Интеллектуальная защита от угроз - Беляев Андрей
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Интеллектуальная защита от угроз Беляев Андрей Andrey.Belyaev@softline.com
Что мы ценим?
Мы ежегодно оплачиваем
автомобильную страховку,
наклеиваем пленки на
смартфон, убираем в
общественном транспорте
кошелек «поглубже».
ИБ не осязаема
Осязаем ущерб!
Копирайт Вася Ложкин
Что интересно кибер-преступникам?
Фото
Личные файлы
$300-$500
Злоумышленники
провели собственное
исследование
идеальной точки цены.
Сумма выкупа не
чрезмерна
TOR
Вымогатели теперь
работают через
анонимные сети Email
Финансовые
данные
Как хакеры зарабатывают деньги?
SSN
$1 Мобильное ВПО Эксплойты
Данные кредиток
$150 $100k-$300K
$0.25−$60
Медицинские Глобальный Спам
записи $50/500K emails
>$50
рынок кибер-
преступности:
DDoS Банковский аккаунт Разработка ВПО
$450B-$1T
as a Service $2500 Аккаунт Facebook
>$1000 (коммерческое ВПО) $1 за аккаунт с 15 друзьями
~$7/час зависит от типа и баланса
DDoS
$
Изменение в поведении атак
Скорость Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов
А что с расследованием кибер-инцидентов ?
Копирайт Вася Ложкин
Время обнаружения вторжений очень велико
Mandiant
Bitglass
229 HP
205 416
Symantec
2287 дней – один из
самых долгих инцидентов
305 Ponemon
Trustwave
188
в 2014-м году
206
Так было в прошлом…
Сетевая инфраструктура
Десктопы Бизнес-
приложения
Что сегодня и завтра?
Критическая
Удаленные пользователи инфраструктура
(Amazon, Rackspace,
Windows Azure и т.д.)
Сетевая инфраструктура Промышленные
сети
Операторы связи
Десктопы Бизнес-
приложения
Бизнес-приложения
Мобильные пользователи (Salesforce, Marketo,
DocuSign и т.д.)
Общие проблемы информационной безопасности
Огромное количество мобильных/ Для каждой организации Недостаток квалифицированных
удаленных пользователей разрабатывается новое специалистов в сфере
вредоносное ПО безопасностиПочему Cisco?
Гипотезы безопасности Cisco
+ +
Цифровая эволюция Операционный фокус Нехватка людей
Требуются изменения в ИБ
Видимость Знание угроз Платформы Консалтинг Интеграция УправлениеПовсеместная безопасность
ЛВС
Периметр ЦОД
Филиалы Облака
Оконечные
устройства АСУ ТП
Интеграция и максимальное покрытие от уровня сети до
оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов
– ДО, ВО ВРЕМЯ и ПОСЛЕПовсеместно… с учетом жизненного цикла атаки
Жизненный цикл атаки
ДО ВО ВРЕМЯ ПОСЛЕ
Найти Обнаружить Диапазон
Применить Заблокировать Ограничение
Усилить Защитить Реагирование
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Защита в момент времени Непрерывная защитаИнтегрированная защита от угроз – это единственный
путь заблокировать продвинутые угрозы
00001111
Talo
s
Global Intelligence
1110
Talos
Talos
NGIPS &
NGFW
Identity & Access
Control
Облако Сеть Почта и Web
Email трафик
Web
Shadow IT &
Data
Точечное
Постоянное
DNS, IP & BGP
Конечное
Мобильное устройство Виртуальное
Advanced Threats
00001111
Sandboxing 1110
Anomaly DetectionИнтеллектуальная защита от угроз
Talos
I00I I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II I00I
I00I I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II I00I
I00I I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II III00II I00I III0I III00II I00I
Информация об угрозах
www
Email Endpoints Web Networks IPS Devices
Исследования
Jan
600+ исследователей 24 - 7 - 365
Быть уверенными Обнаружить угрозы, которые не может обнаружить
Talos идентифицировал сеть “Kyle/Stan, “String of Paerls”, и “Angler” exploits компьютер
раньше, чем кто-либо другой 600+ исследователей на нашей стороне ищут новые продвинутые угрозы
Получить информацию об угрозах, которая связана с вашим Постоянно быть обновленным
бизнесом Получить автоматические обновления каждые 3-5 минут на все ваши
Получить локализованную и специфичную информацию об угрозах, так как устройства
Talos глобально агрегирует миллионы источников информации.Привычная Cisco ASA
HA и Анализ Защита ЦОД
кластеризация VPN протоколов
Межсетевой экран Мультиконтекстный Политики с учетом Защита сетей
[Маршрутизация | режим идентификации
Коммутация] операторов связи
ASDM (OnBox) / CLI
Cisco Security Manager / RESTful API для управленияCisco ASA с сервисами FirePOWER
► Cisco ASA – самый популярный в
Аналитика Cisco в области информационной безопасности отрасли межсетевой экран
корпоративного класса
Advanced WWW
HA и Предотвращение Malware
Protection
Фильтрация ► Гранулярное управление работой
кластеризация вторжений (Подписка) запросов по URL
приложений (AVC)
(Подписка)
Аналитика и (Подписка)
автоматизация
(FireSIGHT)
► Лучшая в отрасли FirePOWER
Управление
Межсетевой экран работой Профилирование Политики с учетом NGIPS
Маршрутизация | узлов сети идентификации
Коммутация приложений
► Фильтрация запросов по URL
Cisco ASA с учетом репутации и категорий
► Технология AMPASA 5500-X
SMB и филиалы
Унифицированное
5506 / 5508 / 5516 5525 / 5545 / 5555
управление
• Интерфейсы 1 Гбит/с • Интерфейсы 1 Гбит/с • Firepower Management Center
• Пропускная способность до • Пропускная способность до (централизованное)
450 Мбит/с (FTD, все сервисы) 1,2 Гбит/с (FTD, все сервисы)
• Firepower Device Manager
• Поддержка программной • Варианты резервируемого (автономное)
коммутации электропитания 5545 / 5555
• Cisco Defense Orchestrator
• ПО Firepower Threat Defense • ПО Firepower Threat Defense (облачное)
или ASA или ASA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved.Cisco Firepower серии 2100
Представляем 4 новых платформы
Оптимизация
Специализированный Унифицированное
производительности
и плотности портов
NGFW управление
• Интерфейсы 1 и 10 Гбит/с • Встроенные механизмы • Firepower Management Center
• Пропускная способность до NGFW, NGIPS, управления (централизованное)
8,5 Гбит/с работой приложений (AVC),
• Форм-фактор 1 RU фильтрации запросов по • Firepower Device Manager
• Два слота для SSD URL и Cisco AMP (автономное)
• 12 RJ45, 4 SFP(+)
• Модели 2130 / 2140 • Cisco Defense Orchestrator
• 1 сетевой модуль (облачное)
• Опция "Fail to Wire"
• Поддержка двух БП
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved.Firepower 2100 - масштабируемая производительность
Сравнение производительность на больших пакетах*
Cisco Firepower
Конкурент “A” Конкурент “B” Конкурент “C”
Сервисы 2100 Series
FW+AVC 1.9 - 8.5 Гбит/с 2.0 – 4.0 Гбит/с 2.0 – 3.0 Гбит/с 2.5 – 7.0 Гбит/с
FW+AVC+IPS 1.9 – 8.5 Гбит/с 1.0 – 2.0 Гбит/с 1.0 – 1.5 Гбит/с 1.7 – 3.5 Гбит/с
Снижение
производи- ~ 0% < 50% > < 50% > < ~ 50% >
тельности
(vs. FW+AVC)
Сохранение Конкурентные решения не могут обеспечить
производительности такие же показатели
*Источник: 1024 байта или выше для TCP из материалов каждого производителяСнижение сложности с унифицированным управлением
Унифицированный
• Видимость от сети до ПК
• Управление МСЭ, приложениями, угрозами и файлами
• Инструменты отслеживания, лечения и восстановления
Масштабируемый
• Централизованное ролевое управление
• Multitenancy
• Наследование политик
Автоматизированный
• Оценка ущерба
• Рекомендации правил
• Remediation APIs Cisco Firepower™ Management CenterЧто делать с мобильными пользователями?
Cisco AnyConnect Secure Mobility Client
Web пользователи Cisco AnyConnect® Перенаправление web Расположение web
Client трафика безопасности Вынесение вердикта
Роуминг-пользователь
с ноутбуком
Перенаправление WWW
ACWS
трафика на
ближайший web
прокси Allow
Клиент развернут на машине
CWS web
безопасность
VPN WWW
Пользователь с Работа с WWW
ноутбуком, планшетом через VPN Warn
или телефоном
VPN
WWW
WSA веб
Router or firewall
re-route traffic to WSA or CWS Block
безопасностьИзменилось то, как мы работаем…
И безопасность также…
49% 82%
сотрудников предпочитают Системы
станут не включать безопасности
мобильными VPN должны также быть
70% 70% в облаке
рост филиальных
использования сетей имеют
SaaS прямой доступ в
ИнтернетГде работает Umbrella?
Malware
C2 Callbacks
Phishing
Сеть и хосты
Первая линия Всё начинается с
NGFW
DNS
Сеть и хосты
Netflow
Предвосхищает открытие
Proxy
Хосты файлов и IP соединение
Sandbox Router/UTM
Используется всеми
AV AV AV AV AV устройствами
ЦЕНТР ФИЛИАЛ РОУМИНГ
Не зависит от портаВидимость Umbrella
100B 85M 12K >160
Запросов Активных Корпоративных стран
ежедневно пользователей заказчиков мира
ежедневно
К 2020 году по оценке Cisco Global
Cloud Index: 92% глобального трафика ЦОД
будет приходиться на облакаAMP for Endpoints дает вам ответы на наиболее важные вопросы ИБ Что произошло? Откуда началось заражение? Куда успело попасть вредоносное ПО? Что происходит? Как нам остановить это?
Cisco Web Security Appliance
До Во время После
Web File Cognitive
Web Application
Reputation Cloud Access Parallel AV Sandboxing Threat
Filtering Visibility and File Data-Loss
Security Scanning Analytics*
Control Reputation Prevention
www File
Client
Authentication Retrospection
Technique
X X X X X X X
Cisco® ISE
Управление
Перенаправление
WCCP Load Balancer Explicit/PAC PBR AnyConnect® Client Администратор
трафика
HQ Отчеты
www www www
Работа с логами
Allow Warn Block Partial Block
Основной офис Удаленный офис Мобильный
пользовательSandbox реального времени
Анализ для защиты от атак 0-day
Песочница
Эмуляция в реальном времениCisco Web Usage Controls
URL фильтрация и динамический анализ
WWW
WWW
Allow
WWW
Warn
WWW
Block
Неизвестный URL Database Известный
1. Сканируем текст 2. Вычисляем релевантность 3. Вычисляем близость к 4. Возвращаем самое близкое
эталонным документам значение категории
Finance Adult Health
Finance
Adult
Health
5. Применение политик
WWW WWW WWW Partial WWW
Allow Warn Block
BlockРепутационный анализ
Сила контекста реального времени
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP значение репутации
Кто? Откуда? Как? Когда?
Дата
Подозрительный
192.1.0.68 Месторасположение Динамический
HTTP
SSL IP регистрации
Web сервер < 1
example.com
владелец
Example.org
17.0.2.12 San Jose
London
Киев
Beijing HTTPS
сервера адрес места
домена
домена
< 1месяца
2 мин
лет
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010
1 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 11101001110
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011100Появление все более уязвимых пользователей
и организаций
Руткиты
Усовершенствованное Трояны
вредоносное ПО
Черви
Непрерывные кибератаки повышенной сложности
Спам через IPv6 Направленные атаки
Смешанные угрозы
Электронная почта — вектор угроз № 1
Заражение Нарушения политик
вредоносным Потеря
допустимого
кодом данных
использованияНейтрализация самых изощренных атак с помощью
решений Cisco для защиты электронной почты
Период атаки
До После
Выявление
Во время Определение
Обнаружение масштаба
Применение
Блокирование Сдерживание
политик
Отражение Восстановление
Ужесточение
политик
Сигнатуры, антивирус, Непрерывный ретроспективный
Фильтрация по репутации сканирование спама анализ
Входной контроль Сканирование URL Отслеживание сообщений
Репутация файлов
Помещение в песочницуИнтеграция Cisco Email Security с интеллектуальной
системой защиты от угроз
Аналитика I00I III0I III00II 0II00II I0I000 0110 00
Cisco® Исследования
100I II0I III00II 0II00II I0I000 0II0 00
101000 0II0 00 0III000 III0I00II II II0000I II0
угроз 10I000 0II0 00 0III000 II1010011 101 1100001 110
Talos0110 00
Реагирование
1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00
110000III000III0 I00I II0I III0011 0110011 101000
Более 180 000 образцов файлов в день
WWW
Сообщество FireAMP™
Эл. почта Оконечные
устройства
Интернет Сети IPS Устройства Специализированные отраслевые
публикации и уведомления от Microsoft
1,6 млн 35 %
датчиков по всему миру мирового трафика электронной Сообщества разработчиков открытого
почты ПО Snort и ClamAV
100 ТБ Незащищенные сети для изучения
данных, получаемых ежедневно 13 млрд
веб-запросов хакерских методик
Более 150 млн ESA
развернутых оконечных Круглосуточная Программа Sourcefire AEGIS™
устройств работа без выходных
Частные и общедоступные каналы
Более 600 Более 40 информации об угрозах
инженеров, технических языков
специалистов и Динамический анализ
исследователейСхема работы системы
После
До
Во время Определение
Выявление
Обнаружение масштаба
Применение
Блокирование Сдерживание
политик
Отражение Восстановление
для защиты от спама
Ужесточение
политик
Что
Кто Когда
Система
Cisco Cisco для
защиты от
Talos спама
Входящая почта: Скорость передачи
легитимная, подозрительной почты Где Как
нежелательная ограничивается, спам
и неопределенная отфильтровывается
Результативность — более 99 %
Менее одного ложного срабатывания
на миллион сообщений
Достоверно Выбор механизмов
нежелательная почта сканирования с учетом
блокируется риска для каждого
до попадания в сеть пользователяПревосходная защита на основе URL-адресов
Электронная почта содержит URL-адрес
Репутация и классификация веб-ресурсов
Отправить в облако Перезаписать
Анализ Cisco® Обезврежено
ЗАБЛОКИРОВАНО
www.playboy.com
URL Talos ЗАБЛОКИРОВАНО
«Данный URL-адрес
Заменить заблокирован политикой
безопасности»
Автоматические или определяемые вручную фильтры для защиты от вирусных эпидемийФильтры для защиты от вирусных эпидемий
Защита от вредоносных программ на основе файлов и URL-адресов «нулевого часа»
Cisco® Динамический Фильтр
Talos карантин вирусов
Улучшенная защита от вредоносного ПО Фильтры для защиты от вирусных эпидемий в действии
Облачная система защиты Обнаружение вирусов
от вредоносного ПО «нулевого часа» и вредоносного
ПО «нулевого часа»После
До
Во время Оценка масштаба
Поиск
Глубокая защита от вирусов
Обнаружение Сдерживание
Применение
Блокирование Восстановление
Укрепление
Отражение
Механизмы защиты Антивирусные подсистемы
от спама
Что
Кто Когда
Cisco
Anti-Spam
IMS
Где Как
Несколько антивирусных подсистем
Выбор механизмов Sophos
сканирования с учетом McAfee
риска для каждого
пользователяСистема AMP обеспечивает До Во время
После
непрерывную ретроспективную
Выявление Обнаружение
Применение Блокирование Оценка масштаба
Укрепление Отражение Сдерживание
Восстановление
безопасность
Объем защиты и контрольные точки:
WWW
Эл. почта Оконечные Интернет Сеть IPS Устройства
устройства
Поток телеметрических
данных
Контрольная сумма
Непрерывный поток
и метаданные файла
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Файловый и сетевой0100001100001
ввод/вывод1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Информация о процессе Непрерывный анализБезопасность начинается с «видимости»
Кто работает в сети?
Нельзя защитить то, о чем ты не знаешь
И что они делают?Платформа Cisco ISE
ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к
сетевым ресурсам и предоставить общий доступ к контекстным данным
Идентификация, Политика доступа Сетевые ресурсы
профилирование и оценка
состояния
Традиционная TrustSec
Кто
Что Гостевой доступ
Дверь в
сеть Когда
Доступ BYOD
Где
Ролевой доступ
Как
Быстрая изоляция
Соответствие нормативам
угроз
КонтекстISE это краеугольный камень сквозной сетевой
безопасности Cisco
ISE
Когда Где Кто Как Что
До Во время После
CWS Netflow AMP
WSA
NGIPS CTA
ESA
Lancope StealthWatch FireSIGHT Console
FirePOWER ServicesКомпоненты системы Stealthwatch
Stealthwatch
Management
Console
Лицензия Threat Feed
Сбор данных о потоках (Flow Collector) Cisco ISE
UDP-директор
www Концентратор Cloud License
для устройств Concentrator & Данные Данные об актуальных
Agents о пользователях угрозах
Сенсор потоков Веб-прокси и устройствах
NetFlow, (Flow Sensor)
syslog, SNMP Инфраструктура,
поддерживающая
NetFlowКак решения Cisco по кибербезопасности взаимодействуют между
собой без единой консоли управления
Синий – события ИБ
Красный – информация об угрозах
Серый – политики ИБ
Зеленый – контекст ИБЧто принесет Вам Cisco Security?
Среднее время обнаружения атаки без Cisco 200 дней
Среднее время обнаружения с Cisco 14 – 46 часов
Среднее время обнаружения с Cisco в 2017 году
6 часовПартнерство с Cisco Специализации Облачные и управляемые услуги • Advanced Enterprise Networks Cloud and Managed Services Master Architecture Specialization Cisco Powered Infrastructure as a Service • Advanced Collaboration Architecture Cisco Powered Disaster Recovery as a Service Specialization Cisco Powered Managed Security • Advanced Data Center Architecture Specialization • Advanced Security Architecture Другие авторизации Specialization • Advanced Core and WAN Specialization Learning Partner - Associate • Advanced Unified Access Specialization Academy Network Partner • Advanced Unified Computing Technology Multinational Certified Partner Specialization • Advanced Unified Fabric Technology Specialization
Как мы можем Вам помочь?
Оборудование Лицензии
Обучение специалистов
Аутсорсинг
по ИБ
Аудит СертификацияСпасибо за внимание!
Вопросы?
Менеджер по развитию бизнеса Cisco:
Беляев Андрей
Andrey.Belyaev@softline.com
cisco.security@softline.comВы также можете почитать
