Контроль доступа к Интернет

1. Контроль доступа к Интернет
Лукацкий Алексей
alukatsk@cisco.com
10.10.16 © 2015 Cisco and/or its affiliates. All rights reserved.

2. Решения Cisco по защите и контролю доступа в
Интернет
ASA с FirePOWER Services /
Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance
(Physical & Virtual)
Cisco ISR с FirePOWER
Services

3. Фильтрация Web - WSA/CWS & FirePOWER
• Фильтрация URL
• Репутация Web
• Web-приложения (Facebook, LinkedIn,
Twitter и т.д.)
• Идентификация пользователей
• Действия с политиками: Allow/Warn/Block
• Предупреждение пользователей
• Продвинутая генерация отчетов
• AMP/Advanced Malware Protection
• Мониторинг трафика L4
• Кеширование (WSA)
• Ограничение полосы пропускания
• Сигнатурные антивирусы
• Расшифрование высокого %
HTTPS
• Data Loss Prevention (WSA)
• Прозрачный / явный прокси (WSA)
• FTP & SOCKS Proxy (WSA)
• Мобильные пользователи (CWS)
• Расширенные функции Web-
прокси
• SSO для приложений SaaS
• Inline Stateful Firewall
• Контроль не-web приложений (Skype,
Oracle)
• Сетевые протоколы (SMTP, DNS, ICMP)
• Контроль доступа L3-7
• Сетевые возможности (NAT, Routing,
VPN, TCP Intercept и т.д.)
• NGIPS (File Trajectory, IoC)
WSA / CWS ASA с
FirePOWER
Корпоративный Web
Proxy
NGFW

4. Web
Filtering
Cloud Access
Security
Web
Reputation
Application
Visibility and
Control
Parallel AV
Scanning
Data-Loss
Prevention
File
Reputation
Cognitive
Threat
Analytics*
XX X X
До
ПослеВо время
X
File
Retrospection
www
Мобильный
пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial Block
Основной офис
WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client
АдминПеренаправл
е-ние
трафика
www
HQ
File
Sandboxing
X
Client
Authentication
Technique
* Roadmap feature: Projected release 2H CY15
XCisco® ISE
Cisco Web Security Appliance

5. 1. Сканируем текст
Cisco Web Usage Controls
URL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к
эталонным документам
4. Возвращаем самое
близкое значение
категории
2. Вычисляем релевантность
Finance
Adult
Health
Finance Adult Health
AllowWWW
WarnWWW WWW Partial
Block
BlockWWW
5. Enforces policy
If Unknown, the
Page Is Analyzed
BlockWWW
WarnWWW
AllowWWW
If Known

6. Репутационный анализ
Сила контекста реального времени
Suspicious
Domain Owner
Server in High
Risk Location
Dynamic IP
Address
Domain
Registered
< 1 Min
192.1.0.68example.comExample.org17.0.2.12 BeijingLondonSan JoseКиев HTTPSSLHTTPS
Domain
Registered
> 2 Year
Domain
Registered
< 1 Month
Web сервер < 1
места
Who HowWhere When
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP значение репутации

7. Сканирование malware в реальном времени
Dynamic Vectoring and Streaming
Сигнатурный и эвристический анализ
Эвристическое обнаружение
Идентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверка
Идентификация известного поведения
Множество
механизмов
сканирования
malware
Оптимизация эффективности и уровня обнаружения с
интеллектуальным мультисканированием
Расширение сигнатурного покрытия с
использованием нескольких механизмов
Улучшение впечатления с помощью
параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного
покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного
трафика с помощью перехвата и расшифровки SSL
соединений

8. Эмуляция в реальном времени
Sandbox реального времени
Анализ для защиты от атак 0-day

9. Layer 4 Traffic Monitor
Обнаружение зараженных узлов
Пользователи
Cisco®
S-Series
Network -
Layer
Analysis
Мощные данные antimalwareПредотвращение трафика
“Phone-Home”
§ Сканирует весь трафик, все порты и все
протоколы
§ Обнаружение malware, обходящее порт 80
§ Предотвращение трафика botnet
§ Автоматически обновляемые правила
§ Генерация правил в реальном времени
с помощью “dynamic discovery”
Инспекция
пакетов и
заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter

10. Предотвращение утечек данных
Снижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd
-pary
вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
Расширенный
DLP
Базовый DLP
Dropbox
Facebook
Microsoft
Outlook
Gmail

11. Cisco Web Security
Полное управление пользователями
Data-Loss Prevention
(DLP)
Application Visibility and
Control (AVC)
Admin
AllowWWW
Централизованное
управление и
отчетность
Policy
Защита от угроз
Пользователь
Cisco® Web Usage
Controls
Partial
Block
WWW
BlockWWW

12. Что делать с мобильными пользователями?
Cisco AnyConnect Secure Mobility Client
Пользователь с
ноутбуком, планшетом
или телефоном
Роуминг-пользователь
с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Delivers Verdict
WSA веб
безопасность
Расположение web
безопасности
CWS web
безопасность
Router or firewall
re-route traffic to WSA or CWS
Перенаправление web
трафика
Работа с
WWW через
VPN
Перенаправление
трафика на
ближайший web
прокси
Cisco
AnyConnect®
Client
VPN
ACWS
VPN

13. Унифицированный репортинг
Унифицированное управление и репортинг
Унифицированные политики
Роуминговый пользователь HQ
Облачный GUI по
Web-безопасности
WSA
Роуминговый пользователь HQ
Приложение для
генерации отчетов
WSA
ü
ü
ü
ü

14. Высокопроизводительная платформа прокси,
Интегрированная аутентификация
Многоядерная оптимизация
Интегрированная идентификация и
аутентификация
§ Отсутствие проблем, связанных с
задержкой при антивирусном сканировании
§ Включание функционала
мультисканирования для увеличения
эффективности безопасности
§ Оптимизация для сложного веб контента
§ Политики идентификации
§ Прозрачная, single sign-on (SSO)
аутентификация в Active Directory
§ Гостевые политики, реавторизация
§ Поддержка нескольких не связанных между
собой деревьев
NTLM/Active Directory
LDAP
Secure LDAP
CRES0
1
2
3
4
5
6
1-Core 2-Cores 4-Cores
Burdened System Capacity
(Web Transactions/Hour)
Millions

15. Дополнительная информация по WSA

16. Требования клиентов ASA FirePOWER WSA/CWS OpenDNS Umbrella Meraki MX
Качество URL фильтрации
Advanced Malware Protection
Next Generation IPS
Роуминг/защита вне сетевых
пользователей
Web использование и compliance
Web/HR отчетность
Унифицированная платформа
(UTM/NGFW)
Облако
Облачное управление
Простота развертывания
Domain Name
Full Tunnel VPN + AMP
CWS
CWS
AMP скороCognitive Threat Analytics + AMP API Driven – e.g. FireEye Integration

17. Алгоритм выбора решений по безопасности Web
Это замена web-
прокси?
Да
Нужна защита для
мобильных пользователей
Web?
Да
Нет
Это SMB-заказчик?
Да
Нет
Они готовы к
облачному решению?
Да
Нет
Cloud Web Security
Meraki MX
Централизован
ли Интернет-
трафик?
Отдается
предпочтение
комбинации
защите Web с
NGFW/UTM?
Да
Нет
Web Security Appliance
ASA with Firepower Services
Да
Нет
ASA with Firepower Services
Web Security Appliance
Cloud Web
Security
OpenDNS
Meraki MX
OpenDNS
Нет
ASA with Firepower ServicesRegardless
Add-on OpenDNS Umbrella
for DNS Threat Protection
Add-on OpenDNS Investigate
for Enhance Web Threat Intel
OpenDNS

18. Cisco Cognitive Threat Analytics

19. Реалии современных киберугроз
Злоумышленники
вероятнее всего будут
контролировать вашу
инфраструктурой через
web
Вероятнее всего
вас взломают через
email
Ваше окружение
будет взломано

20. Вредоносный код: обнаружение и обход
Техники обнаружения Техники обхода
Известные сайты и узлы в Интернет Смена узлов / страницы
перенаправления
Песочница Обнаружение виртуализации
Антивирус Обнаружение антивируса /
безфайловое инфицирование
Сигнатурные системы (IDS/IPS) Обфускация файлов / полиморфный
код

21. Что может быть использовано для обнаружения
Web-угроз? Разве это все?!
Анализ файлов в Web-
трафике на лету
Отправка файлов
для анализа в
песочнице
Анализ DNS-
запросов и ответов
Категоризация и
контроль репутации
URL
ThreatGRID
WSA/CWS

22. Как работает CTA?
Обработка, близкая к реальному времени
1K-50K инцидентов в день10B запросов в день +/- 1% аномалий 10M событий в день
HTTP(S)
Request
Классифи
катор X
Классифи
катор A
Классифи
катор H
Классифи
катор Z
Классифи
катор K
Классифи
катор M
Кластер 1
Кластер 2
Кластер 3
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
Кластер 1
Кластер 2
Кластер 3
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
RequestHTTP(S)
Request
HTTP(S)
Request
HTTP(S)
RequestHTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
RequestHTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
Обнаружение аномалий Моделирование доверия Классификация
Моделирование
сущностей
Моделирование
отношений
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
ПОДТВЕРЖДЕН взлом
(нескольких пользователей)
ОБНАРУЖЕНА угроза (unique)

23. Идентификация
аномального web-
трафика с помощью
статистического
анализа
Распознавание атак
путем анализа имени
доменов в каждом
запросе HTTP/HTTPS
Обнаружение
инфекций в web-
запросах
Обнаружение широкого
спектра угроз путем
анализа коммуникаций
с серверами C2
Определение
опасного трафика,
тунелированного в
HTTP/HTTPS-
запросы путем
использования IOC
Что может обнаруживать CTA?
Утечки данных Domain Generation
Algorithm (DGA)
Exploit KitКоммуникации с C2-
серверами
Туннелирование
через HTTP/S

24. Cisco WSA (Web Security Appliance)
Внешняя телеметрия (BlueCoat Sec. GW)
Cisco CWS (Cloud Web Security)
Cisco
Cognitive Threat
Analytics (CTA)
Confirmed Threats
Detected Threats
Threat Alerts
Реагирование
на инциденты
HQ
STIX / TAXII API
CTACTACTA
SIEMs:
Splunk, ArcSight,
Q1 Radar, ...
HQ
Web Security
Gateways
Cloud
Web Security
Gateways
CTA a-la-carte
ATD bundle = CTA & AMP
WSP bundle = CWS & ATD
CTA a-la-carte
CTA a-la-carte
Логи Web (входная телеметрия)
Обнаружение взломов &
Видимость сложных угроз
Архитектура Cognitive Threat Analytics

25. Процесс реагирования
Сила в интеграции с другими решениями Cisco
Подтвержденные взломы:
Автоматическое создание тикета, используя
существующий SIEM для команды на очистку или
переустановку ПК
Подозреваемые взломы и целевые атаки:
Комбинация высокого риска и высокой
уверенности с подозреваемой утечкой данных
может быть эскалирована на аналитиков 3-го
уровня поддержки для ручного анализа

26. CTA: что происходит после обнаружения
IPS
ISE ИТ-служба
CTA AMP For Endpoint
SIEM
AMP For Endpoint
Обнаружение угрозы Немедленная реакция Финальная реакция
Быстрота и автоматизация
Цель: блокировать
каналы, по которым
работает ВПО для
предотвращения утечки
данных
Тщательность и адаптация
Цель: понять причину и
источник, оценить потери,
обновить политики

27. CTA: Обнаружение C2 10мин
Обнаружение угрозы Немедленная реакция Финальная реакция

28. ISE: Карантин пользователя 15мин
Обнаружение угрозы Немедленная реакция Финальная реакция

29. AMP4E: Блокирование C2-канала 20мин
Обнаружение угрозы Немедленная реакция Финальная реакция

30. AMP4E: Поиск файлов, генерящих C2 20мин
Обнаружение угрозы Немедленная реакция Финальная реакция

31. AMP4E: Блокирование ВПО
Unknow
n
30мин
Обнаружение угрозы Немедленная реакция Финальная реакция

32. AMP4E и CTA 30мин
Обнаружение угрозы Немедленная реакция Финальная реакция

33. AMP4E+SIEM: разбор полетов 1 день
Ошибка пользователя? Уязвимое приложение? Новый эксплойт?
Обнаружение угрозы Немедленная реакция Финальная реакция

34. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

35. CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.