Демонстрация ценности решений Cisco по кибербезопасности для бизнеса - Реальные примеры
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Демонстрация ценности решений Cisco по кибербезопасности для бизнеса Реальные примеры Алексей Лукацкий Консультант по безопасности © 2018 Cisco and/or its affiliates. All rights reserved.
Как мы обычно продаем безопасность
бизнесу?
• При всем богатстве выбора
существует всего три причины
покупки решений по Угрозы Бизнес
безопасности
• Эти правила действуют как
снаружи (вендор – заказчик),
так и внутри (ИБ – бизнес)
• Драйвер «бизнес» Compliance
используется очень редко в
виду его неуниверсальности
Северо-Западный ФОРУМ CISCO © 2018 Cisco and/or its affiliates. All rights reserved. 2
Цена и ценность
• Ценность —
важность,
значимость, польза,
полезность чего-либо
• Субъективная оценка
• Человек должен быть
заинтересован в чем-
либо, испытывать
Цена Ценность
потребность
Дашборд для файловой песочницы
Пример: Cisco Threat Grid (файловая песочница)
Дашборд для Cisco Firepower NGFW Пример: Cisco Firepower NGFW Пример: Cisco Firepower NGFW
В чем ценность Threat Grid или Firepower?
Северо-Западный ФОРУМ CISCO © 2018 Cisco and/or its affiliates. All rights reserved. 6
В чем ценность Cisco Threat Grid?
VirusTotal
В чем ценность Cisco Threat Grid?
• Скорость реакции • Глобальный охват
• Точность • Проверка данных от ФинЦЕРТ /
ГосСОПКИ
• Автоматизация
• Автоматическая генерация сигнатур
Вы пришли к руководству и…
• Описанные на
предыдущем слайде
ценности являются
таковыми для
руководства?
FUD* не работает
FUD – Fear, Uncertainty, Doubt
Северо-Западный ФОРУМ CISCO © 2018 Cisco and/or its affiliates. All rights reserved. 10Как показать ценность: шаг за шагом
1. КТО ваша целевая аудитория?
2. ЧТО нужно вашей целевой аудитории?
3. КАКОЕ решение должно быть принято?
4. На КАКИЕ вопросы нужно ответить?
5. КАК визуализировать?
6. Создание макета
7. Создание прототипа
8. Итоговый результат (дашборд / отчет)К кому вы ходите просить денег?
Вы! CIO HR PR
CEO Legal
CSO CFO COOРазница в восприятии топ-менеджмента и безопасника / айтишника Безопасник / айтишник Топ-менеджмент • Погружение в детали • Нужна общая картина • Нежелание расстаться с • Данные для принятия собранными данными решения • Данные ради данных • Что будет? Что делать? • Что? Где? Когда?
Какие решения принимает ваше руководство
каждый день? Что вы можете сделать для них,
чтобы повлиять на их решения?
Северо-Западный ФОРУМ CISCO © 2018 Cisco and/or its affiliates. All rights reserved. 16Две причины идти к руководству
1. Признание угрозы /
инцидента
Вас взломали
2. Фокусировка на
готовность к риску
3. Разъяснение, как
риски ИБ или
Вам нужны деньги технологические
на развитие риски влияют на
бизнес-результаты
4. Что делается / надо
сделать?Что волнует топ-менеджеров в ИБ?
1. Мы защищены?
2. Как мы узнаем, что нас взломали?
3. Как мы соотносимся с конкурентами?
4. Мы тратим достаточно на обеспечение
нашей безопасности?
5. Насколько эффективно мы инвестируем
в безопасность?Еще раз: о чем говорить с руководством
1. Стратегия, не тактика или операции
2. Контроль рисков, а не управление ими
3. Последствия для бизнеса, а не
технологические деталиВ чем разница?
Было Должно быть
• Cisco Stealthwatch позволяет • Существует высокий риск утечки
мониторить потоки Netflow, sFlow, информации, что может привести к
cFlow, jFlow, IPFIX и выявлять различные краже нашей интеллектуальной
аномалии и атаки в сетевом трафике, собственности, что скажется на наших
используя для этого существующие доходах и приведет к потере
коммутаторы и маршрутизаторы конкурентных преимуществ. Выбранное
нами решение лидера рынка помогает
бороться с этим риском, опираясь на
уже сделанные инвестиции в сетевую
инфраструктуру.Мы защищены?
Ответ на вопрос зависит от контекста и предыстории
• Были ли у вас недавно инциденты?
• Что уже генеральный директор знает про
ИБ?
Главное заранее донести до руководства мысль, что ИБ - это не
состояние, а процесс (это как получение прибыли :-), у которого
бывают взлеты и паденияПродукт не даст вам ответ, но поможет с
ним
Утечки данных
Основные
показатели
Детальные
показатели
Пример: Cisco Stealthwatch (мониторинг сетевых аномалий ИБ)Продукт не даст вам ответ, но поможет с
ним
Зараженные узлы
Пример: Cisco AMPКак мы узнаем, что нас взломали?
• Руководство понимает, что 100% безопасности не
бывает и у вас тоже могут быть проколы (это
хорошо)
• Руководство хочет знать, насколько вы готовы к
нештатным ситуациям
• Руководство также хочет знать, каков ущерб
может быть нанесен компании в случае
инцидентаПродукт не даст вам ответ, но поможет с
ним
Подтвержденные
инциденты
Пример: Cisco CTAОбратите внимание!
Если взломали Если все-таки взломали
конкурентов именно вас
• Отслеживайте все крупные события в • Не паникуйте!
отрасли ИБ, включая взломы и • Признайте проблему и расскажите,
инциденты почему это произошло (без деталей)
• Будьте готовы к ответу на вопрос «А нас • Заранее подготовьте один слайд «Что
могут взломать также?» надо сделать, чтобы это не
• Заранее подготовьте один слайд «Как повторилось?»
мы боремся с такими инцидентами» и • Вспомните цитату Черчилля про кризис
не забудьте туда включить то, что вам и возможности
нужноЧто надо показать руководству?
• У вас классная команда (я надеюсь) и вы можете
оперативно реагировать на угрозы
• Готовые планы реагирования
• Проведенные киберучения
• Вложенные в правильный инструментарий
инвестиции
• Наличие опыта борьбы с инцидентами в
прошлом
• Наличие контактов с внешними ИБ-компаниями
и т.п.Как мы соотносимся с конкурентами?
• Security Benchmarking
• Общение с коллегами
• Измерение уровня зрелости
В России работает не очень хорошо, кроме банков и, в
перспективе, всех финансовых организацийКак мы соотносимся с конкурентами?
План & бюджет
4,5
Корпоративное управление
4
Организация Продукты Cisco тут
3,5
3
2,5
2
Оценка рисков 1,5 Защитные меры В среднем по отрасли
1 У нас
0,5
Продукты Cisco тут 0
Управление уязвимостями Архитектура
Продукты Cisco тут
Продукты Cisco тут
Реагирование Процессы и операции
Лайфхак: вместо сравнения с конкурентами (если данных нет),
можно сравнивать себя в разных состояниях (было – сейчас – через
Осведомленность год – идеал)Продукт не даст вам ответ, но поможет с
ним
Как у других?
Пример: Cisco CTAПродукт не даст вам ответ, но поможет с
ним
Как у других?
Пример: Cisco CTRПродукт не даст вам ответ, но поможет с
ним
Как у других?
Пример: Cisco Threat GridМы тратим достаточно на обеспечение
нашей безопасности?
• Куда вы уже потратили выделенные
ранее деньги?
• Насколько эти траты связаны с бизнес-
целями?Все ваши решения на одном слайде
Базовые мероприятия Необходимые мероприятия Продвинутые мероприятия
• Защита периметра • Формализация процессов • Связь с бизнесом
МСЭ Измеряемые Интеграция с бизнес-процессами
Предотвращение вторжений Повторяемые
• Взаимосвязь с KRI
• Контроль доступа • Обнаружение и реагирование KRI, влияющие на бизнес
Сетевой контроль доступа Анализ логов
Двухфакторная аутентификация Поведение пользователей • Формирование культуры
Привилегированный доступ Контроль утечек информации
Снижение технических мер
• Управление уязвимостями • Оценка рисков
• Управление рисками
Патчи ИТ-риски
Автоматизация Подотчетность
• Повышение осведомленности Корпоративные риски
• Корпоративное управление
Тренинги
Политики Комитет по корпоративному управлению
Управление изменениями
• Организация
• Стратегическое планирование
Персонал
Компетенции
• Соответствие Подсказка: Реализовано (зеленый)
В процессе (желтый)
Аудит
ФЗ-187 В планах (красный)
382-ПНасколько эффективно мы инвестируем
в безопасность?
• Текущие проекты и инициативы и их
связь с бизнес-целями
• Позитивная динамика в реализации
ваших задач и проблемные места,
которые надо улучшать
• Ваши планы, которые должны показать,
что вы четко понимаете, куда движется
бизнесИдем сверху вниз
• Рост продуктивности
Облака, борьба со спамом, контроль доступа в Интернет,
BYOD
• Рост продаж
Интернет-магазин, географическая экспансия, снижение
себестоимости, ускорение сделок и автоматизация
• Снижение капитальных затрат
Облака, аутсорсинг, виртуализацияБизнесу не продают продукты
• Бизнес не покупает продукты
• Бизнесу нужно решение его задач
• Покажите решение, увяжите его с
бизнес-задачами и получите на него
деньги JИдем снизу вверх • Отрисовка макета позволяет «увидеть» то, как будет выглядеть ваша визуализация • Занимает минут 10-15 • Не надо быть Пикассо или Верещагиным
По этому принципу строятся дашборды
решений Cisco
Основные
показатели
Детальные
показатели
Пример: Cisco ISE (контроль сетевого доступа)Какое решение нужно принять?
• Начать проект по приведению себя в
соответствие с ФЗ-187?
• Защитить Web-сайт от DDoS-атак?
• Пройти аттестацию в ФСТЭК?
• Отдать часть ИБ на аутсорсинг?
Это не для топ-менеджментаКакое решение нужно принять?
• Какой канал лучше позволяет привлекать
клиентов?
• Какие регионы/города России наиболее
перспективны для географической
экспансии?
• Как снизить издержки и повысить
доходность?
• Как поднять лояльность
сотрудников/клиентов/партнеров?
• Как снизить регулятивные риски?Еще пример: SOC для бизнеса • Ключевые показатели для SOC в контексте бизнеса • Оценка в контексте работы SOC для организации и для ее клиентов разных типов • Оценка удовлетворенности
Пример: инциденты в АСУ ТП
Cisco ISA3000 +
Cisco ISE 127 $35M
Число инцидентов Время простоя Ущерб по контрактам
с АСУ ТП
Q1
Cisco ISA3000 +
Cisco ISA3000 + 75% Q2 Cisco ISE
Cisco ISE 55%
Динамика инцидентов Количество инцидентов
по источникамПример: защита от DDoS на сайт
Firepower + vDP
127 $35M 75%
Число инцидентов Время простоя Число потерянных Объем недополученной Снижение
Firepower с+ Web-сайтом
vDP клиентов / ущерб прибыли репутации
Q1 Q1 Q1 Q1
75% Q2 75% Q2 75% Q2 75% Q2
55% 55% 55% 55%
Динамика инцидентов Динамика оттока клиентов Динамика потерь Динамика негативных
публикаций в прессеПример: снижение числа увольнений
127 $35M 38
Число уволенных Среднее время Недополученная Число «обращенных»
сотрудников простоя вакансии прибыль на сотрудника сотрудников
Cisco ESA
Q1 Q1 Q1 Cisco WSA
75% Q2 75% Q2 75% Q2
55% 55% 55%
Динамика увольнений Динамика потерь Динамика «обращения»
сотрудниковПример: борьба со спамом
5К 75% $35M $11M
Число почтовых Объем спама от Потери от «чтения» Затраты на хранение и
ящиков общего числа e-mail спама передачу спама
Cisco ESA Q1 Q1 Q1
75% Q2 75% Q2 75% Q2
55% 55% 55% Cisco ESA
Динамика объема спама Динамика потерь от Динамика затрат на хранение
«чтения» спама и передачу спамаКак и откуда взять все эти данные?
Источники Адаптеры / Множества
Метрики Дашборды /
данных Коннекторы данных
отчетыПример: защита e-mail Case Management
HRM
75% 75% 75%
% пользователей, % пользователей, Рейтинг успешности % внутренних
прошедших тренинг сообщивших о фишинге awareness нарушителей
Q1 Q1 Q1 Cisco ESA
75% Q2 75% Q2 75% Q2
Cisco ESA 55% 55% 55%
Динамика обучения Динамика спама / ВПО / Динамика внутренних
фишинга нарушений
Cisco ESAГде и как брать данные?
• Сырые данные необходимо брать либо от
средств защиты, либо от решений класса SIEM
• Для работы с топ-менеджментом понадобятся
обязательно данные от бизнес-систем (CRM,
HRM, SCM и т.п.)
• У абсолютного большинства современных систем
(исключая большинство средств защиты
отечественного производства) есть развитый API
• Для захвата и обработки данных можно
использовать Python / R или иные языки
программирования
• Можно попробовать «допилить» SIEMCisco API позволяют получить все данные
• API, позволяющие получать доступ к
событиям безопасности, логам, контексту,
которые собираются решениями Cisco в
защищаемой сети предприятия.
• API, позволяющие получать доступ к
облачным сервисам по безопасности Cisco
для проверки подозрительных файлов,
доменов, IP-адресов и т.п.
• API, позволяющие управлять решениями
Cisco из внешних систем.
• API, позволяющие обогащать решения Cisco
данными об угрозах, полученных из
внешних источников.https://developer.cisco.com/site/security/
https://learninglabs.cisco.com/Cisco Developers Network (DevNet)
Cisco Security Developers Center …
Куда помещать данные?
• Excel
• Tableau
• QlikView
• Splunk
• SIEM
• Или другая любая система визуализации«У Cisco есть бабло, если чо!» (с) Юрий Соловьев, Cisco Capital
Северо-Западный ФОРУМ CISCO © 2018 Cisco and/or its affiliates. All rights reserved. 55Ключевые факторы успеха
• Вы должны понимать, что вы делаете в
области ИБ
• Вы должны понимать бизнес своего
предприятия
• Вы должны понимать свою целевую
аудиторию
• Вы должны уметь совмещать эти три
элемента вместе
• Вы должны знать, где лежат данные
• Вы должны уметь программироватьПлан действий после презентации
• Завтра
Пересмотрите свои текущие материалы и подходы
Организуйте встречи со всеми стейкхолдерами (CxO)
• В следующие 90 дней
Увяжите свои ИБ-проекты с целями бизнеса
Подготовьте презентацию для руководства (а вдруг)
• В следующие 12 месяцев
Подготовьте расширенную презентацию для CxO
Наладьте постоянный контакт с бизнесомРезюме Если следовать рекомендациям из презентации у вас так быть не должно J
Спасибо
за внимание!
www.cisco.comВы также можете почитать
