Как компания cisco защищает сама...160+ компаний было...
TRANSCRIPT
Как компания Cisco защищает сама себя
Алексей Жуков
12.04.2017
© 2015 Cisco and/or its affiliates. All rights reserved.
Безопасность здесь и сейчас
Что из себя сейчас представляет Cisco?
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 2
300 партнёров использующих 550 точек подключения к сети Cisco
Что из себя представляет Cisco и что мы защищаем?
16 главных точек выхода в Internet ~32 TB полосы пропускания используется ежедневно
1350 лабораторий 160+ компаний было приобретено
500 cloud/ASP провайдеров
(официально )
122k сотрудников
Офисы в 170 странах
~3M IP-адресов
Сеть из 215,000 устройств
275,000 хостов
2500+ IT-приложений
26k домашних или малых офисов Cisco Virtual Office
425 устройств IDS/IPS
~3TB данных сетевой телеметрии собирается каждый день
Один CSIRT аналитик на каждые 7000 сотрудников
Кто, что, зачем… КАК?
Государства
Раскрытие данных Публикации
Человеческий фактор Ошибки конфигурирования
Дефекты программирования Дефекты сетевой инфрастурктуры
Инсайдеры
Фрод
Промышленный шпионаж
Угрозы репутации и бренду
Кража IP
Инсайдерская
торговля
Взлом и проникновение в
сеть
Кража данных клиентов
Атаки через нас на клиентов
Случайные
Криминал Политические риски
• Офисная культура – взаимодействие, интеграция, обмен, сотрудничество
• Бизнес-культура– ориентация на клиента, скорость принятия решений, принятие рисков
• Культура партнёров – широкое использование аутсорсинга
Культура Cisco
Безопасность и ограничения весьма не интуитивны в культуре компании
Роли и зоны ответственности Information Technology (IT)
Предоставление сервисов для улучшения бизнес-показателей
Ключевые метрики:
Удовлетворённость пользователей и эффективность их работы
Скорость внедрения и реакции
Затраты
Структура управления:
Manager
CIO
COO
Information Security (InfoSec)
Защита инфраструктуры Cisco, систем и сервисов, а также чувствительной информации Cisco и наших клиентов и партнёров
Ключевые метрики:
Инциденты (Количество, среднее и медианное время на обнаружение и противодействие)
Риски и годовые потери в результате инцидентов
Соответствие требованиям политик и регуляторов
Структура управления:
Manager
CISO
COO
Сдержки и противовесы
Почему это так важно?
Хорошо отображает взаимоотношения между IT и Infosec
Службы IT и Infosec в Cisco потратили годы, чтобы в итоге понять, что партнёрство наиболее выгодно всем!
Very first Spy vs. Spy cartoon Mad Magazine (с) 1961
Как это было достигнуто?
• Инструменты совместной работы;
• Гибкость и возможности глобальных команд;
• Периодические «живые» встречи для обсуждения ключевых моментов;
• Совместное бюджетное и ресурсное планирование;
• Совместная защита бюджета и ресурсов;
• Совместное отстаивание своих позиций перед высшим руководством
Ключевые IT ЛПР
Основные Infosec ЛПР
Мы все про это уже слышали…
Безопасность
Производительность
Безопасность
Простота
Функциональность
Citation: garfdn.org
но реальность такова:
• Увеличивающийся тренд коммодизации и консьюмеризации в IT и Security;
• IT и Security центры затрат;
• Пользователи просто хотят делать свою работу с наименьшим количеством граблей по пути;
• И делают её на основе своего баланса риска/вознаграждения;
• Если IT не в состоянии предоставить решение, пользователи сами найдут его;
Всё это значит одно – безопасность должна быть встроена и являться неотъемлемой частью IT-решений!!!
Citation: etsy.com
Принципы безопасности в IT-внедрениях
ДА, но не НЕТ.
• Если упорный и талантливый атакующий захочет что-то украсть, он рано или поздно это сделает;
• Невозможно запрограммировать человеческий фактор;
• Решения создаются для 85% обычных клиентов;
• Золотое правило – относитесь к ним доброжелательно, прозрачно коммуницируйте что вы делаете
• Основывайтесь на внятных политиках
• Необходимо иметь сбалансированные проактивные и реактивные инвестиции
Citation: XKCD.com
Как мы защищаем свою сеть и устройства пользователей в ней?
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 13
Какие доступны стратегии для устройств – Desktop & Mobile
•Принадлежит компании и управляется ею же
•Минимальный выбор оборудования (минимизация расходов)
•Традиционный эталонный образ для установки
•Полная поддержка со стороны IT
Традиционная
•Corporate Owned Personally Enabled – принадлежит компании, заточено под пользователя
•Более широкий выбор (за счёт более высоких расходов)
•Разрешены прямые поставки от производителя (zero image)
•IT сохраняет за собой контроль и обеспечивает безопасность
COPE
•Личные устройства (максимальный выбор)
•Контроль со стороны IT ослаблен
•Поддержка со стороны IT минимальна
•Наименьшие затраты
BYOD
Текущее положение дел с устройствами в Cisco (31 декабря
2016)
81,169 42,684 7,904
131,757
Корпоративные
устройства
(CYOD)
8,751
66,519 Личные
устройства
(BYOD)
1.25 устройств на
пользователя 42,613 14,180 271 145 559
И это не только телефоны
Количество носимых гаджетов в организациях утроилось в период с 2015 по 2017.
76% компаний при этом констатируют, что это повышает производительность труда.
86% планируют увеличивать использование таких устройств.
* Saleforce.com Wearables Report
При этом мы видим интересные тренды
Мощность мобильных устройств увеличивается
Гибридные устройства по своей функциональности приближаются к ПК
Станосится больше IoT устройств При этом поставщики часто не думают о функциях безопасности в них.
Они очень разные
Увеличивается кол-во носимых гаджетов
Рекомендации
1. Будьте проактивны – эти устройства придут в вашу сеть с вашей помощью или без нее!
2. Выберите стратегию развития вашей сети и безопаснсти в ней: Традиционная, COPE, BYOD
3. Осознавайте те ограничения и тренды, которые привносят IoT устройства.
Прогноз по количеству устройств в сети Cisco к 2020
380,788 Пользовательских устройств
??
19
Как мы планируем поддерживать устройства в будущем
Корпоративные устройства
•Company Owned & Personally Enabled (COPE)
•Некоторый набор устройств с полной IT-поддержкой
•Выбор устройств ограничен
•Для тех, кому необходима полная поддержка или высокий уровень безопасности
BYO Laptops, Smartphones & Tablets
•Личные или принадлежащие контрактнику или партнёру
•Доступ на основе Trusted Device Policy (требует процедуры подключения к сети)
•Широкий набор устройств с поддержкой коммьюнити
•Для тех, кому не важна поддержка или для контрактников или партнёров
IoE устройства и вещи
•Традиционный, COPE, или BYOD
•Очень ограниченный доступ к сети (но без процедуры подключения к ней)
•Типы устройств практически не ограничены
Политики и технологии, позволяющие предоставлять доступ к сети, на основе состояния и «здоровья» устройства
Что такое «доверенные устройства»?
Модель «доверенных устройств»
Каждое устройство должно быть ассоциировано с
уникальным пользователем
Устройство должно использовать
поддерживаемую ОС и иметь все необходимые патчи для
неё
Не допускаются рутованные или jailbroken устройства
Все устройства должны быть сконфигурированы для
автоматической установки патчей, патч должен быть
установлен в течении четырёх недель с момента выхода
Устройство должно быть защищено паролем или PIN
заданной длины, блокировка должна быть настроена на 10
минут или меньше
Конфиденциальная информация на устройстве должна быть зашифрована
На устройстве должна быть установлена и иметь актуальную версию
поддерживаемая защита от зловредного кода
Устройство должно быть сконфигурировано таким образом, чтобы у IT была возможность удалённо «зачистить» все данные
Устройство должно передавать IT информацию о ПО, патчах, приложениях и компонентах
систем безопасности
• Доступ к сети построен на доверительной модели– чем больше мы знаем об устройстве, тем больший уровень доступа оно может получить
• Только доверенные устройства могут получить доступ в основную сеть
• Недоверенные устройства (включая IoE устройства и вещи) ограничены Internet Only сетью или публичным облаком
• Набор используемых сервисов на разном уровне различен, различны используемые механизмы безопасности
Многоуровневый доступ к сети
23
Модель «доверенных устройств»
Модель «доверенных устройств» Обеспечивается Cisco Identity Services Engine (ISE)
Согласованные, топологически независимые политики контроля доступа к сетевой инфраструктуре на основе решения Cisco Identity Service Engine:
• Физические и виртуальные, мобильные устройства
• Проводной, беспроводной и удалённый доступ
• Привязка к узлу доступа
Обеспечения контроля доступа, безопасности данных и требований политик
ГДЕ? КОГДА? ЧТО? КАК? КТО?
