More Related Content
Similar to Cisco Web Security - обзор технологии и функционала
Similar to Cisco Web Security - обзор технологии и функционала (20)
More from Cisco Russia (20)
Cisco Web Security - обзор технологии и функционала
- 1. 1C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Алексей Лукацкий
Cisco Systems, бизнес-консультант, EMEAR Security
Cisco Web Security
- 2. 2C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Зксплоиты
Кражи и
шпионаж
Прерывание
работы
Безопасность Web – ставки выше, чем когда-либо
- 3. 3C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Web страницы содержат скрытые угрозы
• Flash
• Java
• JPG
• PDF
• Script
• .exe
• Etc.
Potential
threats
- 4. 4C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Facebook time:
2,110,516 minutes or
35,175 hours, 1465
days, 4.1 years!
# of Facebook likes:
3,925,407 at 1 second a
like that’s almost 1100
hrs/day or 45 days just
liking things!
Bytes on YouTube
video playback:
11,344,463,363,245
or 10 TB
Pandora:
713,884,303,727
or .6 TB
Total browse time for
the day:
2,270,690,423 or
4,320 Years.
Total bytes for the day:
70,702,617,989,737
or 64 TB over 15% from
YouTube!
Потеря производительности – это тоже угроза
Сколько полосы пропускания занимает ежедневно Web 2.0?
Source: Cloud Web Security Report
- 5. 5C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Мы можем помочь. Cisco Web безопасность
обеспечивает…
Сильную защиту
Защита каждого устройства, везде, в любое время
Полное управление
Управление Web трафиком для всех устройств
Защита инвестиций
Предоставление больше за ваши инвестиции
- 6. 6C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco – это лидер в квадранте Gartner для Secure Web
Gateways
Gartner’s Magic Quadrant for Secure Web Gateways
Lawence Orans, Peter Firstbrook, 28 May 2013
This graphic was published by Gartner, Inc. as
part of a larger research document and should be
evaluated in the context of the entire document.
The Gartner document is available upon request
from this URL.
Gartner does not endorse any vendor, product or service
depicted in its research publications, and does not advise
technology users to select only those vendors with the highest
ratings. Gartner research publications consist of the opinions of
Gartner's research organization and should not be construed as
statements of fact. Gartner disclaims all warranties, expressed or
implied, with respect to this research, including any warranties of
merchantability or fitness for a particular purpose.
AbilitytoExecute
Completeness of Vision
Challengers Leaders
Niche Players Visionaries
Cisco
Blue Coat Systems
Websense
Zscaler
McAfee
Symantec
Barracuda
Networks
Trend Micro
Trustwave
Sophos
Sangfor
ContentKeeper
Technologies
Phantom
Technologies-iboss
Security
- 7. 7C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web безопасность обеспечивает сильную защиту
WWW
Время
запроса
Время
ответа
Cisco® SIO
URL Фильтрация
Репутационный фильтра
Динамический анализ (DCA)
Сигнатурные anti-malware движки & AMP
Анализ в Sandbox real-time
BlockWWW
BlockWWW
BlockWWW
BlockWWW
AllowWWW
WarnWWW WWW Partial
Block
BlockWWW
cws
- 8. 8C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Control
Cisco
AnyConnect®
Cisco
IPS
Cisco CWS
WWW
Cisco WSACisco ASACisco ESA
Visibility
WWW
Web
Endpoints
Devices
Networks
Email
IPS
Cisco Security Intelligence Operations (SIO)
Выдающийся глобальный облачный механизм безопасности
1.6 million
global sensors
100 TB
of data received per day
150 million+
deployed endpoints
35%
worldwide email traffic
13 billion
web requests
24x7x365
operations
40+
languages
600+
engineers, technicians, and researchers
80+
PH.D., CCIE, CISSP, AND MSCE users
More than US$100 million
spent on dynamic research and development
3- to 5-
minute updates
5,500+
IPS signatures produced
8 million+
rules per day
200+
parameters tracked
70+
publications produced
Информация
обновления
Cisco® SIO
- 9. 9C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
1.Скан текста
Cisco Web Usage Controls
URL фильтрация и динамический анализ контента
WWW
URL Database
3.Вычисление близости к
эталонным документов
4.Наиболее близкое
совпадение категории
2. Определение
релевантности
Finance
Adult
Health
Finance Adult Health
AllowWWW
WarnWWW WWW Partial
Block
BlockWWW
5. Применение
политики
Если не знаем --
анализ
BlockWWW
WarnWWW
AllowWWW
Если знаем
- 10. 10C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Анализ репутации
Мощь контекста в реальном времени
Suspicious
Domain Owner
Server in High
Risk Location
Dynamic IP
Address
Domain
Registered
< 1 Min
192.1.0.68
example
.com
Example.org17.0.2.12 BeijingLondonSan JoseKiev HTTPSSLHTTPS
Domain
Registered
> 2 Year
Domain
Registered
< 1 Month
Web server
< 1 Month
Who HowWhere When
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 011
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP Значение репутации
- 11. 11C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Механизм динамического анализа контента (DCA)
Идентификация большей части спорного контента
Останавливает 50% спорного контента*
*Source: Cisco SIO, based on data from customer production traffic
Высокая производительность
• База данных URL – более 50
млн ужлов
• Категоризация в реальном
времени для неизвестных URL
• Поддержка русского языка
Настройка для обычно
блокируемого контента
• Pornography and Adult
• Hate
• Gambling
• Proxy Avoidance
Анализ контента с
человеческой точки зрения
• Эвристический анализ на
основе моделирования
концепции контента
• Улучшенная точность
- 12. 12C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Adaptive
Scanning
Адаптивное сканирование: автоматический выбор сканера
Репутация + тип контента + выбор сканера = Адаптивное сканирование
www.anysite2.com -3.5
www.anysite1.com +1.1
www.anysite3.com -5.5
WSA
10 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 1110100
10 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 1110100
Cisco® SIO
HTML
HTML
HTML
- 13. 13C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сканирование Malware в реальном времени
Dynamic vectoring and streaming
Сигнатурный и эвристический анализ
• Оптимизация эффективности и уровня
обнаружения с интеллектуальным мульти-
сканированием
• Расширенное покрытие несколькими
механизмами
• Идентификация зашифрованного вредоносного
трафика с помощью перехвата, расшифровки и
сканирования SSL трафика
• Улучшение впечатления пользователя
благодаря параллельному потоковому
сканированию для более быстрого анализа
• Всегда самые свежие сигнатуры благодаря
автоматическим обновлениям
Эвристическое обнаружение
Необычное поведение
Anti-Malware сканирование
Параллельное, потоковое сканирование
Сигнатурная проверка
Идентификация известного поведения
Несколько
движков Anti-
Malware
- 14. 14C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Анализ в Sandbox в реальном времени для определения атак
нулевого дня
Анализ каждого объекта на странице (CWS only)
Эмуляция в реальном времени
- 15. 15C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Основные функции AMP на Cisco Email и Web
Security
File Sandboxing
Анализ поведения
неизвестных файлов
File Retrospection
Ретроспективный
анализ после атаки
File Reputation
Блокирование
вредоносных файлов
- 16. 16C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
За горизонтом события ИБ
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо =
Блокировано
Ретроспективное
обнаружение, анализ
продолжается
- 17. 17C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Интеграция AMP & VRT & ESA/WSA/CWS
AMP клиент – единый модуль, который применяется в WSA и ESA
Web/Sender
Reputation
Web/
Email
Proxy
VRT Sandboxing
WSA/ESA/CWS
Amp connector
Локальные
AV-сканеры
Запрос репутации файла
AMP
Cloud
Неизвестный файл,
загрузка в песочницу
Обновление
репутации
файлов
Sandbox
connector
AMP Client
Local
Cache
Обновление
ретроспективы
- 18. 18C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
File SHA Hash
‘Fingerprint’
Неизвестно 1->100
Файл
распознан
Файл неизвестен
Отправить в песочницу?
Да
Нет
1->59 : чисто
60->100: заражено
Вердикт «Чисто»
Вердикт «Заражено»
Реакция по политики
ESA / WSA
Amp
Service
Amp Cloud Service
Вердикт
«Чисто» + отправить
в песочницу
Вердикт «Чисто»
Amp Client
Чисто
Заражено
Вердикт Рейтинг
Нет рейтинга
Принятие решений в связке AMP и ESA/WSA/CWS
- 19. 19C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Мониторинг угроз на сетевом уровне
Пользователи Анализ на сетевом уровне
Предотвращение трафика
ботнетов (“Phone-home”)
• Сканирование всего трафика, на всех
портах, по всем протоколам
• Обнаружение вредоносного ПО,
обходящего порт 80
• Предотвращение трафика ботнетов
Мощные данные для борьбы с
вредоносным кодом
• Автоматически обновляемые
правила
• Генерация правил в реальном
времени, используя “динамическую
идентификацию”
Инспекция
пакетов и
заголовков
Интернет
- 20. 20C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web Security предлагает полное управление
Data Loss Prevention (DLP)
Application Visibility and
Control (AVC)
Admin
AllowWWW
WWW Partial
Block
BlockWWW
Centralized
Management &
Reporting
Policy
Threat Protection
User
Cisco Web Usage Controls
- 21. 21C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Application Visibility and Control (AVC)
1,000+ Apps
URL фильтрация
• База данный URL –
более 50 млн сайтов
• Динамическия
категоризация для
неизвестных URL Application
Behavior
150,000+
Micro-Apps
• Управление
приложениями Web
2.0
• Политика для
работы с
приложениями
• Поведение внутри
приложений
• Обзор деятельности
в сети
http://
+
Правила применения в сегодняшнем Web
Снижение уровня «расстроенности» пользователей
- 22. 22C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Безопасный поиск и рейтинг контента
Более глубокий контроль приложений
Безопасный поиск
Предотвращение обхода политики с помощью
поисковиков
Гарантия того, что поисковые механизмы вернут
результат, в котором нежелательный контент
отфильтрован
Настройка – один клик
Поддержка: Google, Bing, Yahoo, Yandex. Дальше
-- болше
Рейтинг сайтов
Блокирование нежелательного контента
на разных сайтах
Основано на метаданных, а не на
анализе файлов
Поддержка: Flickr, Craigslist, YouTube
- 23. 23C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Предотвращение утечек данных
Снижение риска утечки чувствительной информации
On-Premises
Интеграция DLP
по ICAP
протоколу
CWS
WSA
Cloud
DLP вендор
WSA
+
Базовый DLP
Расширенный
DLP
Базовый DLP
- 24. 24C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Контроль полосы пропускания для потокового медиа
• Механизм AVC обнаруживает потоковое аудио и
видео, которое использует HTTP как транспорт
• Ограничения по пользователям
Каждому клиенту разрешается использовать N Kbit/sec для
потокового медиа
Ограничение перегрузки, применение правил
использования, увеличение производительности
пользователей
• Агрегатные ограничение
Потоковое медиа может использовать не более, чем N
мбит/сек полосы пропускания
Гарантия полосы
• Может комбинироваться с категориями и Identlties.
- 25. 25C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Централизованное управление и отчетность
Complete solution for on-premises or cloud
Централизованная
отчетность
Централизованное
управление
Просмотр угроз
Возможности расследования
Внутри
Угрозы, данные, приложения
Управление
Общие политики между офисами и
удаленными пользователями
Обзор
Разные устройства, сервисы, сетевые
уровни
Управление
политиками
Делегированное
администрирование
Анализ, исправление и переработка политик безопасности
- 26. 26C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Защита мобильных пользователей
Cisco AnyConnect Secure Mobility Client
Пользователи с
телефонами, лаптопами,
планшетами
Пользователи
с ноутбуками
Client installed on machine
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Вердикт
CWS applies web
security features
WSA применяет
политики
Web Security
Location
Перенаправление
Web трафика
Перенаправление
трафика в WSA
Трафик
через
VPN
попадает
в HQ
Направляет
трафик на
ближайший Web
прокси
Cisco
AnyConnect™
Client
VPN
ACWS
VPN
- 27. 27C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Context Directory Agent
Цель CDA – предоставить ASA / ASA NGFW / WSA / CWS информации о
соответствии IP-адреса и имени пользователя для применении политики
безопасности, базирующейся на имени пользователя, а не IP-адреса
CDA, заменяющий AD Agent, интегрируется с ISE 1.1.x и ACS 5.3/5.4 и
позволяет получить информацию о пользователях, не зарегистрированных
в AD
- 28. 28C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco Web Security Virtual Appliance
Выгоды
• Выбор форм-фактора
• Гибкость развертывания
• Ценовая модель – подписка
Варианты использования
• Региональный офис
• Пики трафика
• Инициатива облака/виртуализация
Cisco UCS
Appliance
+
+
WSAV