Download - Новые вызовы кибербезопасности
Алексей Лукацкий
Новые вызовы кибербезопасности
Типичные будни безопасника
Инцидент попадает
к CISO
КТОэто
сделал?
КАКэто
произошло?
ЧТО пострадало
?
ОТКУДАначался
инцидент?
КОГДАэто
произошло?
Один день из жизни CISO в Cisco
4TB
Данных для сбора/анализа
NetFlow для анализа в день
(Lancope)
15B
Инспектируется трафика в день
47TB
Сигналов тревоги в день
(NG-IPS)
1.5M
Сетевыхсобытий
1.2T
10K
Файлов для анализа в день
(ThreatGRID)
4.8B
Записей DNSв день
45M
Web-транзакцийблокируется
(WSA)
425
Защитных устройств
4.1M
Email-транзакцийблокируется в день
(ESA)
Состояние индустрии ИБ
Рост возможностейРост сложности
Состояние индустрии ИБ
Разрыв эффективностибезопасности
Разрыв в эффективности ИБ
Cisco закрывает разрыв
Интегрированный архитектурный подход
Унифицированное управление
Endpoint ОблакаСеть
Видимость
Threat Intelligence -
Услуги
UTMСетевая
аналитика
Борьба с вредоносным ПО
Защитный Интернет-шлюз
WebW W W
Политики и доступ
NGFW/NGIPS
Портфолио Cisco по кибербезопасности
Источник: Cisco Midyear Security Report, 2016
100 VS.дней
Индустрия Cisco
Изменение правил игры
~13
Снижение времени обнаружения
часов
простота открытость автоматизация
Эффективная безопасность
Куда все движутся?..
Десктопы Бизнес-приложения
Критическая инфраструктура
Пора выйти запределы периметра
Корпоративная инфраструктура(AWS, Azure, Force.com)
Бизнес-приложения(Salesforce, Box,DocuSign, и т.д.)
Дистанционныепользователи
Филиалы
Десктопы Бизнес-приложения
Критическая инфраструктура
К удаленнойработе
Согласно оценкам Гартнер к 2018:
25% корпоративного трафикабудет миновать периметр ИБ.
75% это не 100%
Как достичь эффективной ИБв новом ИТ-окружении?
Cisco Umbrella
DNS используется
в вашей сетикаждым устройством
DNS
DNS
Пропишите вашу сеть (публичный IP) в Umbrella1Сеть
Перенаправьте ваш DNS в Umbrella2
DNS Простота
Сеть
ПростотаРегистрация за 30 секунд.
Полное внедрение за 30 минут.
Cisco on Cisco
Cisco IT Case Study
“Мы внедрили OpenDNS так быстро, что наши внутренние клиенты даже не заметили этого.”
“Внедрение было простым как добавление 4 строк кода в файл конфигурации DNS на наших внутренних серверах DNS.”
Эффективно
Umbrella обеспечивала
безопасность @
Rio 2016Olympics
Logo
Umbrella внедрена на всей инфраструктуре Олимпийских игр за 2 дня до церемонии открытия, всего за 2 часа
Всего 7 сетей было настроено в Рио и Сан-Паоло
22M запросов в день
Umbrella блокировала 23,000 угроз ежедневно
Umbrella на Олимпийских играх в Рио
Открытость иавтоматизация Umbrella работает с:
ü Продуктами Cisco
ü Другими решениями
ü Процессами заказчика
NGFW улучшает защиту сети
Последние 20 лет защита за периметром:
VPNon
УДАЛЕННЫЙ ДОСТУП
Но не каждое соединение идет через VPN
VPNoff*
*или разделение тунелей
Не весь трафик— через все
порты, все время —может быть
перенаправлен
Но 25% трафика NGFW не видит, так как он через него не проходит!
Как быть с устройствами вне сети?
AnyConnect 4.3 ISR4K
Cisco Umbrella BranchПервый уровень защиты для всех
пользователей филиалов без дополнительных «железок»
Cisco Umbrella RoamingРоуминговые пользователи
защищены на 100% без дополнительных агентов
Пользователи защищены даже без включенной VPN
Внесетевое слепое пятно устранено, а
от пользователей ничего не требуется
Угрозы блокируются доустановления соединения
или загрузки файла
VPNon
VPNoff*
DNSactive
*или разделение тунелей
Cisco Umbrella Branch
Cisco Umbrella Branch208.67.222.222
Устройства в филиале
• Видимость & контроль доступа на уровне DNS
• Блокирование запросов к вредоносным доменам и IP
• Фильтрация контента для гостей & корпоративных пользователей
MALWARE
C2 CALLBACKSPHISHING
Block
Cisco ISR
Теперь, Cisco защищает пользователей 100% времени!
Единое облачное управление множеством политик безопасности доступа в Интернет
Defense Orchestrator позволяет управлять политиками для ASA, ASAv, ASA withFirePOWER™ Services, Firepower NGFW и OpenDNS®
Umbrella с помощью единого интерфейса
Что происходит в облаках?
Не забыть прооблака
Корпоративная инфраструктура(AWS, Azure, Force.com)
Бизнес-приложения(Salesforce, Office365, Box и т.д.)
Дистанционные пользователи
Филиалы
Десктопы Бизнес-приложения
Критическая инфраструктура
CloudLock обеспечивает видимость иконтроль защищаемых облачных приложений и инфраструктуры.
Что такое CASB?
Утечки данныхЗащита данных и соответствие требованиям
Риски теневых ИТ и приложенийКонтроль и видимость приложений
Скомпрометирован-ные учетные записи и внутренние угрозыЗащита от угроз и UEBA
ПриложенияУчетные записи
Данные
Technology for Information Security in 2016
CASBCloud Access Security Broker
1#
Технологии CloudLock CASB
Защита применениябизнес-приложений в
облаках
CASB дляSaaS
Защита критической инфраструктуры в
облаках
CASB для IaaS/PaaS
Утечки данных и контроль поведенияВредоносные точки назначения
Неразрешенные приложения
Разрешенные приложения
Устройства и сетиПодключение отовсюду
Инспекция файлов
Контроль DNS / IP / URL
Видимость и доступ
Платформа Cisco Cloud Security
Объединяя ИБ из облака и для облака
DDoS
ASAv
OpenDNS
StealthwatchCloud License
AMP
Безопасность из облака
Безопасность для облака
CWS
OpenDNSUmbrellaAMP
Cisco Defense Orchestrator
Cognitive Threat Analytics
Active Threat Analytics
Hosted Identity Service
Cloud consumption services NGIPSv
NGFWv
CSRv
Cloud Email Security
Смотреть вперед, не забывая оглядываться
назад!
User Switch Router
КакГде/куда/откудаКогдаКто Что
Router Firewall ServerData CenterSwitch
WAN
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Вспомним распечатку мобильного оператораDay Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH InWED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH OutTHR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH OutFRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH InTUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Вспомним распечатку мобильного оператора
Таблица потоков: Данные по сессия на 100% релевантны для ИБ
Layer 7
Network as a Sensor
Видимость
ОблакоИнформация опользователе
Информация об интерфейсе
TrustSec Threat Feed Сегмент / группа Прокси
Client Server Translation Service User Application Traffic Group Mac SGT
1.1.1.1 2.2.2.2 3.3.3.3 80/TCP Adam HTTP 20M Location 00:2b:1f 10
CiscoSecurity
CiscoNetworking
Cisco Stealthwatch
Stealthwatch
Network as a Sensor
Сеть
CAT
ISR
ASR
Nexus
ИБ/Контекст
FirewallVPNProxyIdentityMerakiUCSISE
Stealthwatch + ISE
Stealthwatch ISE
StealthwatchLearning Network
Сеть
Network as a Sensor
ИБ/КонтекстStealthwatch + ISE
FirewallVPNProxyIdentityMerakiUCSISE
CAT
ISR
ASR
Nexus Stealthwatch ISE
StealthwatchLearning Network
Обнаружение аномалий в удаленных офисах
Безопасность для Cisco 4000 Series Integrated Services Router
StealthwatchLearning Network License
Cisco Umbrella Branch
(OpenDNS)
Zone-Based Firewall (ZBFW)
VPNCloud
Web Security (CWS)
FirePOWER
Что надо сделать, чтобы запустить процесс обучения аномалиям в филиале?
Определить пути трафикаПостроить карту адресов IP для изучения окружения
Изучить движение трафика, объемы, шаблоны, временные характеристики
Идентифицировать приложения в сети по протоколам и портам
Изучение отклонений нормального от аномального
Точное обнаружение аномалий; возможность оператору реагировать на них
3
2
6
4
1
5
В чем новизна обучающихся сетей?
Текущие решения по безопасности Stealthwatch Learning Network License
§ Состоят из специализированных устройств безопасности, подключенных к сети, такие как МСЭ и IDS/IPS
§ Сильно зависят от известных сигнатур для обнаружения известных угроз
§ Обладают ограниченной приспособляемостью, приводящей к пропуску угроз
§ Адаптивная
§ Использует машинное обучение для обнаружения продвинутых и скрытных угроз
§ Фокусировка на 0-day атаках
§ Использует ISR 4000 как распределенный аналитический движок (сенсор) и систему безопасности(enforcer)
Преимущество обучающихся сетейТрадиционные системы обнаружения
аномалий Stealthwatch Learning Network License
§ Фокусировка на обнаружении как можно большего числа событий
§ Создает множество ложных срабатываний и не относящихся к делу угроз
§ Работает в одиночку и число обнаружений не является лучшим показателем эффективности
§ Централизованное решение, зависящее от сетевой телеметрии
§ Быстрое, эффективное, точное обнаружение
§ Сеть учится на собственных ошибках и сводит к минимуму количество ложных срабатываний
§ Обнаруживает и объединяет множество индикаторов в аномалию
§ Распределенное решение, независящее от полосы пропускания и мощности процессора
Архитектура обучающихся сетей• Управляет агентами на множестве
маршрутизаторов• Обеспечивает расширенную визуализацию
аномалий• Интерфейс централизованного управления• Взаимодействие с другими источниками
данных ИБ
• Сбор данных с извлечением знаний из NetFlowили захваченных сетевых пакетов и сессий
• Встроенное моделирование поведения и обнаружение аномалий в реальном времени
• Встроенный автономный контроль, применение политик безопасности локально Филиал 1 Филиал 2
Public/PrivateInternet
Threat Intelligence
Feeds
Cisco Identity
Services Engine ISE
Cisco Security Packet Analyzer
Помощь в проведении расследований сетевых инцидентов ИБ
Интеграция с Stealthwatch
Захват сетевых пакетов
Поддержка SPAN / TAP /
RISE / ERSPAN
4 x 1 GE или2 x 10 GE Наличие API Проведение
расследований
А про пользователей мы не забыли?
Public
Private Hybrid
ЦОД и внутренняя сеть Облако Пользователи
/Устройства
Security Everywhere
58
Cisco AMP
AMP – краеугольный камень портфолио Cisco
Видимость, контроль и ретроспективная безопасность по всем векторам атаки для защиты против большинства современных угроз.Увидеть один раз –защититься везде.
AMP for Endpoints
AMP for Firewalls
AMP for Networks
AMP for Email
AMP for ISR
AMP for Web
Threat Grid
AMP for Private Cloud Virtual Appliance
Private
CWS
AMP for Meraki
AMP обнаруживает 100% угроз по данным NSS Labs
Интеграция AMP в Meraki MX
БезопасностьNG Firewall, Client VPN, Site to Site VPN, IDS/IPS, Anti-Malware, Geo-Firewall
СетьNAT/DHCP, 3G/4G Cellular, Intelligent WAN (IWAN)
Контроль приложенийWeb Caching, Traffic Shaping, Content Filtering
AMP – один из лидеров сегмента EDR
Эффективная ИБ
5 Облака1 Видимость 4 Простота3 Автоматизация2 Интеллект
Вопросы[email protected]/security