Использующие контекст сервисы идентификации и аутентификации
Контроль доступа в сети Cisco: Два независимых глобальных кластера ISE
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 25
Cisco IT ISE Global Deployment (24-hour authentication map view)
ISE PSNs Data Center (8) Network Devices Cluster (800+) Auth traffic to ISE PSNs
Требования IT IT set out to deliver multiple capabilities with ISE
Контроль доступа
Аутентифицировать
проводных,
беспроводных и
удалённых
пользователей
BYOD
Поддержка
«доверенных»
устройств и BYOD
Профилирование
Идентифицировать
пользователей и
устройства
Защита хостов
Защищать сеть от
инфицированных
устройств
Гостевой доступ
Ограничивать
неавторизованные
устройства и
пользователей
доступом только к сети
Интернет
Контроль устройств
Защита сети и
обеспечение
дифференцированного
доступа в сеть*
* В Cisco используется MDM-решение, интегрированное с ISE
• Идентифицировать устройства
• Оценить риски
1. Профилирование
• Пользователи и устройства
• Идентификация устройств в беспроводном сегменте
2. Аутентификация • Оценка устройств
• Информация для использования в политиках для принятия решений
3. Оценка соответствия
• Применение политик с учётом сетевого контекста
• Недоверенные устройства имеют ограниченный доступ
4. Ограничение
Четыре шага к безопасной сети
Избежать “Большого бума”
Слишком много новых функций сразу для единовременного внедрения
Модель “ISE Deployment Bundle”
Функциональность была объединена в группы, чтобы соответствовать срокам и функциональным требованиям
Несколько кластеров были объединены в один
За и против для централизованного и распределённого: ISE Limits, Scalability, # EP, Auth, Latency, AD…
“Стартуем с одним кластером и добавим другие, если и когда понадобится”
Основа – глобальная инфраструктура
Внедрение глобальной инфраструктуры виртуализации и серверов ISE сначала
Гостевая сеть (ION) использует отдельный кластер для снижения рисков
Функционал “ISE Deployment Bundles” включается по географическому признаку
Использование разных Virtual IP для сервисов (например, WLAN, LAN, CVO, VPN) для лучшей управляемости и контроля, а также ускорения внедрения
Cisco IT: политика внедрения
Кто вовлечён в проект и кто и за что отвечает?
COO
CTO
SVP IT
VP IT
Any Device Team
SVP
Infra Services
Sr. Dir
Network Services
VP Ops/
Implementation
Sr. Dir
Strategy & Security
Security Services
Directory Services
Sr. Dir
Data Centers
Sr. Dir
Arch/Design
SVP
Security & Trust
VP
InfoSec
Требования и политики
безопасности
Отвечают за мобильные устройства,
ответственны за проверки
устройств на соответствие политикам
ЦОД и виртуальная
инфраструктура
Отвечают за поддержку и
разворачивание сетевых сервисов
Отвечают за поддержку и
разворачивание сетевой
инфраструктуры
Отвечает за ISE и остальные
сервисы безопасности
Инфраструктура и сервисы Microsoft
Active Directory
Архитектура решения и
высокоуровневый дизайн
Operational Excellence:
99.999% Availability
Что из себя сейчас представляет Cisco?
