Как компания Cisco защищает сама себя

Алексей Жуков

alzhukov@cisco.com

12.04.2017

© 2015 Cisco and/or its affiliates. All rights reserved.

Безопасность здесь и сейчас

Что из себя сейчас представляет Cisco?

12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 2

300 партнёров использующих 550 точек подключения к сети Cisco

Что из себя представляет Cisco и что мы защищаем?

16 главных точек выхода в Internet ~32 TB полосы пропускания используется ежедневно

1350 лабораторий 160+ компаний было приобретено

500 cloud/ASP провайдеров

(официально )

122k сотрудников

Офисы в 170 странах

~3M IP-адресов

Сеть из 215,000 устройств

275,000 хостов

2500+ IT-приложений

26k домашних или малых офисов Cisco Virtual Office

425 устройств IDS/IPS

~3TB данных сетевой телеметрии собирается каждый день

Один CSIRT аналитик на каждые 7000 сотрудников

Кто, что, зачем… КАК?

Государства

Раскрытие данных Публикации

Человеческий фактор Ошибки конфигурирования

Дефекты программирования Дефекты сетевой инфрастурктуры

Инсайдеры

Фрод

Промышленный шпионаж

Угрозы репутации и бренду

Кража IP

Инсайдерская

торговля

Взлом и проникновение в

сеть

Кража данных клиентов

Атаки через нас на клиентов

Случайные

Криминал Политические риски

• Офисная культура – взаимодействие, интеграция, обмен, сотрудничество

• Бизнес-культура– ориентация на клиента, скорость принятия решений, принятие рисков

• Культура партнёров – широкое использование аутсорсинга

Культура Cisco

Безопасность и ограничения весьма не интуитивны в культуре компании

Роли и зоны ответственности Information Technology (IT)

Предоставление сервисов для улучшения бизнес-показателей

Ключевые метрики:

Удовлетворённость пользователей и эффективность их работы

Скорость внедрения и реакции

Затраты

Структура управления:

Manager

CIO

COO

Information Security (InfoSec)

Защита инфраструктуры Cisco, систем и сервисов, а также чувствительной информации Cisco и наших клиентов и партнёров

Ключевые метрики:

Инциденты (Количество, среднее и медианное время на обнаружение и противодействие)

Риски и годовые потери в результате инцидентов

Соответствие требованиям политик и регуляторов

Структура управления:

Manager

CISO

COO

Сдержки и противовесы

Почему это так важно?

Хорошо отображает взаимоотношения между IT и Infosec

Службы IT и Infosec в Cisco потратили годы, чтобы в итоге понять, что партнёрство наиболее выгодно всем!

Very first Spy vs. Spy cartoon Mad Magazine (с) 1961

Как это было достигнуто?

• Инструменты совместной работы;

• Гибкость и возможности глобальных команд;

• Периодические «живые» встречи для обсуждения ключевых моментов;

• Совместное бюджетное и ресурсное планирование;

• Совместная защита бюджета и ресурсов;

• Совместное отстаивание своих позиций перед высшим руководством

Ключевые IT ЛПР

Основные Infosec ЛПР

Мы все про это уже слышали…

Безопасность

Производительность

Безопасность

Простота

Функциональность

Citation: garfdn.org

но реальность такова:

• Увеличивающийся тренд коммодизации и консьюмеризации в IT и Security;

• IT и Security центры затрат;

• Пользователи просто хотят делать свою работу с наименьшим количеством граблей по пути;

• И делают её на основе своего баланса риска/вознаграждения;

• Если IT не в состоянии предоставить решение, пользователи сами найдут его;

Всё это значит одно – безопасность должна быть встроена и являться неотъемлемой частью IT-решений!!!

Citation: etsy.com

Принципы безопасности в IT-внедрениях

ДА, но не НЕТ.

• Если упорный и талантливый атакующий захочет что-то украсть, он рано или поздно это сделает;

• Невозможно запрограммировать человеческий фактор;

• Решения создаются для 85% обычных клиентов;

• Золотое правило – относитесь к ним доброжелательно, прозрачно коммуницируйте что вы делаете

• Основывайтесь на внятных политиках

• Необходимо иметь сбалансированные проактивные и реактивные инвестиции

Citation: XKCD.com

Как мы защищаем свою сеть и устройства пользователей в ней?

