Защита современного предприятия СЕЙЧАС И В БУДУЩЕМ

Алексей Лукацкий Бизнес-консультант по безопасности, Cisco

• Текущий статус

• Проблемы и задачи

• Новая модель безопасности

• Архитектура Cisco по ИБ

• Наши планы

ПЛАН

Текущий статус

Что мы анонсировали 25 февраля 2014?!

OpenAppID и

Cognitive

Threat

Analytics

Новые

платформы

FirePOWER

Интеграция

AMP с

защитой

контента

W W W

• Новые аппаратные платформы

FirePOWER

• «AMP Everywhere» - интеграция

AMP с ESA/WSA и CWS

• FireAMP Private Cloud

• Интеграция Cognitive Threat

Analytics с CWS

• Язык описания приложений

OpenAppID

Что мы анонсировали 30 октября 2013?!

Веб-

безопасность

облака

Межсетевой

экран

нового

поколения

Веб-

безопасность

и защита эл.

почты

W W W

• Новая версия Cisco ASA NGFW с

функцией предотвращения

вторжений

• Сервисы ASA NGFW на

ASA 5585-X SSP-40, SSP-60

• Новая версия и архитектура Cisco

Prime Security Manager

• Новая линейка устройств Cisco

в области Web-безопасности

и защиты электронной почты

серии x80

• Новые возможности Cisco Cloud

Web Security

Новые возможности Межсетевой экран нового поколения Cisco ASA 5500-X

• НОВИНКА Межсетевой экран

нового поколения с системой

защиты от вторжения

• НОВИНКА Сервисы межсетевого

экрана нового поколения на

ASA 5585-X SSP-40, SSP-60

• НОВИНКА изменение архитектуры

приложения Cisco Prime Security

Manager

Больше, чем просто защита

Интернет-периметра

Больший масштаб и гибкость

развертывания

Снижение сложности управления

Новые возможности Устройства Cisco в области веб-безопасности и защиты электронной почты нового поколения

• НОВИНКА! Устройства Cisco

в области веб-безопасности

и защиты электронной почты

серии x80

• Доступно по лицензии GPL начиная

с 28 окт. 2013 г.

• На базе платформы Cisco UCS

Линейка продуктов Масштаб Модели

Cisco Web Security

Appliance (WSA)

Предприятие C680

Средний бизнес C380

Малый и средний бизнес и филиалы C170

Cisco Email Security

Appliance (ESA)

Предприятие S680

Средний бизнес S380

Малый и средний бизнес и филиалы S170

Cisco Content

Security Management

Appliance (SMA)

Предприятие M680

Средний бизнес M380

Малый и средний бизнес и филиалы M170

Новая серия x80

Но началось все гораздо раньше

Приобретение

Cognitive Security ASA Mid-range Appliances

ASA CX и PRSM Новые продукты

Secure Data Center

ISE 1.1 & 1.2 /

TrustSec 2.1

Ключевые факты

• ASA 9.0

• ASA 1000V

• IPS 4500

• CSM 4.3

• AnyConnect 3.1

Q2FY13 Q3FY13 Q4FY13 Q1FY14

Приобретение

Cognitive Security

TRIAD организовано

Annual Security

Report 2013

Приобретение

Sourcefire

pxGrid, SIEM

Ecosystem

ISE 1.2

Интеграция

ScanSafe GPL

TRAC Team

создана

ACI Security

Solutions

Объявлена - ASAv

Интеграция

IronPort GPL

Новые PRSM и

ASA-CX

Новые

X80 Appliances

Виртуализация BYOD Advanced Threats Software Defined Networking

Обеспечение ключевых рыночных тенденций и запросов

Появление

Virtual ESA & WSA

Наращивание усилий в 2013-м году

Лидер Gartner

Magic Quadrant (Email Security, Web Security,

Network Access, SSL VPN)

Существенные

инвестиции

в R&D, M&A &

людей

#1 на рынке ИБ

ЦОДов (Источник:

Infonetics)

#1 на рынке

сетевой безопасности (Источник: Infonetics)

Названа одним

из 5-ти основных

Приоритетов

компании

Cisco Security Momentum

11

Проблемы и задачи

12

Текущие проблемы безопасности

Изменение бизнес-

моделей

Динамический

ландшафт угроз

Сложность и

фрагментация

МОБИЛЬ-

НОСТЬ ОБЛАКО УГРОЗЫ

Динамика рынка, ориентированного на потребителя, требует сквозной архитектуры

безопасности

14

Любое устройство к любому облаку

ЧАСТНОЕ ОБЛАКО

ОБЩЕ-ДОСТУПНОЕ

ОБЛАКО

ГИБРИДНОЕ ОБЛАКО

15

Всеобъемлющий

Интернет

завтра 2010 2000 2005

Изменение

ландшафта угроз APTs и

кибервойны

Черви и вирусы

Шпионское ПО

и руткит

Антивирус

(Host-Based)

IDS/IPS

(Сетевой периметр)

Репутация (Global) и

песочница

Разведка и аналитика

(Облако)

Ответ

предприятия

Угрозы

17

Время не на нашей стороне

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от

общего числа взломов

Взломы

осуществляются за

минуты

Обнаружение и

устранение

занимает недели и

месяцы

18

Угроза распространяется по

сети и захватывает как можно больше данных

ПРЕДПРИЯТИЕ

ЦОД

Заражение точки входа происходит

за пределами предприятия

Интернет и облака

ПУБЛИЧНАЯ СЕТЬ

Продвинутые угрозы обходят

средства защиты периметра

КАМПУС

ПЕРИМЕТР

Анатомия современной угрозы

19

Новая модель безопасности

20

Новая модель безопасности

ДО Обнаружение

Блокирование

Защита

ВО ВРЕМЯ ПОСЛЕ Контроль

Применение

Усиление

Видимость

Сдерживание

Устранение

Ландшафт угроз

Сеть Оконечные устройства

Мобильные устройства

Виртуальные машины

Облако

В определенный момент Непрерывно

21

От модели к технологиям

ДО Контроль

Применение

Усиление

ВО ВРЕМЯ ПОСЛЕ Обнаружение

Блокирование

Защита

Видимость

Сдерживание

Устранение

Ландшафт угроз

Видимость и контекст

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM/NAC

IPS

Anti-Virus

Email/Web

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

22

Приобретение Sourcefire дополнило портфель решений Cisco

ДО Контроль

Применение

Усиление

ВО ВРЕМЯ ПОСЛЕ Обнаружение

Блокирование

Защита

Видимость

Сдерживание

Устранение

Ландшафт угроз

Видимость и контроль

Firewall

NGFW

NAC + Identity Services

VPN

UTM

NGIPS

Web Security

Email Security

Advanced Malware Protection

Network Behavior Analysis

23

Интеграция в сеть,

широкая база сенсоров,

контекст и автоматизация

Непрерывная защита от

APT-угроз, облачное

исследование угроз

Гибкие и открытые платформы,

масштабируемость,

всесторонний контроль,

управление

Стратегические задачи

Сеть Оконечные устройства

Мобильные устройства

Виртуальные устройства

Облака

Видимость всего и вся Фокус на угрозы Платформы

24

Видимость: Cisco видит больше конкурентов

Сетевые сервера

ОС

Рутера и свитчи

Мобильные устройства

Принтеры

VoIP телефоны

Виртуальные машины

Клиентские приложения

Файлы

Пользователи

Web приложения

Прикладные протоколы

Сервисы

Вредоносное ПО

Сервера управления ботнетами

Уязвимости

NetFlow

Сетевое поведение

Процессы

25

?

Фокус на угрозы

26

Обнаружить, понять и остановить угрозу

?

