Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015

Алексей Лукацкий 10 ноября 2015

Безопасность повсюду

2 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Филиалы

ЛВС Периметр

АСУ ТП

ЦОД

Оконечные устройства

Максимальное покрытие от уровня сети до оконечных устройств, от ЦОДов до облаков, от ЛВС до

промышленных сегментов – ДО, ВО ВРЕМЯ и ПОСЛЕ

Облака

Безопасность везде


Десктопы Бизнес-приложения

Критическая инфраструктура

Оставляя позади…


Движемся вперед Критическая инфраструктура (Amazon, Rackspace, Windows Azure и т.д.)

Бизнес-приложения (Salesforce, Marketo, DocuSign и т.д.)

Мобильные пользователи

Удаленные пользователи

Десктопы Бизнес-приложения

Критическая инфраструктура


Protection for Cloud Apps

Protection for Remote Users

Что мы анонсируем?

OpenDNS Cloud Access Security (CAS)

Обновление CWS

Безопасность облаков

ПК Сеть Мобильные Виртуальные Облака

ISE 2.0 и AnyConnect 4.2 Развитие AMP Everywhere

Сети и ПК Организации всех

размеров

Cisco Threat Awareness Service

Active Threat Analytics


OpenDNS


Недостаток квалифицированных специалистов в сфере безопасности

Для многих средств требуется больше ресурсов, чем имеется для выполнения

работы

50% компьютеров — мобильные

70% офисов — удаленные Большинство мобильных и удаленных сотрудников не всегда включают VPN,

большинство филиалов не обеспечивают обратный транзит трафика, а большая часть новых оконечных устройств только обнаруживают угрозы

70-90% вредоносного ПО уникально для каждой

организации Средства на основе сигнатур, реактивный интеллектуальный анализ угроз и отдельное

применение политик безопасности не могут опередить атаки

Общие проблемы безопасности


3 подхода к защите удаленных пользователей

может требовать дополнительной экспертизы и

ресурсов

Обнаруживать IOCs & аномалии в системной

активности

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

может потребовать от пользователей изменения поведения и может быть сложным во внедрении

Изолировать приложения & данные

в гипервизоре/контейнерах

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0

может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или

приложению

Предотвращать соединения в Интернет-

активности

0 1 0 1 1 1 1 0 1 1 1 0

1 1 0 0 1 1 0 0 0 0 1 1

1 0 1 1 1 0 1 0 0 0 0 1

0 0 0 1 1 0 0 0 0 0 1 0

0 1 0 0 0 0 1 0 0 1 0 0


ПРОДУКТЫ И ТЕХНОЛОГИИ

UMBRELLA Применение Служба сетевой безопасности защищает любое устройство, в любом месте

INVESTIGATE Аналитика Обнаружение и прогнозирование атак до того, как они происходят


Предотвращение угроз Не просто обнаружение угроз

Защита внутри и вне сети Не ограничивается устройствами, передающими трафик через локальные устройства

Интеграция с партнерским и пользовательским ПО Не требует услуг профессионалов при настройке

Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443

Постоянное обновление Устройству не нужно обращаться к VPN на локальном сервере для получения обновлений

UMBRELLA Применение политик

Новый уровень защиты от вторжений


ИНТЕРНЕТ

ВНУТРИ СЕТИ

ВЕСЬ ПРОЧИЙ ТРАФИК

ВЕБ- ТРАФИК

ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ

ИНТЕРНЕТ

ВЕСЬ ПРОЧИЙ ТРАФИК

ВЕБ- ТРАФИК

ТРАФИК ЭЛЕКТРОННОЙ ПОЧТЫ

ВНЕ СЕТИ

ASA блокировка в сети по IP-адресу, URL -адресу или пакету

ESA/CES блокировка

по отправителю или контенту

WSA/CWS блокировка по URL-адресу или контенту через прокси-сервер

ESA/CES блокировка

по отправителю или контенту

CWS блокировка по URL-адресу или контенту через прокси-сервер

Umbrella блокировка по домену а также по IP-адресу или URL -адресу

Umbrella блокировка по домену а также по IP-адресу или URL -адресу

Место Umbrella в инфраструктуре Cisco


Как Umbrella дополняет AMP

Через различные технологии & оба

защищают на уровне IP Туннели на клиенте блокируют некоторые соединения с DNS в облаке, а AMP фиксирует

соединения & блокирует соединения на устройстве

*Клиент получает обновления IP-списка каждые 5 мин, а AMP получает IP-списки

ежедневно

Cisco AMP Connector защищает на уровне

файлов облачная репутация будет блокировать & помещать в

карантин вредоносные файлы на лету и в ретроспективе

*email-вложения обходят OpenDNS, а не-файловые web-эксплойты обходят

AMP

OpenDNS клиент защищается на уровне

DNS перед установкой IP-соединения & часто перед загрузкой файлов. Мы также блокируем вредоносные

домена

*DNS–запросы, использующие не-HTTP, будут обходить AMP

DNS

Компрометация системы Утечка данных

IP DNS IP ФАЙЛ


OpenDNS Umbrella

OpenDNS Investigate OpenDNS Investigate

опережение будущих атак с помощью блокировки вредоносных доменов,

IP-адресов и ASN

блокировка обратных вызовов и утечки с любого порта, протокола

или приложения на уровне DNS и IP

анализ угроз на основе запросов в реальном времени всех доменов и IP-адресов

в Интернете

ДО Обнаружение Внедрение политик Усиление

ПОСЛЕ Определение масштаба

Сдерживание Восстановление

Обнаружение Блокировка Защита

ВО ВРЕМЯ

ЖИЗНЕННЫЙ ЦИКЛ АТАКИ

OpenDNS поддерживает весь жизненный цикл атаки


Cloud Access Security


И не сможете использовать почту без защиты

? ? ? ? ?

? ?

? ? ? ?

Вы должны защитить их

Вы не сможете работать без электронной почты

Когда вы внедряете облачные приложения

Каждый раз, внедряя новую технологию, необходимо обеспечивать ее защиту


Облачные приложения становятся неотъемлемой частью бизнеса

Как осуществляется их защита?

Удаленный доступ

Оперативность и скорость

Улучшенное взаимодействие

Увеличение продуктивности

Экономичность

Утечка конфиденциальных данных

Риски несоответствия правовым нормам

Риск инсайдерских действий

Вредоносное ПО и вирусы


Понимание рисков, связанных с облачными приложениями, для вашего бизнеса

Это проблема, так как ваш ИТ-отдел: •  Не видит, какие используются приложения •  Не может идентифицировать опасные приложения •  Не может настроить необходимые средства управления приложениями

сотрудников признают, что используют неутвержденные приложения1

72% ИТ-отделов используют 6 и более неутвержденных приложений2

26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов

35%

«Теневые» ИТ

Использование несанкционированных приложений

Источник: 1CIO Insight; 2,3Gartner


Понимание рисков использования данных в облачных приложениях

Это проблема, так как ваш ИТ-отдел: •  Не может остановить утечку данных и устранить риски несоблюдения нормативных требований •  Не в состоянии заблокировать входящий опасный контент •  Не в силах остановить рискованные действия пользователей

организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1

90% приложений могут стать опасными при неправильном использовании2

72% файлов на каждого пользователя открыто используется в организациях3

185

«Теневые» данные Использование санкционированных приложения для неправомерных целей

Источник: 1Ponemon, 2013 Cost of Data Breach Study; 2CIO Insight; 3Elastica


Payroll.docx

Пользователи свободно обмениваются информацией и это может привести к нарушениям безопасности

Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных приложений и «теневых» данных

При использовании облачных приложений ИТ-отдел не может контролировать все разрешения на совместное использование

20% совместно используемых файлов

содержит данные, связанные с соблюдением

нормативов


Бизнес

В вопросах защиты своей информации не полагайтесь на поставщиков приложений

Поставщики приложений

Облачные приложения

75% мобильных приложений не прошли базовые тесты безопасности1

... и они не могут контролировать поведение пользователей

Источник: 1: Gartner


Бизнес

Обеспечение безопасности облачного доступа — это ваша ответственность

Поставщики приложений



Elastica обеспечивает мониторинг, управление и защиту на всем протяжении атаки

Аудит Определение облачных приложений и служб, используемых сотрудниками

Расследование Изучение вторжений для изоляции уязвимостей в системе безопасности

Обнаружение Определение облачного трафика, являющегося причиной вредоносного поведения

И многое другое .......

До Во время После

Жизненный цикл атаки

Приложения

для

обеспечения

безопасности

Мини-

программы

S

ecur

let

CA

SB

Мини-программы Securlet Отдельные приложения обеспечения безопасности, предоставляющие преимущества всех 4-х приложений безопасности Elastica, но для определенного приложения SaaS, а не для всей облачной экосистемы.

Шлюз CASB Подключение к шлюзу Elastica для получения дополнительных данных об определенных облачных службах и реализации встроенной политики

Защита Защита предприятия путем создания и реализации индивидуальных политик

Защита Обнаружение Аудит Расследование


Оценка аудита

Оценка рисков «теневых» ИТ

Защита StreamIQ ThreatScore

Контроль и анализ

Securlet

Шлюз

Оценка рисков

«теневых» данных

Перенаправление трафика через систему Cisco Cloud Access Security

Мини-программы Securelet Шлюз Elastica

И многое другое .......


Elastica предоставляет платформу обеспечения безопасности облачных приложений Comprehensive Data Science Powered™

Шлюз Elastica (прозрачный мониторинг)

РАССЛЕДОВАНИЕ инцидентов и реагирование

Политика

API-интерфейсы облачных приложений (<1 мин для внедрения)

Журналы межсетевых экранов и прокси-серверов ASA, WSA, CWS и других

АУДИТ всех «теневых» ИТ и данных

Elastica CloudSOC™

Несколько источников входящего трафика

Стек платформы обеспечения безопасности облачных приложений Elastica

Все категории данных анализируются на одной платформе данных

ЗАЩИТА благодаря детализированному контролю применения политик для каждого приложения

ОБНАРУЖЕНИЕ вторжения и эксплойтов в облачных приложениях


Отчет оценки рисков «теневых» ИТ

Business Readiness Rating™

Оценка аудита

Оценка рисков «теневых» данных

После

StreamIQ™

ThreatScore™

ContentIQ™

Отчетность и аналитика

Cisco Cloud Access Security


? ??? ? ? ?

IO IOI

IO IOI

Защита IO IOI

IO IOI Облачная

политика SOC IO IOI

IO IOI

?

54 17

IO IOI

IO IOI

? ?

IO IOI

Аудит

Обнаружение

?

Рассле- дование

WSA

До

Во врем

я

Elastica CloudSOC™

Другие устройства

ASA

Совместно с

Данные Учетная запись Пользователь

Центр управления

безопасностью Анализ

и контроль Securlet™ Шлюз


ISE 2.0


Сейчас труднее чем когда-либо увидеть, кто находится в вашей сети и чем занимаются эти пользователи

?

Нельзя защитить то, что нельзя увидеть

? опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети 90%

компаний подтвердили, что их мобильные устройства были атакованы вредоносным ПО за последние 12 месяцев

75%

27 © Компания Cisco и (или) ее дочерние компании, 2015 г. Все права защищены. Конфиденциальная информация Cisco

?


Сетевые ресурсы Политика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция угроз

Гостевой доступ

Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативам P

Что

Когда

Где

Как

Платформа ISE

ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным

Дверь в сеть

Физическая или виртуальная машина

Контекст контроллер ISE pxGrid


Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).

Обеспечение такого же высокого уровня безопасности, но для большого количества устройств

Преимущества

Что нового в ISE 2.0?

Систематическая защита Развертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей

Упрощение администрирования Максимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)

Увеличение ценности Получение дополнительной ценности на базе существующей инфраструктуры

Поставщики совместимых устройств*

Aruba Wireless HP Wireless

Motorola Wireless Brocade Wired

HP Wired Ruckus Wireless

•  Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)

•  Перенаправление CoA and URL-адресов для работы с ISE

•  Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x

Возможности

Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)

Интеграция с устройствами сторонних производителей (не Cisco)

ISE 1.0 802.1x

Новое в ISE 2.0

Профилирование

Оценка состояния


BYOD

*Дополнительные сведения см. в Таблице совместимости Cisco


Оптимизация управления благодаря единому рабочему пространству

•  Новые сервисы и консоль администратора TrustSec –  Инструментальная панель TrustSec –  Изменение матрицы

–  Автоматической создание SGT –  ISE как спикер/слушатель SXP

•  Обновленный интерфейс пользователя

–  Улучшенная структура меню для облегчения навигации

–  Возможность поиска в графическом интерфейсе •  Улучшенные возможности отчетности

–  Заново включены опции печати в формате PDF и локальное хранение

–  Усовершенствованный фильтр для регистрации и создания отчетов в реальном времени


Интуитивно простой рабочий центр и матрица политики доступа

Что нового в ISE 2.0? Обновленный пользовательский интерфейс TrustSec, основанный на новом рабочем центре, позволяет осуществлять простое и быстрое развертывание, устранение неполадок и контроль. .


Простое управление благодаря выделенным рабочим центрам, позволяющим визуализировать, понимать и управлять политикой из одного интерфейса.

Быстрое включение TrustSec для базовых сценариев использования, включая управление доступом пользователя к центру обработки данных и межпользовательскую сегментацию

Новый пользовательский интерфейс TrustSec

Автоматическая конфигурация новых политик SGT и правил авторизации

Рабочий центр TrustSec

Матрица политики доступа


Подрядчик

Сотрудник

Зараженный

Источник

Назначение

Интернет

Ресурсы подрядчика

Сервер отдела кадров

Человеческие ресурсы

Восстановление

Разрешить использование IP










Отклонить использование IP











ПРЕИМУЩЕСТВА

Экосистема ISE – построена с использованием Cisco pxGrid Формула 1-2-3 …ISE интегрируется с ИТ-платформами для выполнения трех функций

ISE позволяет пользовательским ИТ-платформам учитывать

пользователей/идентификаторы, устройства и сеть

ISE - это лучшая платформа применения сетевых политик для

заказчиков

ISE предоставляет общий доступ к пользовательскому контексту, контексту устройств и сетей через ИТ-инфраструктуру

ISE получает контекст от экопартнеров для улучшения политики доступа к сети

1 2 3 ISE помогает ИТ-средам заказчика подключаться к сети

Cisco

ISE ЭКОПАРТНЕР

КОНТЕКСТ

ISE ЭКОПАРТНЕР

КОНТЕКСТ

ЭКОПАРТНЕР ISE

СЕТЬ CISCO

ДЕЙСТВИЕ

НЕЙТРАЛИЗАЦИЯ

Согласование ответов на вопросы «Кто, какое устройство, какой доступ»

и событий. Значительно лучше, чем просто IP-адреса!

Создание единого места для реализации комплексной политики сетевого доступа

благодаря интеграции

Сокращение времени, усилий и затрат на реагирование на события

безопасности и сети


Экосистема быстрого сдерживания распространения угроз

Максимальное использование растущей экосистемы — 8 новых партнеров pxGrid Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы

Что нового в ISE 2.0? Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.

Снижение затрат Сокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco

Улучшенный мониторинг сети Обеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях

Преимущества Упрощенное управление Единое место для управления политиками благодаря интеграции ISE с решениями сторонних производителей Новые партнеры ... войдут в экосистему быстрого сдерживания

распространения угроз

Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.

Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.

Межсетевой экран и контроль доступа


Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)

Быстрое сдерживание распространения угроз с помощью FMC и ISE Что нового в ISE 2.0? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.


•  Интеграция с решением Cisco AMP для защиты от вредоносных программ

•  Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE

•  Разрешение или отказ в доступе к порталу подрядчиков


FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный

Доступ запрещается каждой политикой безопасности

Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой

Раннее обнаружение угроз FireSight сканирует активность и публикует события в pxGrid

Корпоративный пользователь загружает файл

Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE

FMC сканирует действия пользователя и файл

В соответствии с новым тегом, ISE распространяет политику по сети


Улучшенный мониторинг обеспечивает полную картину действий оконечных устройств в сети Сеть как сенсор

•  Cisco ISE •  Портфель сетевых решений

Cisco •  Cisco NetFlow •  Lancope StealthWatch

Данные


Зона администратора

Зона предприятия

Зона POS

Зона подрядчика

Мониторинг способствует принятию практических решений благодаря сегментации и автоматизации Сеть как регулятор

•  Cisco ISE •  Портфель сетевых решений Cisco •  Cisco NetFlow •  Lancope StealthWatch •  Программно-определяемая сегментация TrustSec Cisco

Зона сотрудников

Зона разработки


Улучшенный контроль с помощью авторизации на основе местоположения

Авторизация на основе местоположения Администратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.


Что нового в ISE 2.0? Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.

Улучшенная реализация политики с помощью автоматического определения местоположения и повторной авторизации Упрощенное управление благодаря настройке авторизации с помощью инструментов управления ISE

Детализированный контроль сетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей

Возможности •  Конфигурация иерархии местоположений по всем объектам местоположения •  Применение атрибутов местоположения MSE в политике авторизации

•  Периодическая проверка MSE на предмет изменения местоположения •  Повторное предоставление доступа на основе нового местоположения

С интеграцией платформы Cisco Mobility Services Engine (MSE)

Холл Палата Лаборатория Скорая помощь

Врач

Нет доступа к данным пациента

Доступ к данным пациента

Нет доступа к данным пациента

Доступ к данным пациента

Данные пациента

Местоположения для доступа к данным пациента

Палата

Скорая помощь

Лаборатория

Холл


Ролевой контроль доступа

Упрощение управления ИБ с ролевым доступом

•  Ролевой контроль доступа •  Авторизация на уровне команд с подробной регистрацией действий •  Выделенный TACACS+ центр для сетевых администратаров •  Поддержка основных функций ACS5


Управление устройствами TACACS+


Что нового в ISE 2.0? Заказчики сейчас могут использовать TACACS+ в ISE для упрощения управления устройствами и расширения безопасности через гибкий и точный контроль доступа к устройствам.

Упрощенное и централизованное управление Рост безопасности, compliancy, подотчетности для всего спектра задач администрирования

Гибкий и точный контроль Контроль и аудит конфигураций сетевых устройств

Админы ИБ

TACACS+ Work Center

Сетевые админы

TACACS+ Work Center

Поддержка TACACS+ для управления устройствами

Централизованная видимость Получение всесторонней конфигурации TACACS+ через TACACS+ administrator work center


Упрощение управления защищенным доступом

Возможности •  Мониторинг активных сессия через AD и Network log-ins

•  Поддержка сессий клиентов Wired MAB и NADs

•  Уведовление справочников через PxGrid

•  Назначение VLANs, dACLs, SGTs и других для пользователей, авторизованных через EWA

Identity mapping

Более безопасно с интегрированным 802.1x, сапликантом и сертификатами

Базовый с whitelisting

Access

Security

Лучше и гибче С ISE Easy Wired Access


Что нового в ISE 2.0? Расширение Easy Wired Access (EWA) предлагает заказчикам расширение защиты проводных сетей с помощью ISE

С ISE Easy Wired Access (EWA)

Лучшая видимость в активных сетевых сессиях, аутентифицированных через AD

Расширенный контроль с опцией для Monitoring-only Mode или Enforcement-Mode

Гибкое внедрение которое больше не требует сапликанта или PKI, позволяя ISE использовать COA для повышения уровня защиты

Complexity

Identity

mapping

Monitor-only mode Enforcement–Mode User 1

Active Directory Login

User 1

Network Login

Publish to pxGrid

Admin 1

ISE

Access Security

Complexity

Access

Security Complexity

EWA, безопасная альтернатива «белым спискам» (whitelisting)


AnyConnect 4.2


Cisco AnyConnect®

Cisco AnyConnect: больше чем VPN

Базовый VPN Оценка состояния

Сервисы инспекции

Защита от угроз

Сетевая видимость

Функции Cisco AnyConnect

Корпоративный доступ

Интеграция с решениями Cisco®

Adaptive Security Appliance (ASA)

Aggregation and Cloud Services

Routers (ASR/CSR)

Switches and Wireless Controllers

Integrated Services Router (ISR)

Identity Services Engine (ISE)

NetFlow Collectors Web Security

Продвинутый VPN


Рост видимости в сети: Что нового в AnyConnect 4.2? Новый модуль AnyConnect Network Visibility Module (NVM) позволяет лучше «видеть» пользователей, ПК, приложения и обеспечивать аналитику на базе телеметрических данных

Обеспечение видимости в сети

•  Исключение избранных переменных для обеспечения приватности •  Сбор и отправка данных, когда AC в сети и/или VPN (включая split tunneling)* •  Хранение 24-часового кеша данных Netflow при отключении от сети •  Минимум воздействия на пользователя и общения с пользователем •  Встроенные аналитические возможности и отчетность обеспечивают лучший аудит •  Интеграция с Lancope* и LiveAction**


С AnyConnect Network Visibility Module (NVM)*

Преимущества Более полный обзор всей сети с лучшей поведенческой аналитикой и учетом контекста

Более эффективная защита против потенциальных угроз с лучшей видимостью сети, использующей преимущества сегментации Улучшение сетевых операций с анализом инцидентов для улучшения дизайна, планирования сети и траблшутинга

Collector Dashboard

•  Parent Process Identifier

•  Parent Process Name

•  Basic IP-based Flow Data

•  Unique Device ID

•  IP-based Flow Data With

•  Domain \ User Name

•  Process Name

•  Process Identifier

•  Device Name

До:

С AnyConnect 4.2:

•  Local and Target DNS

Netflow Collector

* New AnyConnect Module Only Available for Windows and OS X **Please check with these vendors regarding availability


Lancope

ЛВС/ЦОД Свитч/WLC

Роутеры Cisco / Устройства 3rd фирм

Угроза

pxGRID

Сетевые сенсоры Сетевые защитники Распределение политик и контекста

TrustSec Software-Defined

Segmentation

Cisco Collective Security

Intelligence

Защищаемые данные

NGIPS

pxGRID

ISE NGFW

AMP

AnyConnect

Интегрированная защита: ISE + AC + сеть


AMP Everywhere


AMP Threat Intelligence

Cloud

Windows OS Android Mobile Virtual MAC OS CentOS, Red Hat

Linux

AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall

with Firepower Services

AMP Private Cloud Virtual Appliance

AMP on Firepower NGIPS Appliance (AMP for Networks)

AMP on Cloud Web Security & Hosted Email

CWS

Threat Grid Malware Analysis + Threat

Intelligence Engine

AMP on ISR with Firepower Services

AMP Everywhere

ПК ПК

Периметр

сети

AMP for Endpoints

ЦОД

AMP for Endpoints

Удаленные ПК

AMP for Endpoints can be launched from AnyConnect


Обзор Threat Grid Everywhere

Подозрительный файл

Отчет

Периметр

ПК

Firewall & UTM

Email Security

Analytics

Web Security

Endpoint Security

Network Security

3rd Party Integration

S E C U R I T Y

Security monitoring platforms

Deep Packet Inspection

Gov, Risk, Compliance

SIEM

Динамический анализ

Статический анализ

Threat Intelligence

AMP Threat Grid

Решения Cisco по ИБ Другие решения по ИБ


Premium content feeds

Security Teams


Автоматическая загрузка подозрительных файлов

Загрузка Аналитик или система (API) загружают подозрительный файл в Threat Grid.


Периметр

ПК

ASA w/ FirePOWER

Services ESA

CTA WSA AMP for Endpoints

AMP for Network


ЗАКАЗЧИК

СООБЩЕСТВО ЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ

AMP Threat Grid

UMBRELLA Применение политик и мониторинг

Автоматический захват вновь обнаруженных вредоносных доменов за считанные минуты

Регистрация или блокировка всей Интернет-активности, предназначенной для этих доменов

файлы домены

Интеграция AMP Threat Grid и OpenDNS


Threat Awareness Service


Обеспечивает взгляд на угрозы, исходящие из своей компании, и направленной на нее

Постоянно отслеживает новые угрозы

Предлагает меры нейтрализации

Доступная всегда, каждый день

Проста в настройке и использовании

Это важно для сохранения сети в безопасности

Заказчики хотят Threat Intelligence которая:


Cisco Threat Awareness Service Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. •  Использование одной из лучших в мире баз данных угроз

•  Оперативное обнаружение вредоносной активности

•  Идентификация скомпрометированных сетей и подозрительного поведения

•  Помогает компаниям быстро идентифицировать скомпрометированные системы

•  Обеспечение рекомендаций •  Помогает ИТ/ИБ идентифицировать угрозы

•  Анализирует сетевой, исходящий из организации •  Позволяет улучшить общую защищенность


Cisco Threat Awareness Service: просто внедрить

Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: •  Капитальных вложений

•  Изменений конфигурации

•  Сетевых инструментов

•  Новых внедрений ПО

•  Сенсоров в сети заказчика

•  Дополнительных людских ресурсов

Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence


Active Threat Analytics


Люди Данные

Технологии

Новое решение - Active Threat Analytics

Аналитика


ATA (жизненный цикл сервиса) •  Планирование & Подготовка

1.  Уровень сети 2.  Классификация активов & Анализ защищенности 3.  Политики безопасности & ограничения

•  Сервисы обнаружения 1.  На базе потоков 2.  На базе сигнатур 3.  На базе поведения 4.  Полный захват пакетов

•  Сервисы реагирования 1.  Локализация 2.  Лечение

Защищаемая сеть


Полный захват пакетов / Анализ метаданных пакетов

Cisco Advanced

Threat Detection Обнаружение

угроз в Web-трафике

Нормализация и проверка данных

Обнаружение угроз в

трафике Email

Обнаружение вторжений

Автоматизация локализации

Исследования угроз и

уязвимостей

Расследования сетевых

инцидентов

Фокусировка на отраслях (например, производство, финансы, промышленность)

24x7 мониторинг


Advanced Threat Analytics: компоненты архитектуры

Сторона заказчика ЦОД заказчика

Заказчик A VRF

HTTP/HTTPS Proxy

Inte

rnet

VR

F

Защищенное соединение

Pa

ssiv

e Ta

p / I

ntel

ligen

t Vi

sibi

lity

Switc

h

Dire

ct C

onne

ctio

n

Заказчик

HTTP Malware Analysis

Email Malware Analysis

Protocol Metadata Forensics

Full-Packet Forensics

Signature-Based IDS

Protocol Anomaly Detection

NetFlow / HTTP Anomaly Detection

Context Repository

NetFlow Aggregation

Telemetry Aggregation

Acc

ess

Con

trol

VA Console

Malware Console / Sandbox

IME Console

Infrastructure Monitoring

Authentication Services

Fire

wal

l

Fire

wal

l

SMTP Services

SOC

Investigator I

Investigator II

Incident Manager

Authentication Services

Mgm

t VR

F

Active Directory

Investigator Portal

SO

C V

RF

Alerting / Ticketing System

Customer Portal

Por

tal V

RF

Threat Intelligence

Inte

l VR

F

Anomaly Correlation

Cisco Cloud (DC)

Internet

1)  Все данные сохраняются на стороне заказчика

2)  Все ATA-устройства работают в пассивном режиме, но в реальном времени


Threat Intelligence

Feeds

Обогащенные данные

ATA построена на базе OpenSOC

Full packet capture

Protocol metadata

NetFlow

Machine exhaust (logs)

Неструктурированная телеметрия

Другая потоковая телеметрия

Parse +

Format

Enrich Alert

Log Mining and Analytics

Big Data Exploration, Predictive Modelling

Network Packet Mining

and PCAP Reconstruction

Приложения + аналитика


Пример работы у заказчика за 2 недели

Заявки на расследования 71

269,808 событий безопасности

Уникальных событий 113,713

Коррелированные события

1710

207,992 61,816 Threat intel sourced Телеметрия


Active Threat Analytics Разные варианты предложения

Базовый Расширенный

Максимальный

§  Security Device Management §  Collective Security Intelligence §  Log Collection §  Event Correlation §  Rule-Based Analytics

+ Sourcefire and ThreatGrid + Statistical Anomaly Detection + NetFlow Generation + Protocol Metadata Extraction + Data Enrichment + Designated Investigations Manager

+ Hadoop/Big Data Analytics + Machine Learning + Full Packet Capture + Proactive Threat Hunting

Speed Accuracy Focus Speed Accuracy Focus Speed Accuracy Focus

Реагирование на инциденты

Управление устройствами

Add-ons:


Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015

Technology