Алексей Лукацкий 10 ноября 2015 Безопасность повсюду
Jan 23, 2017
2 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Филиалы
ЛВС Периметр
АСУ ТП
ЦОД
Оконечные устройства
Максимальное покрытие от уровня сети до оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов – ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Безопасность везде
3 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Десктопы Бизнес-приложения
Критическая инфраструктура
Оставляя позади…
4 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Движемся вперед Критическая инфраструктура (Amazon, Rackspace, Windows Azure и т.д.)
Бизнес-приложения (Salesforce, Marketo, DocuSign и т.д.)
Мобильные пользователи
Удаленные пользователи
Десктопы Бизнес-приложения
Критическая инфраструктура
5 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Protection for Cloud Apps
Protection for Remote Users
Что мы анонсируем?
OpenDNS Cloud Access Security (CAS)
Обновление CWS
Безопасность облаков
ПК Сеть Мобильные Виртуальные Облака
ISE 2.0 и AnyConnect 4.2 Развитие AMP Everywhere
Сети и ПК Организации всех
размеров
Cisco Threat Awareness Service
Active Threat Analytics
7 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Недостаток квалифицированных специалистов в сфере безопасности
Для многих средств требуется больше ресурсов, чем имеется для выполнения
работы
50% компьютеров — мобильные
70% офисов — удаленные Большинство мобильных и удаленных сотрудников не всегда включают VPN,
большинство филиалов не обеспечивают обратный транзит трафика, а большая часть новых оконечных устройств только обнаруживают угрозы
70-90% вредоносного ПО уникально для каждой
организации Средства на основе сигнатур, реактивный интеллектуальный анализ угроз и отдельное
применение политик безопасности не могут опередить атаки
Общие проблемы безопасности
8 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
3 подхода к защите удаленных пользователей
может требовать дополнительной экспертизы и
ресурсов
Обнаруживать IOCs & аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от пользователей изменения поведения и может быть сложным во внедрении
Изолировать приложения & данные
в гипервизоре/контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или
приложению
Предотвращать соединения в Интернет-
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
9 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ПРОДУКТЫ И ТЕХНОЛОГИИ
UMBRELLA Применение Служба сетевой безопасности защищает любое устройство, в любом месте
INVESTIGATE Аналитика Обнаружение и прогнозирование атак до того, как они происходят
10 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Предотвращение угроз Не просто обнаружение угроз
Защита внутри и вне сети Не ограничивается устройствами, передающими трафик через локальные устройства
Интеграция с партнерским и пользовательским ПО Не требует услуг профессионалов при настройке
Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443
Постоянное обновление Устройству не нужно обращаться к VPN на локальном сервере для получения обновлений
UMBRELLA Применение политик
Новый уровень защиты от вторжений
11 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ИНТЕРНЕТ
ВНУТРИ СЕТИ
ВЕСЬ ПРОЧИЙ ТРАФИК
ВЕБ- ТРАФИК
ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ
ИНТЕРНЕТ
ВЕСЬ ПРОЧИЙ ТРАФИК
ВЕБ- ТРАФИК
ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ
ВНЕ СЕТИ
ASA блокировка в сети по IP-адресу, URL -адресу или пакету
ESA/CES блокировка
по отправителю или контенту
WSA/CWS блокировка по URL-адресу или контенту через прокси-сервер
ESA/CES блокировка
по отправителю или контенту
CWS блокировка по URL-адресу или контенту через прокси-сервер
Umbrella блокировка по домену а также по IP-адресу или URL -адресу
Umbrella блокировка по домену а также по IP-адресу или URL -адресу
Место Umbrella в инфраструктуре Cisco
12 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Как Umbrella дополняет AMP
Через различные технологии & оба
защищают на уровне IP Туннели на клиенте блокируют некоторые соединения с DNS в облаке, а AMP фиксирует
соединения & блокирует соединения на устройстве
*Клиент получает обновления IP-списка каждые 5 мин, а AMP получает IP-списки
ежедневно
Cisco AMP Connector защищает на уровне
файлов облачная репутация будет блокировать & помещать в
карантин вредоносные файлы на лету и в ретроспективе
*email-вложения обходят OpenDNS, а не-файловые web-эксплойты обходят
AMP
OpenDNS клиент защищается на уровне
DNS перед установкой IP-соединения & часто перед загрузкой файлов. Мы также блокируем вредоносные
домена
*DNS–запросы, использующие не-HTTP, будут обходить AMP
DNS
Компрометация системы Утечка данных
IP DNS IP ФАЙЛ
13 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
OpenDNS Umbrella
OpenDNS Investigate OpenDNS Investigate
опережение будущих атак с помощью блокировки вредоносных доменов,
IP-адресов и ASN
блокировка обратных вызовов и утечки с любого порта, протокола
или приложения на уровне DNS и IP
анализ угроз на основе запросов в реальном времени всех доменов и IP-адресов
в Интернете
ДО Обнаружение Внедрение политик Усиление
ПОСЛЕ Определение масштаба
Сдерживание Восстановление
Обнаружение Блокировка Защита
ВО ВРЕМЯ
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
OpenDNS поддерживает весь жизненный цикл атаки
14 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cloud Access Security
15 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
И не сможете использовать почту без защиты
? ? ? ? ?