Аналитика и исследования

угроз

Угроза определена

История событий

Как

Что

Кто

Где

Когда

Контекст

Записано

Блокирование

27

Непрерывная защита от целенаправленных угроз

Как

Что

Кто

Где

Когда

Аналитика и исследования

угроз

История событий

Непрерывный анализ Контекст Блокирование

28

Снижение сложности & рост возможностей платформы

Cloud Services Control Platform

Hosted

Аналитика и исследования угроз

Централизованное управление

Устройства, Виртуалки

Платформа сетевой безопасности

Платформа контроля устройств

Облачная платформа

Устройства, виртуалки ПК, мобильные,

виртуалки Хостинг

29

Всеобъемлющий портфель решений Cisco в области обеспечения безопасности

IPS и NGIPS

• Cisco IPS

• Cisco wIPS

• Cisco ASA Module

• FirePOWER NGIPS

Интернет-безопасность

• Cisco WSA / vWSA

• Cisco Cloud Web Security

МСЭ и NGFW

• Cisco ASA / ASA-SM

• Cisco ISR / ASR Sec

• FirePOWER NGFW

• Meraki MX

Advanced Malware Protection

• FireAMP

• FireAMP Mobile

• FireAMP Virtual

• AMP для FirePOWER

NAC + Identity Services

• Cisco ISE / vISE

• Cisco ACS

Безопасность электронной почты

• Cisco ESA / vESA

• Cisco Cloud Email Security

UTM

• Meraki MX

VPN

• Cisco AnyConnect

• Cisco ASA

• Cisco ISR / RVPN

Policy-based сеть

• Cisco TrustSec

• Cisco ISE

• Cisco ONE

Мониторинг инфраструктуры

• Cisco Cyber Threat

Defense

Контроль приложений

• Cisco ASA NGFW / AVC

• Cisco IOS AVC / NBAR

• Cisco SCE / vSCE

• FirePOWER NGFW

Secure DC

• Cisco ASA / 1000v /

ASAv / VSG

• Cisco TrustSec

30

Видимость всего и вся

31

Подход Sourcefire: … непрерывный процесс до, во время и после атаки Вы не можете защитить

то, что не видите Автоматическая настройка

системы безопасности

…в режиме реального времени,

в любой момент времени

Преобразование данных

в информацию

УВИДЕТЬ АДАПТИ-

РОВАТЬ

УЧИТЬСЯ ДЕЙСТ-

ВОВАТЬ

32

Вы не можете защитить то, что не видите

Sourcefire видит БОЛЬШЕ

Ширина: кто, что, где, когда

Глубина: любая требуемая степень детализации

Все в режиме реального времени, в одном месте

Sourcefire обеспечивает информационное преимущество

Операционная

система

Пользо-ватели

Устройства Угрозы Приложения

Файлы Уязвимости

Сеть

УВИДЕТЬ

УВИ-

ДЕТЬ

АДАП-

ТИРО-

ВАТЬ

УЧИТЬ-

СЯ ДЕЙС-ТВО-

ВАТЬ

33

Cisco действует также: добавляет контекст и понимание

C I2 I4 A

ЛОКАЛЬНО

Бизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНО

Ситуационный

анализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо-

действия

APP Приложения

URL Сайты

Реализация безопасности

и глобальным контекстом

34

Контекст – это самое важное

Событие: Попытка получения преимущества

Цель: 96.16.242.135

Событие: Попытка получения преимущества

Цель: 96.16.242.135 (уязвимо)

ОС хоста: Blackberry

Приложения: электронная почта, браузер, Twitter

Местоположение Белый дом, США

Событие: Попытка получения преимущества

Цель: 96.16.242.135 (уязвимо)

ОС хоста: Blackberry

Приложения: электронная почта, браузер, Twitter

Местоположение Белый дом, США

Идентификатор пользователя: bobama

Ф. И. О. Барак Обама

Департамент: административный

Контекст способен фундаментально изменить интерпретацию

данных события

35

Использование контекста

100 000 событий

5 000 событий

500 событий

20 событий

+10 событий

3 события

36

Видимость лежит в основе всего!

Work

flow

(auto

mation)

Engin

e

AP

Is

Понять масштабы, локализовать и устранить

Широкая осведомленность о контексте

Внедрение политик для снижение ареала

распространения угроз

Сосредоточиться на угрозе: безопасность это

обнаружение, понимание и нейтрализация угрозы

Взлом

Контекст

Политика

Угроза

37

Пассивное

обнаружение

В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете

Хосты

Сервисы

Приложения

Пользователи

Коммуникации

Уязвимости

Все время

в режиме

реального времени

38

Видимость позволяет контролировать

Work

flow

(авто

мати

зац

ия)

Engin

e

Взлом

Контекст

Политика

Угроза

Сеть / Устройства

Пользователи / Приложения

Файлы / Данные

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

IPS

AV

anti-malware

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM / NAC

Видимость

Сдерживание

Устранение

Обнаружение

Блокирование

Защита

Контроль

Применение

Усиление

Определение

Мониторинг

Инвентаризация

Карта

AP

Is

39

Стратегия развития продуктов зависит от современных угроз

Work

flow

(авто

мати

зац

ия)

Eng

ine

Взлом

Контекст

Политика

Угроза

Видимость

Сдерживание

Устранение

Обнаружение

Блокирование

Защита

Контроль

Применение

Усиление

Определение

Мониторинг

Инвентаризация

Карта

Сеть / Устройства

Пользователи / Приложения

Файлы / Данные

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

IPS

AV

anti-malware

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM

ДО ВО ВРЕМЯ ПОСЛЕ

AP

Is

40

Фокус на угрозы

41

Мозг архитектуры безопасности Cisco

Действующее

соединение SMTP?

(ESA)

Ненадлежащий или

нежелательный

контент?

(ASA/WSA/CWS)

Место для

контроля и

управления?

(ASA/WSA)

Вредоносное

действие?

(ASA/IPS)

Вредоносный контент на

оконечных устройствах?

(AnyConnect)

WWW

Репутация Сигнатуры

Сигнатуры

Исследование

угроз

Регистрация

доменов

Проверка

контента

Ловушки для

спама, ловушки

для хакеров,

интеллектуальные

анализаторы

Черные списки

и репутация

Партнерство

со сторонними

разработчиками

Правила и логика для конкретных платформ

Cisco Security Intelligence Operations

42

100 Тбайт

Cisco SIO в цифрах

Ежедневный анализ угроз

безопасности

Ежедневные веб-запросы Развернутые устройства

защиты Приложения

и микропрограммные приложения

100

Тбайт данных

анализа

безопасности

1,6 млн. развернутых

устройств

13 млрд. веб-запросов

150 000 микропрогра

ммных

приложений

1 000 приложений

93 млрд. сообщений

электронной

почты в день

35% корпора-

тивная

электронная

почта

5 500 сигнатур IPS

150 млн. развернутых

оконечных

устройств

3-5 мин. Обновления

Security Intelligence Operations:

Полная прозрачность

Глобальная зона охвата

Полноценная защита

5 млрд. подключений

к электрон-

ной почте

в день

4,5 млрд. ежедневно

блокируемых

электронных

сообщений

43

Немного фактов о SIO

Глобальная и локальная корреляция через автоматический и человеческий анализ

АНАЛИТИКА & ДАННЫЕ УГРОЗ

Широкий спектр источников данных об угрозах & уязвимостях

БАЗА СЕНСОРОВ БЕЗОПАСНОСТИ

Контекстуальная политика с распределенным внедрением

ОПЕРАТИВНЫЕ ОБНОВЛЕНИЯ Инфрастру-

ктура

больших

данных

Обновления

в реальном

времени

Доставка

через

облако

150M оконечных

устройств

14M шлюзов

доступа

1.6M устройств

безопасности

Самообуча

ющиеся

алгоритмы

НИОКР Open Source

Community

44

Проблемы с традиционным мониторингом

Admin

Базируется на правилах

• Зависимость от сложно

создаваемых вручную

правил

• Зависимость от

человеческого фактора

Зависимость от времени

• Занимает недели или

месяцы на обнаружение

• Требует постоянного

тюнинга

Security

Team

Очень сложно

• Часто требует

квалифицированный

персонал для управления

и поддержки

111010000 110 0111

Невозможно

идти в ногу с

последними

угрозами

СОВРЕМЕННЫЕ АЛГОРИТМЫ Поведенческие алгоритмы

САМООБУЧЕНИЕ И ЗАЩИТА ОТ ОБХОДА Теория игр и само-оптимизация

АНАЛИЗ ПОВЕДЕНИЯ УГРОЗЫ Учет сетевого, Web и Identity контекста

ИДЕНТИФИКАЦИЯ ПРОДВИНУТЫХ КИБЕР УГРОЗ Поведенческий анализ

ОБНАРУЖЕНО

46

Потенциальная

угроза

Поведенческий

анализ

Обнаружение

аномалий

Машинное

обучение

Внутренние

пользователи

Обнаружение угроз с Cognitive Threat Analytics

47

Безопасность WWW Сеть

Identity & Политики

Будущее облачной аналитики угроз

Облачная аналитика и исследования угроз

Web

Rep

IPS

Rep

Email

Rep

Репутация

Глобальная аналитика

Портал угроз

Сетевые политики

Телеметрия безопасности

Телеметрия сети

Поведенческий анализ

Глобальные данные об угрозах

CTA

48

Унификация платформы

49

Архитектура безопасности Cisco Управление Общие политики безопасности и управление безопасностью

API управления безопасностью

API Cisco ONE

API платформы API интеллектуальных

ресурсов облака

Координация

Физическое устройство Виртуальные Облако

Уровень

элементов

инфраструктуры

Платформа

сервисов

безопасности

Безопасность

Услуги и

Приложения

API устройства – OnePK, OpenFlow, CLI

Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)

Уровень данных ASIC Уровень данных ПО Маршрутизация – коммутация – вычисление

Управление доступом

Учет контекста

Анализ контекста

Прозрачность приложений

Предотвращение угроз

Приложения Cisco в сфере безопасности Сторонние приложения

API API

50

Платформа сервисов безопасности ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

Маршрутизаторы и коммутаторы Cisco

Общедоступное и частное облако

ВЕРТИКАЛЬНОЕ

МАСШТАБИРОВАНИЕ

ГОРИЗОНТАЛЬНОЕ

МАСШТАБИРОВАНИЕ

ГОРИЗОНТАЛЬНОЕ

МАСШТАБИРОВАНИЕ

Устройства обеспечения

безопасности

Виртуализированное устройство | автоматическое масштабирование | многопользовательская среда

Устройство обеспечения безопасности, действующее как программируемый сетевой контроллер

Межсетевой экран нового поколения Cisco ASA 5500-X. Он единственный у Cisco?

• В 4 раза быстрее чем прежние модели ASA

5500

• Лучший в отрасли межсетевой экран ASA

и решение AnyConnect

• Сервисы межсетевого экрана нового

поколения

• Различные расширенные сервисы

безопасности, не снижающие

производительность

Applic

ation

Vis

ibili

ty &

Contr

ol (A

VC

)

Intr

usio

n

Pre

vention

(IP

S)

Se

cu

re R

em

ote

Access

(AnyC

onnect)

Web S

ecurity

Essentials

(WS

E)

Веб

-

безо

пасность

обл

ака

Сервисы Cisco ASA NGFW (программное обеспечение)

Межсетевой экран нового поколения Cisco ASA

серии 5500-X (на аппаратной платформе)

