Стратегия Cisco в области информационной безопасности

62 %
38 %
Information about Стратегия Cisco в области информационной безопасности
Technology
wsa

Published on March 13, 2014

Author: CiscoRu

Source: slideshare.net

Защита современного предприятия СЕЙЧАС И В БУДУЩЕМ Алексей Лукацкий Бизнес-консультант по безопасности, Cisco

•  Текущий статус •  Проблемы и задачи •  Новая модель безопасности •  Архитектура Cisco по ИБ •  Наши планы ПЛАН

Текущий статус

Что мы анонсировали 25 февраля 2014?! OpenAppID и Cognitive Threat Analytics Новые платформы FirePOWER Интеграция AMP с защитой контента WWW •  Новые аппаратные платформы FirePOWER •  «AMP Everywhere» - интеграция AMP с ESA/WSA и CWS •  FireAMP Private Cloud •  Интеграция Cognitive Threat Analytics с CWS •  Язык описания приложений OpenAppID

Что мы анонсировали 30 октября 2013?! Веб- безопасность облака Межсетевой экран нового поколения Веб- безопасность и защита эл. почты WWW •  Новая версия Cisco ASA NGFW с функцией предотвращения вторжений •  Сервисы ASA NGFW на ASA 5585-X SSP-40, SSP-60 •  Новая версия и архитектура Cisco Prime Security Manager •  Новая линейка устройств Cisco в области Web-безопасности и защиты электронной почты серии x80 •  Новые возможности Cisco Cloud Web Security

Новые возможности Межсетевой экран нового поколения Cisco ASA 5500-X •  НОВИНКА Межсетевой экран нового поколения с системой защиты от вторжения •  НОВИНКА Сервисы межсетевого экрана нового поколения на ASA 5585-X SSP-40, SSP-60 •  НОВИНКА изменение архитектуры приложения Cisco Prime Security Manager ü  Больше, чем просто защита Интернет-периметра ü  Больший масштаб и гибкость развертывания ü  Снижение сложности управления

Новые возможности Устройства Cisco в области веб- безопасности и защиты электронной почты нового поколения •  НОВИНКА! Устройства Cisco в области веб-безопасности и защиты электронной почты серии x80 •  Доступно по лицензии GPL начиная с 28 окт. 2013 г. •  На базе платформы Cisco UCS Линейка продуктов Масштаб Модели Cisco Web Security Appliance (WSA) Предприятие C680 Средний бизнес C380 Малый и средний бизнес и филиалы C170 Cisco Email Security Appliance (ESA) Предприятие S680 Средний бизнес S380 Малый и средний бизнес и филиалы S170 Cisco Content Security Management Appliance (SMA) Предприятие M680 Средний бизнес M380 Малый и средний бизнес и филиалы M170 Новая серия x80

Но началось все гораздо раньше Приобретение Cognitive Security ASA Mid-range Appliances ASA CX и PRSM Новые продукты Secure Data Center ISE 1.1 & 1.2 / TrustSec 2.1 Ключевые факты •  ASA 9.0 •  ASA 1000V •  IPS 4500 •  CSM 4.3 •  AnyConnect 3.1

Q2FY13 Q3FY13 Q4FY13 Q1FY14 Приобретение Cognitive Security TRIAD организовано Annual Security Report 2013 Приобретение Sourcefire pxGrid, SIEM Ecosystem ISE 1.2 Интеграция ScanSafe GPL TRAC Team создана ACI Security Solutions Объявлена - ASAv Интеграция IronPort GPL Новые PRSM и ASA-CX Новые X80 Appliances Виртуализация BYOD Advanced Threats Software Defined Networking Обеспечение ключевых рыночных тенденций и запросов Появление Virtual ESA & WSA Наращивание усилий в 2013-м году

Лидер Gartner Magic Quadrant (Email Security, Web Security, Network Access, SSL VPN) Существенные инвестиции в R&D, M&A & людей #1 на рынке ИБ ЦОДов (Источник: Infonetics) #1 на рынке сетевой безопасности (Источник: Infonetics) Названа одним из 5-ти основных Приоритетов компании Cisco Security Momentum

11 Проблемы и задачи

12 Текущие проблемы безопасности Изменение бизнес- моделей Динамический ландшафт угроз Сложность и фрагментация

МОБИЛЬ- НОСТЬ ОБЛАКО УГРОЗЫ Динамика рынка, ориентированного на потребителя, требует сквозной архитектуры безопасности

14 Любое устройство к любому облаку ЧАСТНОЕ ОБЛАКО ОБЩЕ- ДОСТУПНОЕ ОБЛАКО ГИБРИДНОЕ ОБЛАКО

15 The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and Всеобъемлющий Интернет

завтра20102000 2005 Изменение ландшафта угроз APTs и кибервойны Черви и вирусы Шпионское ПО и руткит Антивирус (Host-Based) IDS/IPS (Сетевой периметр) Репутация (Global) и песочница Разведка и аналитика (Облако) Ответ предприятия Угрозы

17 Угроза распространяется по сети и захватывает как можно больше данных ПРЕДПРИЯТИЕ ЦОД Заражение точки входа происходит за пределами предприятия Интернет и облака ПУБЛИЧНАЯ СЕТЬ Продвинутые угрозы обходят средства защиты периметра КАМПУС ПЕРИМЕТР Анатомия современной угрозы

