Cisco Cyber Threat Defense

Cisco Cyber Threat DefenseАлексей Лукацкий

Бизнес-консультант по безопасности

Cisco

© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 2

СЕТЬMOBILITYMOBILITY

COLLABORATIONCOLLABORATION

CLOUD

НОВАЯ КАРТИНА УГРОЗ

СНИЖЕНИЕ КОНТРОЛЯ


Широкий спектр средств защиты

• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака

Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной фильтрации, средства защиты баз данных и порталов и т.п.

© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 4

Современные угрозы

© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 5Слайд 5

Угрозы становятся как никогда изощреннее

Шпионаж РазрушениеМанипуляция

Script Kiddies

Группыхактивистов

Организованнаяпреступность

Спецслужбы


Сама по себе безопасность периметра малоэффективна

Устройства периметра

Контроль и управление

Сетевая разведка и распространение

Кража данных

Целевые угрозы зачастую обходят

периметр

Только вся сеть целиком имеет достаточный уровень наблюдаемости для

выявления сложных угроз


Смотрите шире на периметр безопасности

Advanced Persistent Threats и другие

угрозы построянно проходят ваш

периметр – это их правило прорыва и

необходимое условие

распространеня.Они играют не по

правилам.

‘break the rules’.

X X X X O X X X O O


Stuxnet

Ваша сеть СКОМПРОМЕНТИРОВАНАВы знаете где?


Знать атакующего

•Страна? Конкуренты? Частные лица?Кто?•Что является целью?Что?•Когда атака наиболее активна и с чем это связано?Когда?•Где атакующие? Где они наиболее успешны?Где?•Зачем они атакуют – что конкретно их цель?Зачем?•Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?


Знать себя

•Кто в моей сети?Кто?•Что делают пользователи? Приложения? •Что считать нормальным поведением?Что?•Устройства в сети? Что считать нормальным состоянием?Когда?•Где и откуда пользователи попадают в сеть?•Внутренние? eCommerce? Внешние? Где?•Зачем они используют конкретные приложения? Зачем?•Как всё это попадает в сеть? Как?

© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco11

Что поможет на эти вопросы?


Что объединяет всех?!

СЕТЬВидимость всего трафика

Маршрутизация всех запросовИсточники всех данных

Контроль всех данных

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков


Интегрированная архитектура ИБ

Локальный и глобальный анализ

угроз

Общие политика &

Управление

Сеть, реализующая

политику

Одноцелевые и многоцелевые устройства работают хорошо… но в вакууме

Многофункциона-льное устройство

Анализ угроз

Политика & Управление

Hardware

Сеть

Одноцелевое устройство

Network Security

ContentSecurity

Ана-лиз

угроз

Policy &

Mgmt

HW

Ана-лиз

угроз

Policy &

Mgmt

HW

Сеть

Cisco SecureX обеспечивает:• Понимание контекста

• Всесторонний обзор

• Масштабируемый контроль

• Динамическая адаптация к новым угрозам

• Защита данных и приложений


СЕТЬ

Безопасность, встроенная в инфраструктуруВсесторонний обзор и масштабируемый контроль

Глобальный и локальный анализ угроз

Общие политика и управление

Инф

ормация

Реализация

Behavioral Analysis

EncryptionIdentity Awareness

Device Visibility Policy Enforcement

Access Control

Threat Defense

Sees All Traffic

Routes All RequestsSources All Data

Controls All Flows

Handles All Devices

Touches All UsersShapes All Streams

Сеть, реализующая политику


NetFlow – забытый инструмент сетевой безопасности


Существующие защитные стратегии

Обнаружение угроз на базе сигнатур / репутации

Обнаружение угроз на базе аномалий

Сетевой периметр

МСЭIPS/IDS Обманные системы

Внутренняя сеть

Контентная фильтрация Web/Email

трафика

Cisco Cyber Threat Defense


Обнаружение вторжений: сценарии

Система обнаружения сетевых вторжений• на основе сигнатур• пассивный сбор• первичный источник оповещения

Журнал Syslog сервера• инструмент глубокого анализа• возможность фильтрации• ограниченное воздействие на систему

Анализ сетевых потоков • слабое воздействие на устройства• основной инструмент исследования• небольшой требуемый объем памяти


Портфолио Cisco IPSP

erfo

rman

ce a

nd S

cala

bilit

y

ЦОДКампусФилиалыSOHO Периметр

ASA5585-S60P60

ASA5585-S40P40

ASA5585-S20P20

ASA5585-S10P10

IPS 4510, 4520

IPS-4270

4345 (Saleen)Mar 2012

4360 (Saleen)Mar 2012

IDSM-2

ASA-SSM-40

ASA-SSM-20

ASA-SSM-10 ASA-SSC-5

IPS-4240

IPS-4255

IPS-4260

ISR-NME

ISR-AIM


A

B

C

CB

A

CA

B

Не везде есть IPS, но везде есть NetFlow


NetFlow – это редко используемый источник данных ИБ


Откуда мы можем получать NetFlow?

• Из всех критичных и важных точек


Выборочный трафик• Часть трафика, обычно менее

5%, • Дает быстрый взгляд в сеть

Похоже на чтение каждой 20-й страницы книги. Технической книги-справочника

ПОЛНЫЙ трафик• Весь трафик подлежит сбору• Предоставляет исчерпывающий

обзор всей сетевой активности • Эквивалент внимательного

постраничного чтения + пометки на полях + закладки

Выборка полезна для мониторинга сети, но не для безопасности

Полный и выборочный NetFlow


Netflow для обнаружения аномалий


Поведенческий анализ


Cisco Cyber Threat Defense


Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения

• Признанный игрок рынка мониторинга сети и безопасности

• Cisco Solutions Plus ProductОбщие дизайны Cisco+Lancope

Совместные инвестиции в развитие

Доступность в канале продаж Cisco

• Отличный уровень сотрудничества с Cisco

Lancope StealthWatch

http://www.lancope.com/


TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers,и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Flow

Context

Телеметрия NetFlowCisco Switches, Routers и ASA 5500

Данные о контексте угрозыCisco Identity, Device, Posture, Application

Cyber Threat Defense = Cisco + Lancope



Компоненты решения Cyber Threat Defense

Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

StealthWatch FlowSensor

StealthWatch FlowSensor

VE Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Другие коллекторы

https

https

NBAR NSEL


• Обнаружение брешей в настройках МСЭ

• Обнаружение незащищенных коммуникаций

• Обнаружение P2P-трафика

• Обнаружение неавторизованной установки локального Web-сервера или точки доступа

• Обнаружение попыток несанкционированного доступа

• Обнаружение ботнетов (командных серверов)

• Обнаружение атак «отказ в обслуживании»

• Обнаружение инсайдеров

• Расследование инцидентов

• Troubleshooting

Решаемые задачи


Cisco CTD: обнаружение атак без сигнатур

Что делает 10.10.101.89?

Политика Время начала

Тревога Источник Source Host Groups

Цель Детали

Desktops & Trusted Wireless

Янв 3, 2013 Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Множество хостов

Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб


Cisco CTD: обнаружение атак без сигнатурВысокий Concern Index показывает

значительное количество подозрительных событий

Группа узлов

Узел CI CI% Тревога Предупреждения

Desktops 10.10.101.118 338,137,280 8,656%

High Concern index

Ping, Ping_Scan, TCP_Scan

Слежение за активностью как одного узла, так и группы узлов


Не зная броду, не суйся в воду

Принятие решения безполного обзора и понимания контекста

Чистый или грязный

Интернет-кафе

? Репутация ?

Проводной или нет?

Злоумышленник

Управляемый или нет

РАЗЫСКИВАЕТСЯНормальное поведение


Добавляя контекст и понимание

CI2 I4A

ЛОКАЛЬНОБизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНОСитуационныйанализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо-действия

APP Приложения

URL Сайты

Реализация безопасности с локальными глобальным контекстом


Откуда мы можем взять контекст?

Users/Devices Cisco Identity Services Engine(ISE)

Network Based Application Recognition

(NBAR)

NetFlow Secure Event

Logging (NSEL)

Связь потоков спользователями и

конечнымиустройствами

Связь потоков сприложениями,идущими через маршрутизаторы

Связь потоков сразрешенными и

заблокированнымисоединениями на МСЭ


ISEISE

Узлы и ролевые функции ISE

Ролевая функция — одна или несколько из следующих:•Администрирование•Мониторинг•Сервис политик

Оценка состояния в потоке трафика

Сервис политикМониторингАдминистри

рование

Одиночный узел ISE (устройство или виртуальная машина)

Одиночный узел оценки состояния на пути трафика (только устройство)


Архитектура ISE

Оконечное устройство Ресурс Реализация

Внешние данныеПросмотр /

настройка политик

Атрибуты запросов

Запрос доступа

Доступ к ресурсу

Ведение журналов

Контекст запроса /

ответа

Мониторинг

Просмотр журналов/

отчетов



Админист- рирование

Сервис политик


• Cisco ISE – унифицированная система управления и контроля защищенным доступом к внутренним ресурсам

Получение контекста от Cisco ISE

Политика Время старта

Тревога Источник Группа хостов источника

Имя пользователя

Тип устройства

Цель

Desktops & Trusted Wireless

Янв 3, 2013

Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Джон Смит Apple-iPad Множество хостов


• Поле Flow Action может добавить дополнительный контекст

• NSEL-отчетность на основе состояний для поведенческого анализаСбор информации о отклоненных или разрешенных соединениях

Получение контекста от Cisco ASA / ISR / ASR


Cisco ISE

Management

StealthWatch Management

Console

StealthWatch FlowCollector

Архитектура решения Cyber Threat Defense

Сбор и анализЗ NetFlow записей

Корреляция и отображение потоков, идентификационные данные

Cisco TrustSec: Access Control, Profiling and Posture

NetFlow Capable

Devices

Catalyst® 3750-X

Catalyst® 3560-X

Catalyst® 5500

Catalyst® 4500

Access Point

Access Point

Access

Branch

Cam

pus

Distribution

Catalyst® 3750-X Stack

WLC

Catalyst® 6500

Catalyst® 6500

Edge

Site-to-Site VPN

ASA

ISR-G2

Remote Access

NetFlow

Identity

Масштабируемая NetFlow инфраструктура

AAA services, profiling and posture assessment


• Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)

• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)

• Понимание контекста

Масштабируемая архитектура


Полная видимость всего, что происходит во внутренней сети

InternetAtlanta

San Jose

New York

ASR-1000

Cat6k

UCS сNexus 1000v

ASACat6k

3925 ISR

3560-X

3850Stack(s)

Cat4kDatacenter

WAN

DMZ

Access


Визуализация по разным срезам


Консоль управления CTD


Крупным планом

Обнаружение разных типов атак, включая DDoS

Детальная статистика о всех атаках, обнаруженных в сети


Предполагаемая утечка данных

Слишком высокий показатель совместного использования

файлов

Достигнуто максимальное количество обслуженных

потоков

Предустановленные политики


Когда?

Сколько?

УчастникУчастник

Каким образом?

Расследование инцидентов


Выберите узел для

исследования

Поиск исходящего

трафика

Запрос интересующей информации


Результаты запроса

Сервер, DNS и страна

Тип трафика и объем


В заключение


Firewall

IPS

Web Sec

N-AV

Email Sec

Целенаправленные угрозы пректируются с учетом

необходимости обхода шлюзов безопасности

Распространение угроз внутри

периметра

Периметр безопасности останавливает основную часть угроз, тем не менеесложные кибер-угрозы обходят средства безопасности

Следы кибер-угроз можно обнаружить только в сети в целом

Распространение на устройства

Целенаправленные угрозы, входящие

изнутри сети

Традиционных средств защиты периметра недостаточно


TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers,и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Flow

Context

Телеметрия NetFlowCisco Switches, Routers и ASA 5500

Данные о контексте угрозыCisco Identity, Device, Posture, Application

Cyber Threat Defense обеспечивает внутренние контроль и защиту



Объединим все вместе

Устройства Внутренняя сеть

Видимость, контекст и контроль

Используем данные NetFlow для

расширения видимости на уровне доступа

Унификация в единой панели возможностей

по обнаружению, расследованию и

реагированию

Совмещение данных NetFlow с Identity, событиями ИБ и

приложениями для создания контекста

КТО

ЧТОГДЕ/ОТКУДА

КОГДА

КАКHardware-enabledNetFlow Switch

Cisco ISE

Cisco ISR G2 + NBAR

Cisco ASA + NSEL

Контекст


Где узнать больше?

Спасибо!

[email protected]

Cisco Cyber Threat Defense

Technology

Transcript of Cisco Cyber Threat Defense