Cisco Cyber Threat Defense
-
Upload
cisco-russia -
Category
Technology
-
view
2.920 -
download
2
description
Transcript of Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseАлексей Лукацкий
Бизнес-консультант по безопасности
Cisco
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 2
СЕТЬMOBILITYMOBILITY
COLLABORATIONCOLLABORATION
CLOUD
НОВАЯ КАРТИНА УГРОЗ
СНИЖЕНИЕ КОНТРОЛЯ
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 3
Широкий спектр средств защиты
• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной фильтрации, средства защиты баз данных и порталов и т.п.
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 4
Современные угрозы
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 5Слайд 5
Угрозы становятся как никогда изощреннее
Шпионаж РазрушениеМанипуляция
Script Kiddies
Группыхактивистов
Организованнаяпреступность
Спецслужбы
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 6
Сама по себе безопасность периметра малоэффективна
Устройства периметра
Контроль и управление
Сетевая разведка и распространение
Кража данных
Целевые угрозы зачастую обходят
периметр
Только вся сеть целиком имеет достаточный уровень наблюдаемости для
выявления сложных угроз
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 7
Смотрите шире на периметр безопасности
Advanced Persistent Threats и другие
угрозы построянно проходят ваш
периметр – это их правило прорыва и
необходимое условие
распространеня.Они играют не по
правилам.
‘break the rules’.
X X X X O X X X O O
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 8
Stuxnet
Ваша сеть СКОМПРОМЕНТИРОВАНАВы знаете где?
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 9
Знать атакующего
•Страна? Конкуренты? Частные лица?Кто?•Что является целью?Что?•Когда атака наиболее активна и с чем это связано?Когда?•Где атакующие? Где они наиболее успешны?Где?•Зачем они атакуют – что конкретно их цель?Зачем?•Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 10
Знать себя
•Кто в моей сети?Кто?•Что делают пользователи? Приложения? •Что считать нормальным поведением?Что?•Устройства в сети? Что считать нормальным состоянием?Когда?•Где и откуда пользователи попадают в сеть?•Внутренние? eCommerce? Внешние? Где?•Зачем они используют конкретные приложения? Зачем?•Как всё это попадает в сеть? Как?
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco11
Что поможет на эти вопросы?
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 12
Что объединяет всех?!
СЕТЬВидимость всего трафика
Маршрутизация всех запросовИсточники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 13
Интегрированная архитектура ИБ
Локальный и глобальный анализ
угроз
Общие политика &
Управление
Сеть, реализующая
политику
Одноцелевые и многоцелевые устройства работают хорошо… но в вакууме
Многофункциона-льное устройство
Анализ угроз
Политика & Управление
Hardware
Сеть
Одноцелевое устройство
Network Security
ContentSecurity
Ана-лиз
угроз
Policy &
Mgmt
HW
Ана-лиз
угроз
Policy &
Mgmt
HW
Сеть
Cisco SecureX обеспечивает:• Понимание контекста
• Всесторонний обзор
• Масштабируемый контроль
• Динамическая адаптация к новым угрозам
• Защита данных и приложений
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 14
СЕТЬ
Безопасность, встроенная в инфраструктуруВсесторонний обзор и масштабируемый контроль
Глобальный и локальный анализ угроз
Общие политика и управление
Инф
ормация
Реализация
Behavioral Analysis
EncryptionIdentity Awareness
Device Visibility Policy Enforcement
Access Control
Threat Defense
Sees All Traffic
Routes All RequestsSources All Data
Controls All Flows
Handles All Devices
Touches All UsersShapes All Streams
Сеть, реализующая политику
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco15
NetFlow – забытый инструмент сетевой безопасности
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 16
Существующие защитные стратегии
Обнаружение угроз на базе сигнатур / репутации
Обнаружение угроз на базе аномалий
Сетевой периметр
МСЭIPS/IDS Обманные системы
Внутренняя сеть
Контентная фильтрация Web/Email
трафика
Cisco Cyber Threat Defense
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 17
Обнаружение вторжений: сценарии
Система обнаружения сетевых вторжений• на основе сигнатур• пассивный сбор• первичный источник оповещения
Журнал Syslog сервера• инструмент глубокого анализа• возможность фильтрации• ограниченное воздействие на систему
Анализ сетевых потоков • слабое воздействие на устройства• основной инструмент исследования• небольшой требуемый объем памяти
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 18
Портфолио Cisco IPSP
erfo
rman
ce a
nd S
cala
bilit
y
ЦОДКампусФилиалыSOHO Периметр
ASA5585-S60P60
ASA5585-S40P40
ASA5585-S20P20
ASA5585-S10P10
IPS 4510, 4520
IPS-4270
4345 (Saleen)Mar 2012
4360 (Saleen)Mar 2012
IDSM-2
ASA-SSM-40
ASA-SSM-20
ASA-SSM-10 ASA-SSC-5
IPS-4240
IPS-4255
IPS-4260
ISR-NME
ISR-AIM
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 19
A
B
C
CB
A
CA
B
Не везде есть IPS, но везде есть NetFlow
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 20
NetFlow – это редко используемый источник данных ИБ
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 21
Откуда мы можем получать NetFlow?
• Из всех критичных и важных точек
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 22
Выборочный трафик• Часть трафика, обычно менее
5%, • Дает быстрый взгляд в сеть
Похоже на чтение каждой 20-й страницы книги. Технической книги-справочника
ПОЛНЫЙ трафик• Весь трафик подлежит сбору• Предоставляет исчерпывающий
обзор всей сетевой активности • Эквивалент внимательного
постраничного чтения + пометки на полях + закладки
Выборка полезна для мониторинга сети, но не для безопасности
Полный и выборочный NetFlow
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 23
Netflow для обнаружения аномалий
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 24
Поведенческий анализ
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco25
Cisco Cyber Threat Defense
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 26
Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения
• Признанный игрок рынка мониторинга сети и безопасности
• Cisco Solutions Plus ProductОбщие дизайны Cisco+Lancope
Совместные инвестиции в развитие
Доступность в канале продаж Cisco
• Отличный уровень сотрудничества с Cisco
Lancope StealthWatch
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 27
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers,и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Context
Телеметрия NetFlowCisco Switches, Routers и ASA 5500
Данные о контексте угрозыCisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 28
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 29
• Обнаружение брешей в настройках МСЭ
• Обнаружение незащищенных коммуникаций
• Обнаружение P2P-трафика
• Обнаружение неавторизованной установки локального Web-сервера или точки доступа
• Обнаружение попыток несанкционированного доступа
• Обнаружение ботнетов (командных серверов)
• Обнаружение атак «отказ в обслуживании»
• Обнаружение инсайдеров
• Расследование инцидентов
• Troubleshooting
Решаемые задачи
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 30
Cisco CTD: обнаружение атак без сигнатур
Что делает 10.10.101.89?
Политика Время начала
Тревога Источник Source Host Groups
Цель Детали
Desktops & Trusted Wireless
Янв 3, 2013 Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Множество хостов
Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 31
Cisco CTD: обнаружение атак без сигнатурВысокий Concern Index показывает
значительное количество подозрительных событий
Группа узлов
Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656%
High Concern index
Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 32
Не зная броду, не суйся в воду
Принятие решения безполного обзора и понимания контекста
Чистый или грязный
Интернет-кафе
? Репутация ?
Проводной или нет?
Злоумышленник
Управляемый или нет
РАЗЫСКИВАЕТСЯНормальное поведение
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 33
Добавляя контекст и понимание
CI2 I4A
ЛОКАЛЬНОБизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНОСитуационныйанализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-действия
APP Приложения
URL Сайты
Реализация безопасности с локальными глобальным контекстом
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 34
Откуда мы можем взять контекст?
Users/Devices Cisco Identity Services Engine(ISE)
Network Based Application Recognition
(NBAR)
NetFlow Secure Event
Logging (NSEL)
Связь потоков спользователями и
конечнымиустройствами
Связь потоков сприложениями,идущими через маршрутизаторы
Связь потоков сразрешенными и
заблокированнымисоединениями на МСЭ
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 35
ISEISE
Узлы и ролевые функции ISE
Ролевая функция — одна или несколько из следующих:•Администрирование•Мониторинг•Сервис политик
Оценка состояния в потоке трафика
Сервис политикМониторингАдминистри
рование
Одиночный узел ISE (устройство или виртуальная машина)
Одиночный узел оценки состояния на пути трафика (только устройство)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 36
Архитектура ISE
Оконечное устройство Ресурс Реализация
Внешние данныеПросмотр /
настройка политик
Атрибуты запросов
Запрос доступа
Доступ к ресурсу
Ведение журналов
Контекст запроса /
ответа
Мониторинг
Просмотр журналов/
отчетов
Ведение журналов
Ведение журналов
Админист- рирование
Сервис политик
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 37
• Cisco ISE – унифицированная система управления и контроля защищенным доступом к внутренним ресурсам
Получение контекста от Cisco ISE
Политика Время старта
Тревога Источник Группа хостов источника
Имя пользователя
Тип устройства
Цель
Desktops & Trusted Wireless
Янв 3, 2013
Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество хостов
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 38
• Поле Flow Action может добавить дополнительный контекст
• NSEL-отчетность на основе состояний для поведенческого анализаСбор информации о отклоненных или разрешенных соединениях
Получение контекста от Cisco ASA / ISR / ASR
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 39
Cisco ISE
Management
StealthWatch Management
Console
StealthWatch FlowCollector
Архитектура решения Cyber Threat Defense
Сбор и анализЗ NetFlow записей
Корреляция и отображение потоков, идентификационные данные
Cisco TrustSec: Access Control, Profiling and Posture
NetFlow Capable
Devices
Catalyst® 3750-X
Catalyst® 3560-X
Catalyst® 5500
Catalyst® 4500
Access Point
Access Point
Access
Branch
Cam
pus
Distribution
Catalyst® 3750-X Stack
WLC
Catalyst® 6500
Catalyst® 6500
Edge
Site-to-Site VPN
ASA
ISR-G2
Remote Access
NetFlow
Identity
Масштабируемая NetFlow инфраструктура
AAA services, profiling and posture assessment
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 40
• Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)
• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)
• Понимание контекста
Масштабируемая архитектура
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 41
Полная видимость всего, что происходит во внутренней сети
InternetAtlanta
San Jose
New York
ASR-1000
Cat6k
UCS сNexus 1000v
ASACat6k
3925 ISR
3560-X
3850Stack(s)
Cat4kDatacenter
WAN
DMZ
Access
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 42
Визуализация по разным срезам
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 43
Консоль управления CTD
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 44
Крупным планом
Обнаружение разных типов атак, включая DDoS
Детальная статистика о всех атаках, обнаруженных в сети
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 45
Предполагаемая утечка данных
Слишком высокий показатель совместного использования
файлов
Достигнуто максимальное количество обслуженных
потоков
Предустановленные политики
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 46
Когда?
Сколько?
УчастникУчастник
Каким образом?
Расследование инцидентов
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 47
Выберите узел для
исследования
Поиск исходящего
трафика
Запрос интересующей информации
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 48
Результаты запроса
Сервер, DNS и страна
Тип трафика и объем
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco49
В заключение
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 50
Firewall
IPS
Web Sec
N-AV
Email Sec
Целенаправленные угрозы пректируются с учетом
необходимости обхода шлюзов безопасности
Распространение угроз внутри
периметра
Периметр безопасности останавливает основную часть угроз, тем не менеесложные кибер-угрозы обходят средства безопасности
Следы кибер-угроз можно обнаружить только в сети в целом
Распространение на устройства
Целенаправленные угрозы, входящие
изнутри сети
Традиционных средств защиты периметра недостаточно
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 51
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers,и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Context
Телеметрия NetFlowCisco Switches, Routers и ASA 5500
Данные о контексте угрозыCisco Identity, Device, Posture, Application
Cyber Threat Defense обеспечивает внутренние контроль и защиту
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 52
Объединим все вместе
Устройства Внутренняя сеть
Видимость, контекст и контроль
Используем данные NetFlow для
расширения видимости на уровне доступа
Унификация в единой панели возможностей
по обнаружению, расследованию и
реагированию
Совмещение данных NetFlow с Identity, событиями ИБ и
приложениями для создания контекста
КТО
ЧТОГДЕ/ОТКУДА
КОГДА
КАКHardware-enabledNetFlow Switch
Cisco ISE
Cisco ISR G2 + NBAR
Cisco ASA + NSEL
Контекст
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 53
Где узнать больше?
Спасибо!