Cisco Security

Решения Cisco по
информационной безопасности
Алексей Лукацкий
Ландшафт угроз меняется с увеличивающейся
скоростью
Flash malware
взаимодействует
Спам с JavaScript1 Увеличение Новый Angler Exploit
обнаружен Cisco менее,
уменьшается1 Отсутствуют количества Adobe
чем через 2 дня после
основные игроки Увеличение Flash эксплойтов4
на рынке exploit популярности появления
kits2 Angler-
эксплоита3
2014 2015
2016
и далее
Увеличение
Количество Java-
Активное эксплойтов объема спама в
#1
Плохие парни снова
91% развитие
snowshoe спама2
уменьшается 3 используют макросы
MS Office4
Китае, США и
России4
Основная угроза всех веб
– переполнение эксплойтов –
буфера1 это Java1
Source:
1 Cisco Annual Security Report 2014
2 Cisco Midyear Security Report 2014
3 Cisco Annual Security Report 2015
4 Cisco Midyear Security Report 2015
Угрозы стали более быстрыми и гибкими, чем
когда-либо
Angler Exploit
Мошенничество с онлайн-
банками или кредитными
МИССИЯ картами, добыча Bitcoin,
мошенничество с кликами,
Ransomware, информация
МИССИЯ об онлайн-банкинге
Жизненный цикл ботнет,

Angler Exploit
рекламное мошенничество,
МИССИЯ malvertising,
Продвинутая скоординированные атаки
40% 100%
увеличение инфицированных в 2015
угроза успешность
Mission-oriented, МИССИЯ Целевые атаки • Развертывание скрытых опорных

Ориентированные н а цель,
multi-vector attacks страниц
мультивекторные атаки • Использование эксплойтов, таких как
flash, для проникновения в компьютер
• Интеллектуально меняет технику для
того, чтобы избежать обнаружения
И влияние бреши на безопасность имеет
далеко идущие последствия
0100110010
0100101000
60
1010101010
%
?%
54
1010010010 ВАЖНЫЕ
1101110101 ДАННЫЕ
данных похищается брешей не могут

в течение часов1 00110010000 быть обнаружены
$3.8M
10010011010
00101010101
месяцами1
0 1 1 0 1 1 0 0 0 0 0на
долларов тратятся
0 0 0ликвидацию
10010101
последствий бреши
1 1 0 1 1 0 0 1 1 1 12 Source:
1 http://www.cisco.com/web/offer/emear/38 586/im ages/Pr esent
ations/P16.pdf
2 Ponemon Institute, 2015 Global Cost of Data breach
Время обнаружения целенаправленных
угроз велико
Mandiant У Cisco время
229
обнаружения (TTD)
HP составляет 17 часов
Bitglass
205 416
Symantec
2287 дней – один из

самых долгих
305 Ponemon
Trustwave
188
инцидентов в 2014-м
году
206
Продвинутые угрозы легко распространяются по
старым сетевым инфраструктурам
Угрозы Периметр Среда
Исследование Установка бота, Сканирование LAN для эксплуатации и
поддержка альтернативного входа и
1 цели 3
Жертва кликает 4 распространение трояна, 5 нахождение привилегированных
(SNS) на резюме подключение к серверу C2
пользователей
отправка
2 поддельного резюме
(you@gmail.com)
ПК Админ ЦОД
Лена Email вектор
Иванова
Админ
Лена Иванова
• HR-координатор
• Нужны безопасники Найдена привилегированная учетка.
• Сроки поджимают 6 Занятие сервиса каталогов.
Копирование резервной копии на
временный сервер
Система скомпрометирована. Упаковка данных, разделение

Web вектор Поддержка входа и прикрытие
8 7 из на много файлов, отправка
следов на внешний сайт через HTTPS
Так было в прошлом
Сетевая
инфраструктура
Десктопы Бизнес-
приложения
Что сегодня и
завтра? Критическая
Удаленные инфраструктура
пользователи (Amazon, Rackspace,
Windows Azure и т.д.)
Сетевая Промышленные
инфраструктура сети
Операторы связи
Десктопы Бизнес-
приложения
Бизнес-приложения
Мобильные (Salesforce, Marketo,
пользователи DocuSign и т.д.)
Много систем безопасности не поддерживаются в
актуальном состоянии
Перегрузка уже
загруженных
доступных ресурсов
Представляет
операционную
Разрозненный неэффективность
обзор и
информация об z
угрозах Полностью
ручное или
сложные
Не настройки
поддерживается
рост бизнеса
Не может
остановить
продвинутые
угрозы
С функциями для реагирования на
продвинутые угрозы
ДО ПОСЛЕ
ВО ВРЕМЯ Диапазон
Найти Обнаружить
Ограничение
Применить Заблокировать
Реагировани
Усилить Защитить е
Глобальная информация Сигнатуры, антивирус, Песочницы и ретроспектива

об угрозах антиспам, аномалии
Web/Email репутация Анализ угроз и IoC
URL фильтрация
DNS и IP фильтрация Репутация файлов и узлов Динамическая сегментация
Сегментация Обнаружение эксплойтов Исполняемая информация

Cisco защищает на протяжении всего цикла
атаки
ДО ВО ВРЕМЯ ПОСЛЕ
Найти Обнаружить Диапазон
Применить Заблокировать Ограничение
Усилить Защитить Реагирование
ASA NGFW FirePOWER NGIPS и WIPS Lancope Stealthwatch

ISE & TrustSec WSA и CWS Threat Grid
AnyConnect ESA Cognitive T hreat Analytics
OpenDNS Investigate Cloud Access Security OpenDNS Investigate и CTA
Advanced Malware Protection
OpenDNS Umbrella
Talos
Разные варианты реализации
ПО
Физическое Виртуальное Облачное

(как сервис)
Единые функции | Открытые API | Гибкое лицензирование

И интегрированными решениями по всей
расширенной сети CTA
OpenDNS
INVESTIGATE TALOS THREAT GRID
Talos
ESA
Админ
NGFW
OpenDNS
UMBRELLA NGFW AMP ISE NGIPS/
WSA
CWS
STEALTHWATCH
Повсеместная безопасность
ЛВС
Периметр ЦОД
Филиалы Облака
Оконечные
устройства АСУ ТП
Интеграция и максимальное покрытие от уровня сети до

оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов
– ДО, ВО ВРЕМЯ и ПОСЛЕ
Начнем с наиболее интеллектуальной защиты
от угроз
Global
Talos
Intelligence
Talos
NGIPS &
NGFW
Identity & I00II00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00III00I III0I III00II I00I
I00II00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00III00I III0I III00II I00I
Access Control I00II00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00III00I III0I III00II I00I
Email Информация об угрозах
www
Web
Email Endpoints Web Networks IPS Devices
Shadow IT &
Исследования
Data
J an
600+ исследователей 24 - 7 - 365 операции

DNS, IP & BGP
Advanced Обнаружить угрозы, которые не может

Быть уверенными
Threats Talos идентифицировал сеть “Kyle/Stan, “String of Paerls”, и
обнаружить компьютер
600+ исследователей на нашей стороне ищут новые продвинутые
“Angler” exploits раньше, чем кто-либо другой угрозы
Sandboxing
Получить информацию об угрозах, которая связана с
вашим бизнесом Постоянно быть обновленным
Anomaly Получить локализованную и специфичную информацию об угрозах, так как
Talos глобально агрегирует миллионы источников информации.
Получить автоматические обновления каждые 3-5 минут на
все ваши устройства
Detection
В центре внимания Cisco — анализ угроз!
Коллективные исследования Cisco – Приобретение компании
Приобретение компании Sourcefire Security
подразделение Talos по исследованию и анализу
• Ведущие в отрасли СОПВ нового поколения
угроз Lancope
• Мониторинг сетевой активности • Исследования угроз
• Подразделение Sourcefire по исследованию уязвимостей — VRT
• Advanced Malware Protection
• Подразделене Cisco по исследованию и информированию об угрозах
• Разработки отдела по исследованию уязвимостей (VRT)
— TRAC
• Инновации в ПО с открытым исходным кодом
• Подразделение Cisco по безопасности приложений — SecApps
(технология OpenAppID)
AMP + FirePOWER
AMP > управляемая защита от угроз
2013 2014 2015...

Коллективный анализ вредоносного кода
Cognitive + AMP > Система коллективной
информационной безопасности
Приобретение компании Приобретение компании

Приобретение компании Cognitive
ThreatGRID Malware Analysis & Threat Intelligence
OpenDNS
Security • Коллективный анализ вредоносного • Анализ DNS/IP-трафика
• Передовая служба исследований кода
• Анализ угроз
• Улучшенные технологии поведенческого анализа• вАнализ угроз
режиме реального времени
• «Песочница»
5 департаментов
80 МЛРД
DNS-запросов в день
18.5 МЛРД
Файлов в день
16 МЛРД
Web-запросов в день
500 МЛРД
сообщений email в день
Усилить и защитить сети от продвинутых угроз
Global
Intelligence
Talos
Админ
Традиционный Firewall
NGIPS & Продвинутая
NGFW кластеризация Контроль политик NAT и ACLs
Identity & A ccess

Control Сетевой трафик
Email Next G en Firewall ( NGFW)

Блокирование
Знание контекста SSL расшифровка файлов по типу
Web ASA AMP
Shadow IT &
Data
DNS, IP & BGP с сервисами FirePOWER NGIPS

