О сегодняшнем семинаре • Мы не будем досконально следовать программе • Задавайте вопросы сразу по мере их возникновения • Все презентации мы вышлем в пятницу или понедельник • Кофе-брейки и обеды будут • Если останутся вопросы, то пишите их на [email protected]
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
О сегодняшнем семинаре • Мы не будем досконально следовать программе
• Задавайте вопросы сразу по мере их возникновения
• Все презентации мы вышлем в пятницу или понедельник
Новая модель должна быть реализована везде, а не только на периметре!
ДО Обнаружение Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ Контроль
Применение Усиление
Видимость Сдерживание Устранение
Ландшафт угроз
Сеть Оконечные устройства
Мобильные устройства
Виртуальные машины
Облако
В определенный момент Непрерывно
От модели к технологиям
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
Портфолио Cisco учитывает данную модель
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контроль
Firewall
NGFW
NAC + Identity Services
VPN
UTM
NGIPS / AMP
Web Security
Email Security
Advanced Malware Protection
Network Behavior Analysis Экономика
Com
plia
nce
Incident Response
Интеграция в сеть, широкая база сенсоров, контекст и автоматизация
Непрерывная защита от APT-угроз, облачное исследование угроз
Гибкие и открытые платформы, масштабируемость,
всесторонний контроль, управление
Стратегические задачи
Сеть Оконечные устройства
Мобильные устройства
Виртуальные устройства
Облака
Видимость всего и вся Фокус на угрозы Платформы
Видимость всего и вся
Вы не можете защитить то, что не видите Cisco видит БОЛЬШЕ Ширина: кто, что, где, когда Глубина: любая требуемая степень детализации
Все в режиме реального времени, в одном месте
Cisco обеспечивает информационное преимущество
Операционная система
Пользо-ватели
Устройства Угрозы Приложения
Файлы Уязвимости
Сеть
УВИДЕТЬ
УВИ-ДЕТЬ
АДАП-ТИРО-ВАТЬ
УЧИТЬ- СЯ
ДЕЙС-ТВО-ВАТЬ
Добавляем контекст
C I2 I4 A
ЛОКАЛЬНО Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО Ситуационный анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо- действия
APP Приложения
URL Сайты
Реализация безопасности и глобальным контекстом
Классификация и контекст – это самое важное
Событие: Попытка получения преимущества Цель: 96.16.242.135
Событие: Попытка получения преимущества Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США
Событие: Попытка получения преимущества
Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США Идентификатор пользователя: bobama Ф. И. О. Барак Обама Департамент: административный
Контекст способен фундаментально изменить интерпретацию данных события
Фокус на угрозы
Проблемы с традиционным мониторингом
Admin
Базируется на правилах • Зависимость от сложно создаваемых вручную правил
• Зависимость от человеческого фактора
Зависимость от времени • Занимает недели или месяцы на обнаружение
• Требует постоянного тюнинга
Security Team
Очень сложно • Часто требует квалифицированный персонал для управления и поддержки
111010000 110 0111
Невозможно идти в ногу с последними угрозами
Cisco SIO + Sourcefire VRT = Cisco Talos
Мозг архитектуры безопасности Cisco
Действующее соединение SMTP?
(ESA)
Ненадлежащий или нежелательный
контент? (ASA/WSA/CWS)
Место для контроля и
управления? (ASA/WSA)
Вредоносное действие? (ASA/
IPS)
Вредоносный контент на оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование угроз
Регистрация доменов
Проверка контента
Ловушки для спама, ловушки для хакеров, интеллектуальные анализаторы
Что более полезно с точки зрения безопасности? “Адрес скомпрометированного устройства 192.168.100.123” - ИЛИ - “Скомпрометировано устройство iPad Васи Иванова в стр.1”
Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров.
С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы.
Cisco Platform Exchange Grid (pxGrid) Повышение эффективности решений партнеров через обмен контекстом
44
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM), облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор» Использование значения Сети
Текущая экосистема партнеров Cisco
45
Не только свои решения, но и интеграция с другими
Инфраструктура API
ДО Политика и контроль
ПОСЛЕ Анализ и
восстановление Обнаружение и блокирование
ВО ВРЕМЯ
Инфраструктура & Мобильность
NAC Управление уязвимостями Обнаружение пользовательских событий Захват пакетов Реагирование на инциденты
SIEM Визуализация Network Access Taps
46
Поддержка отечественных разработчиков ИБ • Доверенная платформа UCS-EN120SRU
Производится в России
• Поддерживается на Cisco ISR 29xx/39xx/4xxx
• Используется в качестве доверенной платформы для российских средств защиты информации, прошедших сертификацию в ФСТЭК и ФСБ: СКЗИ S-Terra CSP VPN Gate СКЗИ ViPNet Координатор СКЗИ Dionis NX МСЭ прикладного уровня Positive Technologies Application Firewall СОВ ViPNet IDS Базовый доверенный модуль (БДМ) Элвис+ Ведутся работы и с рядом других российских разработчиков
47
Как объединить все вместе?
48
Архитектура CVD: как объединить все вместе?!
Разработка архитектуры
Совместное использование продуктов
Систематический подход
Интеллектуальные сервисы
Лучшие в своих классах продукты
CVD предоставляет архитектуры
§ "Сети без границ", § Совместная работа, § Центр обработки данных — Виртуализация
План развертывания для организаций любого размера
(от 100 до 10000+ подключенных пользователей)
49
Рекомендуемые руководства • Firewall and IPS Deployment Guide
• Remote Access VPN Deployment Guide
• Remote Mobile Access Deployment Guide
• VPN Remote Site Over 3G/4G Deployment Guide
• Email Security using Cisco ESA Deployment Guide
• Cloud Web Security Deployment Guide
• Web Security using Cisco WSA Deployment Guide
• 5 BYOD Deployment Guides
• Teleworking ASA 5505 Deployment Guide
www.cisco.com/go/cvd
50
Состав руководства • Цели руководства
• Обзор архитектуры
• Описание решения С бизнес и технологической точки зрения
• Детали внедрения Типовая конфигурация Отказоустойчивость Управление Итоги
• Список продуктов
• Пример конфигурации
51
Рекомендации по настройке
52
Дополнительные сведения
53
Cisco в России
54
Усилия Cisco в России в области безопасности • Локальное производство, исключающее вмешательство в процесс доставки оборудования заказчикам Локальное производство
• Сертификация широкого спектра оборудования Cisco по требованиям информационной безопасности
Сертификация по требованиям безопасности
• Доступ компетентных органов к деталям технологий и их реализации в рамках сертификации на отсутствие недекларированных возможностей
Проверка на отсутствие НДВ
• Консультационная помощь регуляторам в области информационной безопасности по вопросам применения современных технологий с точки зрения информационной безопасности
Консультации регуляторов
• Экспертиза и участие в разработке нормативных актов в области информационной безопасности
Разработка и экспертиза нормативных актов
55
Участие Cisco в разработке нормативных актов по ИБ
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность ИТ» (ISO SC27 в
России)
«Защита информации в кредитных учреждениях»
«Защита информации» при
ФСТЭК
Разработка рекомендаций по ПДн, СТО БР ИББС v4/5 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза документов Экспертный совет Экспертиза и разработка 17/21 приказов и проекта
по АСУ ТП
Экспертиза и разработка документов
Консультативный совет
56
600+ ФСБ НДВ 34 123 Сертификатов ФСТЭК на
продукцию Cisco
Сертифицировала решения Cisco
(совместно с С-Терра СиЭсПи)
---- Ждем еще ряд важных
анонсов
Отсутствуют в ряде продуктовых линеек Cisco
---- На сертификацию поданы новые продукты
Линейки продукции Cisco
прошли сертификацию по схеме «серийное производство»
Продуктовых линеек Cisco
сертифицированы во ФСТЭК
Сертификация решений Cisco по требованиям безопасности
57
Сертифицированная криптография Cisco • Совместное решение Cisco и С-Терра СиЭсПи
Ведутся сертификационные испытания совместно с ИнфоТеКС
• Сертификат ФСБ по классам КС1/КС2/КС3 На новой платформе КС1 (в данной момент) КС2 – середина года
• Производительность - 596 Мбит/сек 15-тикратный рост по сравнению с NME-RVPN
58
Дополнительные сведения
59
ЕЩЕ НЕСКОЛЬКО ВАЖНЫХ МОМЕНТОВ
60
Что делать с импортозамещением? • Термин «импортозамещение» до сих пор не определен и вокруг него слишком много популизма Китай – это тоже импорт
• ИТ не входит в состав критичных для импортозамещения отраслей
• ИБ не входит в состав критичных для импортозамещения ИТ-отраслей
• Планируемое Постановление Правительства Не запрещает приобретать зарубежное Не касается железа Не касается информационной безопасности
61
Санкции США и Европы Specially Identified
Nationals
• С лицами, попавшими в SDN, запрещены любые взаимоотношения, включая поставки ИТ-продукции и решений по информационной безопасности. Попадание в SDN означает, что «жертвам» нельзя поставлять никаких новых решений и сервисов, а также запрещено оказывать сервис по уже заключенным контрактам
Sectorial Sanctions Identification
• Запрещено оказание финансовых услуг специально определенным в SSI компаниям или физическим лицам
Military End-Users
• Запрещены поставки технологий двойного назначения, классифицированных в США как 5A002/5D002 Restricted (есть еще и Unrestricted, означающий технологии двойного назначения, но разрешенные к экспорту без ограничений) организациям ОПК/ВПК
Добыча нефти
• Запрещены поставки оборудования, связанного с глубоководной, арктической или шельфовой добычей нефти
62
РЕЗЮМИРУЯ
63
Не видя ничего, ничего и не обнаружишь
Сетевые сервера
ОС
Рутера и свитчи
Мобильные устройства
Принтеры
VoIP телефоны
Виртуальные машины
Клиентские приложения
Файлы
Пользователи
Web приложения
Прикладные протоколы
Сервисы
Вредоносное ПО
Сервера управления ботнетами
Уязвимости NetFlow
Сетевое поведение
Процессы
64
?
Фокус на угрозы
65
Обнаружить, понять и остановить угрозу
?
Аналитика и исследования
угроз
Угроза определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
66
Непрерывная защита от целенаправленных угроз
Как
Что
Кто
Где
Когда
Аналитика и исследования
угроз
История событий
Непрерывный анализ Контекст Блокирование
67
Борьба с угрозами ДО, ВО ВРЕМЯ и ПОСЛЕ - ВЕЗДЕ
ДО Обнаружение Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ Контроль
Применение Усиление
Видимость Сдерживание Устранение
Ландшафт угроз
Сеть Оконечные устройства
Мобильные устройства
Виртуальные машины
Облако
В определенный момент Непрерывно
68
FirePOWER подчиняется той же идее
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контекст
Firewall
NGFW
Управление уязвимостями
VPN
UTM
NGIPS
Web Security
Исследования ИБ
Advanced Malware Protection
Ретроспективный анализ
IoC / реагирование на инциденты
69
И Cisco Advanced Malware Protection тоже
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контекст
Контроль сетевого доступа
Обнаружение и блокирование вредоносного
кода
Ретроспективный анализ
70
Cisco ISE также поддерживает трехзвенную схему и объединяет решения Cisco в единый комплекс