12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 13

Какие доступны стратегии для устройств – Desktop & Mobile

•Принадлежит компании и управляется ею же

•Минимальный выбор оборудования (минимизация расходов)

•Традиционный эталонный образ для установки

•Полная поддержка со стороны IT

Традиционная

•Corporate Owned Personally Enabled – принадлежит компании, заточено под пользователя

•Более широкий выбор (за счёт более высоких расходов)

•Разрешены прямые поставки от производителя (zero image)

•IT сохраняет за собой контроль и обеспечивает безопасность

COPE

•Личные устройства (максимальный выбор)

•Контроль со стороны IT ослаблен

•Поддержка со стороны IT минимальна

•Наименьшие затраты

BYOD

Текущее положение дел с устройствами в Cisco (31 декабря

2016)

81,169 42,684 7,904

131,757

Корпоративные

устройства

(CYOD)

8,751

66,519 Личные

устройства

(BYOD)

1.25 устройств на

пользователя 42,613 14,180 271 145 559

И это не только телефоны

Количество носимых гаджетов в организациях утроилось в период с 2015 по 2017.

76% компаний при этом констатируют, что это повышает производительность труда.

86% планируют увеличивать использование таких устройств.

* Saleforce.com Wearables Report

При этом мы видим интересные тренды

Мощность мобильных устройств увеличивается

Гибридные устройства по своей функциональности приближаются к ПК

Станосится больше IoT устройств При этом поставщики часто не думают о функциях безопасности в них.

Они очень разные

Увеличивается кол-во носимых гаджетов

Рекомендации

1. Будьте проактивны – эти устройства придут в вашу сеть с вашей помощью или без нее!

2. Выберите стратегию развития вашей сети и безопаснсти в ней: Традиционная, COPE, BYOD

3. Осознавайте те ограничения и тренды, которые привносят IoT устройства.

Прогноз по количеству устройств в сети Cisco к 2020

380,788 Пользовательских устройств

??

19

Как мы планируем поддерживать устройства в будущем

Корпоративные устройства

•Company Owned & Personally Enabled (COPE)

•Некоторый набор устройств с полной IT-поддержкой

•Выбор устройств ограничен

•Для тех, кому необходима полная поддержка или высокий уровень безопасности

BYO Laptops, Smartphones & Tablets

•Личные или принадлежащие контрактнику или партнёру

•Доступ на основе Trusted Device Policy (требует процедуры подключения к сети)

•Широкий набор устройств с поддержкой коммьюнити

•Для тех, кому не важна поддержка или для контрактников или партнёров

IoE устройства и вещи

•Традиционный, COPE, или BYOD

•Очень ограниченный доступ к сети (но без процедуры подключения к ней)

•Типы устройств практически не ограничены

Политики и технологии, позволяющие предоставлять доступ к сети, на основе состояния и «здоровья» устройства

Что такое «доверенные устройства»?

Модель «доверенных устройств»

Каждое устройство должно быть ассоциировано с

уникальным пользователем

Устройство должно использовать

поддерживаемую ОС и иметь все необходимые патчи для

неё

Не допускаются рутованные или jailbroken устройства

Все устройства должны быть сконфигурированы для

автоматической установки патчей, патч должен быть

установлен в течении четырёх недель с момента выхода

Устройство должно быть защищено паролем или PIN

заданной длины, блокировка должна быть настроена на 10

минут или меньше

Конфиденциальная информация на устройстве должна быть зашифрована

На устройстве должна быть установлена и иметь актуальную версию

поддерживаемая защита от зловредного кода

Устройство должно быть сконфигурировано таким образом, чтобы у IT была возможность удалённо «зачистить» все данные

Устройство должно передавать IT информацию о ПО, патчах, приложениях и компонентах

систем безопасности

• Доступ к сети построен на доверительной модели– чем больше мы знаем об устройстве, тем больший уровень доступа оно может получить

• Только доверенные устройства могут получить доступ в основную сеть

• Недоверенные устройства (включая IoE устройства и вещи) ограничены Internet Only сетью или публичным облаком

• Набор используемых сервисов на разном уровне различен, различны используемые механизмы безопасности

Многоуровневый доступ к сети

23

Модель «доверенных устройств»

Модель «доверенных устройств» Обеспечивается Cisco Identity Services Engine (ISE)

Согласованные, топологически независимые политики контроля доступа к сетевой инфраструктуре на основе решения Cisco Identity Service Engine:

• Физические и виртуальные, мобильные устройства

• Проводной, беспроводной и удалённый доступ

• Привязка к узлу доступа

Обеспечения контроля доступа, безопасности данных и требований политик

ГДЕ? КОГДА? ЧТО? КАК? КТО?

Использующие контекст сервисы идентификации и аутентификации

Контроль доступа в сети Cisco: Два независимых глобальных кластера ISE

12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 25

Cisco IT ISE Global Deployment (24-hour authentication map view)

ISE PSNs Data Center (8) Network Devices Cluster (800+) Auth traffic to ISE PSNs

Требования IT IT set out to deliver multiple capabilities with ISE

Контроль доступа

Аутентифицировать

проводных,

беспроводных и

удалённых

пользователей

BYOD

Поддержка

«доверенных»

устройств и BYOD

Профилирование

Идентифицировать

пользователей и

устройства

Защита хостов

Защищать сеть от

инфицированных

устройств

Гостевой доступ

Ограничивать

неавторизованные

устройства и

пользователей

доступом только к сети

Интернет

Контроль устройств

Защита сети и

обеспечение

дифференцированного

доступа в сеть*

* В Cisco используется MDM-решение, интегрированное с ISE

• Идентифицировать устройства

• Оценить риски

1. Профилирование

• Пользователи и устройства

• Идентификация устройств в беспроводном сегменте

2. Аутентификация • Оценка устройств

• Информация для использования в политиках для принятия решений

3. Оценка соответствия

• Применение политик с учётом сетевого контекста

• Недоверенные устройства имеют ограниченный доступ

4. Ограничение

Четыре шага к безопасной сети

Избежать “Большого бума”

Слишком много новых функций сразу для единовременного внедрения

Модель “ISE Deployment Bundle”

Функциональность была объединена в группы, чтобы соответствовать срокам и функциональным требованиям

Несколько кластеров были объединены в один

За и против для централизованного и распределённого: ISE Limits, Scalability, # EP, Auth, Latency, AD…

“Стартуем с одним кластером и добавим другие, если и когда понадобится”

Основа – глобальная инфраструктура

Внедрение глобальной инфраструктуры виртуализации и серверов ISE сначала

Гостевая сеть (ION) использует отдельный кластер для снижения рисков

Функционал “ISE Deployment Bundles” включается по географическому признаку

Использование разных Virtual IP для сервисов (например, WLAN, LAN, CVO, VPN) для лучшей управляемости и контроля, а также ускорения внедрения

Cisco IT: политика внедрения

Кто вовлечён в проект и кто и за что отвечает?

COO

CTO

SVP IT

VP IT

Any Device Team

SVP

Infra Services

Sr. Dir

Network Services

VP Ops/

Implementation

Sr. Dir

Strategy & Security

Security Services

Directory Services

Sr. Dir

Data Centers

Sr. Dir

Arch/Design

SVP

Security & Trust

VP

InfoSec

Требования и политики

безопасности

Отвечают за мобильные устройства,

ответственны за проверки

устройств на соответствие политикам

ЦОД и виртуальная

инфраструктура

Отвечают за поддержку и

разворачивание сетевых сервисов

Отвечают за поддержку и

разворачивание сетевой

инфраструктуры

Отвечает за ISE и остальные

сервисы безопасности

Инфраструктура и сервисы Microsoft

Active Directory

Архитектура решения и

высокоуровневый дизайн

Operational Excellence:

99.999% Availability

Что из себя сейчас представляет Cisco?

12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 31

Политики

Физическая безопасность

Сетевая безопасность

Укрепление защиты хостов

Защита приложений

Защита данных

Проактивный контроль

Стратегия эшелонированной обороны

Мониторинг и анализ событий Infosec

Защита Web и Email

AMP для хостов

Межсетевые экраны

Контроль доступа

AMP для сетей

Прозрачность и защита

32

Принципы и процедуры физической безопасности

Обнаружение попыток захвата устройства

НУЖНО обнаружение логина авторизованного админа

НУЖНО обнаружение bruteforce SSH

НУЖНО обнаружение password recovery

НУЖНО обнаружение замены устройства (UDI)

НУЖНО проверять целостность устройства регулярно

OS, конфигурация, файловая система

Невозможность обнаружения прослушки (врезки)

НУЖНО защищать все протоколы контрольной подсистемы (BGP, IGP, LDP)

НУЖНО защищать все протоколы управления (SSH, SNMP)

Только атаки на подсистему данных доступны

После каждой перезагрузки, link-down событие, и т.д.

Устройство могло быть заменено;

Мог быть сделан Password recovery;

Проверить систему:

Unique Device Identifier (UDI), OS, конфигурацию, enable пароль

После неожиданного логина администратора:

Сменить пароль на этого админа;

Проверить систему:

OS, конфигурацию, enable пароль

Регулярно (Пример: раз в 24часа)

Проверка системы:

OS, конфигурацию, enable пароль

AAA server

Скрипты

Syslog server

Вы могли пропустить событие!

Ваша сеть физически безопасна?

Невозможно гарантировать физическую безопасность сети

Password recovery, замена устройства, sniffing, wiretaps, man-in-the-middle

Безопасные подсистемы контроля и управления

Безопасность подсистемы данных (IPsec)

Мониторинг изменения на устройствах (reload)

Проверка UDI (sh license udi)

Проверка корректности конфигурации устройства

Процедуры изоляции взломанных устройств

Процедуры возврата контроля над взломанными устройствами

34

Source: Jan Matejko, „Stańczyk” (1862)

Лучшие практики по защите IOS Руководство Cisco по защите IOS Devices

Обезопасить операционные процедуры Мониторинг Security Advisories

Использовать AAA, Централизованный сбор логов

Использовать безопасные протоколы

Подсистема управления (SSH, SNMP, NetFlow) Отключить неиспользуемые сервисы, Password Security

Обезопасить сессии управления

Thresholding for Memory, CPU, Leaks

Management Plane Protection (MPP)

Контрольная подсистема (ICMP, BGP, RSVP) Control Plane Policing (CoPP), Protection (CPPr), HW Rate-Limiters

Подсистема данных (продуктивный трафик) Защита от спуфинга с помощью uRPF, IPSG, Port Security, DAI, ACLs

Traffic Access Control

35

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml

DDoS Mitigation – BGP RTBH @Cisco

OER – Optimized Edge Routing

Также известен как Performance Routing (PfR):

• Немедленно устанавливает null0 route

• Позволяет избежать дорогостоящего изменения правил ACL или на МСЭ

• Использует iBGP и uRPF

• Не требует дополнительной настройки

Настраивает /32 null0 route:

route x.x.x.x 255.255.255.255 null0

iBGP peering

Next-Generation Intrusion Prevention @Cisco

350+ Cisco IPS сенсоров развернуто сегодня

1.5M alarm в день

Миграция в процессе, под капотом:

FirePOWER Appliances

Network AMP Everywhere

TALOS Threat Intelligence

Contextual Analysis

Throughput and Capacity

API-интерфейсы для интеграции

37

WSA внутри сети Cisco

Защита всей сети Cisco включая:

Хосты и мобильные устройства

Удаленный доступ VPN

Внутренние лаборатории

DMZ Лаборатории

ЦОД

Режим развертывания:

WCCPv2 перенаправление

Магистральные DMZ шлюзы

Отказоустойчивые пары на шлюз

Обычные веб порты

Репутационный анализ (WBRS)

Malware блокируется за Один День:

• 441K – Trojan Horse

• 61K - Other Malware

• 29K - Encrypted Files (monitored)

• 16.4K - Adware Messages

• 1K – Trojan Downloaders

• 55 - Phishing URLs

• 22 - Commercial System Monitors

• 5 - Worms

• 3 - Dialers

Cisco статистика WEB :

• HTTP это 25% трафика + SSL 6%

• 12.5 TB в/из за день

• 330-360M веб запросов в день

• 6-7M (2%) заблокировано

WSA Блокированные запросы:

• 6.5M+ Malware sites blocked/day

• 93.5% - Web Reputation

• 4.5% - URL Category

• 2% - Anti-Malware

WSA внутри сети Cisco

39

Мобильные пользователи и безопасность

• Выбор технологии VPN

L2L IPSec FlexVPN

• Удаленные офисы - IOS маршрутизаторы

• Домашний офис – CVO (Cisco Virtual Office)

AnyConnect удаленный доступ VPN

• Ноутбуки, PCs

• Смартфоны, Планшеты, BYOD

Безклиентный SSL VPN

• Браузерный удаленный доступ

• Доступ к порталу откуда угодно

VPN шаблоны защиты трафика

Экономия полосы vs Защита

Site-to-site (L2L)

Централизованный выход в интернет

Прямой выход в интернет филиалов(DIA)

Мобильный удаленный доступ (RA)

Полное туннелированние

Централизовано NGFW и WSA

Сплит-Туннель

Централизованый NGFW

Облачный CWS

Без туннеля

Облачный CWS

Заворот VPN трафика на NGFW

ASA с FirePOWER Services служит как Remote-Access VPN Headend

Многоуровневая зашита трафика:

FW ACLs, NGFW, Web Security, NGIPS, AMP

AnyConnect 4.3 VPN Client

IPSec IKEv2 или SSL VPN (DTLS-based)

Весь траффик туннелируется в центр, нет сплит-туннеля

Можно повысить целостность опцией Всегда-Работающего туннеля (Always-On)

Включение до логина (SBL) применяется по необходимости

ISE может служить централизованным движком политик

Применяйте политики авторизации (VLAN, ACL)

TrustSec SGT Применение для удаленных пользователей

ASA вместе с ISE

Интеграция оценки состояния в ASA, поддержка RADIUS CoA

AnyConnect 4.3 унифицированный NAC (Posture) Агент

ISP-1 ISP-2

DMZ Сети

Интернет пиринг

Удаленный доступ (VPN)

Периметральный МСЭ

Внутренние сети ISE

AD

Заворот VPN трафика на WSA

ASA c FirePOWER Services служит как VPN шлюз

Видимость приложений, NGIPS и AMP сервисы

Защита шире чем нежели только WEB на WSA

WSA предоставляет сервисы WEB безопасности

Все сервисы WEB безопасности, описанные выше

Прозрачный или явный вид размещения

WCCPv2 выполняется на ASA или L3 коммутаторе

Доступно раскрытие HTTPS

Advanced Malware Protection (AMP) встроено

ISP-1 ISP-2

DMZ Сети

Интернет пиринг

Удаленный доступ VPN

Периметральный МСЭ

Внутрненние сети

МЫ ЗДЕСЬ

http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa7-0/user_guide/AnyConnect_Secure_Mobility_SolutionGuide.pdf

AD

CWS - Облачная WEB безопасность

ASA с FirePOWER Services служит как VPN шлюз

Видимость приложений, NGIPS и AMP сервисы

Защита для WEB предоставляется CWS (+ приложения +SSL)

Web траффик к CWS идет в сплит-туннель, не через VPN

CWS как часть централизованной Web безопасности

Облачный WEB-прокси

Outbreak Intelligence и Сигнатурный анализ

AMP Cognitive Threat Analytics (CTA)

Раскрытие HTTPS поддерживается

Географическая отказоустойчивость

AnyConnect Web Security модуль предоставляет перенаправление трафика в CWS

Защита с выключенным или включенным VPN (OpenDNS)

Поддерживается на Windows, MacOSX

AnyConnect Редактор профиля

ISP-1 ISP-2

DMZ Сети

Интернет пиринг

Удаленный доступ (VPN)

Периметральный МСЭ

Внутренние сети

CWS

http://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/cws_dg_anyconnect_101714.pdf

Cloud Web Security для удаленных пользователей в Cisco

Пользователи вне VPN сети

AnyConnect Web Security Module

Cloud Web Security (CWS)

Перенаправление на ближайший CWS Tower

Эффективность решения

1% всего исходящего трафика блокируется

Более 80,000 объектов в день

Обнаруживаемые вторжения ежедневно

Трояны, Шпионское ПО

Недавно зарегистрированные, неизвестные домены

Видимость

Ретроспективный анализ AMP и отчетность CTA

„Почта это пережиток прошлого”

Злоумышленники похищают учетные данные нормальных пользователей и высылают спам с вредоносным содержимым

Далее посылают спам от аккаунтов с хорошей репутацией

Спам на сегодняшний день более опасен и его все тяжелее обнаружить

Высоконаправленный, низкообъёмные сообщения спама имеют высокую репутацию, либо отсутствие репутации вовсе. Вредоносный спам это первый шаг (фишинговые письма) в смешанном типе атаки

Объем спам сообщений вырос на 250% с Января по Ноябрь 2014 (100 миллиардов в день)

Source: Cisco 2016 Midyear Security Report

Анатомия APT атаки

46

Enterprise Network

Атакующий

Периметр

(Входящий)

Периметр

(Исходящий)

Проникновение и установление

бэкдора 1

C2 Server

Admin Node

Разведка и

обследование 2

Эксплуатация и

повышение

привелегий

3

Модификация и

закрепление на месте

(Повторяем 2,3,4)

4

Вывод

данных

5

Безопасность почты, это до сих пор важно? @Cisco

93% всей входящей почты блокируется ESA как СПАМ, репутационной базой;

Дополнительные блокировки совершает Cisco AMP (сканирование вложений);

Все основные типы сложных атак которые проходили на Cisco начинались с почты;

Все логируется централизованно для дальнейшего расследования инцидентов.

3.5M Писем блокируется ежедневно

ESA Заблокировано Emails* / mo Emails / day Emails / employee / day %

By reputation 73 M 3.3 M 43 94%

By spam content 4.3 M 0.2 M 3 5%

By invalid receipts 0.4 M 0.02 M 0.25 1%

Доставлено почты Emails / mo Emails / day Emails / employee / day %

Попытки 124 M 5.6 M 73

Blocked 77 M 3.5 M 46 63%

Доставлено 37 M 1.7 M 22 30%

Доставлно, помечено

“Маркетинг”

9 M 0.4 M 5 7%

Malware SPAM

ESA в @Cisco

48

Advanced Malware Protection

Сетевой AMP доступен в:

Отдельных FirePOWER устройствах

ASA FirePOWER Services

Отдельных выделенных AMP устройствах

Web Security Appliance (WSA)

Email Security Appliance (ESA)

Cloud Web Security (CWS)

AMP для хостов:

Windows, MAC OS X, Linux

Android Мобильные устройства

AMP ThreatGrid платформа для унифицированного анализа Malware и расследований

Устройство, устанавливаемое в сети

Облачный портал

AMP Везде – Всесторонний подход к видимости

49

Расследование инцидентов в сети Cisco – Обнаружение и блокирование

12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 50

Идентификация пользователя в @Cisco

51

Источник Предоставляемая информация

DHCP Server

Назначенный IP, MAC адрес

VPN Headend

IP, назначенный пользователю, WAN-адрес

NAT Gateway

IP-трансляция в соответствии с RFC 1918, NAT-привязка

ISE IP назначение для пользователя, MAC адрес

Cyber Threat Defense с помощью NetFlow @Cisco

Сборщики потоков расположены глобально

15 миллиардов потоков в день в Cisco

Lancope Stealthwatch

Ad-hoc поиск

Аналитика сети

Анализ и предупреждения

Попытки вывода данных

Обмен файлами и их раздача

Большие объемы потоков

Соединения с ботнетами

52

UMBRELLA Сервисы защиты Сервис сетевой безопасности Защита любого устройства везде

INVESTIGATE Интеллект Обнаружение и прогнозирование атак перед их началом

Продукты и технологии

Карантин с помощью ISE EPS

Использует EPS (Endpoint Protection Services), известный как ANC – Adaptive Network Control

Одна из наименее используемых возможностей ISE

ISE может поместить конечное устройство в зону с ограниченным доступом в сеть

Инфицированные устройства при этом могут иметь доступ к средствам восстановления (серверам обновлений, антивирусам, ..)

Может работать как в ручном, так и в автоматическом режиме

54

Incident Response @Cisco

12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 55

Роль Cisco CSIRT

“

.

Расследовать

Инциденты ИБ

Вовлекать

HR, юристов и правоохранительные службы по необходимости

Предотвращать

Инциденты через анализ угроз и реакцию на них

” 11

Структура CSIRT

NetFlow System Logs

Разведка и исследования

4

Аналитики APT 14

Следователи

22/17

Аналитики

User

Attribution

Analysis

Tools Case Tools Deep

Packet Analysis

Collaboration

Tools Intel Feeds

Инженеры 26

Представляем OpenSOC

Мультипетабайтное

хранилище Интерактивные запросы

Поиск в реальном времени

Масштабируемая обработка

потоков

Неструктурированные

данные

Контроль доступа к

данным

Масштабируемые

вычисления

Hadoop

Big Data

Platform OpenSOC

Алерты в реальном

времени Обнаружение

аномалий Корреляция

данных

Правила и

отчеты Прогнозное

моделирование UI и приложения

Архитектура OpenSOC

Доступ Система сообщений Сбор данных Источники Хранение Обработка в реальном

времени

Storm Kafka

B Topic

N Topic

Elastic Search

Index

Web Services

Search

PCAP

Reconstruction

HBase

PCAP Table

Analytic Tools

R / Python

Power Pivot

Tableau

Hive

Raw Data

ORC

Passive

Tap

PCAP Topic

DPI Topic

A Topic

Telemetry

Sources

Syslog

HTTP

File System

Other

Flume

Agent A

Agent B

Agent N

B Topology

N Topology

A Topology

PCAP

Traffic Replicator

PCAP

Topology

DPI Topology

Захват

телеметрии

Нормализац

ия

телеметрии

Парсинг

телеметрии

Анализ

PCAP

Анализ

телеметрии

Поиск и

индексирова

ние в

реальном

времени

Обнаружени

е аномалий

и машинное

обучение

Визуализаци

я

Расширяема

я

Автоматизи-

рованная

Интегрируе-

мая Открытая

Хранение

Big Data

Пакетная

обработка

Платформа

Сервисы

API

Разные варианты визуализации

Разные варианты визуализации

Шаг1: Поиск

Шаг2:

Сравнение

Шаг3: Анализ

Шаг4: Создание PCAP

Целостный подход к жизненному циклу атаки

Control Enforce Harden

Detect Block

Defend

Scope Contain

Remediate

IPS Нового поколения NGIPS

Понимание контекста Идентификация и аттрибуты пользователей

Инфраструктура и протоколы

Сетевой МСЭ

МСЭ нового поколения

Мобильный и удаленный доступ

SSL Раскрытие и инспекция

Безопасность WEB и контентная фильтрация

Безопасность электронной почты

Анализ сетевого трафика

Реагирование на инциденты

Открытый код и утилиты

Защита от вредоносного кода (AMP)

Тренды безопасности

Проверка устройств для доступа

Как через локальные системы безопасности, так и через облачные

Увеличение кол-ва уязвимостей мобильных устроств (особенно на базе Android)

Защита данных

Управление правами

Усиление роли DLP

Рекомендации

1. Начните с определения политик безопасности

2. Определитесь с тем , как вы будете их внедрять

3. Оценивайте всю цепочку. Конечные устройства, сеть, сервисы & приложения.

4. Учитывайте будущее развитие

Свяжитесь с нами

Тестируйте

Составьте план внедрения

Напишите нам на security-request@cisco.com

или своему менеджеру Cisco для организации

встречи для более глубокого обсуждения

ваших потребностей и того, как мы можем их

удовлетворить

Воспользуйтесь широким спектром

возможностей по тестированию: • dCloud

• Виртуальные версии всего ПО

• Демо-оборудование

• И не забудьте про Threat Awareness Service

Мы поможем вам составить поэтапный план

внедрения решений по кибербезопасности

под ваши задачи

Что сделать после семинара?

#CiscoConnectRu #CiscoConnectRu

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410 www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia