Академический Документы
Профессиональный Документы
Культура Документы
информационной безопасности
Алексей Лукацкий
Ландшафт угроз меняется с увеличивающейся
скоростью
Flash malware
взаимодействует
Спам с JavaScript1 Увеличение Новый Angler Exploit
обнаружен Cisco менее,
уменьшается1 Отсутствуют количества Adobe
чем через 2 дня после
основные игроки Увеличение Flash эксплойтов4
на рынке exploit популярности появления
kits2 Angler-
эксплоита3
2014 2015
2016
и далее
Увеличение
Количество Java-
Активное эксплойтов объема спама в
#1
Плохие парни снова
91% развитие
snowshoe спама2
уменьшается 3 используют макросы
MS Office4
Китае, США и
России4
Основная угроза всех веб
– переполнение эксплойтов –
буфера1 это Java1
Source:
1 Cisco Annual Security Report 2014
2 Cisco Midyear Security Report 2014
3 Cisco Annual Security Report 2015
4 Cisco Midyear Security Report 2015
Угрозы стали более быстрыми и гибкими, чем
когда-либо
Angler Exploit
Мошенничество с онлайн-
банками или кредитными
МИССИЯ картами, добыча Bitcoin,
мошенничество с кликами,
Ransomware, информация
МИССИЯ об онлайн-банкинге
угроза успешность
$3.8M
10010011010
00101010101
месяцами1
0 1 1 0 1 1 0 0 0 0 0на
долларов тратятся
0 0 0ликвидацию
10010101
последствий бреши
1 1 0 1 1 0 0 1 1 1 12 Source:
1 http://www.cisco.com/web/offer/emear/38 586/im ages/Pr esent
ations/P16.pdf
2 Ponemon Institute, 2015 Global Cost of Data breach
Время обнаружения целенаправленных
угроз велико
Mandiant У Cisco время
229
обнаружения (TTD)
HP составляет 17 часов
Bitglass
205 416
Symantec
188
инцидентов в 2014-м
году
206
Продвинутые угрозы легко распространяются по
старым сетевым инфраструктурам
Угрозы Периметр Среда
Исследование Установка бота, Сканирование LAN для эксплуатации и
поддержка альтернативного входа и
1 цели 3
Жертва кликает 4 распространение трояна, 5 нахождение привилегированных
(SNS) на резюме подключение к серверу C2
пользователей
отправка
2 поддельного резюме
(you@gmail.com)
ПК Админ ЦОД
Лена Email вектор
Иванова
Админ
Лена Иванова
• HR-координатор
• Нужны безопасники Найдена привилегированная учетка.
• Сроки поджимают 6 Занятие сервиса каталогов.
Копирование резервной копии на
временный сервер
Сетевая
инфраструктура
Десктопы Бизнес-
приложения
Что сегодня и
завтра? Критическая
Удаленные инфраструктура
пользователи (Amazon, Rackspace,
Windows Azure и т.д.)
Сетевая Промышленные
инфраструктура сети
Операторы связи
Десктопы Бизнес-
приложения
Бизнес-приложения
Мобильные (Salesforce, Marketo,
пользователи DocuSign и т.д.)
Много систем безопасности не поддерживаются в
актуальном состоянии
Перегрузка уже
загруженных
доступных ресурсов
Представляет
операционную
Разрозненный неэффективность
обзор и
информация об z
угрозах Полностью
ручное или
сложные
Не настройки
поддерживается
рост бизнеса
Не может
остановить
продвинутые
угрозы
С функциями для реагирования на
продвинутые угрозы
ДО ПОСЛЕ
ВО ВРЕМЯ Диапазон
Найти Обнаружить
Ограничение
Применить Заблокировать
Реагировани
Усилить Защитить е
ДО ВО ВРЕМЯ ПОСЛЕ
Найти Обнаружить Диапазон
Применить Заблокировать Ограничение
Усилить Защитить Реагирование
ПО
ПК Админ ЦОД
ESA
Админ
NGFW
OpenDNS
UMBRELLA NGFW AMP ISE NGIPS/
WSA
CWS
STEALTHWATCH
Повсеместная безопасность
ЛВС
Периметр ЦОД
Филиалы Облака
Оконечные
устройства АСУ ТП
www
Web
Email Endpoints Web Networks IPS Devices
Shadow IT &
Исследования
Data
J an
AMP + FirePOWER
AMP > управляемая защита от угроз
18.5 МЛРД
Файлов в день
16 МЛРД
Web-запросов в день
500 МЛРД
сообщений email в день
Усилить и защитить сети от продвинутых угроз
Global
Intelligence
Talos
Админ
Традиционный Firewall
NGIPS & Продвинутая
NGFW кластеризация Контроль политик NAT и ACLs
безопасность
NGIPS &
NGFW Выгоды
• Интеграция лучшей
Identity & A ccess безопасности
Control • Динамическое объединение
Сверхвысокая сервисов
производительность
Email • Поддержка любой сети, от
низконагруженной,
высокозагруженной, ЦОД, SP
Свойства
Web Модульный • Полный набор устройств Свойства*
• Ведущая производительность • Контейнеры Firepower Threat
(9000 Series) Defense
Shadow IT & Выгоды - 240 Gb пропускная - NGIPS, AMP, URL,
Data • Стандартная и возможностью
способность
Приложения, Visibility &
взаимодействия - 30 Gb+ на поток Control (AVC)
• Гибкая архитектура - Задержки менее 5 мкс
DNS, IP & BGP • ASA контейнер
Свойства - 10G/40G I/O;; 100G - Stateful FW, Virtual
• Безопасность, основанная на готовность
шаблонах Private Network (VPN),
- Терабитный backplane
Advanced • Защищенные контейнеры для
- Кластеризация до 5
CGNAT
пользовательских приложений
Threats • Restful/JSON API устройств для получения • Другие контейнеры
1.2 Тбит/с мощности - Radware DDoS
• Внешнее
оркестрация/управление - Другие партнеры
Sandboxing экосистемы
Anomaly
Detection
Введение в устройства Firepower NGFW
Global
Intelligence
Talos
NGIPS & W W W
NGFW
Identity & A ccess
Control NGFW NGIPS AMP URL VPN Third Party
фильтрация
Email Открытый API
Блокирование Обнаружение, Идентифика- Защита
Ограничение позволяет
и мониторинг предотвра- ция и удаленных применять
Web неавтори- щение и нацеливание доступа к
пользовате- диапазон
зованного реагирование на бреши и определенным дополнительных
узлам и лей и
Shadow IT & доступа и на угрозы с ети malware для инструментов
Data активности на в режиме анализа и подузлам, как подключений для
L2-7 реального реагирования и к категориям узел-узел с настраиваемой
времени. веб с айтов. детальным защиты.
DNS, IP & BGP
контролем.
Advanced
Threats
Integrated Intelligent S ervices Framework
Sandboxing Интеллектуальная обработка для более э ффективного
обнаружения, высокой производительности и у прощенного у правления.
Anomaly
Detection
Традиционная безопасность: разрозненные,
неэффективные, дорогие
1001
1001 0001011
1001
0001011
Пакет 1001 1100010
0001011 1100010 1110
0001011 1100010
1100010 1110
1110
данных 1110
SSL FW IPS
Data
Packet
Sandbo
DDoS WAF x
Легенда:
Cisco Service
DDoS Platform WAF Platform Sandbox
Интегрированная
Тег
метаданных
x x x
Унифицированная платформа
Администратор определяет
NGIPS & иерархию местоположения и
NGFW предоставляет пользователям
конкретные права доступа на
Identity & A ccess основе их местоположения. Скорая п омощь
Control Данные
Местоположения для
доступа к данным клиента клиента
Лаборатория
Email
Скорая
Холл Палата Лаборатория
помощь
Нет доступа Доступ к Нет доступа Доступ к
Web Врач к данным данным к данным данным
пациента пациента пациента пациента
Data
Advanced Возможности
Threats
• Конфигурация иерархии местоположений по всем объектам местоположения
• Применение атрибутов местоположения MSE в политике авторизации
Sandboxing
• Периодическая проверка MSE на предмет изменения местоположения
DDoS
Web
Advanced Возможности
Threats
• Наличие базовых возможностей в сетевой операционной системе Cisco IOS, CatOS, NX-OS, IOS XE, IOS XR
• Базовые возможности в Cisco ASA 5500-X, Cisco NGIPS, Lancope StealthWatch
Sandboxing
• Обнаружение и нейтрализация широкого спектра DDoS-атак – направленных на канал и на приложения
Anomaly • Интеграция с сетевой инфраструктурой (Cisco ASR) и инфраструктурой безопасности Cisco (Cisco Firepower 9300)
Detection
Ограничить доступ и распространение
инфекции
Tal
Global Identity S ervices E ngine
Intelligence
os
0011111 1 01111
01100 0 1 01110
0010011101
NGFW Проводной,
Беспроводной
Identity & A ccess VPN
Wireless
Control Mobile Data
Management
(MDM) X
Email Identity stores
Кто à Игорь pxGrid
Profile feed
Web Что à Ноутбук service
Беспроводной AnyConnect
Shadow IT & Когда à 11:00, 10 апреля A Robust
Data Context-Sharing
Где à Корпус 3, Platform
2-й этаж Персональный Рабочий
DNS, IP & BGP Проводной
VPN планшет компьютер
Контекст:
Кто IP Address 192.168.1.51 Василий
Кто
Контекст обменивается
2
1 по технологии pxGRID
Что
Партнеры и спользуют
Когда контекст для повышения
3
видимости и борьбы с
Где ISE Cisco и партнеры
угрозами
ISE
Во
До После
время
WSA
NGIPS CTA
ESA
Lancope StealthWatch FireSIGHT Console
FirePOWER Services
Остановите спам, фишинговые атаки и
предотвратите утечку данных
Global
Tal
os
Intelligence Механизмы
антиспам и
NGIPS &
NGFW антифишинг
Что Антивирусы
Identity & A ccess
Control Кто Когда
Sandboxing
Репутация
Anomaly файлов и
Detection А также защита исходящей почты (DLP, DMARC, DKIM, SPF, объем) ThreatGrid
Получите детальный контроль над веб-угрозами
Tal
Global
Intelligence
os
NGIPS &
NGFW
Identity & A ccess
Control
Web
Advanced
Threats
Sandboxing
Anomaly
Detection
Решение ASA FirePOWER WSA / CWS OpenDNS Umbrella Meraki MX
Основные варианты Клиенты хотят унифицированное Клиенты с очень большими объемами Клиенты с существующими системами Клиенты с большим количеством маленьких
использования устройство безопасности, которое web трафика, котором требуется глубокая безопасности, которые ищут варианты отделений или со скромными IT бюджетами
обеспечивает функции FW, IPS, веб- инспекция и управление дополнения и/или расширения их за пределы
фильтрации и отчетности и своих корпоративных систем
управления
Решение уникальных Объединение системы сетевой Может проксировать очень большие Самый простой вариант для развертывания. Просто для развертывания и управления в
проблем заказчика безопасности и некоторых объемы web трафика (зашифрованного и Простое дополнение существующих on- очень распределенной офисной среде.
возможностей по веб-безопасности. нет). Прокси терминирует клиентские premise механизмов безопасности (NGFW, Единая панель управления для
Обеспечение единого решения, подключения таким образом, как и Web Proxy, etc.). Простое расширение безопасности и сетевых функций упрощает
которое масштабируется от уровня конечный сервер. Это позволяет механизмов безопасности на устройства, администрирование
границы сети до ЦОД с возможностью реализовать механизмы детального которые находятся за пределами
фильтрации по всем портам и контроля, инспекции и кеширования web корпоративной сети
протоколам контента.
Технологический Полнофункциональный Next Многофункциональный web прокси, Применение безопасности на уровне DNS, Unified Threat Management (UTM) – Firewall,
дифференциатор Generation Firewall с Next Generation который обеспечивает очень глубокий перед организацией подключения TCP/IP для IPS, site to site VPN, и web фильтрация.
IPS и защитой от malware (Advanced уровень инспекции и контроля web любого приложения, порта или протокола.
Malware Protection, AMP). Не трафика. Несколько уровней Web Информация об угрозах, которая
проксирует Web трафик, но может безопасности и механизмов основывается на глобальной сети,
деалть URL фильтрацию, Web сканирования. (3xAV, Web Reputation, обслуживающей более 80 млрд DNS запросов
репутацию и имеет функционал DLP и т.д.). Дополнительные механизмы ежедневно
контроля приложений (AVC) AMP и CTA обеспечивают защиту от
malware и обнаружение malware, которое
уже попало в сеть. Оптимизировано для
портов 80 и 443.
Другое Цена на устройство, не зависит от Возможность гибкого выбора вариантов OpenDNS Umbrella — это SaaS. Цена за устройство — не зависит от кол-ва
кол-ва пользователей. Во многих развертывания (Облачный CWS, Перспективные клиенты могут получить пользователей. Meraki предлагает полный
случаях клиенты приобретают ASA с локальный физический или виртуальный полное тестирование и развернуть его за 30 набор решений, которые включают MDM,
FP для NGFW и NGIPS. Можно WSA, гибридный). Для всех вариантов минут. Доступен API, интеграция с ThreatGrid, Wireless, Switching, Routing и Security
добавить функционал URL поддерживается построение FireEye и др.
фильтрации и AMP. Сфокусировано унифицированных отчетов и
на on-premise сетевой безопасности унифицированные наборы политик
(скоро)
Относительная $$ $$$ $$ $
стоимость
Основные PAN, Checkpoint, Fortinet Bluecoat, Zscaler, Websense Infoblox (DNS), Bluecoat, Zscaler, Websense Fortinet, SonicWall
конкуренты (SWG)
Требования клиентов ASA FirePOWER WSA/CWS OpenDNS Umbrella Meraki MX
Domain Name
Advanced Malware Protection
Full Tunnel VPN + AMP Cognitive Threat Analytics + AMP API Driven – e.g. FireEye Integration AMP скоро
Next Generation IPS
Web/HR отчетность
Унифицированная платформа
(UTM/NGFW)
Облако
CWS
Облачное управление
CWS
Простота развертывания
Алгоритм выбора решений по
безопасности Web
Да OpenDNS Cloud Web Security
Да
Meraki MX
Да Это SMB-заказчик?
Да Web Security Appliance
Они готовы к
Нет Централизован
облачному решению?
ли Интернет-
Нет трафик? Нет ASA with Firepower Services
OpenDNS
Add-on OpenDNS Umbrella
for DNS Threat Protection
Regardless ASA with Firepower Services
Web
Advanced
Threats
Sandboxing
Anomaly
Detection
Защита вне зависимости от нахождения в
периметре или за ним
Global
Talos
Intelligence OpenDNS Umbrella
NGIPS &
NGFW
Игтеграция под ключ и пользовательски API
Identity & ЛАБОРАТОРИИ Logs
Детектирование угроз на месте БЕЗОПАСНОСТИ
Access Control Пользовательские и другие п отоки IOCs Домены, IP, URL Облачная консоль постороения отчетов
информации
реального времени
Email Платформы и нформации о б у грозах
Category Identity
Advanced
Threats Off-network, Roaming Devices On-Network Devices
Intelligence
os
NGIPS &
NGFW Веб-консоль или
Начало Обнаружение
Identity & A ccess
API
Имена Все а ссоциированные
Control
доменов домены, IP, и ASN
Email Исторические данные
DNS
IP а дреса Зарпрос
Web дополнительного Данные з аписей
контекста
WHOIS
Shadow IT & Автономные Значения р епутации
Data системы
Ассоциированные
аномалии (fast flux,
DNS, IP & BGP Email адреса DGA’s, и т.д.)
Простой,
скоррелированный
Advanced источник информации Шаблоны запросов
Threats DNS и IP г еолокация
Intelligence
os
NGIPS &
NGFW
Identity & A ccess
Control
Web
Advanced
Threats
NGIPS &
NGFW
Identity & A ccess Админ
Control Рабочие безопасности Консоль управления AMP Cloud
Web и Email Сеть
станции Ключ Запись Allow Alert Block
Email
Репутация
Advanced Политики на
Ретроспектива
Уязвимости
Статический и
Threats основе групп и динамический
пользователей IoC
One -to-One Fuz z y Ma c hine Adv a nc e d
анализ
Signa ture s Finge rprinting Le a rning Ana ly tic s
Траектрория файла Ра с п р о с тр а н ен н ос ть
Sandboxing
Cloud
Threat Grid
AMP on Firepower NGIPS Appliance Malware Analysis + Threat AMP Private Cloud
(AMP for Networks) Intelligence Engine Virtual Appliance
CWS
AMP on ISR with Firepower AMP on Cloud Web Security
Services & Hosted Email
Web
Data DPI
Телеметрия Контекст
NGIPS &
NGFW ISE SIO
ASA ISE
Identity & A ccess
Control WSA CTA
Router/Switch Threat Grid
Email AMP
SLIC
AnyConnect
Web
Anomaly
Detection Информация
Мобильные пользователи тоже нуждаются
в защите
Global Мобильный с отрудник
Tal
os
Intelligence
Филиал Домашний Cisco AnyConnect
офис • VPN-клиент на базе DTLS
NGIPS &
NGFW • Роуминг между сетями и выбор
оптимального шлюза
Identity & A ccess • Идентификация пользователей
Control
и устройств
мобильная • Оценка соответствия у злов
Email
или Wi-Fi • Интегрированная безопасность
Wired Wi-Fi Web
Web • Интеграция с защитой от
вредоносного кода
Shadow IT &
Data • Перенаправление всего
трафика на периметр сети
DNS, IP & BGP • Выборочное туннелирование
• Обнаружения аномалий
Advanced • Поддержка Apple IOS, Android,
Threats Безопасный, Blackberry, Windows Phone,
постоянный Windows 7/8/10, MAC, Linux,
Sandboxing доступ ChromeOS
Корпоративный • Локализация на русский язык
Anomaly
Detection офис
Интегрированная защита от угроз – это единственный
путь заблокировать продвинутые угрозы
Global
00001111
Tal
Intelligence
os
1110
NGIPS &
Talos
Talos
Среднее время обнаружения
NGFW с Cisco: 46 часов
Identity & A ccess
Control
Email
Email Облако Сеть и Web
Web
Sandboxing
Среднее время обнаружения
00001111 без Cisco: 200 дней
1110
Anomaly
Detection
Интегрированная защита работает на
каждой стадии атаки CTA
OpenDNS INVESTIGATE
TALOS THREAT GRID
Talos
Угрозы Периметр Среда
• Обновление всей • Обнаружение аномальных профилей и инициирование
• Защита от инфекции и отправка 0-day для предупреждений с NGIPS
1информации о • Блокирование динамического анализа с AMP for Endpoint
безопасности из 3 4 • Выдача IoC и обновление
5 флага влияния с FireSIGHT
вредоносного или • Уверенность, что сеть правильно сегментирована с ISE
Talos • Мониторинг перемещений файлов и запись каждой
подозрительного ISE 3 машины с AMP File Trajectory 5
• Просмотр IP, которые трафика с NGFW и
ассоциированы с NGIPS
2Malware с помощью
OpenDNS • Проверка известных
Investigate 1 угроз, доменов и IP
адресов с ESA
ПК Админ ЦОД
ESA
Лена • Захват семпла для
Иванова анализа ThreatGrid
2
Админ
• Обнаружение
OpenDNS C&C
UMBRELLA
связи с помощью
Lancope Stealthwatch AMP ISE NGIPS
• Включение полного, однокликового реагирования в • Идентификация атак 0-day, блокирование всех будущих
• Блокирование трафика AMP для Endpoints
через все порты и попыток с постоянным анализом AMP
WSA 8 7 • Динамическое изменение доступа, ограничение
протоколы с OpenDNS • Увидеть детальную историю инфекций для целевого
CWS
Umbrella 4 реагирования с AMP для Network File and Device 8 закрепления и распространения через ISE с TrustSec7
Trajectory SGT и SGACL
STEALTHWATCH
Только Cisco защищает на протяжении всего
цикла атаки
ДО ВО ВРЕМЯ ПОСЛЕ
Найти Обнаружить Диапазон
Применить Заблокировать Ограничение
Усилить Защитить Реагирование
dcloud.cisco.com
Наша основная задача – в перспективе –
интегрировать между собой все решения
Cisco, дав им доступ друг к другу и к
единому источнику информации об
угрозах!
Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис
анализа угроз, который расширяет видимость угроз и
является доступным 24-часа-в-сутки.
• Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Cisco ONE Advanced Security Software Volume Purchasing Advantage – Security offer Security ELA
“Commit to Domain” ”Commit to Technologies” “Commit to Budget” ”Commit to Architecture”
Все организации Все организации Средние/крупные орг-ии Крупные организации
1+ devices и/или 100+ users 100-100,000 users $200K+ USD $400K+ USD и/или >1,000 users
§ Фиксированные бандлы § Три и более решений по ИБ со § Гарантированно выделенный § Каталог ПО по безопасности с
security software и WAN, скидкой в 10% бюджет на безопасность на неограниченным числом
ЦОД, ЛВС § Доступен в GPL определенный период времени лицензий на 3-5 лет
§ Расширение за счет (обычно 3 года) дает § Предсказуемые инвестиции
Advanced Security дополнительную скидку
Дополнительная информация по ИБ Cisco
Проверка и уточнение функциональности
продукта
• Сервис Partner Help в рамках которого
инженеры службы технической
поддержки продаж Global Virtual
Engineering (GVE) смогут проверить и
уточнить функциональность решений
Cisco в области ИБ, выдать
презентации, проверить и составить
спеки, сгенерить ключи для триалов,
выдать ПО, получить сравнения с
конкурентами и т.п.
https://www.cisco.com/go/ph
Где вы можете узнать больше?
Пишите на security-request@cisco.com
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/