Межсетевые экраны: горизонтальное масштабирование

Cisco 7600 Routers ISR Routers

Catalyst 6500 Switches Nexus Switches

ASA Meraki MX

ASA 1000v VSG CWS

Sourcefire FW

ASAv

ASR Routers

53

Гибкие варианты развертывания На территории и за пределами территории потребителя

Варианты

разверты-

вания

Коннекторы /

Переадре-

сация

На территории потребителя Облако

Облако

МСЭ Маршрутизатор Роуминг

Виртуальное

решение Межсетевой экран

нового поколения

Роуминг

Устройство

Устройство

Клиентские

системы

Неявная Явная

МСЭ Маршрутизатор

Неявная Явная

54

Интеграция

Модель открытого

программирования

Распределение

контекстных

атрибутов

Использование

меток для активов

Next Generation

Encryption

56

Every Platform Needs Context

Every Platform has Context to Share

pxGrid обмен

контекстом

Информация для обмена информацией о безопасности– pxGrid

SIO

Единая инфраструктура

Прямые, защищенные интерфейсы

57

ISE как “context directory service”

Создание экосистемы по безопасности Cisco

Архитектура открытой платформы

Разработка экосистемы SSP

Встроенная безопасность в ИТ

Мобильность (MDM), Угрозы (SIEM), облако

Комплексное партнерское решение

Lancope, «Сеть как сенсор»

Использование значения Сети

Текущая экосистема

партнеров Cisco

58

Объединенная партнерская программа Sourcefire по категориям

Объединенная ИНФРАСТРУКТУРА API

59

Партнерство

60

Создать

Купить

Дружить

• Инвестиции в R&D составляют 13% от оборота по безопасности

• 2000 инженеров по безопасности

• 11,769 патентов

25+ поглощений в области безопасности

Предлагать то, что нужно!

Новый уровень в сети

сенсоров

мест

контроля в

реальном времени

СЕТЬ КАК СЕНСОР

БЛОКИРОВАНИЕ

ТРАФИКА

БЛОКИРОВАНИЕ

ЗАРАЖЕННЫХ УЗЛОВ

ПРЕДОТВРАЩЕНИЕ

ВРЕДОНОСНОГО ПО

Действуй на всесторонне и быстро Безопасность а не наложена

67

РЕЗЮМИРУЯ

68

Сеть и безопасность: синергия обеспечивает эффективность

Кластеризация сервиса центра

обработки данных обеспечивает

непревзойденные возможности

масштабирования

Автоматическая сетевая

переадресация

Единообразное, комплексное обеспечение безопасности

Реализация политик

Мобильность и использование BYOD:

ускорение / обеспечение возможности

реализации

Ускорение обработки

больших наборов данных

Обнаружение угроз

Безопасность

Сеть

Реализация

масштабирования

Ускорение

обнаружения

Агрегация

уникального

контекста

70

Смотреть надо ШИРЕ и Cisco делает это

Сетевые сервера

Операционные системы

Роутеры и свитчи

Мобильные устройства

Принтеры

VoIP телефоны

Виртуальные машины

Клиентские приложения

Файлы

Пользователи

Web приложений

Протоколы приложений

Сервисы

Malware

Командные сервера

Уязвимости

Netflow

Поведение сети

Процессы

ISE для Политики & Identity AMP на оконечных устройствах Сеть дает контекст

71

?

Блокирование известных угроз

72

Обнаружить, понять и остановить угрозу

?

Аналитика и исследования

угроз

Угроза определена

История событий

Как

Что

Кто

Где

Когда

Контекст

Записано

Блокирование

73

Непрерывная защита от целенаправленных угроз

Как

Что

Кто

Где

Когда

Аналитика и исследования

угроз

История событий

Непрерывный анализ Контекст Блокирование

74

Миллиарды целей, миллионы угроз

Решение по безопасности, встроенное, а не пристроенное

76