Обнаружение Управление
Advanced угроз и AVC Анализ угроз угрозами
Threats
FireSIGHT
Management Console
VPN
Sandboxing
Специализированные платформы для филиалов, периметра, ядра,
Anomaly терминалов, ЦОД в традиционном, виртуальном, ACI и облачном
Detection окружении
Введение в устройства Firepower NGFW
Global Многосервисная
Intelligence
Talos
безопасность
NGIPS &
NGFW Выгоды
• Интеграция лучшей
Identity & A ccess безопасности
Control • Динамическое объединение
Сверхвысокая сервисов
производительность
Email • Поддержка любой сети, от
низконагруженной,
высокозагруженной, ЦОД, SP
Свойства
Web Модульный • Полный набор устройств Свойства*
• Ведущая производительность • Контейнеры Firepower Threat
(9000 Series) Defense
Shadow IT & Выгоды - 240 Gb пропускная - NGIPS, AMP, URL,
Data • Стандартная и возможностью
способность
Приложения, Visibility &
взаимодействия - 30 Gb+ на поток Control (AVC)
• Гибкая архитектура - Задержки менее 5 мкс
DNS, IP & BGP • ASA контейнер
Свойства - 10G/40G I/O;; 100G - Stateful FW, Virtual
• Безопасность, основанная на готовность
шаблонах Private Network (VPN),
- Терабитный backplane
Advanced • Защищенные контейнеры для
- Кластеризация до 5
CGNAT
пользовательских приложений
Threats • Restful/JSON API устройств для получения • Другие контейнеры
1.2 Тбит/с мощности - Radware DDoS
• Внешнее
оркестрация/управление - Другие партнеры
Sandboxing экосистемы
Anomaly
Detection
Введение в устройства Firepower NGFW
Global
Intelligence
Talos
NGIPS & W W W
NGFW
Identity & A ccess
Control NGFW NGIPS AMP URL VPN Third Party
фильтрация
Email Открытый API
Блокирование Обнаружение, Идентифика- Защита
Ограничение позволяет
и мониторинг предотвра- ция и удаленных применять
Web неавтори- щение и нацеливание доступа к
пользовате- диапазон
зованного реагирование на бреши и определенным дополнительных
узлам и лей и
Shadow IT & доступа и на угрозы с ети malware для инструментов
Data активности на в режиме анализа и подузлам, как подключений для
L2-7 реального реагирования и к категориям узел-узел с настраиваемой
времени. веб с айтов. детальным защиты.
DNS, IP & BGP
контролем.
Advanced
Threats
Integrated Intelligent S ervices Framework
Sandboxing Интеллектуальная обработка для более э ффективного
обнаружения, высокой производительности и у прощенного у правления.
Anomaly
Detection
Традиционная безопасность: разрозненные,
неэффективные, дорогие
1001
1001 0001011
1001
0001011
Пакет 1001 1100010
0001011 1100010 1110
0001011 1100010
1100010 1110
1110
данных 1110
DDoS WAF 1001

Sandbox
1001 0001011
1001 0001011 1100010
0001011 1100010 1110
1100010 1110
1110
DDoS платформа Sandbox платформа

WAF платформа
SSL FW IPS
SSL платформа FW платформа IPS платформа
Менее эффективна Увеличенная задержка Замедляет обработку Статическая и ручная

Cisco трансформирует интеграцию сервисов
безопасности
Разрозненная
Data
Packet
Sandbo
DDoS WAF x
Легенда:
Cisco Service
DDoS Platform WAF Platform Sandbox
Интегрированная
3rd Party Service
Пакет SSL 000101 FW IPS

1001
111000 SSL DDoS FW WAF NGIPS AMP

данных 101110
1001
0001011
1100010
SSL Platform FW Platform IPS Platform 1110
Менее эффективна Унифицированная платформа

Увеличенная задержка Замедляет сеть Статическая настройка
Масштабируемая
Максимальная защита Высокая эффективность обработка Динамическая
Смотрим вперед: интеллектуальное
соединение сервисов
Легенда:
1001
Пакет 0001011 Cisco Service
данных
1100010
1110
FW DDoS SSL WAF NGIPS AMP
3rd Party Service
Тег
метаданных
x x x
Унифицированная платформа
Разумные метки снимают

необходимость в Автоматизирует информацию Оптимизирует ИБ через
дополнительной инспекции о сервисах безопасности цепочку сервисов
Введение в устройства Wireless IPS
Global Обнаружение посторонних в беспроводной сети
Intelligence
Talos
Администратор определяет
NGIPS & иерархию местоположения и
NGFW предоставляет пользователям
конкретные права доступа на
Identity & A ccess основе их местоположения. Скорая п омощь
Control Данные
Местоположения для
доступа к данным клиента клиента
Лаборатория
Email
Скорая
Холл Палата Лаборатория
помощь
Нет доступа Доступ к Нет доступа Доступ к
Web Врач к данным данным к данным данным
пациента пациента пациента пациента
Shadow IT & Холл Палата
Data
DNS, IP & BGP
Advanced Возможности
Threats
• Конфигурация иерархии местоположений по всем объектам местоположения
• Применение атрибутов местоположения MSE в политике авторизации
Sandboxing
• Периодическая проверка MSE на предмет изменения местоположения
Anomaly • Обнаружение посторонних точек доступа и беспроводных клиентов

Detection • Нейтрализация беспроводных атак и подавление посторонних
Нейтрализация DDoS-атак
Global
Intelligence
Talos
DDoS
Identity & A ccess

Control
Email
Web
Shadow IT &

Data
DNS, IP & BGP
Advanced Возможности
Threats
• Наличие базовых возможностей в сетевой операционной системе Cisco IOS, CatOS, NX-OS, IOS XE, IOS XR
• Базовые возможности в Cisco ASA 5500-X, Cisco NGIPS, Lancope StealthWatch
Sandboxing
• Обнаружение и нейтрализация широкого спектра DDoS-атак – направленных на канал и на приложения
Anomaly • Интеграция с сетевой инфраструктурой (Cisco ASR) и инфраструктурой безопасности Cisco (Cisco Firepower 9300)
Detection
Ограничить доступ и распространение
инфекции
Tal
Global Identity S ervices E ngine
Intelligence
os
1010 1 1110 1 0 11101

NGIPS &
0011111 1 01111
01100 0 1 01110
0010011101
NGFW Проводной,
Беспроводной
Identity & A ccess VPN
Wireless
Control Mobile Data
Management
(MDM) X
Email Identity stores
Кто à Игорь pxGrid
Profile feed
Web Что à Ноутбук service
Беспроводной AnyConnect
Shadow IT & Когда à 11:00, 10 апреля A Robust
Data Context-Sharing
Где à Корпус 3, Platform
2-й этаж Персональный Рабочий
DNS, IP & BGP Проводной
VPN планшет компьютер
Advanced Унифицированный безопасный Превосходный контекст и видимость Детальный контроль

Threats контроль доступа пользователя
Возможность видеть всех пользователей и
ISE централизует и упрощает создание ISE использует свое продвинутые
подключенные устройства в сети обеспечивает возможности обзора для того, чтобы
сетевых политик доступа и управление
Sandboxing для того, чтобы предоставить
более точную идентификацию предоставить возможности
пользователей/устройств и простое подключение управления пользователями на
безопасный доступ к сети для конечных основе типа устройства, времени
пользователей/устройства.
Anomaly пользователей вне зависимости от того, доступа местоположения и
откуда они подключаются. запрашиваемых ресурсов.
Detection
ISE дает нам контекст безопасности
Отсутствие контекста Богатый контекст
Контекст:
Кто IP Address 192.168.1.51 Василий
Что Не известно Планшет
Где Не известно Здание 7, корпус 2, 1 этаж
Когда Не известно 11:00 AM Europe/Moscow 11-00 AM
Как Не известно Беспроводная сеть

Нужный пользователь с нужным
Любой пользователь. Любое устройство
Результат откуда угодно попадает в сеть
устройством попадет в сеть только из
нужного места с необходимыми правами
Включите другие решения по ИБ в единую
систему
ISE собирает контекст
1
pxGrid из сети
2 controller 3
Кто
Контекст обменивается
2
1 по технологии pxGRID
Что
Партнеры и спользуют
Когда контекст для повышения
3
видимости и борьбы с
Где ISE Cisco и партнеры
угрозами
Экосистемы Партнеры м огут

Как 4 запросить ISE о
блокировке у грозы
Контекст
5 Cisco сеть 4 ISE использует данные
партнера для
5 обновления контекста и
политики доступа
ISE это краеугольный к амень сквозной
сетевой безопасности Cisco
ISE
Когда Где Кто Как Что
Во
До После
время
CWS Netflow AMP
WSA
NGIPS CTA
ESA
Lancope StealthWatch FireSIGHT Console
FirePOWER Services
Остановите спам, фишинговые атаки и
предотвратите утечку данных
Global
Tal
os
Intelligence Механизмы
антиспам и
NGIPS &
NGFW антифишинг
Что Антивирусы
Identity & A ccess
Control Кто Когда
Email Talos блокирует Cisco

плохие письма Anti-Spam
на входе IMS
Где Как
Web
Shadow IT &

Data
> Уровень
DNS, IP & BGP обнаружения 99%
< Ложных
срабатываний <1 на 1
млн
Advanced
Threats
Sandboxing
Репутация
Anomaly файлов и
Detection А также защита исходящей почты (DLP, DMARC, DKIM, SPF, объем) ThreatGrid
Получите детальный контроль над веб-угрозами
Tal
Global
Intelligence
os
NGIPS &
NGFW
Identity & A ccess
Control
Email
Web
Shadow IT &

Data
DNS, IP & BGP
Advanced
Threats
Sandboxing
Anomaly
Detection
Решение ASA FirePOWER WSA / CWS OpenDNS Umbrella Meraki MX
Основные варианты Клиенты хотят унифицированное Клиенты с очень большими объемами Клиенты с существующими системами Клиенты с большим количеством маленьких
использования устройство безопасности, которое web трафика, котором требуется глубокая безопасности, которые ищут варианты отделений или со скромными IT бюджетами
обеспечивает функции FW, IPS, веб- инспекция и управление дополнения и/или расширения их за пределы
фильтрации и отчетности и своих корпоративных систем
управления
Решение уникальных Объединение системы сетевой Может проксировать очень большие Самый простой вариант для развертывания. Просто для развертывания и управления в
проблем заказчика безопасности и некоторых объемы web трафика (зашифрованного и Простое дополнение существующих on- очень распределенной офисной среде.
возможностей по веб-безопасности. нет). Прокси терминирует клиентские premise механизмов безопасности (NGFW, Единая панель управления для
Обеспечение единого решения, подключения таким образом, как и Web Proxy, etc.). Простое расширение безопасности и сетевых функций упрощает
которое масштабируется от уровня конечный сервер. Это позволяет механизмов безопасности на устройства, администрирование
границы сети до ЦОД с возможностью реализовать механизмы детального которые находятся за пределами
фильтрации по всем портам и контроля, инспекции и кеширования web корпоративной сети
протоколам контента.
Технологический Полнофункциональный Next Многофункциональный web прокси, Применение безопасности на уровне DNS, Unified Threat Management (UTM) – Firewall,
дифференциатор Generation Firewall с Next Generation который обеспечивает очень глубокий перед организацией подключения TCP/IP для IPS, site to site VPN, и web фильтрация.
IPS и защитой от malware (Advanced уровень инспекции и контроля web любого приложения, порта или протокола.
Malware Protection, AMP). Не трафика. Несколько уровней Web Информация об угрозах, которая
проксирует Web трафик, но может безопасности и механизмов основывается на глобальной сети,
деалть URL фильтрацию, Web сканирования. (3xAV, Web Reputation, обслуживающей более 80 млрд DNS запросов
репутацию и имеет функционал DLP и т.д.). Дополнительные механизмы ежедневно
контроля приложений (AVC) AMP и CTA обеспечивают защиту от
malware и обнаружение malware, которое
уже попало в сеть. Оптимизировано для
портов 80 и 443.
Другое Цена на устройство, не зависит от Возможность гибкого выбора вариантов OpenDNS Umbrella — это SaaS. Цена за устройство — не зависит от кол-ва
кол-ва пользователей. Во многих развертывания (Облачный CWS, Перспективные клиенты могут получить пользователей. Meraki предлагает полный
случаях клиенты приобретают ASA с локальный физический или виртуальный полное тестирование и развернуть его за 30 набор решений, которые включают MDM,
FP для NGFW и NGIPS. Можно WSA, гибридный). Для всех вариантов минут. Доступен API, интеграция с ThreatGrid, Wireless, Switching, Routing и Security
добавить функционал URL поддерживается построение FireEye и др.
фильтрации и AMP. Сфокусировано унифицированных отчетов и
на on-premise сетевой безопасности унифицированные наборы политик
(скоро)
Относительная $$ $$$ $$ $
стоимость
Основные PAN, Checkpoint, Fortinet Bluecoat, Zscaler, Websense Infoblox (DNS), Bluecoat, Zscaler, Websense Fortinet, SonicWall
конкуренты (SWG)
Требования клиентов ASA FirePOWER WSA/CWS OpenDNS Umbrella Meraki MX
Качество URL фильтрации
Domain Name
Full Tunnel VPN + AMP Cognitive Threat Analytics + AMP API Driven – e.g. FireEye Integration AMP скоро
Next Generation IPS
Роуминг/защита вне сетевых

пользователей
Web использование и compliance
Web/HR отчетность
Унифицированная платформа
(UTM/NGFW)
Облако
CWS
Облачное управление
CWS
Простота развертывания
Алгоритм выбора решений по
безопасности Web
Да OpenDNS Cloud Web Security
Да
Meraki MX
Да Это SMB-заказчик?
Да Web Security Appliance
Они готовы к
Нет Централизован
облачному решению?
ли Интернет-
Нет трафик? Нет ASA with Firepower Services
Это замена web- Отдается

Cloud Web предпочтение ASA with Firepower Services
прокси? Да
Security комбинации
Да защите Web с
NGFW/UTM?
Нет Web Security Appliance
OpenDNS
Нужна защита для
Нет мобильных пользователей
Web?
Meraki MX
Нет
OpenDNS
Add-on OpenDNS Umbrella
for DNS Threat Protection
Regardless ASA with Firepower Services
Add-on OpenDNS Investigate

for Enhance Web Threat Intel
Контроль теневых ИТ и облаков
Global
Talos
Intelligence
NGIPS &
NGFW
Identity &
Access Control
Email
Web
Shadow IT &

Data
DNS, IP & BGP
Advanced
Threats
Sandboxing
Anomaly
Detection
Защита вне зависимости от нахождения в
периметре или за ним
Global
Talos
Intelligence OpenDNS Umbrella
NGIPS &
NGFW
Игтеграция под ключ и пользовательски API
Identity & ЛАБОРАТОРИИ Logs
Детектирование угроз на месте БЕЗОПАСНОСТИ
Access Control Пользовательские и другие п отоки IOCs Домены, IP, URL Облачная консоль постороения отчетов
информации
реального времени
Email Платформы и нформации о б у грозах
Category Identity
Logs WEB КОНТЕНТ AD USERNAME

Облачная консоль управления
Web
Фильтрация н а о с нове местоположения CLOUD SERVICE INTERNAL NETWORK
и безопасности
208.67.222.222
Shadow IT & Настраиваемые с траницы блокировки Policies
ODNS THREAT INTEL ROAMING COMPUTER
Data Интеграция с AD

Интернет-
активность на
CUSTOM IOC FEED AD COMPUTER
уровнях DNS и IP
DNS, IP & BGP
Advanced
Threats Off-network, Roaming Devices On-Network Devices
Sandboxing Глобальная в идимость Глобальная сеть Прогностические технологии

Блокирование malware, C2 Управляет 80B+ DNS запросов Контроль 2% всей мировой Интернет-
Anomaly callbacks, & ежедневно с 100% uptime активности и возможность
фишинга через любой порт/протокол долговременного хранения логов
Detection
Обнаружение существующих и будущих
вредоносных доменов и IP
Global
OpenDNS Investigate
Tal
Intelligence
os
NGIPS &
NGFW Веб-консоль или
Начало Обнаружение
Identity & A ccess
API
Имена Все а ссоциированные
Control
доменов домены, IP, и ASN
Email Исторические данные
DNS
IP а дреса Зарпрос
Web дополнительного Данные з аписей
контекста
WHOIS
Shadow IT & Автономные Значения р епутации
Data системы
Ассоциированные
аномалии (fast flux,
DNS, IP & BGP Email адреса DGA’s, и т.д.)
Простой,
скоррелированный
Advanced источник информации Шаблоны запросов
Threats DNS и IP г еолокация
Sandboxing Предиктивная информация Прохождение через инфраструктуру Обзор всего I nternet

Мы применяем статистическую модель к историческим атакующего Обогащение данных безопасности
данным и данным реального времени для того, чтобы Видимость, откуда атакующих инициирует атаки и как дополнительным контекстом
Anomaly предсказать вероятно вредоносные домены, которые соединяются домены, IP, ASN и URL
могут быть использованы в будущих атаках.
Detection
Анализ web-логов от прокси
Global
Cognitive Threat Analytics
Tal
Intelligence
os
NGIPS &
NGFW
Identity & A ccess
Control
Email
Web
Shadow IT &

Data
DNS, IP & BGP
Advanced
Threats
Sandboxing Мониторинг угроз Широкий спектр угроз Интеграция

Мы применяем статистическую модель к историческим Интеграция с Cisco ISE, Cisco AMP for
Утечки данных, коммуникации с C2-серверами,
данным и данным реального времени для того, чтобы Endpoint, Cisco AMP for Networks и SIEM
DGA, эксплойт-киты, туннелирование через
Anomaly обнаружить зараженные и скомпрометированные узлы и
HTTP/HTTPS
для блокирования и анализаугроз
пользователей в сети
Detection
Сокращение времени на обнаружение и
снижение влияния
Tal
Global Развертывание Управление
Intelligence
os
NGIPS &
NGFW
Identity & A ccess Админ
Control Рабочие безопасности Консоль управления AMP Cloud
Web и Email Сеть
станции Ключ Запись Allow Alert Block
Email
Web Перед Во время После

Intelligence моментальная защита Continuous Analysis & Retrospective Security
Shadow IT & Контроль
Data Глобальная
информация
атак
об у грозах Эластичный
Траектория
поиск
устройства
Endpoint
DNS, IP & BGP .exe Анализ в
песочнице
IOCs
Репутация
Advanced Политики на
Ретроспектива
Уязвимости
Статический и
Threats основе групп и динамический
пользователей IoC
One -to-One Fuz z y Ma c hine Adv a nc e d
анализ
Signa ture s Finge rprinting Le a rning Ana ly tic s
Траектрория файла Ра с п р о с тр а н ен н ос ть
Sandboxing
Anomaly Блокирование известных и Постоянный мониторинг активности файлов, обнаружение

Detection Усиленная защита развивающихся угроз скрытых угроз, ограничение и реагирование
Повсеместный AMP AMP Удаленные ПК
Threat Intelligence AMP for Endpoints
Cloud
Threat Grid
AMP on Firepower NGIPS Appliance Malware Analysis + Threat AMP Private Cloud
(AMP for Networks) Intelligence Engine Virtual Appliance
AMP on Web & Email Security

AMP on Cisco® ASA Firewall AMP for Endpoints Appliances
with Firepower Services
CWS
AMP on ISR with Firepower AMP on Cloud Web Security
Services & Hosted Email
CentOS, Red Hat

Windows OS Android Mobile Virtual MAC OS Linux
AMP for Endpoints can be

launched from AnyConnect
Интегрированный анализ malware и информация об
угрозах
Global
Tal
os
Intelligence Решения безопасности Cisco Решения безопасности не-Cisco

NGIPS & Платформы Интеграция
Граница мониторинга партнеров
NGFW безопасности
Identity & A ccess

Control
ASA w/
FIREPOWER
AMP
Email Ser vices для сетей Подозрительный
файл
Подозрительный
файл
SIEM
Web
Shadow IT & ESA WSA

AMP Threat Grid
S E C U R I T Y
Data DPI
DNS, IP & BGP Статический анализ

Advanced
Threats AMP для
Динамический анализ Риски,
CTA Endpoints законодательство
Отчет , соответствие
Основные
анализа
Sandboxing Информация об угрозах потоки контента
Anomaly Endpoints SOC / CSIRT

Detection
Превратите вашу сеть в сенсор обнаружения
угроз
Tal
Global Данные
Intelligence
os
Телеметрия Контекст
NGIPS &
NGFW ISE SIO
ASA ISE
Identity & A ccess
Control WSA CTA
Router/Switch Threat Grid
Email AMP
SLIC
AnyConnect
Web
Shadow IT &

Data Разделение Реагирование
информации
DNS, IP & BGP
BIG DATA
Advanced
Threats PRIME Будущее
Sandboxing SDN SDN
Anomaly
Detection Информация
Мобильные пользователи тоже нуждаются
в защите
Global Мобильный с отрудник
Tal
os
Intelligence
Филиал Домашний Cisco AnyConnect
офис • VPN-клиент на базе DTLS
NGIPS &
NGFW • Роуминг между сетями и выбор
оптимального шлюза
Identity & A ccess • Идентификация пользователей
Control
и устройств
мобильная • Оценка соответствия у злов
Email
или Wi-Fi • Интегрированная безопасность
Wired Wi-Fi Web
Web • Интеграция с защитой от
вредоносного кода
Shadow IT &
Data • Перенаправление всего
трафика на периметр сети
DNS, IP & BGP • Выборочное туннелирование
• Обнаружения аномалий
Advanced • Поддержка Apple IOS, Android,
Threats Безопасный, Blackberry, Windows Phone,
постоянный Windows 7/8/10, MAC, Linux,
Sandboxing доступ ChromeOS
Корпоративный • Локализация на русский язык
Anomaly
Detection офис
Интегрированная защита от угроз – это единственный
путь заблокировать продвинутые угрозы
Global
00001111
Tal
Intelligence
os
1110
NGIPS &
Talos
Talos
Среднее время обнаружения
NGFW с Cisco: 46 часов
Identity & A ccess
Control
Email
Email Облако Сеть и Web
Web
Shadow IT &

Data
Постоянное
Точечное
DNS, IP & BGP
Мобильное Endpoint Виртуальное
Advanced
Threats
Sandboxing
Среднее время обнаружения
00001111 без Cisco: 200 дней
1110
Anomaly
Detection
Интегрированная защита работает на
каждой стадии атаки CTA
OpenDNS INVESTIGATE
TALOS THREAT GRID
Talos
• Обновление всей • Обнаружение аномальных профилей и инициирование
• Защита от инфекции и отправка 0-day для предупреждений с NGIPS
1информации о • Блокирование динамического анализа с AMP for Endpoint
безопасности из 3 4 • Выдача IoC и обновление
5 флага влияния с FireSIGHT
вредоносного или • Уверенность, что сеть правильно сегментирована с ISE
Talos • Мониторинг перемещений файлов и запись каждой
подозрительного ISE 3 машины с AMP File Trajectory 5
• Просмотр IP, которые трафика с NGFW и
ассоциированы с NGIPS
2Malware с помощью
OpenDNS • Проверка известных
Investigate 1 угроз, доменов и IP
адресов с ESA
ESA
Лена • Захват семпла для
Иванова анализа ThreatGrid
2
Админ
Firewall Jane Smith

• HR Coordinator
• Need engineers • Получение и нформации и з Talos
• Under pressure to hire 6 • Корреляция н еобычной деятельности с Stealthwatch
• Ограничение п оследовательного п родвижения с ISE и TrustSec 6
• Обнаружение
OpenDNS C&C
UMBRELLA
связи с помощью
Lancope Stealthwatch AMP ISE NGIPS
• Включение полного, однокликового реагирования в • Идентификация атак 0-day, блокирование всех будущих
• Блокирование трафика AMP для Endpoints
через все порты и попыток с постоянным анализом AMP
WSA 8 7 • Динамическое изменение доступа, ограничение
протоколы с OpenDNS • Увидеть детальную историю инфекций для целевого
CWS
Umbrella 4 реагирования с AMP для Network File and Device 8 закрепления и распространения через ISE с TrustSec7
Trajectory SGT и SGACL
STEALTHWATCH
Только Cisco защищает на протяжении всего
цикла атаки
ДО ВО ВРЕМЯ ПОСЛЕ
Найти Обнаружить Диапазон
Применить Заблокировать Ограничение
Усилить Защитить Реагирование
ASA NGFW FirePOWER NGIPS и WIPS Lancope Stealthwatch

ISE & TrustSec WSA и CWS Threat Grid
AnyConnect ESA Cognitive T hreat Analytics
OpenDNS Investigate Cloud Access Security OpenDNS Investigate и CTA
OpenDNS Umbrella
Talos
Запомните этот адрес:
dcloud.cisco.com
Наша основная задача – в перспективе –
интегрировать между собой все решения
Cisco, дав им доступ друг к другу и к
единому источнику информации об
угрозах!
Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис
анализа угроз, который расширяет видимость угроз и
является доступным 24-часа-в-сутки.
• Использование одной из лучших в мире баз данных угроз

• Оперативное обнаружение вредоносной
активности
• Идентификация скомпрометированных сетей и
подозрительного поведения
• Помогает компаниям быстро идентифицировать
скомпрометированные системы
• Обеспечение рекомендаций
• Помогает И Т/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации
• Позволяет улучшить общую защищенность
Cisco Threat Awareness Service
Базируясь на технологиях Cisco, сервис Threat Awareness
Service не требует:
• Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности,

и цены с ростом эффективности threat intelligence
Не забывайте про новые возможности
Железо Обновления Сервисы/ Продления

подписки подписок
“Раз и готово” не надо

Акцент на продажи ПО
Минимальные обязательства Высокие обязательства
Начало 2016 (пилот) Доступно с ноября 2015 Доступно (не всем) с ноября 2015 Скоро в России
Cisco ONE Advanced Security Software Volume Purchasing Advantage – Security offer Security ELA
“Commit to Domain” ”Commit to Technologies” “Commit to Budget” ”Commit to Architecture”
Все организации Все организации Средние/крупные орг-ии Крупные организации
1+ devices и/или 100+ users 100-100,000 users $200K+ USD $400K+ USD и/или >1,000 users
§ Фиксированные бандлы § Три и более решений по ИБ со § Гарантированно выделенный § Каталог ПО по безопасности с
security software и WAN, скидкой в 10% бюджет на безопасность на неограниченным числом
ЦОД, ЛВС § Доступен в GPL определенный период времени лицензий на 3-5 лет
§ Расширение за счет (обычно 3 года) дает § Предсказуемые инвестиции
Advanced Security дополнительную скидку
Дополнительная информация по ИБ Cisco
Проверка и уточнение функциональности
продукта
• Сервис Partner Help в рамках которого
инженеры службы технической
поддержки продаж Global Virtual
Engineering (GVE) смогут проверить и
уточнить функциональность решений
Cisco в области ИБ, выдать
презентации, проверить и составить
спеки, сгенерить ключи для триалов,
выдать ПО, получить сравнения с
конкурентами и т.п.
https://www.cisco.com/go/ph
Где вы можете узнать больше?
Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

Cisco Security

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cisco Security

Загружено:

Авторское право:

Доступные форматы

Решения Cisco по

Жизненный цикл ботнет,

Mission-oriented, МИССИЯ Целевые атаки • Развертывание скрытых опорных

данных похищается брешей не могут

2287 дней – один из

Система скомпрометирована. Упаковка данных, разделение

Глобальная информация Сигнатуры, антивирус, Песочницы и ретроспектива

Сегментация Обнаружение эксплойтов Исполняемая информация

ASA NGFW FirePOWER NGIPS и WIPS Lancope Stealthwatch

Физическое Виртуальное Облачное

Единые функции | Открытые API | Гибкое лицензирование

Интеграция и максимальное покрытие от уровня сети до

Email Информация об угрозах

600+ исследователей 24 -­ 7 -­ 365 операции

Advanced Обнаружить угрозы, которые не может

2013 2014 2015...

Приобретение компании Приобретение компании

Identity & A ccess

Email Next G en Firewall ( NGFW)

DNS, IP & BGP с сервисами FirePOWER NGIPS

DDoS WAF 1001

DDoS платформа Sandbox платформа

SSL платформа FW платформа IPS платформа

Менее эффективна Увеличенная задержка Замедляет обработку Статическая и ручная

3rd Party Service

Пакет SSL 000101 FW IPS

111000 SSL DDoS FW WAF NGIPS AMP

Менее эффективна Унифицированная платформа

Разумные метки снимают

Shadow IT & Холл Палата

DNS, IP & BGP

Anomaly • Обнаружение посторонних точек доступа и беспроводных клиентов

Identity & A ccess

Shadow IT &

DNS, IP & BGP

1010 1 1110 1 0 11101

Advanced Унифицированный безопасный Превосходный контекст и видимость Детальный контроль

Что Не известно Планшет

Где Не известно Здание 7, корпус 2, 1 этаж

Когда Не известно 11:00 AM Europe/Moscow 11-­00 AM

Как Не известно Беспроводная сеть

Экосистемы Партнеры м огут

Когда Где Кто Как Что

CWS Netflow AMP

Email Talos блокирует Cisco

Shadow IT &

Shadow IT &

DNS, IP & BGP

Качество URL фильтрации

Роуминг/защита вне сетевых

Web использование и compliance

Это замена web-­ Отдается

Add-­on OpenDNS Investigate

Shadow IT &

DNS, IP & BGP

Logs WEB КОНТЕНТ AD USERNAME

Data Интеграция с AD

DNS, IP & BGP

Sandboxing Глобальная в идимость Глобальная сеть Прогностические технологии

Sandboxing Предиктивная информация Прохождение через инфраструктуру Обзор всего I nternet

Shadow IT &

DNS, IP & BGP

Sandboxing Мониторинг угроз Широкий спектр угроз Интеграция

Web Перед Во время После

600+ исследователей 24 - 7 - 365 операции

Когда Не известно 11:00 AM Europe/Moscow 11-00 AM

Это замена web- Отдается

Add-on OpenDNS Investigate

Intelligence Решения безопасности Cisco Решения безопасности не-Cisco