Современная архитектура защиты банков от киберугроз
1-3 марта 2016, Международная банковская конференция
Владимир ИлибманМенеджер по ИБ, компания Cisco
Контроль доступа как ответ на современные вызовы безопасности
Сейчас труднее, чем когда-либо, увидеть, кто находится
в вашей сети и чем занимаются эти пользователи
?
Нельзя защитить то, что нельзя увидеть
?опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети
90%компаний подтвердили, что их устройства были атакованы вредоносным ПО за последние 12 месяцев
75%3
?
Как происходит типичный взлом?
РазведкаЖертва открывает
ссылку/файл
Забрасывается вредоносное ПО
Продвижение по сети
Эскалация полномочий до администратора
Воровство данных/нанесение ущерба
Информация монетизируется после
взлома
Вы не можете защитить то, что не знаете от того, что не видите
60% данных воруются заЧАСЫ
85%взломов выявляются в теченииНЕДЕЛЬ
54%взломов невидныМЕСЯЦАМИ
Службы безопасности уступают по
скорости реакции злоумышленникам
“A community that hides in plain sight avoids detection and attacks swiftly”*Cisco Security Annual Security Report
Сейчас ИБ концентрируется на наблюдаемости и защите периметра
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10.51.51.0/2410.51.52.0/2410.51.53.0/24
Internet
Есть наблюдаемость только для Интернет-трафика
Внутренний трафик остается вне контроля
На самом деле 80% трафика находится внутри сети
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10.51.51.0/2410.51.52.0/2410.51.53.0/24
Internet
Меняющиеся адреса и потоки
Тяжело мониторить и внедрять политику в таких условиях
Цель – наблюдаемость и контроль с учетом контекста
Сотрудник
Сотрудник
Поставщик
Карантин
Общий сервер
Сервер
Сегмент PCI DSS
Интернет
Сеть
Разрешенный трафикЗапрещенный трафик
Понимание потоков трафика с учетом контекста
Легкость применение политик и сегментация сети
Сетевые ресурсыПолитика доступаТрадиционная TrustSec
Доступ BYOD
Быстрая изоляция угроз
Гостевой доступ
Ролевой доступ
Идентификация, профилирование и оценка состояния
Кто
Соответствие нормативам
Что
Когда
Где
Как
Решение по контролю доступа от CiscoЕдиный централизованный КОНТРОЛЬ ДОСТУПАкак СНАРУЖИ, так и ИЗНУТРИ проводной и беспроводной сети
Дверь всеть
Cisco Identity Services Engine
Контекст ISE
Александр ТимошикДиректор департамента ИБРайффайзен Банк Аваль
Проект внедрения системы контроля доступа в Райффайзен
Банке Аваль
Единый центр управления политиками доступа
Проблематика:• Отсутствие единого центра
управления политиками безопасности
• Предоставление доступа в сеть на основании контекста пользователя или устройства
Рабочая среда:• Сетевое оборудование
Cisco Switches & Routers, ASA, WLC
• Системы контроля доступа Cisco ACS/ISE
Предлагаемое решение:• Система контроля
доступа Cisco ACS/ISE
Proof of Value
Единая консоль управления политиками
Разграничение доступа для пользователей и устройств
Управление гостевым доступомПрофилирование сетевых устройствИнтеграция со сторонними решениями безопасности
Единый мониторинг всех сессий аутентификации
Результат:• Единый центр
управления политиками доступа в корпоративную сеть на основании контекста пользователя
Контролируйте все из одной точкиСеть, данные, приложения
Безопасный доступ отовсюду, независимо от типа подключения
Применение политик и использование политик по всей сети
Мониторинг доступа, активностей и соответствие не корпоративных устройств, принимать меры по необходимости
Проводная
Филиал
Беспроводная
Мобильность
VPN
Партнер
Удаленный сотрудникЦентральны
й офис
КонтрактникГость
Аутентификация пользователей по 802.1х
Проводные подключения
Беспроводные подключения
Аутентификация пользователя/устройства
Применение профиля подключения:- Номер Vlan- dACL- SGT метка
Корпоративная сеть
Система контроля доступа
Cisco ACS/ISE
Политики доступа для пользователей или устройств на основании их атрибутов
Управление гостевым доступом
4
Пользователь подключается к открытому SSID.
Пользователь пытается получить доступ в Интернет, Идентифицирован ISE как гость и перенаправляется на портал
После проверки AUP пользователь допускается в сеть
В конце дня пользователь отключается из сети
1
2 3
Конец дня
Механизм Hotspot портала
Механизм саморегистрации
Мгновенный, доступ без пароля к Hotspot
Простая и гибкая самостоятельная регистрация для гостей
Две опции подключения:1. Ввод полученных от сотрудников Банка логина/пароля
Гость вводить учетные данные
Гость допускается в сеть
2
3 54
Гость перенаправляется на портал для саморегистрации
2. Саморегистрация.После заполнения информации профиля данные отсылаются через СМС
Профилирование ISE: обнаружение пользователей и устройств
15
DHCP
CDP/LLDP
SNMP
RADIUS
DNS N
etFlow
HTT
P
NM
AP
Интегрированное профилирование: мониторинг в масштабе
Активное сканирование: большая точность
Веб-канал данных об устройствах: идентификация в масштабе
Сетевая инфраструктура обеспечивает локальную функцию распознавания
Cisco® ISE дополняет информацию пассивной сети данными об активных оконечных устройствах
Привязка профиля устройства к политике МАВ.
Сенсор устройств Cisco
Сенсор устройств(функция сети)
Активное сканирование
оконечных устройств
Вeб-канал данных
об устройствах*
Cisco ISE
Сокращение числа неизвестных устройств в сети в среднем на 74%
Обеспечение безопасности для МАВ сессий
Cisco Identity Services EngineИнтеграция с партнерскими
решениями
Контекст пользователя
Как
ЧтоКто
ГдеКогда
Единые политики доступа для проводного, беспроводного и VPN
Политики доступа
PxGrid
Александр РуденкоВедущий инженер Департамента телекоммуникацийКомпания «ИТ-Интегратор»
Концепция Network as a Sensor/Enforcer
Концепция Network as a Sensor
pxGrid
Видимость в реальном
времени на всех уровнях
Cisco ISEz
Подавление атаки
Контекстная информация
NetFlow
Мифы про Netflow:
1. NetFlow снижает производительность
2. NetFlow влияет на полосу пропускания
Корпоративная сеть
Сотрудник
Сотрудник
Партнер
Карантин
Общие ресурсы
Сервер
Сегмент DCI DSS
Internet
Cisco ISE
Концепция Network as a Enforcer
Сегментация начинается с видимости
Задача Cisco ISE определить кто в сети
Задача Lancope определить что он делает
Host Reputation
ChangeХост внутри сети
скомпрометирован
Denial of Service
SYN Half Open; ICMP/UDP/Port Flood
BotnetDetection
Уст-ва внутри сети пытаются получить
доступ к С&C
Fragmentation Attack
Хост отправляет аномальное кол-во
«искаженных» фрагментов
WormPropagationРаспространение
вредоносной активности
Объем данных переданных
«наружу» больше обычного
DataExfiltration
NetworkScanning
Сканирование TCP, UDP портов, ICMP
NaaS/NaaE помогает решить следующие проблемы безопасности
Архитектура Network as a Sensor/Enforcer
Network Sensor(Lancope)
Campus/DCSwitches/WLC
Cisco Routers / 3rd Vendor Devices
Угрозы
pxGRID
Network Sensors Network EnforcersPolicy & ContextSharing
TrustSecSoftware-Defined
Segmentation
Cisco Collective Security
Intelligence
Конфиденциальные данные
NGIPSpxGRID
ISE
NGFW
Спасибо за внимание!