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 31
Политики
Физическая безопасность
Сетевая безопасность
Укрепление защиты хостов
Защита приложений
Защита данных
Проактивный контроль
Стратегия эшелонированной обороны
Мониторинг и анализ событий Infosec
Защита Web и Email
AMP для хостов
Межсетевые экраны
Контроль доступа
AMP для сетей
Прозрачность и защита
32
Принципы и процедуры физической безопасности
Обнаружение попыток захвата устройства
НУЖНО обнаружение логина авторизованного админа
НУЖНО обнаружение bruteforce SSH
НУЖНО обнаружение password recovery
НУЖНО обнаружение замены устройства (UDI)
НУЖНО проверять целостность устройства регулярно
OS, конфигурация, файловая система
Невозможность обнаружения прослушки (врезки)
НУЖНО защищать все протоколы контрольной подсистемы (BGP, IGP, LDP)
НУЖНО защищать все протоколы управления (SSH, SNMP)
Только атаки на подсистему данных доступны
После каждой перезагрузки, link-down событие, и т.д.
Устройство могло быть заменено;
Мог быть сделан Password recovery;
Проверить систему:
Unique Device Identifier (UDI), OS, конфигурацию, enable пароль
После неожиданного логина администратора:
Сменить пароль на этого админа;
Проверить систему:
OS, конфигурацию, enable пароль
Регулярно (Пример: раз в 24часа)
Проверка системы:
OS, конфигурацию, enable пароль
AAA server
Скрипты
Syslog server
Вы могли пропустить событие!
Ваша сеть физически безопасна?
Невозможно гарантировать физическую безопасность сети
Password recovery, замена устройства, sniffing, wiretaps, man-in-the-middle
Безопасные подсистемы контроля и управления
Безопасность подсистемы данных (IPsec)
Мониторинг изменения на устройствах (reload)
Проверка UDI (sh license udi)
Проверка корректности конфигурации устройства
Процедуры изоляции взломанных устройств
Процедуры возврата контроля над взломанными устройствами
34
Source: Jan Matejko, „Stańczyk” (1862)
Лучшие практики по защите IOS Руководство Cisco по защите IOS Devices
Обезопасить операционные процедуры Мониторинг Security Advisories
Использовать AAA, Централизованный сбор логов
Использовать безопасные протоколы
Подсистема управления (SSH, SNMP, NetFlow) Отключить неиспользуемые сервисы, Password Security
Обезопасить сессии управления
Thresholding for Memory, CPU, Leaks
Management Plane Protection (MPP)
Контрольная подсистема (ICMP, BGP, RSVP) Control Plane Policing (CoPP), Protection (CPPr), HW Rate-Limiters
Подсистема данных (продуктивный трафик) Защита от спуфинга с помощью uRPF, IPSG, Port Security, DAI, ACLs
Traffic Access Control
35
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml
DDoS Mitigation – BGP RTBH @Cisco
OER – Optimized Edge Routing
Также известен как Performance Routing (PfR):
• Немедленно устанавливает null0 route
• Позволяет избежать дорогостоящего изменения правил ACL или на МСЭ
• Использует iBGP и uRPF
• Не требует дополнительной настройки
Настраивает /32 null0 route:
route x.x.x.x 255.255.255.255 null0
iBGP peering
Next-Generation Intrusion Prevention @Cisco
350+ Cisco IPS сенсоров развернуто сегодня
1.5M alarm в день
Миграция в процессе, под капотом:
FirePOWER Appliances
Network AMP Everywhere
TALOS Threat Intelligence
Contextual Analysis
Throughput and Capacity
API-интерфейсы для интеграции
37
WSA внутри сети Cisco
Защита всей сети Cisco включая:
Хосты и мобильные устройства
Удаленный доступ VPN
Внутренние лаборатории
DMZ Лаборатории
ЦОД
Режим развертывания:
WCCPv2 перенаправление
Магистральные DMZ шлюзы
Отказоустойчивые пары на шлюз
Обычные веб порты
Репутационный анализ (WBRS)
Malware блокируется за Один День:
• 441K – Trojan Horse
• 61K - Other Malware
• 29K - Encrypted Files (monitored)
• 16.4K - Adware Messages
• 1K – Trojan Downloaders
• 55 - Phishing URLs
• 22 - Commercial System Monitors
• 5 - Worms
• 3 - Dialers
Cisco статистика WEB :
• HTTP это 25% трафика + SSL 6%
• 12.5 TB в/из за день
• 330-360M веб запросов в день
• 6-7M (2%) заблокировано
WSA Блокированные запросы:
• 6.5M+ Malware sites blocked/day
• 93.5% - Web Reputation
• 4.5% - URL Category
• 2% - Anti-Malware
WSA внутри сети Cisco
39
Мобильные пользователи и безопасность
• Выбор технологии VPN
L2L IPSec FlexVPN
• Удаленные офисы - IOS маршрутизаторы
• Домашний офис – CVO (Cisco Virtual Office)
AnyConnect удаленный доступ VPN
• Ноутбуки, PCs
• Смартфоны, Планшеты, BYOD
Безклиентный SSL VPN
• Браузерный удаленный доступ
• Доступ к порталу откуда угодно
VPN шаблоны защиты трафика
Экономия полосы vs Защита
Site-to-site (L2L)
Централизованный выход в интернет
Прямой выход в интернет филиалов(DIA)
Мобильный удаленный доступ (RA)
Полное туннелированние
Централизовано NGFW и WSA
Сплит-Туннель
Централизованый NGFW
Облачный CWS
Без туннеля
Облачный CWS
Заворот VPN трафика на NGFW
ASA с FirePOWER Services служит как Remote-Access VPN Headend
Многоуровневая зашита трафика:
FW ACLs, NGFW, Web Security, NGIPS, AMP
AnyConnect 4.3 VPN Client
IPSec IKEv2 или SSL VPN (DTLS-based)
Весь траффик туннелируется в центр, нет сплит-туннеля
Можно повысить целостность опцией Всегда-Работающего туннеля (Always-On)
Включение до логина (SBL) применяется по необходимости
ISE может служить централизованным движком политик
Применяйте политики авторизации (VLAN, ACL)
TrustSec SGT Применение для удаленных пользователей
ASA вместе с ISE
Интеграция оценки состояния в ASA, поддержка RADIUS CoA
AnyConnect 4.3 унифицированный NAC (Posture) Агент
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети ISE
AD
Заворот VPN трафика на WSA
ASA c FirePOWER Services служит как VPN шлюз
Видимость приложений, NGIPS и AMP сервисы
Защита шире чем нежели только WEB на WSA
WSA предоставляет сервисы WEB безопасности
Все сервисы WEB безопасности, описанные выше
Прозрачный или явный вид размещения
WCCPv2 выполняется на ASA или L3 коммутаторе
Доступно раскрытие HTTPS
Advanced Malware Protection (AMP) встроено
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутрненние сети
МЫ ЗДЕСЬ
http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa7-0/user_guide/AnyConnect_Secure_Mobility_SolutionGuide.pdf
AD
CWS - Облачная WEB безопасность
ASA с FirePOWER Services служит как VPN шлюз
Видимость приложений, NGIPS и AMP сервисы
Защита для WEB предоставляется CWS (+ приложения +SSL)
Web траффик к CWS идет в сплит-туннель, не через VPN
CWS как часть централизованной Web безопасности
Облачный WEB-прокси
Outbreak Intelligence и Сигнатурный анализ
AMP Cognitive Threat Analytics (CTA)
Раскрытие HTTPS поддерживается
Географическая отказоустойчивость
AnyConnect Web Security модуль предоставляет перенаправление трафика в CWS
Защита с выключенным или включенным VPN (OpenDNS)
Поддерживается на Windows, MacOSX
AnyConnect Редактор профиля
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
CWS
http://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/cws_dg_anyconnect_101714.pdf
Cloud Web Security для удаленных пользователей в Cisco
Пользователи вне VPN сети
AnyConnect Web Security Module
Cloud Web Security (CWS)
Перенаправление на ближайший CWS Tower
Эффективность решения
1% всего исходящего трафика блокируется
Более 80,000 объектов в день
Обнаруживаемые вторжения ежедневно
Трояны, Шпионское ПО
Недавно зарегистрированные, неизвестные домены
Видимость
Ретроспективный анализ AMP и отчетность CTA
„Почта это пережиток прошлого”
Злоумышленники похищают учетные данные нормальных пользователей и высылают спам с вредоносным содержимым
Далее посылают спам от аккаунтов с хорошей репутацией
Спам на сегодняшний день более опасен и его все тяжелее обнаружить
Высоконаправленный, низкообъёмные сообщения спама имеют высокую репутацию, либо отсутствие репутации вовсе. Вредоносный спам это первый шаг (фишинговые письма) в смешанном типе атаки
Объем спам сообщений вырос на 250% с Января по Ноябрь 2014 (100 миллиардов в день)
Source: Cisco 2016 Midyear Security Report
Анатомия APT атаки
46
Enterprise Network
Атакующий
Периметр
(Входящий)
Периметр
(Исходящий)
Проникновение и установление
бэкдора 1
C2 Server
Admin Node
Разведка и
обследование 2
Эксплуатация и
повышение
привелегий
3
Модификация и
закрепление на месте
(Повторяем 2,3,4)
4
Вывод
данных
5
Безопасность почты, это до сих пор важно? @Cisco
93% всей входящей почты блокируется ESA как СПАМ, репутационной базой;
Дополнительные блокировки совершает Cisco AMP (сканирование вложений);
Все основные типы сложных атак которые проходили на Cisco начинались с почты;
Все логируется централизованно для дальнейшего расследования инцидентов.
3.5M Писем блокируется ежедневно
ESA Заблокировано Emails* / mo Emails / day Emails / employee / day %
By reputation 73 M 3.3 M 43 94%
By spam content 4.3 M 0.2 M 3 5%
By invalid receipts 0.4 M 0.02 M 0.25 1%
Доставлено почты Emails / mo Emails / day Emails / employee / day %
Попытки 124 M 5.6 M 73
Blocked 77 M 3.5 M 46 63%
Доставлено 37 M 1.7 M 22 30%
Доставлно, помечено
“Маркетинг”
9 M 0.4 M 5 7%
Malware SPAM
ESA в @Cisco
48
Advanced Malware Protection
Сетевой AMP доступен в:
Отдельных FirePOWER устройствах
ASA FirePOWER Services
Отдельных выделенных AMP устройствах
Web Security Appliance (WSA)
Email Security Appliance (ESA)
Cloud Web Security (CWS)
AMP для хостов:
Windows, MAC OS X, Linux
Android Мобильные устройства
AMP ThreatGrid платформа для унифицированного анализа Malware и расследований
Устройство, устанавливаемое в сети
Облачный портал
AMP Везде – Всесторонний подход к видимости
49
Расследование инцидентов в сети Cisco – Обнаружение и блокирование
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 50
Идентификация пользователя в @Cisco
51
Источник Предоставляемая информация
DHCP Server
Назначенный IP, MAC адрес
VPN Headend
IP, назначенный пользователю, WAN-адрес
NAT Gateway
IP-трансляция в соответствии с RFC 1918, NAT-привязка
ISE IP назначение для пользователя, MAC адрес
Cyber Threat Defense с помощью NetFlow @Cisco
Сборщики потоков расположены глобально
15 миллиардов потоков в день в Cisco
Lancope Stealthwatch
Ad-hoc поиск
Аналитика сети
Анализ и предупреждения
Попытки вывода данных
Обмен файлами и их раздача
Большие объемы потоков
Соединения с ботнетами
52
UMBRELLA Сервисы защиты Сервис сетевой безопасности Защита любого устройства везде
INVESTIGATE Интеллект Обнаружение и прогнозирование атак перед их началом
Продукты и технологии
Карантин с помощью ISE EPS
Использует EPS (Endpoint Protection Services), известный как ANC – Adaptive Network Control
Одна из наименее используемых возможностей ISE
ISE может поместить конечное устройство в зону с ограниченным доступом в сеть
Инфицированные устройства при этом могут иметь доступ к средствам восстановления (серверам обновлений, антивирусам, ..)
Может работать как в ручном, так и в автоматическом режиме
54
Incident Response @Cisco
12.04.2017 © 2015 Cisco and/or its affiliates. All rights reserved. 55
Роль Cisco CSIRT
“
.
Расследовать
Инциденты ИБ
Вовлекать
HR, юристов и правоохранительные службы по необходимости
Предотвращать
Инциденты через анализ угроз и реакцию на них
” 11
Структура CSIRT
NetFlow System Logs
Разведка и исследования
4
Аналитики APT 14
Следователи
22/17
Аналитики
User
Attribution
Analysis
Tools Case Tools Deep
Packet Analysis
Collaboration
Tools Intel Feeds
Инженеры 26
Представляем OpenSOC
Мультипетабайтное
хранилище Интерактивные запросы
Поиск в реальном времени
Масштабируемая обработка
потоков
Неструктурированные
данные
Контроль доступа к
данным
Масштабируемые
вычисления
Hadoop
Big Data
Platform OpenSOC
Алерты в реальном
времени Обнаружение
аномалий Корреляция
данных
Правила и
отчеты Прогнозное
моделирование UI и приложения
Архитектура OpenSOC
Доступ Система сообщений Сбор данных Источники Хранение Обработка в реальном
времени
Storm Kafka
B Topic
N Topic
Elastic Search
Index
Web Services
Search
PCAP
Reconstruction
HBase
PCAP Table
Analytic Tools
R / Python
Power Pivot
Tableau
Hive
Raw Data
ORC
Passive
Tap
PCAP Topic
DPI Topic
A Topic
Telemetry
Sources
Syslog
HTTP
File System
Other
Flume
Agent A
Agent B
Agent N
B Topology
N Topology
A Topology
PCAP
Traffic Replicator
PCAP
Topology
DPI Topology
Захват
телеметрии
Нормализац
ия
телеметрии
Парсинг
телеметрии
Анализ
PCAP
Анализ
телеметрии
Поиск и
индексирова
ние в
реальном
времени
Обнаружени
е аномалий
и машинное
обучение
Визуализаци
я
Расширяема
я
Автоматизи-
рованная
Интегрируе-
мая Открытая
Хранение
Big Data
Пакетная
обработка
Платформа
Сервисы
API
Разные варианты визуализации
Разные варианты визуализации
Шаг1: Поиск
Шаг2:
Сравнение
Шаг3: Анализ
Шаг4: Создание PCAP
Целостный подход к жизненному циклу атаки
Control Enforce Harden
Detect Block
Defend
Scope Contain
Remediate
IPS Нового поколения NGIPS
Понимание контекста Идентификация и аттрибуты пользователей
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
Мобильный и удаленный доступ
SSL Раскрытие и инспекция
Безопасность WEB и контентная фильтрация
Безопасность электронной почты
Анализ сетевого трафика
Реагирование на инциденты
Открытый код и утилиты
Защита от вредоносного кода (AMP)
Тренды безопасности
Проверка устройств для доступа
Как через локальные системы безопасности, так и через облачные
Увеличение кол-ва уязвимостей мобильных устроств (особенно на базе Android)
Защита данных
Управление правами
Усиление роли DLP
Рекомендации
1. Начните с определения политик безопасности
2. Определитесь с тем , как вы будете их внедрять
3. Оценивайте всю цепочку. Конечные устройства, сеть, сервисы & приложения.
4. Учитывайте будущее развитие
Свяжитесь с нами
Тестируйте
Составьте план внедрения
Напишите нам на [email protected]
или своему менеджеру Cisco для организации
встречи для более глубокого обсуждения
ваших потребностей и того, как мы можем их
удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию: • dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план
внедрения решений по кибербезопасности
под ваши задачи
Что сделать после семинара?
#CiscoConnectRu #CiscoConnectRu
Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410 www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia