2. 2
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
Периметр защищен, но инцидентов полно. Почему?
3. 3
Проблемы с традиционной моделью
«эшелонированной» безопасности на периметре
Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность
Ручные и статические
механизмы
Медленный отклик,
ручное управление,
низкая
результативностьНаличие обходных
каналов
Мобильные устройства, Wi-
Fi, флешки, ActiveSync,
CD/DVD и т.п.
Скрытые каналы
Специально
создаваемые скрытые
каналы (covert channel)
для обхода СрЗИ
4. 4
Архитектура современного предприятия
Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический
центр Talos
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
9. 9
От красивых слов к технологиям
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
10. 10
Какие проблемы мы должны решить во внутренней
сети?
Единая политика доступа, привязанная
к пользователям, а не устройствам
Разграничение
доступа на
уровне сетевой
инфраструктуры
Мониторинг
подозрительной
активности на
уровне сети
Защита от угроз
во внутренней
сети
Мониторинг
беспроводного
эфира
Сквозная защита
на уровне ЦОД,
периметра,
удаленного
доступа и BYOD
11. 11
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Software-Defined Segmentation based on business policy
Что такое единая политика на уровне сети?
Традиционная политика
Политика TrustSec
Источник
Назначение
Политика поддерживается везде
Коммутатор Роутер VPN &
МСЭ
Коммутатор
ЦОД
Контроллер
Wi-Fi
Упрощение правил МСЭ, ACL и VLAN
Предотвращение скрытых угроз
Снижение затрат на перестройку архитектуры сети
12. 12
Сервисы
аутентификации
Сервисы авторизации
Управление жизненным
циклом гостевого доступа
Сервисы
профилирования
Сервисы
оценки состояния
Доступ для групп
безопасности
Identity Services
Engine
Упрощенное
управление
политиками
Мне нужно разрешать подключение к сети только
определенных пользователей и устройств
Мне нужно, чтобы пользователь и устройства
пользовались соответствующими сетевыми сервисами
Мне нужно разрешить гостям доступ в сеть и управлять их
настройками
Мне нужно разрешать/блокировать использование iPad в
моей сети (BYOD)
Мне нужно, чтобы в моей сети были чистые устройства
Мне необходим масштабируемый способ реализации
политики доступа в сети
Реализация единой политики сетевого доступа
13. 13
Аутентификация пользователей и устройств
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных настольных
систем
Применение политик на порту коммутатора
Коммутатор Cisco Catalyst®
Web-аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по MAC-
адресам
Web-аутентификация
Сетевое устройство
802.1X
IP-телефоныАвторизо-ванные
пользователи
Гости
MAB и профилирование
Планшеты
14. 14
Политика для
личного iPad
[ограниченный доступ]
Точка доступа
Политика для
принтера
[поместить в VLAN X]
Автоматическое распознавание и идентификация
миллионов устройств
Принтер Личный iPad
ISE
CDP
LLDP
DHCP
MAC-адрес
CDP
LLDP
DHCP
MAC-адрес
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей
ПОЛИТИКА
Точка
доступа
СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
СБОР ДАННЫХ
Коммутатор собирает данные, относящиеся к
устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯ
ISE производит классификацию устройства,
сбор данных о трафике и формирует отчет об
использовании устройства
АВТОРИЗАЦИЯ
ISE реализует доступ на основе политик для
данного пользователя и устройства
Эффективная классификация
устройств с использованием
инфраструктуры
Решение
15. 15
Оценка соответствия узлов требованиям политик
ИТ и безопасности и корпоративным стандартам
Временный ограниченный доступ к
сети до устранения проблем
Пример политики для сотрудника
• Исправления и обновления Microsoft установлены
• Антивирус McAfee установлен,
обновлен и работает
• Корпоративный ресурс проходит проверку
• Приложение предприятия выполняется
Проблема:
• Наличие сведений о работоспособности
устройства
• Различие уровней контроля над устройствами
• Затраты на устранение проблем
Ценность:
• Временный (на web-основе) или постоянный
агент
• Автоматическое устранение проблем
• Реализация дифференцированных политик на
основе ролей
Пользователь проводной,
беспроводной,
виртуальной сети
Не соответствует
требованиям
16. 16
Гостевые политики
Управление гостевым доступом
Гости
Web-аутентификация
Беспроводный или
проводной доступ
Доступ только к Интернету
Выделение ресурсов:
гостевые учетные записи на
спонсорском портале
Уведомление:
сведения о гостевой учетной записи в
бумажном виде, по электронной почте
или SMS
Управление:
права спонсоров,
гостевые учетные записи и политики,
гостевой портал
Отчет:
по всем аспектам гостевых учетных
записей
Интернет
17. 17
Как контролируется доступ в сети Cisco?!
Тип
устройства
Местоположени
еПользователь
Оценка Время Метод доступа
Прочие
атрибуты
18. 18
Мониторинг активности внутри сети с помощью МСЭ/IPS
► Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
► Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
► Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
► Фильтрация URL-адресов на основе
репутации и классификации
► Система Advanced Malware Protection с
функциями ретроспективной защиты
Cisco ASA
VPN и политики
аутентификации
Фильтрация URL-
адресов
(по подписке)FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль
приложений
Межсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование
сети
Предотвращение
вторжений (по
подписке)
FW + NGFW + NGIPS + AMP + URL + SSL VPN + IPSec VPN
19. 19
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
обнаружено
Событие нарушения
зафиксировано,
пользователь
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует
Skype. Пользователь
идентифицирован, IT и HR
уведомлены.
IT & HR
провели с
пользователем
работу
Идентификация приложений «на лету»
21. 21
Создание «белых списков» / «списков соответствия»
• Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого уровней
• Разрешенные адреса / диапазоны
адресов
• И т.д.
22. 22
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение
зафиксировано,
уведомления
отправлены
IT
восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA
with FirePOWER обнаружил хост и
ненормальное поведение сервера в
ЦОД и уведомил IT.
Новый актив
обнаружен
Поведение
обнаружено
Обнаружение посторонних / аномалий / несоответствий
23. 23
Встроенная система корреляции событий (без SIEM)
• Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
• Приложения
• Уязвимости
• Протоколы
• Пользователи
• Операционные системы
• Производитель ОС
• Адреса
• Место в иерархии компании
• Статус узла и т.п.
24. 24
TrustSec
Enabled
Enterprise
Network
Identity
Services
Engine
NetFlow: Switches, Routers,
и ASA 5500
Контекст:
NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое
понимание внутренней активности в сети
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы
Cisco Identity, устройства, статус, приложения
А если мы не можем везде поставить сенсоры?
29. 29
Анализ NetFlow, но с привязкой к пользователям
• За счет интеграции Cyber Threat Defense (CTD) с Identity Service Engine возможно
получение контекста (имени пользователя, типа устройства и т.п.)
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя пользователя Тип устройства Цель
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная
утечка данных
10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество
хостов
30. 30
Идентификация и блокирование посторонних
беспроводных устройств в Cisco
• Само мобильное устройство не может сказать, что оно «чужое»
• Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и
беспроводного
• Wireless Controller / Wireless Adaptive IPS / Wireless Location Services помогают
контролировать беспроводной эфир
• Все это часть функционала платформы Mobility Services Engine
31. 31
Хорошо, мы видим, что происходит…
Сетевые
сервера
ОС
Рутера и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложения
Прикладные
протоколы
Сервисы
Вредоносное
ПО
Сервера
управления
ботнетами
Уязвимости
NetFlow
Сетевое
поведение
Процессы
33. 33
Обнаружить, понять и остановить угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
34. 34
И провести расследование инцидентов
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование
38. 38
Анализ траектории вредоносного кода
• Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло?
• Что еще произошло?
• С кем взаимодействовал
пострадавший?
39. 39
Признаки (индикаторы) компрометации. Вариант 1
События
СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера
40. 40
Признаки (индикаторы) компрометации. Вариант 2
4
Зачастую нет возможности установить
сенсоры IDS/IPS в сети
При этом в сети всегда есть сетевое
оборудование
Коммутаторы и маршрутизаторы
Превратите сеть в сенсор системы
обнаружения аномалий и
расследования инцидентов
41. 41
В качестве заключения
• Обнаружение внутренних угроз должно начинаться с разграничения
доступа на уровне сети, а не только на уровне узлов
• Для снижение числа внутренних угроз необходимо ограничивать и
контролировать работу приложений
• Принцип «белых списков» может быть и должен быть реализован не
только с помощью агентов на узлах, но и на уровне сети
• Сетевое оборудование уже имеет всю необходимую информацию для
обнаружения внутренних угроз
• Эффективное обнаружение внутренних угроз подразумевает интеграцию
разбросанных по сети систем в единый комплекс, позволяющий
обнаруживать то, что по отдельности не отслеживается