Cisco Confidential 1 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Вы все еще опираетесь на точки контроля в сети? Выбросьте их на свалку! Превратите всю сеть в СЗИ! Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
Aug 06, 2015
Cisco Confidential 1 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вы все еще опираетесь на точки контроля в сети? Выбросьте их на свалку! Превратите всю сеть в СЗИ!
Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Мобильность, облака, Интернет вещей
Проблема №1
Целевые атаки – это большая проблема
Проблема №2
Современная сеть сложна Проблема №3
* P
onem
on In
stitu
te S
tudy
3
Защита периметра – это только начало пути
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
4
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.
Вы знаете, что вы уже скомпрометированы?
Вредоносный трафик обнаружен в 100% сетей*
Cisco 2014 Annual Security Report *Компании подключены к доменам, которые распространяют вредоносные файлы или сервисы
Корпоративные сети уже скомпрометированы
5
Проблемы с традиционной моделью «эшелонированной» безопасности на периметре
Слабая прозрачность
Многовекторные и продвинутые угрозы
остаются незамеченными
Точечные продукты
Высокая сложность, меньшая
эффективность Ручные и статические
механизмы Медленный отклик, ручное управление,
низкая результативность Наличие обходных каналов
Мобильные устройства, Wi-Fi, флешки, ActiveSync,
CD/DVD и т.п. ç Как ваш NGFW защитит от этого?
“Мишенью для атаки может стать все, что угодно!”
Никому нельзя верить. Cisco можно J Приложениям, сертификатам, облакам, устройствам, пользователям…
“Сеть – это не только ПК и пользователи”
“Безопасность сети становится критичной задачей!”
8
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
100%-й безопасности нет – станьте как пионер, готовыми ко всему, включая заражение
ДО Понять Защитить Усилить
ПОСЛЕ Локализовать Вылечить Устранить
Обнаружить Блокировать Отразить
ВО ВРЕМЯ
Видимость и защита в течение всего жизненного цикла
Сеть как защитная стена
Сеть как инструмент реагирования
Сеть как сенсор AC
I AC
I
9
Искусство сетевой безопасности Важный совет
Усильте безопасность, используя встроенную в сеть защиту
Сеть как сенсор, защитная стена и средство реагирования
10 Сеть как сенсор
Пользователи Вредоносы Устройства Трафик Приложения
11
Вы не можете защитить то, чего не видите На периметре вы видите только верхушку айсберга
0101010010
11
0101010010
11
0101010010
11
0101010010
11
12
Что сеть может сделать для вас? Сеть как сенсор
Обнаружить аномальный трафик и вредоносы Например, коммуникации с вредоносными сайтами или эпидемию ВПО внутри сети
Обнаружить использование приложений и нарушение пользователями политик Например, доступ к финансовому серверу, работу по Skype или утечки данных
Обнаружить посторонние устройства в сети Например, работу несанкционированных 3G/4G-модема или точки доступа
13
Обнаружить необнаруживаемое… Проактивно!
Пользователи Вредоносы Приложения Трафик Устройство
Сеть как сенсор Видимость сети, контроль, контекст и аналитика
ACI Vision: Policy Based, Automated Security at Scale
Обнаружение чужих AP (Wireless Security Module) Обнаружение несоответствующих политике устройств (Device Sensor, ISE)
Обнаружение изменения репутации внешних и внутренних устройств (NetFlow, Lancope)
Обнаружение аномалий в трафике (NetFlow, Lancope, NBAR2) Обнаружение сетевых DDoS-атак (Control Plane Policing, CleanAir)
Обнаружение источника и пути распространения APT (NetFlow, ISE, Lancope) Обнаружение управления и работы вредоносного ПО (NetFlow, Lancope)
Обнаружение аномального поведения приложений (NBAR2) Обнаружение нарушения пользовательского доступа (Identity Services Engine, TrustSec) Обнаружение вредоносного ПО в почте и Web (ISR, Cisco Cloud Web Security) Обнаружение вторжений, ботнетов, целевых атак, SQL Injection, вредоносного ПО
(IPS Module, Wireless IPS (wIPS), Sourcefire NGIPS) Обнаружение распространения вредоносного ПО внутри (NetFlow, Lancope)
Обнаружение утечек данных (NetFlow, Lancope) Система раннего предупреждения (Cisco Security Intelligence Operations)
14
Распознавание широкого спектра устройств
15
Опыт Cisco: идентификация и блокирование посторонних беспроводных устройств
• Само мобильное устройство не может сказать, что оно «чужое» • Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного
• Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают контролировать беспроводной эфир • Все это часть функционала платформы Cisco Mobility Services Engine
16
Распознавание приложений и их функций на примере Skype
17
Учет контекста: кто, что, где, когда и как
• Профиль хоста включает всю необходимую для анализа информацию • IP-, NetBIOS-, MAC-адреса • Операционная система • Используемые приложения • Зарегистрированные пользователи
• Сетевой протокол • Транспортный протокол • Прикладной протокол • И т.д.
• Идентификация и профилирование мобильных устройств
18
NetFlow – сердце подхода «Сеть как сенсор» Путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информации для каждого сетевого соединения
Каждое сетевое соединения в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты, время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n семплов
19
Кто Кто Что
Когда
Как
Откуда Больше контекста
Высокомасштабиуремый сбор Высокое сжатие => долговременное
хранилище
NetFlow с точки зрения контекста
20
NetFlow – сердце подхода «Сеть как сенсор» Пример: NetFlow Alerts с Lancope StealthWatch
Отказ в обслуживании SYN Half Open; ICMP/UDP/Port Flood
Распространение червей Инфицированный узел сканирует сеть и соединяется с узлами
по сети; другие узлы начинают повторять эти действия
Фрагментированные атаки Узел отправляет необычный фрагментированный трафик
Обнаружение ботнетов Когда внутренний узел общается с внешним сервером C&C
в течение длительного периода времени
Изменение репутации узла Потенциально скомпрометированные внутренние узлы или
получение ненормального скана или иные аномалии
Сканирование сети Сканирование TCP, UDP, портов по множеству узлов
Утечки данных Большой объем исходящего трафика VS. дневной квоты
21
NetFlow – сердце подхода «Сеть как сенсор» NetFlow в действии: атака в процессе реализации
Стадия атаки Обнаружение Использование уязвимостей Злоумышленник сканирует IP-адреса и порты для поиска уязвимостей (ОС, пользователи, приложения)
1§ NetFlow может обнаружить сканирование диапазонов IP § NetFlow может обнаружить сканирование портов на каждом IP-адресе
Установка вредоносного ПО на первый узел Хакер устанавливает ПО для получения доступа 2 § NetFlow может обнаружить входящий управляющий
трафик с неожиданного месторасположения
Соединение с “Command and Control” Вредоносное ПО создает соединение с C&C серверами для получения инструкций
3 § NetFlow может обнаружить исходящий трафик к известным адресам серверов C&C
Распространение вредоносного ПО на другие узлы Атака других систем в сети через использование уязвимостей
4§ NetFlow может обнаружить сканирование диапазонов IP § NetFlow может обнаружить сканирование портов на каждом IP-адресе внутреннего узла
Утечка данных Отправка данных на внешние сервера 5
§ NetFlow может обнаружить расширенные потоки (HTTP, FTP, GETMAIL, MAPIGET и другие) и передачу данных на внешние узлы
22
Обнаружение вредоносного кода на базе NetFlow
• Что делать, когда вы не можете поставить сенсор IPS на каждый сегмент сети?
• У вас же есть NetFlow на каждом коммутаторе и маршрутизаторе
• Отдайте его для обнаружения аномальной активности • Сканирование • Целенаправленные угрозы • Эпидемии вредоносного ПО • DDoS • Утечки данных • Ботнеты
23
StealthWatch 6.6 как часть CTD: что нового
• Alarm Workflow
• Новые алгоритмы безопасности
• Улучшения Threat Feed
• Поддержка NBAR2
• Интеграция с ISE расширяется поддержкой карантина
• Улучшения управления заданиями
• Поддержка Cisco UCS
• ANC – Assisted Network Classification for Network Scanners
• FlowCollector 5000
• FlowReplicator High Availability
• Virtual FlowCollector 1K, 2K, 4K
24
StealthWatch 6.7 как часть CTD: что нового
Функции безопасности • Работа с прокси • Интеграция с TrustSec • External Lookup • StealthWatch Security Update • Новые алгоритмы безопасности
Ease of Use to Improve MTTK • Улучшенный Work Flow
• Улучшенный Flow Queries
• Улучшения управления запросами и заданиями
Устройства и платформы • Обновление централизованного управления
• Dell 13G Hardware Platform
• Поддержка KVM Hypervisor для FC VE
25
Репутационный анализ AMP Поведенческий анализ AMP
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие
метки
Расширенная аналитика
Идентичная сигнатура
Признаки компрометации
Сопоставление потоков устройств
У нас есть эмуляция атак и песочница, но не только
26
MAC
Выделенные устройства
NGIPS / NGFW на FirePOWER
ПК
Cloud Web Security & Hosted Email
SaaS Web & Email Security
Appliances
Мобильные устройства Cisco ASA с FirePOWER Services
Платформа обнаружения вредоносного кода AMP На маршрутизаторе, МСЭ, IPS, WSA/ESA, ПК, в облаке
27
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013
Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
28
Искусство сетевой безопасности Важный совет
Знайте, что значит нормально Сеть как сенсор Трафик, Потоки, Приложения, Устройства, Пользователи
29 Сеть как защитная стена
30
Что сеть может сделать для вас? Сеть как защитная стена
Сегментировать сеть для локализации атак TrustSec - Secure Group Tagging, VRF, ISE и многое другое
Шифровать трафик для защиты данных в процессе передачи MACsec for Wired, DTLS for Wireless, IPSec/SSL for WAN и многое другое
Защитить филиалы при прямом доступе в Интернет IWAN, Cloud Web Security and More
31
Искусство сетевой безопасности Важный совет
Разделяй и защищай Сегментируйте сеть для локализации атак TrustSec, ISE, VLAN/VRF/EVN, ACL
32
Сеть как защитная стена ACI Vision: Policy Based, Automated Security at Scale
Сегментируйте сеть и контролируйте доступ для локализации атак
Сегментация сети для локализации атак
Контроль доступа для выполнения политик
Контроль доступа пользователей на базе устройства, местоположения, типа сети, времени
и других параметров (ISE) Физические и виртуальные разрешения и запреты
(Access Control Lists) Единая политика для проводного/беспроводного/удаленного доступа (ISE, Unified Access Switches)
Ролевой контроль доступа на базе топологии, способа доступа (TrustSec/SGT, ISE)
Сегментация сети (VLAN, TrustSec/SGT, VRF/EVN)
33
Cisco TrustSec Сегментация на базе ролей и политик
Гибкая и масштабируемая политика
Switch Router DC FW DC Switch
Простота управления доступом
Ускорение защитных операций
Единая политика везде
Кто может общаться и с кем Кто может получить доступ к активам Как система может общаться с другими системами
Политика
34
Реализация требований законодательства Кампус Филиал Склад
Банки
ЦОД
Без сегментации C сегментацией
Область действия аудита
Упрощение выполнение требований и
ускорение аудита при наличии сегментации
ü 802.1X ü MAB ü WebAuth CISCO SWITCHES, ROUTERS, WIRELESS ACCESS POINTS
ISE: управление политиками в масштабах всей сети Унификация политик вне зависимости от типа доступа
Сеть, поддерживающая 802.1X
ИДЕНТИФИКАЦИЯ
КОНТЕКСТ
КТО ЧТО ОТКУДА КОГДА КАК
ü Гостевой доступ ü Профилирование ü Состояние
Security Camera G/W Vicky Sanchez Francois Didier Frank Lee Personal iPad Agentless Asset Chicago Branch
Employee, Marketing Wireline 3 p.m.
Consultant HQ - Strategy Remote Access 6 p.m.
Guest Wireless 9 a.m.
Employee Owned Wireless HQ
36
Опыт Cisco: контроль доступа внутри такой же, что и на периметре!
Тип устройства Местоположение
Пользователь Оценка Время Метод доступа Прочие атрибуты
37
Опыт Cisco: интеграция с MDM для контроля BYOD
37
Jail Broken PIN Locked
Encryption ISE Registered PIN Locked MDM Registered Jail Broken
38
Искусство сетевой безопасности Важный совет
Шифруйте данные на лету Защитите ваши данные с MACSec, IPSec, DTLS, CISF
39
Шифрование и предотвращение перехвата данных Реализуйте сетевую защиту для защиты от любопытных глаз
Сеть как защитная стена ACI Vision: Policy Based, Automated Security at Scale
Шифрование данных Защита от перехвата Защита от слежки:
Catalyst Integrated Security Feature Set (Port Security, DHCP Snooping, IP Source Guard,
Dynamic ARP Inspection), IPv6 First Hop Security Предотвращение атак на Wi-Fi-спектр: CleanAir
Реализация многоуровневого шифрования:
LAN Link (Wired) Encryption: MACsec LAN Link (Wireless) Encryption: DTLS
WAN Link Encryption: IPSec, SSL Mobile Device Encryption: ISE с MDM Шифрование по ГОСТ 28147-89
40
Защитите вашу инфраструктуру WAN Умный WAN для филиалов
Масштабируемый WAN и Интернет-доступ
Защищенные соединения
Интеграция с Cloud Web Security, фильтрация Web в реальном времени с контролем
приложений
Масштабируемая безопасность через Dynamic Multipoint VPN (DMVPN)
Масштабируемая криптография, в т.ч. и на ГОСТ Интегрированный МСЭ/IPS Надежная аутентификация
Улучшенная производительность приложений Едино для любого транспорта
Автоматические туннели Site-to-Site IPsec
Zero-touch Hub Configuration Инкапсулация трафика
Сеть как защитная стена ACI Vision: Policy Based, Automated Security at Scale
41
Искусство сетевой безопасности Важный совет
Используйте встроенную безопасность
Вы уже инвестировали в вашу сетевую инфраструктуру Активируйте TrustSec, NetFlow, шифрование и др.
42 Сеть как инструмент реагирования
43
Что сеть может сделать для вас? Сеть как инструмент реагирования
Уменьшить время восстановления и ускорить реагирование Например, анализ траектории вредоносного кода, интеграция с AD на уровне сети
Автоматизировать настройку и динамически ее менять исходя из ситуации в сети Например, ACL, QoS, динамические политики, корреляция событий
Интегрироваться с другими решениями для защиты инвестиций и роста качества защиты Например, RESTful API, eStreamer API и т.п.
44
Искусство сетевой безопасности Важный совет
Автоматизируйте для ускорения Уменьшение времени реагирования Автоматизация настроек политик через APIC Enterprise Module
45
Автоматизация защиты и реагирования Cisco APIC Enterprise Module в действии
Интеграция с FirePOWER Network-Wide Rapid Threat Detection and Mitigation
Идентификация пробелов Обнаружение дупликатов
Идентификация конфликтов
Обнаружение нестыковок
Оценка соответствия Пометка политик
Follow-Me ACL
Автоматизация ACLs для мобильности
Автоматизация ACL
Автоматизации нейтрализации ВПО
Performance Routing (PfR) Config. IWAN
Оценка соответствия политик WAN IWAN
QoS
Автоматизация защиты филиалов
46
Встроенная система корреляции событий FireSIGHT позволяет собирать данные по всей сети
События СОВ
Бэкдоры Подключения к серверам
управления и контроля ботнетов
Наборы эксплойтов Получение
администраторских полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP серверов
управления и контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
47
Возможность отслеживать движение вредоносного ПО и злоумышленника по сети
• Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло? • Что еще произошло?
48
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM), облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор» Использование значения Сети
Текущая экосистема партнеров Cisco
49
Шифруйте линки и включите CISF Защитите ваши данные
5 принципов для построения настоящей защиты сети Включите NetFlow Поймите, что у вас значит нормально
Обнаруживайте необнаруживаемое… Заранее
Внедрите TrustSec/сегментация Локализация атак
Ролевое управление, независящее от топологии и типа доступа
Внедрите APIC-EM Ускорьте конфигурирование и устранение проблем
Внедрите Intelligent WAN Защитите филиалы и допофисы
Видимость Фокус на угрозы Платформы
50
Поддержка на решениях Cisco
Классификация Распространение SGT Реализация политик Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X
Catalyst 4500E (Sup6E/7E) Catalyst 4500E (Sup8) Catalyst 6500E (Sup720/2T)
Catalyst 3850/3650 WLC 5760
Wireless LAN Controller 2500/5500/WiSM2
Nexus 7000
Nexus 5500 Nexus 1000v (Port Profile)
ISR G2 Router, CGR2000
Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3850/3650 Catalyst 4500E (Sup6E) Catalyst 4500E (7E, 8), 4500X Catalyst 6500E (Sup720) Catalyst 6500E (2T), 6800 WLC 2500, 5500, WiSM2 WLC 5760 Nexus 1000v Nexus 6000/5600 Nexus 5500/22xx FEX Nexus 7000/22xx FEX ISRG2, CGS2000 ASR1000 ASA5500 Firewall
SXP
SXP
IE2000/3000, CGS2000
ASA5500 (VPN RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SXP
SXP SGT
SXP SGT
SXP SGT
SXP
GETVPN. DMVPN, IPsec
• Inline SGT on all ISRG2 except 800 series:
Catalyst 3560-X Catalyst 3750-X
Catalyst 4500E (7E) Catalyst 4500E (8E) Catalyst 6500E (2T) Catalyst 6800
Catalyst 3850/3650 WLC 5760
Nexus 7000
Nexus 5600
Nexus 1000v
ISR G2 Router, CGR2000
ASA 5500 Firewall ASAv Firewall
ASR 1000 Router CSR-1000v Router
SXP
SGT
SGFW
SGFW
SGFW
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
SXP SGT
SXP SGT
Nexus 6000
Nexus 6000 Nexus 5500
Nexus 5600 SXP SGT
SGT
GETVPN. DMVPN, IPsec
SGT
51
Сеть как сенсор Обнаружение аномального трафика
Обнаружение нарушений пользователями политик Обнаружение чужих устройств, точек доступа & других
Сеть как защитная стена Сегментация сети для локализации атак
Шифрование данных для защиты от человека посередине Защита филиалов для Direct Internet Access
Сеть как инструмент реагирования Автоматизированное, близкое к реальному времени отражение атак
Роль сетевой безопасности
52
Искусство сетевой безопасности Важный совет
Объедините усилия Защита от вредоносного кода Безопасность, ориентированная на угрозы Сеть как сенсор, защитная стена и средство реагирования
Спасибо