18 Новая модель безопасности

19 Новая модель безопасности ДО Обнаружение Блокирование Защита ВО ВРЕМЯ ПОСЛЕ Контроль Применение Усиление Видимость Сдерживание Устранение Ландшафт угроз Сеть Оконечные устройства Мобильные устройства Виртуальные машины Облако В определенный момент Непрерывно

20 От модели к технологиям ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Firewall App Control VPN Patch Mgmt Vuln Mgmt IAM/NAC IPS Anti-Virus Email/Web IDS FPC Forensics AMD Log Mgmt SIEM

21 Приобретение Sourcefire дополнило портфель решений Cisco ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контроль Firewall NGFW NAC + Identity Services VPN UTM NGIPS Web Security Email Security Advanced Malware Protection Network Behavior Analysis

22 Подход Sourcefire: … непрерывный процесс до, во время и после атаки Вы не можете защитить то, что не видите Автоматическая настройка системы безопасности …в режиме реального времени, в любой момент времени Преобразование данных в информацию УВИДЕТЬ АДАПТИ- РОВАТЬ УЧИТЬСЯ ДЕЙСТ- ВОВАТЬ

23 Вы не можете защитить то, что не видите Sourcefire видит БОЛЬШЕ Ширина: кто, что, где, когда Глубина: любая требуемая степень детализации Все в режиме реального времени, в одном месте Sourcefire обеспечивает информационное преимущество Операционная система Пользо-ватели УстройстваУгрозы Приложения ФайлыУязвимости Сеть УВИДЕТЬ УВИ- ДЕТЬ АДАП- ТИРО-ВАТЬ УЧИТЬ- СЯ ДЕЙС-ТВО- ВАТЬ

24 Cisco действует также: добавляет контекст и понимание C I2 I4 A ЛОКАЛЬНО Бизнес Контекст Кто Что Как Откуда Когда Внутри ВАШЕЙ сети ГЛОБАЛЬНО Ситуационный анализ угроз Снаружи ВАШЕЙ сети Репутация Взаимо- действия APP Приложения URL Сайты Реализация безопасности и глобальным контекстом

25 Контекст – это самое важное Событие: Попытка получения преимущества Цель: 96.16.242.135 Событие: Попытка получения преимущества Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США Событие: Попытка получения преимущества Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США Идентификатор пользователя: bobama Ф. И. О. Барак Обама Департамент: административный Контекст способен фундаментально изменить интерпретацию данных события

26 Использование контекста 100 000 событий 5 000 событий 500 событий 20 событий +10 событий 3 события

27 Видимость лежит в основе всего! Workflow(automation)Engine APIs Понять масштабы, локализовать и устранить Широкая осведомленность о контексте Внедрение политик для снижение ареала распространения угроз Сосредоточиться на угрозе: безопасность это обнаружение, понимание и нейтрализация угрозы Взлом Контекст Политика Угроза

28 Пассивное обнаружение В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете Хосты Сервисы Приложения Пользователи Коммуникации Уязвимости Все время в режиме реального времени

29 Видимость позволяет контролировать Workflow(автоматизация)Engine Взлом Контекст Политика Угроза Сеть / Устройства Пользователи / Приложения Файлы / Данные IDS FPC Forensics AMD Log Mgmt SIEM IPS AV anti-malware Firewall App Control VPN Patch Mgmt Vuln Mgmt IAM / NAC Видимость Сдерживание Устранение Обнаружение Блокирование Защита Контроль Применение Усиление Определение Мониторинг Инвентаризация Карта APIs

30 Стратегия развития продуктов зависит от современных угроз Workflow(автоматизация)Engine Взлом Контекст Политика Угроза Видимость Сдерживание Устранение Обнаружение Блокирование Защита Контроль Применение Усиление Определение Мониторинг Инвентаризация Карта Сеть / Устройства Пользователи / Приложения Файлы / Данные IDS FPC Forensics AMD Log Mgmt SIEM IPS AV anti-malware Firewall App Control VPN Patch Mgmt Vuln Mgmt IAM ДО ВО ВРЕМЯ ПОСЛЕ APIs

31 Всеобъемлющий портфель решений Cisco в области обеспечения безопасности IPS и NGIPS •  Cisco IPS •  Cisco wIPS •  Cisco ASA Module •  FirePOWER NGIPS Интернет- безопасность •  Cisco WSA / vWSA •  Cisco Cloud Web Security МСЭ и NGFW •  Cisco ASA / ASA-SM •  Cisco ISR / ASR Sec •  FirePOWER NGFW •  Meraki MX Advanced Malware Protection •  FireAMP •  FireAMP Mobile •  FireAMP Virtual •  AMP для FirePOWER NAC + Identity Services •  Cisco ISE / vISE •  Cisco ACS Безопасность электронной почты •  Cisco ESA / vESA •  Cisco Cloud Email Security UTM •  Meraki MX VPN •  Cisco AnyConnect •  Cisco ASA •  Cisco ISR / RVPN Policy-based сеть •  Cisco TrustSec •  Cisco ISE •  Cisco ONE Мониторинг инфраструктуры •  Cisco Cyber Threat Defense Контроль приложений •  Cisco ASA NGFW / AVC •  Cisco IOS AVC / NBAR •  Cisco SCE / vSCE •  FirePOWER NGFW Secure DC •  Cisco ASA / 1000v / ASAv / VSG •  Cisco TrustSec

32 Интеграция в сеть, широкая база сенсоров, контекст и автоматизация Непрерывная защита от APT-угроз, облачное исследование угроз Гибкие и открытые платформы, масштабируемость, всесторонний контроль, управление Стратегические задачи Сеть Оконечные устройства Мобильные устройства Виртуальные устройства Облака Видимость всего и вся Фокус на угрозы Платформы

33 Видимость: Cisco видит больше конкурентов Сетевые сервера ОС Рутера и свитчи Мобильные устройства Принтеры VoIP телефоны Виртуальные машины Клиентские приложения Файлы Пользователи Web приложения Прикладные протоколы Сервисы Вредоносное ПО Сервера управления ботнетами Уязвимости NetFlow Сетевое поведение Процессы

34 ? Фокус на угрозы

35 Обнаружить, понять и остановить угрозу ? Аналитика и исследования угроз Угроза определена История событий Как Что Кто Где Когда Контекст Записано Блокирование

36 Непрерывная защита от целенаправленных угроз Как Что Кто Где Когда Аналитика и исследования угроз История событий Непрерывный анализКонтекст Блокирование

37 Снижение сложности & рост возможностей платформы Аналитика и исследования угроз Централизованное управление Устройства, Виртуалки Платформа сетевой безопасности Платформа контроля устройств Облачная платформа Устройства, виртуалки ПК, мобильные, виртуалки Хостинг

38 Ключевые особенности архитектуры Cisco по ИБ

39 Мозг архитектуры безопасности Cisco Действующее соединение SMTP? (ESA) Ненадлежащий или нежелательный контент? (ASA/WSA/ CWS) Место для контроля и управления? (ASA/ WSA) Вредоносное действие? (ASA/ IPS) Вредоносный контент на оконечных устройствах? (AnyConnect) WWW Репутация Сигнатуры Сигнатуры Исследование угроз Регистрация доменов Проверка контента Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы Черные списки и репутация Партнерство со сторонними разработчиками Правила и логика для конкретных платформ Cisco Security Intelligence Operations

40 100Тбайт1,6 млн.13 млрд. Cisco SIO в цифрах 150,000Ежедневный анализ угроз безопасности Ежедневные веб-запросыРазвернутые устройства защиты Приложения и микропрограммные приложения 100 Тбайт данных анализа безопасности 1,6 млн. развернутых устройств 13 млрд. веб-запросов 150 000 микропрогра ммных приложений 1 000 приложений 93 млрд. сообщений электронной почты в день 35% корпора- тивная электронная почта 5 500 сигнатур IPS 150 млн. развернутых оконечных устройств 3-5 мин. Обновления Security Intelligence Operations: Полная прозрачность Глобальная зона охвата Полноценная защита 5 млрд. подключений к электрон- ной почте в день 4,5 млрд. ежедневно блокируемых электронных сообщений

41 Немного фактов о SIO Глобальная и локальная корреляция через автоматический и человеческий анализ АНАЛИТИКА & ДАННЫЕ УГРОЗ Широкий спектр источников данных об угрозах & уязвимостях БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ Контекстуальная политика с распределенным внедрением ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру- ктура больших данных Обновления в реальном времени Доставка через облако 150M оконечных устройств 14M шлюзов доступа 1.6M устройств безопасности Самообуча ющиеся алгоритмы НИОКР Open Source Community

42 Проблемы с традиционным мониторингом Admin Базируется на правилах •  Зависимость от сложно создаваемых вручную правил •  Зависимость от человеческого фактора Зависимость от времени •  Занимает недели или месяцы на обнаружение •  Требует постоянного тюнинга Security Team Очень сложно •  Часто требует квалифицированный персонал для управления и поддержки 111010000 110 0111 Невозможно идти в ногу с последними угрозами

СОВРЕМЕННЫЕ АЛГОРИТМЫ Поведенческие алгоритмы САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА Теория игр и само-оптимизация АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ Учет сетевого, Web и Identity контекста ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ КИБЕР УГРОЗ Поведенческий анализ СОВРЕМЕННЫЕ АЛГОРИТМЫ ` Поведенческие алгоритмы САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА Теория игры и само-оптимизация АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ Учет сетевого, Web, и Identity контекстаОБНАРУЖЕНО

44 Потенциальная угроза Поведенческий анализ Обнаружение аномалий Машинное обучение Внутренние пользователи Обнаружение угроз с Cognitive Threat Analytics

45 Безопасность WWWСеть Identity & Политики Будущее облачной аналитики угроз Облачная аналитика и исследования угроз Web Rep IPS Rep Email Rep Репутация Глобальная аналитика Портал угроз Сетевые политики Телеметрия безопасности Телеметрия сети Поведенческий анализ Глобальные данные об угрозах CTA

46 Решения Cisco в области веб-безопасности и защиты электронной почты Блокировка фишинговых атак, вирусов и спама Защита от угроз Безопасность данных Защита данных транзитного трафика Прозрачность и контроль приложений Обнаружение и уменьшение последствий угроз веб-безопасности Защита данных в режиме онлайн Мониторинг и контроль использования приложений Веб- безопасность Безопасность электронной почты Лидеры рейтинга Magic Quadrant компании Gartner в 2013 году Основные отличительные особенности: ü  Снижение совокупной стоимости владения ü  Эффективность и надежность ü  Гибкое развертывание

47 Строгая защита входящего Web-трафика WWW Время запроса Время ответа Cisco® SIO Фильтрация URL Репутационные фильтры Dynamic Content Analysis (DCA) Сигнатурные антивирусные движки Advanced Malware Protection БлокироватьWWW БлокироватьWWW БлокироватьWWW РазрешитьWWW ПредупредитьWWW WWW Частично блокировать БлокироватьWWW БлокироватьWWW Блокировать WWW

48 Анализ репутации и добавление контекста Ценность контента в режиме реального времени Владелец подозрительного домена Сервер в местоположении с высоким уровнем риска Динамический IP-адрес Домен зарегистрирован < 1 мин. 192.1.0.68 пример .com Example.org17.0.2.12 ПекинЛондонСан-ХосеКиев HTTPSSLHTTPS Домен зарегистрирован > 2 лет Домен зарегистрирован < 1 месяца Веб-сервер < 1 месяца Кто КакГде Когда 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 01 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011 -10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10 Оценка IP репутации

49 1.Сканирование текста Решения Cisco по контролю использования Web-ресурсов на базе SIO WWW База данных URL-адресов 3.Расчет приблизительной категории документа 4.Заключение о наиболее близкой категории 2. Оценка релевантности Финансы Для взрослых Здоровье Финансы Для взрослых Здоровье РазрешеноWWW Предупреж- дение WWW WWW Частичная блокировка БлокировкаWWW 5. Применение политики Если контент неизвестен, страница анализируется БлокировкаWWW Предупреж- дение WWW РазрешениеWWW Если контент известен

50 Всесторонний контроль с Cisco Web Security Стони приложений Поведение приложений 150,000+ микро- приложений•  Непрерывно обновляемая база URL, покрывающая свыше 50 миллионов сайтов в мире •  Динамическая категоризация в реальном времени для неизвестных URL •  Контроль мобильных, web 2.0 приложений и приложений для взаимодействия •  Применение политики к пользователям и устройствам •  Гибкая политика контроля для разных приложений •  Видимость всей активности по сети HTTP:// + Application Visibility and Control (AVC)Фильтрация URL

51 Мониторинг угроз на сетевом уровне Пользователи Анализ на сетевом уровне Предотвращение трафика ботнетов (“Phone-home”) •  Сканирование всего трафика, на всех портах, по всем протоколам •  Обнаружение вредоносного ПО, обходящего порт 80 •  Предотвращение трафика ботнетов Мощные данные для борьбы с вредоносным кодом •  Автоматически обновляемые правила •  Генерация правил в реальном времени, используя “динамическую идентификацию” Инспекция пакетов и заголовков Интернет

52 6,5 млн. вредоносных веб-сайтов блокируется каждый день Security Intelligence Operations – Cisco для Cisco Вредоносное ПО, заблокированное за один день: •  441 К - Троян •  61 К - Прочее вредоносное ПО •  29 К - Зашифрованные файлы (отслеживание) •  16,4 К - Рекламные сообщения •  1 К - Загрузчики Трояна •  55 - Фишинговые URL •  22 - Средства наблюдения за коммерческими системами •  5 - Черви •  3 - Номеронабиратели Статистика веб-трафика Cisco: •  330-360 млн. посещений веб-сайтов в день •  6-7 млн. (2%) заблокировано Транзакции, заблокированные WSA: •  93,5% - Веб-репутация •  4,5% - Категория URL •  2% - Антивредоносное ПО

53 Решения Cisco в области безопасности электронной почты на базе SIO Устройство Облако Гибридные Управляемые Защита от угроз Защита о спама и вирусов Целевая защита от угроз Безопасность данных Предотвращение потери данных Шифрование Централизованная прозрачность и контроль Поддержка нескольких устройств Виртуальные

54 Защита Cisco Email Security Cisco® SIO Репутационная фильтрация SenderBase Предотвращение спама и и спуфинга Антивирусное сканирование & AMP Анализ URL в реальном времени Доставка Карантин Переписать URL Отбросить Отбросить Отбросить/Карантин Отбросить/Карантин Карантин/Переписать

55 • Заведомо легитимная почта доставляется • Подозрительные сообщения ограничиваются по скорости и фильтруются от спама • Заведомо нежелательная почта блокируется IronPort Anti-Spam Входящая почта Хорошие, плохие и неизвестные сообщения Фильтрация по репутации Cisco о Cisco Наш корпоративный опыт работы с электронной почты Категория сообщения % Сообщения Остановлено фильтрацией на основе репутации 93.1% 700,876,217 Остановлено по причине недействительных получателей 0.3% 2,280,104 Обнаружен спам 2.5% 18,617,700 Обнаружен вирус 0.3% 2,144,793 Остановлено фильтром контента 0.6% 4,878,312 Общее количество сообщений об угрозах: 96.8% 728,797,126 Чистые сообщения 3.2% 24,102,874 Общее количество сообщений: 752,900,000 Фильтрация репутации SenderBase Предотвращение угроз в реальном времени

56 Блокирование фишинговых атак и скрытых угроз Репутационный фильтр Спам-фильтр Анализ контента сообщение Черные списки Защита от спуфинга Блокирование неожидаемых сообщений Перенаправление подозрительных ссылок для анализа и выполнения в защищенное облако Фильтрация плохих URL базируется на репутации web и категориях

57 Строгий исходящий контроль Шифрование важной почты Соответствие политикам/ DLP Контроль числа исходящих сообщений Проверки AS/AV DKIM/SPF Отправитель Получатель

58Каждый день блокируется 35 млн. сообщений электронной почты Электронные сообщения, заблокированные ESA Электронных сообщений* в месяц Электронных сообщений в день Электронных сообщений на одного работника в день % На основании репутации 73 млн. 3,3 млн. 43 94% На основании содержания спама 4,3 млн. 0,2 млн. 3 5% На основании недействительных подтверждений 0,4 млн. 0,02 млн. 0.25 1% Доставленные сообщения электронной почты Электронных сообщений в месяц Электронных сообщений в день Электронных сообщений на одного работника в день % Прислано 124 млн. 5,6 млн. 73 Заблокировано 77 млн. 3,5 млн. 46 63% Доставлено 37 млн. 1,7 млн. 22 30% Доставлено с отметкой “Маркетинг” 9 млн. 0,4 млн. 5 7% Устройство защиты электронной почты — Cisco для Cisco Вредо- носное ПО Спам

59 Централизованное управление & отчеты Централизованный репортинг Централизованное управление Встроенный анализ угроз Расследования инцидентов Понимание Через угрозы, данные и приложения Контроль Соответствующие политики для офисов и удаленных пользователей Видимость Видимость через различные устройства, сервисы и сетевой уровень Централизованное управление политиками Делегированное управление

60 Веб-безопасность облака Cisco §  Ведущий провайдер в области веб-безопасности облака в 2012 г компания Infonetics §  Лидер рейтинга Magic Quadrant компании Gartner в 2013 году §  Время безотказной работы сервисов 99,998% §  Экономия затрат 30–40% по сравнению с решениями локального развертывания §  Лучшее решение по веб-безопасности с централизованным управлением для распределенных организаций §  ISR G2 с управляемой доступностью до Q3FY14 CWS Защитаотнового вредоносногоПО Прозрачность иконтроль приложений Защита пользователей вроуминге (AnyConnect) Intelligence Network Connectors Обеспечение безопасностина базеоблака Гибкое развертывание ISR G2* ASA Устройства веб-безопасности (WSA) Облако VPN

61 AMP на Cisco Email и Web Security •  Поддерживается На Cisco Email Security Appliance На Cisco Web Security Appliance На Cisco Cloud Web Security File Sandboxing Анализ поведения неизвестных файлов File Retrospection Ретроспективный анализ после атаки File Reputation Блокирование вредоносных файлов

62 За горизонтом события ИБ Антивирус Песочница Начальное значение = Чисто Точечное обнаружение Начальное значение = Чисто AMP Пропущены атаки Актуальное значение = Плохо = Поздно!! Регулярный возврат к ретроспективе Видимость и контроль – это ключ Не 100% Анализ остановлен Sleep Techniques Unknown Protocols Encryption Polymorphism Актуальное значение = Плохо = Блокировано Ретроспективное обнаружение, анализ продолжается

63 Интеграция AMP & VRT & ESA/WSA/CWS AMP клиент – единый модуль, который применяется в WSA и ESA Web/Sender Reputation Web/ Email Proxy VRT Sandboxing WSA/ESA/CWS Amp connector Локальные AV-сканеры Запрос репутации файла AMP Cloud Неизвестный файл, загрузка в песочницу Обновление репутации файлов Sandbox connector AMP Client Local Cache Обновление ретроспективы

64 File SHA Hash ‘Fingerprint’ Неизвестно 1->100 Файл распознан Файл неизвестен Отправить в песочницу? Да Нет 1->59 : чисто 60->100: заражено Вердикт «Чисто» Вердикт «Заражено» Реакция по политики ESA / WSA Amp Service Amp Cloud Service Вердикт «Чисто» + отправить в песочницу Вердикт «Чисто» Amp Client Чисто Заражено Вердикт Рейтинг Нет рейтинга Принятие решений в связке AMP и ESA/WSA/CWS

65 Архитектура безопасности Cisco Управление Общие политики безопасности и управление безопасностью API управления безопасностью API Cisco ONE API платформы API интеллектуальных ресурсов облака Координация Физическое устройство Виртуальные Облако Уровень элементов инфраструктуры Платформа сервисов безопасности Безопасность Услуги и Приложения API устройства – OnePK, OpenFlow, CLI Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи) Уровень данных ASIC Уровень данных ПОМаршрутизация – коммутация – вычисление Управление доступом Учет контекста Анализ контекста Прозрачность приложений Предотвращение угроз Приложения Cisco в сфере безопасности Сторонние приложения APIAPI

66 Платформа сервисов безопасности ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ Маршрутизаторы и коммутаторы Cisco Общедоступное и частное облако ВЕРТИКАЛЬНОЕ МАСШТАБИРОВАНИЕ ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ ГОРИЗОНТАЛЬНОЕ МАСШТАБИРОВАНИЕ Устройства обеспечения безопасности Виртуализированное устройство | автоматическое масштабирование | многопользовательская среда Устройство обеспечения безопасности, действующее как программируемый сетевой контроллер

Межсетевой экран нового поколения Cisco ASA 5500-X. Он единственный у Cisco? •  В 4 раза быстрее чем прежние модели ASA 5500 •  Лучший в отрасли межсетевой экран ASA и решение AnyConnect •  Сервисы межсетевого экрана нового поколения •  Различные расширенные сервисы безопасности, не снижающие производительность Application Visibility& Control(AVC) Intrusion Prevention (IPS) SecureRemote Access (AnyConnect) WebSecurity Essentials (WSE) Веб- безопасность облака Сервисы Cisco ASA NGFW (программное обеспечение) Межсетевой экран нового поколения Cisco ASA серии 5500-X (на аппаратной платформе)

Межсетевые экраны: вертикальное и горизонтальное масштабирование Cisco 7600 Routers ISR Routers Catalyst 6500 Switches Nexus Switches ASA Meraki MX ASA 1000v VSG CWS Sourcefire FW ASAv ASR Routers

69 Безопасность подразумевает обнаружение, понимание и блокирование угроз Высокоскоростная проверка контента 123.45.67.89 Johnson-PC Операционная система: Windows 7 имя хоста: laptop1 Пользователь: jsmith IP 12.134.56.78 12.122.13.62 SQL Реальность: сегодня основой безопасности является предотвращение угроз Реальность сегодня: 612 нарушений безопасности в 2012 г. •  92% происходит от внешний агентов •  52% используют какую-либо из форм хакерства •  40% приходится на долю вредоносных программ •  78% атак не отличаются высокой сложностью Утечка данных Verizon в 2013 г. Отчет о расследовании

70 Решения безопасности Sourcefire ИНТЕЛЛЕКТУ-АЛЬНАЯ СИСТЕМА КОЛЛЕКТИВНОЙ БЕЗОПАСНОСТИ Центр управления УСТРОЙСТВА | ВИРТУАЛЬНЫЕ МЕЖСЕТЕВОЙ ЭКРАН НОВОГО ПОКОЛЕНИЯ ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ НОВОГО ПОКОЛЕНИЯ РАСШИРЕННАЯ ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ ЗАВИСИМОСТЬ  ОТ  КОНТЕКСТА   ХОСТЫ  |  ВИРТУАЛЬНЫЕ   МОБИЛЬНЫЕ   УСТРОЙСТВА  |  ВИРТУАЛЬНЫЕ  

71 FirePOWER™: single-pass, высокопроизводительное, с низкой задержкой •  Гибкая интеграция в программное обеспечение NGIPS,NGFW, AMP Все вышеперечисленные (просто выбрать соответствующий размер) •  Гибкая интеграция в аппаратное обеспечение Масштабируемость: 50 Мбит/с ->40 Гбит/с Стекирование для масштабирования, кластеризация для отказоустойчивости •  Экономичность Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs До 320 ядер RISC До 40 Гбит/с (система предотвращения вторжений)

72 •  Все устройства включают: Интегрированное дистанционное управление Технологию ускорения Sourcefire ЖК-дисплей SSL2000 SSL1500 SSL8200 Устройства FirePOWER

73 Производительностьимасштабируемостьсистемыпредотвращениявторжений Центр обработки данных Комплекс зданий Филиал Малый/домаш-ний офис Интернет- периметр FirePOWER 7100 Series 500 Мбит/с – 1 Гбит/с FirePOWER 7120/7125/8120 1 - 2 Гбит/с FirePOWER 8100/8200 2 - 10 Гбит/с FirePOWER серии 8200 10 – 40 Гбит/с Платформы и размещение в сети FirePOWER 7000 Series 50 – 250 Мбит/с

74 7010   7020   7030   1U,  половинная  ширина   1U,  половинная  ширина   1U,  половинная  ширина   50  Мбит/с   100  Мбит/с   250  Мбит/с   8  портов     1  Гбит/с,  медь     8  портов     1  Гбит/с,  медь     8  портов     1  Гбит/с,  медь   Один  источник  питания  пер.   тока   Мощность   Один  источник  питания  пер.   тока   Мощность   Один  источник  питания  пер.   тока   Мощность   Все  устройства  серии  7000  поддерживают  стационарные  конфигурации  сетевых  портов,  дистанционное  управление,   твердотельные  диски  и  ЖК-­‐интерфейс.   Устройства 7000 Series FirePOWER

75 7110   7120   7115   7125   1U   1U   1U   1U   500  Мбит/с   1  Гбит/с   750  Мбит/с   1,25  Гбит/с   8  портов     1  Гбит/с,  медь     или  оптоволокно   8  портов     1  Гбит/с,  медь    или  оптоволокно   4  стационар.,  1  Гбит/с,  медь   8  SFP   4  стационар.,  1  Гбит/с,  медь   8  SFP     Резервный источник  питания  пер.   тока   Резервный источник  питания  пер.   тока   Резервный источник  питания  пер.  тока   Резервный источник  питания  пер.  тока   Все  устройства  7100  поддерживают  дистанционное  управление,     твердотельные  диски  и  ЖК-­‐интерфейс.   Устройства 7100 Series FirePOWER ____ * SFP НЕ поддерживают настраиваемый обход; они относятся к типу «закрыть при отказе».  

76 8120 8130 8140 1U 1U 1U 2 Гбит/с 4 Гбит/с 6 Гбит/с 3 слота 3 слота 3 слота До 12 портов До 12 портов До 12 портов 1U Комплект для стекирования В устройство 8140 можно добавить один дополнительный стекирующий модуль для повышения общей производительности системы. Устройства 8100 Series FirePOWER Все  устройства  серии  8000  поддерживают  взаимозаменяемые  сетевые  модули,  дистанционное  управление,  твердотельные   диски,  источники  питания  пер.  и  пост.  тока,  резервные  источника  питания  и  ЖК-­‐интерфейс.  

77 Все  устройства  серии  8000  поддерживают  взаимозаменяемые  сетевые  модули,  дистанционное  управление,  твердотельные  диски,  источники   питания  пер.  и  пост.  тока,  резервные  источника  питания  и  ЖК-­‐интерфейс.   8250   8260   8270   8290   2U   4U   6U   8U   10  Гбит/с   20  Гбит/с   30  Гбит/с   40  Гбит/с   7  слотов   6  слотов   5  слотов   4  слота   До  28  портов   До  24  портов   До  20  портов   До  16  портов   ____   Устройства  8270  и  8290  поддерживают  соединения  40G.  Для  этого  необходимо  приобрести  сетевые  модули  40G   Для  устройств  8250  и  8260  требуется  модуль  коммутации  40G,  обеспечивающий  поддержку  соединений  40G,  после  чего  необходимо  установить  сетевые  модули  40G   Примечание.  Для  сетевого  модуля  40G  требуется  2  слота   Устройства 8200 Series FirePOWER

78 Новые устройства серии FirePOWER 8300 •  Та  же  платформа,  что  и  серия  8200     •  Та  же  стекируемая  архитектура,  что   и  серия  8200   •  ~50%  больше  вычислительных  ядер   vs.  серии  8200   8370     8360     8350     30 Gbps 15 Gbps IPS  Throughput   60 Gbps 45 Gbps 8390     Sourcefire  Proprietary  &  Confiden€al  

79 Виртуальный сенсор Виртуальные сенсоры Виртуальный центр защиты •  Встроенное или пассивное развертывание •  Полный набор функциональных возможностей системы предотвращения вторжений нового поколения •  Развертывается как виртуальное устройство •  Сценарии использования Преобразование SNORT Небольшие / удаленные площадки Виртуализированные рабочие нагрузки (PCI) •  Управляет до 25 сенсорами физические и виртуальные одно окно •  Сценарии использования Быстрая оценка Предварительное тестирование перед производством Операторы связи ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x. DC

80 УСТРОЙСТВА | ВИРТУАЛЬНЫЕ NGFW NGIPS AMP Одна платформа служит для обработки всеv жизненным циклом атаки ДО Вы видите, вы контролируете ВО ВРЕМЯ Интеллектуальные и с учетом контекста ПОСЛЕ Ретроспективные средства безопасности

Ценностная архитектура системы предотвращения вторжений нового поколения Информирование пользователей Осведомленность об угрозах DAQ Осведомлённость о состоянии сети Инструменты обнаружения Инструмент корреляции Инструмент создания правил Инструмент создания презентаций Сопоставление каталогов Службы каталогов Сервисы репутации Пользовательский интерфейс Инструмент создания отчетов Сервисы определения местоположения Сервисы восстановления Обнаружение аномалий «Отправлять мне SMS-сообщение только в случае реальной атаки на телефон Android одного из наших исполнительных директоров». Оповещения Корреляция Идентификация Осведомленность

82 Межсетевой экран нового поколения: на базе системы предотвращения вторжений нового поколения •  Ресурсы и пользователи, сопоставленные с помощью FireSIGHT •  Нарушения правил доступа, обнаруженные встроенными системами предотвращения вторжений нового поколения •  Контроль приложений и контроль доступа, коммутация и маршрутизация, обеспечиваемые межсетевым экраном нового поколения •  ЕДИНСТВЕННЫЙ межсетевой экран нового поколения, который содержит полнофункциональную систему предотвращения вторжений нового поколения

83 Межсетевой экран нового поколения Sourcefire Ориентирован на угрозы •  Система предотвращения вторжений нового поколения – проверка содержимого •  FireSIGHT – учет контекста •  Интеллектуальная система безопасности – управление черным списком •  Полный контроль доступа По зоне сети, сеть VLAN, IP, порту, протоколу, приложению, пользователю, URL-адресу •  И все эти компоненты прекрасно интегрируются друг с другом Используются политики системы предотвращения вторжений Политики контроля файлов Политика межсетевого экрана Политика в отношении системы предотвращения вторжений нового поколения Политика в отношении файлов Политика в отношении вредоносных программ Контролируемый трафик Коммутация, маршрутизация, сеть VPN, высокая доступность Осведомленность об URL- адресах Интеллектуальная система безопасности Определение местоположения по IP-адресу

84 Лицензирование Sourcefire Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование Асимметричная многопроцессорная обработка Система предотвращения вторжений нового поколения Межсетевой экран нового поколения Стандартные функции устройства Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓ Регистрация подключений / потока ✓ ✓ ✓ ✓ Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓ Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓ Защита Ведущая система предотвращения вторжений NSS Расширенная лицензия * ✓ ✓ Комплексное предотвращение угроз * ✓ ✓ Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓ Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓ Базовое предотвращение потери данных в правилах IPS (SSN, кредитные карты и пр.) * ✓ ✓ Контроль [1] Контроль доступа: применение по приложению Расширенная лицензия Расширенная лицензия Расширенная лицензия ✓ Контроль доступа: применение по пользователю ✓ Коммутация, маршрутизация и возможности NAT [3] ✓ VPN Сеть VPN «узел-узел» IPSec [2] Расширенная лицензия Расширенная лицензия Расширенная лицензия ✓ Фильтрация URL-адресов Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год Защита от вредоносных программ Подписка на блокирование вредоносных программ, непрерывный анализ файлов, отслеживание траектории движения вредоносных программ в сети Стоимость на год Стоимость на год Стоимость на год Стоимость на год [1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT “*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок

85 Выделенное устройство Advanced Malware Protection (AMP) Advanced Malware Protection for FirePOWER (NGIPS, NGFW) FireAMP для узлов, виртуальных и мобильных устройств Защита от вредоносного кода (антивирус)

86 Наш подход к расширенной защите от вредоносных программ SaaS Manager Сенсор Sourcefire Центр управления FreeSIGHT Лицензия на AMP Malware # ✔✖ # Сервисы обнаружения и анализ больших данных AMP для сетей AMP для оконечных устройств SSL:443 | 32137 Пульсация: 80

87 Advanced Malware Protection Dedicated Advanced Malware Protection Appliance AMP for FirePOWER (NGIPS / NGFW) AMP for Gateway: Email Security Appliance Web Security Appliance Cloud Web Security Gateway Network PC’s Mac’s Mobile Devices Virtual Machines Endpoint Public Cloud Private Cloud До В процессе После Облачные преимущества: ü  Коллективная разведка ü  Непрерывный анализ ü  Ретроспектива ü  Отслеживание ü  Анализ причин ü  Контроль

88 FireAMP Private Cloud §  Портал  управления  для   быстрого  внедрения  и   менеджмента   §  Защита  на  уровне  сети  и   оконечных  устройств   §  Обезличенные  файлы   могут  передаваться  в   глобальное  облако   §  Отслеживание  эпидемий  

89 Операционная архитектура оконечного устройства Системные данные Имя хоста IP-адрес хоста Пульсация Имя для входа в систему Отсутствуют данные, которые могут быть использованы для идентификации личности (PII) Дополнительные PII Захват сетевого трафика Регистрация данных подключения для отслеживаемых файлов Данные сети Хэширование отслеживаемых файлов Проверка локального кэша Запрос расположения Блокирование вредоносных расположений Данные файлов PII Условные обозначения

90 Интеллектуальные инструменты размещены на стороне сервера Тепловая карта Отчетность I.O.C. Траектория Анализ событий Активы Учетная запись Черные списки Политика Управление системой Программа подкачки данных центра управления FreeSIGHT Каналы безопасности Кэш/диспетчер по запросу клиента Контроль эпидемий Настраиваемое обнаружение Контроль приложений Анализ в изолированной программной среде Веб- Консоль FireAMP Облако SourcefireИнструменты обнаружения Система управления событиями / механизм больших данных (правила, события) Система регистрации Извлечение данных

91 Конкретный (ОДИН К ОДНОМУ) (•) Механизмы обнаружения AMP Общий (ETHOS) {•••} Дерево решений (SPERO) Интегративный (Расширенный анализ) ∫ 1 пользователи, механизмы Момент сопротивления при обнаружении Основной Хэш Функция Печать ОДИН К ОДНОМУ Перехватывает «известные» вредоносные программы с помощью первичного сопоставления SHA. Эквивалентно системе на базе сигнатур. ETHOS Перехватывает семейства вредоносных программ с помощью «нечеткого хэша», встроенного в функцию печати. Противодействует обходу правил вредоносными программами за счет «битового жонглирования». SPERO Использует методы технологии искусственного интеллекта для обнаружения вредоносных программ в режиме реального времени с учетом среды и поведения. Периодически проверяет хранилище больших данных для выполнения ретроспективного анализа РАСШИРЕННЫЙ АНАЛИЗ Интегрирует функции эвристического анализа из среды вредоносной программы, хранилища больших данных, ETHOS и SPERO позволяют разъяснить результаты признания программ вредоносными

92 § Какие  системы  были  заражены?   § Почему  это  произошло?   § Где  источник  заражения?     § За  что  еще  он  отвечает?   § С  кем  он  еще  взаимодействовал?   Смотритевсуть:траекторияустройства Смотрите широко: траектория сети Анализ траектори

Add a comment

Related presentations

Presentación que realice en el Evento Nacional de Gobierno Abierto, realizado los ...

In this presentation we will describe our experience developing with a highly dyna...

Presentation to the LITA Forum 7th November 2014 Albuquerque, NM

Un recorrido por los cambios que nos generará el wearabletech en el futuro

Um paralelo entre as novidades & mercado em Wearable Computing e Tecnologias Assis...

Microsoft finally joins the smartwatch and fitness tracker game by introducing the...

Related pages

Архитектура и стратегия информационной безопасности Cisco

Миссия компании Cisco в области информационной ... Cisco в области ... безопасности. В ...
Read more

Стратегия Cisco в области информационной безопасности - PC ...

... по информационной ... безопасности RSA ... Стратегия Cisco в области ...
Read more

Стратегия Cisco в области информационной безопасности ...

На проходившей 1-5 марта в Сан-Франциско международной конференции по информационной ...
Read more

Стратегия информационной безопасности

Cisco Security Future © 2006 Cisco Systems, Inc. All rights reserved. 1/66 Стратегия информационной безопасности
Read more

Стратегия cisco в области информационной безопасности ...

В декабря 2011 г. 11:21 БЕЗОПАСНОСТЬ Стратегия Cisco в области информационной безопасности
Read more

ЧТО НОВОГО ПРЕДЛАГАЕТ CISCO В ОБЛАСТИ ИНФОРМАЦИОННОЙ ...

В ОБЛАСТИ ИНФОРМАЦИОННОЙ ... cisco В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Стратегия
Read more

Стратегия и новости компании Cisco в области обеспечения ...

Стратегия и новости компании Cisco в области ... Стратегия и ... безопасности Cisco ...
Read more

Стратегия и новости компании Cisco в области обеспечения ...

... и архитектур безопасности, ... Стратегия и новости компании Cisco в области ...
Read more