? ?
? ? ? ?
Вы должны защитить их
Вы не сможете работать без электронной почты
Когда вы внедряете облачные приложения
Каждый раз, внедряя новую технологию, необходимо обеспечивать ее защиту
16 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Облачные приложения становятся неотъемлемой частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных данных
Риски несоответствия правовым нормам
Риск инсайдерских действий
Вредоносное ПО и вирусы
17 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Понимание рисков, связанных с облачными приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-отдел: • Не видит, какие используются приложения • Не может идентифицировать опасные приложения • Не может настроить необходимые средства управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72% ИТ-отделов используют 6 и более неутвержденных приложений2
26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов
35%
«Теневые» ИТ
Использование несанкционированных приложений
Источник: 1CIO Insight; 2,3Gartner
18 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Понимание рисков использования данных в облачных приложениях
Это проблема, так как ваш ИТ-отдел: • Не может остановить утечку данных и устранить риски несоблюдения нормативных требований • Не в состоянии заблокировать входящий опасный контент • Не в силах остановить рискованные действия пользователей
организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1
90% приложений могут стать опасными при неправильном использовании2
72% файлов на каждого пользователя открыто используется в организациях3
185
«Теневые» данные Использование санкционированных приложения для неправомерных целей
Источник: 1Ponemon, 2013 Cost of Data Breach Study; 2CIO Insight; 3Elastica
19 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Payroll.docx
Пользователи свободно обмениваются информацией и это может привести к нарушениям безопасности
Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных приложений и «теневых» данных
При использовании облачных приложений ИТ-отдел не может контролировать все разрешения на совместное использование
20% совместно используемых файлов
содержит данные, связанные с соблюдением
нормативов
20 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Бизнес
В вопросах защиты своей информации не полагайтесь на поставщиков приложений
Поставщики приложений
Облачные приложения
75% мобильных приложений не прошли базовые тесты безопасности1
... и они не могут контролировать поведение пользователей
Источник: 1: Gartner
21 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Бизнес
Обеспечение безопасности облачного доступа — это ваша ответственность
Поставщики приложений
Облачные приложения
22 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Elastica обеспечивает мониторинг, управление и защиту на всем протяжении атаки
Аудит Определение облачных приложений и служб, используемых сотрудниками
Расследование Изучение вторжений для изоляции уязвимостей в системе безопасности
Обнаружение Определение облачного трафика, являющегося причиной вредоносного поведения
И многое другое .......
До Во время После
Жизненный цикл атаки
Приложения
для
обеспечения
безопасности
Мини-
программы
S
ecur
let
CA
SB
Мини-программы Securlet Отдельные приложения обеспечения безопасности, предоставляющие преимущества всех 4-х приложений безопасности Elastica, но для определенного приложения SaaS, а не для всей облачной экосистемы.
Шлюз CASB Подключение к шлюзу Elastica для получения дополнительных данных об определенных облачных службах и реализации встроенной политики
Защита Защита предприятия путем создания и реализации индивидуальных политик
Защита Обнаружение Аудит Расследование
23 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Оценка аудита
Оценка рисков «теневых» ИТ
Защита StreamIQ ThreatScore
Контроль и анализ
Securlet
Шлюз
Оценка рисков
«теневых» данных
Перенаправление трафика через систему Cisco Cloud Access Security
Мини-программы Securelet Шлюз Elastica
И многое другое .......
24 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Elastica предоставляет платформу обеспечения безопасности облачных приложений Comprehensive Data Science Powered™
Шлюз Elastica (прозрачный мониторинг)
РАССЛЕДОВАНИЕ инцидентов и реагирование
Политика
API-интерфейсы облачных приложений (<1 мин для внедрения)
Журналы межсетевых экранов и прокси-серверов ASA, WSA, CWS и других
АУДИТ всех «теневых» ИТ и данных
Elastica CloudSOC™
Несколько источников входящего трафика
Стек платформы обеспечения безопасности облачных приложений Elastica
Все категории данных анализируются на одной платформе данных
ЗАЩИТА благодаря детализированному контролю применения политик для каждого приложения
ОБНАРУЖЕНИЕ вторжения и эксплойтов в облачных приложениях
25 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Отчет оценки рисков «теневых» ИТ
Business Readiness Rating™
Оценка аудита
Оценка рисков «теневых» данных
После
StreamIQ™
ThreatScore™
ContentIQ™
Отчетность и аналитика
Cisco Cloud Access Security
Облачные приложения
? ??? ? ? ?
IO IOI
IO IOI
Защита IO IOI
IO IOI Облачная
политика SOC IO IOI
IO IOI
?
54 17
IO IOI
IO IOI
? ?
IO IOI
Аудит
Обнаружение
?
Рассле- дование
WSA
До
Во врем
я
Elastica CloudSOC™
Другие устройства
ASA
Совместно с
Данные Учетная запись Пользователь
Центр управления
безопасностью Анализ
и контроль Securlet™ Шлюз
27 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сейчас труднее чем когда-либо увидеть, кто находится в вашей сети и чем занимаются эти пользователи
?
Нельзя защитить то, что нельзя увидеть
? опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети 90%
компаний подтвердили, что их мобильные устройства были атакованы вредоносным ПО за последние 12 месяцев
75%
27 © Компания Cisco и (или) ее дочерние компании, 2015 г. Все права защищены. Конфиденциальная информация Cisco
?
28 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сетевые ресурсы Политика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция угроз
Гостевой доступ
Ролевой доступ
Идентификация, профилирование и оценка состояния
Кто
Соответствие нормативам P
Что
Когда
Где
Как
Платформа ISE
ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в сеть
Физическая или виртуальная машина
Контекст контроллер ISE pxGrid
29 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).
Обеспечение такого же высокого уровня безопасности, но для большого количества устройств
Преимущества
Что нового в ISE 2.0?
Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей
Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)
Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для работы с ISE
• Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
Интеграция с устройствами сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco
30 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Оптимизация управления благодаря единому рабочему пространству
• Новые сервисы и консоль администратора TrustSec – Инструментальная панель TrustSec – Изменение матрицы
– Автоматической создание SGT – ISE как спикер/слушатель SXP
• Обновленный интерфейс пользователя
– Улучшенная структура меню для облегчения навигации
– Возможность поиска в графическом интерфейсе • Улучшенные возможности отчетности
– Заново включены опции печати в формате PDF и локальное хранение
– Усовершенствованный фильтр для регистрации и создания отчетов в реальном времени
Возможности
Интуитивно простой рабочий центр и матрица политики доступа
Что нового в ISE 2.0? Обновленный пользовательский интерфейс TrustSec, основанный на новом рабочем центре, позволяет осуществлять простое и быстрое развертывание, устранение неполадок и контроль. .
Преимущества
Простое управление благодаря выделенным рабочим центрам, позволяющим визуализировать, понимать и управлять политикой из одного интерфейса.
Быстрое включение TrustSec для базовых сценариев использования, включая управление доступом пользователя к центру обработки данных и межпользовательскую сегментацию
Новый пользовательский интерфейс TrustSec
Автоматическая конфигурация новых политик SGT и правил авторизации
Рабочий центр TrustSec
Матрица политики доступа
Гостевой доступ
Подрядчик
Сотрудник
Зараженный
Источник
Назначение
Интернет
Ресурсы подрядчика
Сервер отдела кадров
Человеческие ресурсы
Восстановление
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Разрешить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
Отклонить использование IP
31 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ПРЕИМУЩЕСТВА
Экосистема ISE – построена с использованием Cisco pxGrid Формула 1-2-3 …ISE интегрируется с ИТ-платформами для выполнения трех функций
ISE позволяет пользовательским ИТ-платформам учитывать
пользователей/идентификаторы, устройства и сеть
ISE - это лучшая платформа применения сетевых политик для
заказчиков
ISE предоставляет общий доступ к пользовательскому контексту, контексту устройств и сетей через ИТ-инфраструктуру
ISE получает контекст от экопартнеров для улучшения политики доступа к сети
1 2 3 ISE помогает ИТ-средам заказчика подключаться к сети
Cisco
ISE ЭКОПАРТНЕР
КОНТЕКСТ
ISE ЭКОПАРТНЕР
КОНТЕКСТ
ЭКОПАРТНЕР ISE
СЕТЬ CISCO
ДЕЙСТВИЕ
НЕЙТРАЛИЗАЦИЯ
Согласование ответов на вопросы «Кто, какое устройство, какой доступ»
и событий. Значительно лучше, чем просто IP-адреса!
Создание единого места для реализации комплексной политики сетевого доступа
благодаря интеграции
Сокращение времени, усилий и затрат на реагирование на события
безопасности и сети
32 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы — 8 новых партнеров pxGrid Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы
Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.
Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco
Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях
Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа
33 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)
Быстрое сдерживание распространения угроз с помощью FMC и ISE Что нового в ISE 2.0? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.
Преимущества
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
Возможности
FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный
Доступ запрещается каждой политикой безопасности
Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой
Раннее обнаружение угроз FireSight сканирует активность и публикует события в pxGrid
Корпоративный пользователь загружает файл
Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE
FMC сканирует действия пользователя и файл
В соответствии с новым тегом, ISE распространяет политику по сети
34 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Улучшенный мониторинг обеспечивает полную картину действий оконечных устройств в сети Сеть как сенсор
• Cisco ISE • Портфель сетевых решений
Cisco • Cisco NetFlow • Lancope StealthWatch
Данные
35 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Зона администратора
Зона предприятия
Зона POS
Зона подрядчика
Мониторинг способствует принятию практических решений благодаря сегментации и автоматизации Сеть как регулятор
• Cisco ISE • Портфель сетевых решений Cisco • Cisco NetFlow • Lancope StealthWatch • Программно-определяемая сегментация TrustSec Cisco
Зона сотрудников
Зона разработки
36 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Улучшенный контроль с помощью авторизации на основе местоположения
Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.
Преимущества
Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.
Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE
Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей
Возможности • Конфигурация иерархии местоположений по всем объектам местоположения • Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения • Повторное предоставление доступа на основе нового местоположения
С интеграцией платформы Cisco Mobility Services Engine (MSE)
Холл Палата Лаборатория Скорая помощь
Врач
Нет доступа к данным пациента
Доступ к данным пациента
Нет доступа к данным пациента
Доступ к данным пациента
Данные пациента
Местоположения для доступа к данным пациента
Палата
Скорая помощь
Лаборатория
Холл
37 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Ролевой контроль доступа
Упрощение управления ИБ с ролевым доступом
• Ролевой контроль доступа • Авторизация на уровне команд с подробной регистрацией действий • Выделенный TACACS+ центр для сетевых администратаров • Поддержка основных функций ACS5
Возможности
Управление устройствами TACACS+
Преимущества
Что нового в ISE 2.0? Заказчики сейчас могут использовать TACACS+ в ISE для упрощения управления устройствами и расширения безопасности через гибкий и точный контроль доступа к устройствам.
Упрощенное и централизованное управление Рост безопасности, compliancy, подотчетности для всего спектра задач администрирования
Гибкий и точный контроль Контроль и аудит конфигураций сетевых устройств
Админы ИБ
TACACS+ Work Center
Сетевые админы
TACACS+ Work Center
Поддержка TACACS+ для управления устройствами
Централизованная видимость Получение всесторонней конфигурации TACACS+ через TACACS+ administrator work center
38 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Упрощение управления защищенным доступом
Возможности • Мониторинг активных сессия через AD и Network log-ins
• Поддержка сессий клиентов Wired MAB и NADs
• Уведовление справочников через PxGrid
• Назначение VLANs, dACLs, SGTs и других для пользователей, авторизованных через EWA
Identity mapping
Более безопасно с интегрированным 802.1x, сапликантом и сертификатами
Базовый с whitelisting
Access
Security
Лучше и гибче С ISE Easy Wired Access
Возможности
Что нового в ISE 2.0? Расширение Easy Wired Access (EWA) предлагает заказчикам расширение защиты проводных сетей с помощью ISE
С ISE Easy Wired Access (EWA)
Лучшая видимость в активных сетевых сессиях, аутентифицированных через AD
Расширенный контроль с опцией для Monitoring-only Mode или Enforcement-Mode
Гибкое внедрение которое больше не требует сапликанта или PKI, позволяя ISE использовать COA для повышения уровня защиты
Complexity
Identity
mapping
Monitor-only mode Enforcement–Mode User 1
Active Directory Login
User 1
Network Login
Publish to pxGrid
Admin 1
ISE
Access Security
Complexity
Access
Security Complexity
EWA, безопасная альтернатива «белым спискам» (whitelisting)
40 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco AnyConnect®
Cisco AnyConnect: больше чем VPN
Базовый VPN Оценка состояния
Сервисы инспекции
Защита от угроз
Сетевая видимость
Функции Cisco AnyConnect
Корпоративный доступ
Интеграция с решениями Cisco®
Adaptive Security Appliance (ASA)
Aggregation and Cloud Services
Routers (ASR/CSR)
Switches and Wireless Controllers
Integrated Services Router (ISR)
Identity Services Engine (ISE)
NetFlow Collectors Web Security
Продвинутый VPN
41 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Рост видимости в сети: Что нового в AnyConnect 4.2? Новый модуль AnyConnect Network Visibility Module (NVM) позволяет лучше «видеть» пользователей, ПК, приложения и обеспечивать аналитику на базе телеметрических данных
Обеспечение видимости в сети
• Исключение избранных переменных для обеспечения приватности • Сбор и отправка данных, когда AC в сети и/или VPN (включая split tunneling)* • Хранение 24-часового кеша данных Netflow при отключении от сети • Минимум воздействия на пользователя и общения с пользователем • Встроенные аналитические возможности и отчетность обеспечивают лучший аудит • Интеграция с Lancope* и LiveAction**
Возможности
С AnyConnect Network Visibility Module (NVM)*
Преимущества Более полный обзор всей сети с лучшей поведенческой аналитикой и учетом контекста
Более эффективная защита против потенциальных угроз с лучшей видимостью сети, использующей преимущества сегментации Улучшение сетевых операций с анализом инцидентов для улучшения дизайна, планирования сети и траблшутинга
Collector Dashboard
• Parent Process Identifier
• Parent Process Name
• Basic IP-based Flow Data
• Unique Device ID
• IP-based Flow Data With
• Domain \ User Name
• Process Name
• Process Identifier
• Device Name
До:
С AnyConnect 4.2:
• Local and Target DNS
Netflow Collector
* New AnyConnect Module Only Available for Windows and OS X **Please check with these vendors regarding availability
42 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Lancope
ЛВС/ЦОД Свитч/WLC
Роутеры Cisco / Устройства 3rd фирм
Угроза
pxGRID
Сетевые сенсоры Сетевые защитники Распределение политик и контекста
TrustSec Software-Defined
Segmentation
Cisco Collective Security
Intelligence
Защищаемые данные
NGIPS
pxGRID
ISE NGFW
AMP
AnyConnect
Интегрированная защита: ISE + AC + сеть
44 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
AMP Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
AMP Everywhere
ПК ПК
Периметр
сети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be launched from AnyConnect
45 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Обзор Threat Grid Everywhere
Подозрительный файл
Отчет
Периметр
ПК
Firewall & UTM
Email Security
Analytics
Web Security
Endpoint Security
Network Security
3rd Party Integration
S E C U R I T Y
Security monitoring platforms
Deep Packet Inspection
Gov, Risk, Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный файл
Premium content feeds
Security Teams
46 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Автоматическая загрузка подозрительных файлов
Загрузка Аналитик или система (API) загружают подозрительный файл в Threat Grid.
Подозрительный файл
Периметр
ПК
ASA w/ FirePOWER
Services ESA
CTA WSA AMP for Endpoints
AMP for Network
47 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ЗАКАЗЧИК
СООБЩЕСТВО ЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ
AMP Threat Grid
UMBRELLA Применение политик и мониторинг
Автоматический захват вновь обнаруженных вредоносных доменов за считанные минуты
Регистрация или блокировка всей Интернет-активности, предназначенной для этих доменов
файлы домены
Интеграция AMP Threat Grid и OpenDNS
48 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Threat Awareness Service
49 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Обеспечивает взгляд на угрозы, исходящие из своей компании, и направленной на нее
Постоянно отслеживает новые угрозы
Предлагает меры нейтрализации
Доступная всегда, каждый день
Проста в настройке и использовании
Это важно для сохранения сети в безопасности
Заказчики хотят Threat Intelligence которая:
50 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Threat Awareness Service Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. • Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной активности
• Идентификация скомпрометированных сетей и подозрительного поведения
• Помогает компаниям быстро идентифицировать скомпрометированные системы
• Обеспечение рекомендаций • Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации • Позволяет улучшить общую защищенность
51 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Threat Awareness Service: просто внедрить
Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: • Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence
52 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Active Threat Analytics
53 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Люди Данные
Технологии
Новое решение - Active Threat Analytics
Аналитика
54 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ATA (жизненный цикл сервиса) • Планирование & Подготовка
1. Уровень сети 2. Классификация активов & Анализ защищенности 3. Политики безопасности & ограничения
• Сервисы обнаружения 1. На базе потоков 2. На базе сигнатур 3. На базе поведения 4. Полный захват пакетов
• Сервисы реагирования 1. Локализация 2. Лечение
Защищаемая сеть
55 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Полный захват пакетов / Анализ метаданных пакетов
Cisco Advanced
Threat Detection Обнаружение
угроз в Web-трафике
Нормализация и проверка данных
Обнаружение угроз в
трафике Email
Обнаружение вторжений
Автоматизация локализации
Исследования угроз и
уязвимостей
Расследования сетевых
инцидентов
Фокусировка на отраслях (например, производство, финансы, промышленность)
24x7 мониторинг
56 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Advanced Threat Analytics: компоненты архитектуры
Сторона заказчика ЦОД заказчика
Заказчик A VRF
HTTP/HTTPS Proxy
Inte
rnet
VR
F
Защищенное соединение
Pa
ssiv
e Ta
p / I
ntel
ligen
t Vi
sibi
lity
Switc
h
Dire
ct C
onne
ctio
n
Заказчик
HTTP Malware Analysis
Email Malware Analysis
Protocol Metadata Forensics
Full-Packet Forensics
Signature-Based IDS
Protocol Anomaly Detection
NetFlow / HTTP Anomaly Detection
Context Repository
NetFlow Aggregation
Telemetry Aggregation
Acc
ess
Con
trol
VA Console
Malware Console / Sandbox
IME Console
Infrastructure Monitoring
Authentication Services
Fire
wal
l
Fire
wal
l
SMTP Services
SOC
Investigator I
Investigator II
Incident Manager
Authentication Services
Mgm
t VR
F
Active Directory
Investigator Portal
SO
C V
RF
Alerting / Ticketing System
Customer Portal
Por
tal V
RF
Threat Intelligence
Inte
l VR
F
Anomaly Correlation
Cisco Cloud (DC)
Internet
1) Все данные сохраняются на стороне заказчика
2) Все ATA-устройства работают в пассивном режиме, но в реальном времени
57 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Threat Intelligence
Feeds
Обогащенные данные
ATA построена на базе OpenSOC
Full packet capture
Protocol metadata
NetFlow
Machine exhaust (logs)
Неструктурированная телеметрия
Другая потоковая телеметрия
Parse +
Format
Enrich Alert
Log Mining and Analytics
Big Data Exploration, Predictive Modelling
Network Packet Mining
and PCAP Reconstruction
Приложения + аналитика
58 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Пример работы у заказчика за 2 недели
Заявки на расследования 71
269,808 событий безопасности
Уникальных событий 113,713
Коррелированные события
1710
207,992 61,816 Threat intel sourced Телеметрия
59 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Active Threat Analytics Разные варианты предложения
Базовый Расширенный
Максимальный
§ Security Device Management § Collective Security Intelligence § Log Collection § Event Correlation § Rule-Based Analytics
+ Sourcefire and ThreatGrid + Statistical Anomaly Detection + NetFlow Generation + Protocol Metadata Extraction + Data Enrichment + Designated Investigations Manager
+ Hadoop/Big Data Analytics + Machine Learning + Full Packet Capture + Proactive Threat Hunting
Speed Accuracy Focus Speed Accuracy Focus Speed Accuracy Focus
Реагирование на инциденты
Управление устройствами
Add-ons: