pary
вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
Расширенный
DLP
Базовый DLP
Dropbox
Facebook
Microsoft
Outlook
Gmail
11. Cisco Web Security
Полное управление пользователями
Data-Loss Prevention
(DLP)
Application Visibility and
Control (AVC)
Admin
AllowWWW
Централизованное
управление и
отчетность
Policy
Защита от угроз
Пользователь
Cisco® Web Usage
Controls
Partial
Block
WWW
BlockWWW
12. Что делать с мобильными пользователями?
Cisco AnyConnect Secure Mobility Client
Пользователь с
ноутбуком, планшетом
или телефоном
Роуминг-пользователь
с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Delivers Verdict
WSA веб
безопасность
Расположение web
безопасности
CWS web
безопасность
Router or firewall
re-route traffic to WSA or CWS
Перенаправление web
трафика
Работа с
WWW через
VPN
Перенаправление
трафика на
ближайший web
прокси
Cisco
AnyConnect®
Client
VPN
ACWS
VPN
13. Унифицированный репортинг
Унифицированное управление и репортинг
Унифицированные политики
Роуминговый пользователь HQ
Облачный GUI по
Web-безопасности
WSA
Роуминговый пользователь HQ
Приложение для
генерации отчетов
WSA
ü
ü
ü
ü
14. Высокопроизводительная платформа прокси,
Интегрированная аутентификация
Многоядерная оптимизация
Интегрированная идентификация и
аутентификация
§ Отсутствие проблем, связанных с
задержкой при антивирусном сканировании
§ Включание функционала
мультисканирования для увеличения
эффективности безопасности
§ Оптимизация для сложного веб контента
§ Политики идентификации
§ Прозрачная, single sign-on (SSO)
аутентификация в Active Directory
§ Гостевые политики, реавторизация
§ Поддержка нескольких не связанных между
собой деревьев
NTLM/Active Directory
LDAP
Secure LDAP
CRES0
1
2
3
4
5
6
1-Core 2-Cores 4-Cores
Burdened System Capacity
(Web Transactions/Hour)
Millions
16. Требования клиентов ASA FirePOWER WSA/CWS OpenDNS Umbrella Meraki MX
Качество URL фильтрации
Advanced Malware Protection
Next Generation IPS
Роуминг/защита вне сетевых
пользователей
Web использование и compliance
Web/HR отчетность
Унифицированная платформа
(UTM/NGFW)
Облако
Облачное управление
Простота развертывания
Domain Name
Full Tunnel VPN + AMP
CWS
CWS
AMP скороCognitive Threat Analytics + AMP API Driven – e.g. FireEye Integration
17. Алгоритм выбора решений по безопасности Web
Это замена web-
прокси?
Да
Нужна защита для
мобильных пользователей
Web?
Да
Нет
Это SMB-заказчик?
Да
Нет
Они готовы к
облачному решению?
Да
Нет
Cloud Web Security
Meraki MX
Централизован
ли Интернет-
трафик?
Отдается
предпочтение
комбинации
защите Web с
NGFW/UTM?
Да
Нет
Web Security Appliance
ASA with Firepower Services
Да
Нет
ASA with Firepower Services
Web Security Appliance
Cloud Web
Security
OpenDNS
Meraki MX
OpenDNS
Нет
ASA with Firepower ServicesRegardless
Add-on OpenDNS Umbrella
for DNS Threat Protection
Add-on OpenDNS Investigate
for Enhance Web Threat Intel
OpenDNS
20. Вредоносный код: обнаружение и обход
Техники обнаружения Техники обхода
Известные сайты и узлы в Интернет Смена узлов / страницы
перенаправления
Песочница Обнаружение виртуализации
Антивирус Обнаружение антивируса /
безфайловое инфицирование
Сигнатурные системы (IDS/IPS) Обфускация файлов / полиморфный
код
21. Что может быть использовано для обнаружения
Web-угроз? Разве это все?!
Анализ файлов в Web-
трафике на лету
Отправка файлов
для анализа в
песочнице
Анализ DNS-
запросов и ответов
Категоризация и
контроль репутации
URL
ThreatGRID
WSA/CWS
23. Идентификация
аномального web-
трафика с помощью
статистического
анализа
Распознавание атак
путем анализа имени
доменов в каждом
запросе HTTP/HTTPS
Обнаружение
инфекций в web-
запросах
Обнаружение широкого
спектра угроз путем
анализа коммуникаций
с серверами C2
Определение
опасного трафика,
тунелированного в
HTTP/HTTPS-
запросы путем
использования IOC
Что может обнаруживать CTA?
Утечки данных Domain Generation
Algorithm (DGA)
Exploit KitКоммуникации с C2-
серверами
Туннелирование
через HTTP/S
25. Процесс реагирования
Сила в интеграции с другими решениями Cisco
Подтвержденные взломы:
Автоматическое создание тикета, используя
существующий SIEM для команды на очистку или
переустановку ПК
Подозреваемые взломы и целевые атаки:
Комбинация высокого риска и высокой
уверенности с подозреваемой утечкой данных
может быть эскалирована на аналитиков 3-го
уровня поддержки для ручного анализа
26. CTA: что происходит после обнаружения
IPS
ISE ИТ-служба
CTA AMP For Endpoint
SIEM
AMP For Endpoint
Обнаружение угрозы Немедленная реакция Финальная реакция
Быстрота и автоматизация
Цель: блокировать
каналы, по которым
работает ВПО для
предотвращения утечки
данных
Тщательность и адаптация
Цель: понять причину и
источник, оценить потери,
обновить политики
33. AMP4E+SIEM: разбор полетов 1 день
Ошибка пользователя? Уязвимое приложение? Новый эксплойт?
Обнаружение угрозы Немедленная реакция Финальная реакция
34. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/