O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

Ландшафт технологий кибербезопасности 2025

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 73 Anúncio

Ландшафт технологий кибербезопасности 2025

Baixar para ler offline

Презентация про перспективные технологии кибербезопасности, прочитанная в Академии кибербезопасности Сбербанка

Презентация про перспективные технологии кибербезопасности, прочитанная в Академии кибербезопасности Сбербанка

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a Ландшафт технологий кибербезопасности 2025 (20)

Anúncio

Mais de Aleksey Lukatskiy (13)

Mais recentes (20)

Anúncio

Ландшафт технологий кибербезопасности 2025

  1. 1. 18 декабря 2017 Бизнес-консультант по безопасности Ландшафт технологий кибербезопасности 2025 Алексей Лукацкий
  2. 2. Что влияет на кибербезопасность? Трансформация продаж и услуг $152B Работники следующего поколения $50B Платежи $43B Видео-советники $38B Таргетированная реклама и маркетинг $33B Брендированные услуги $25B Виртуальные помощники $5B Инновационные продукты $19B Консалтинг $9B APT Инсайдеры Мошенничество Законодательство Финтех Кибер- безопасность Социальные сети Software Defined Networks Мобильность Большие данные и аналитика Интернет вещей Облачные технологии Искусственный интеллект
  3. 3. Магические аббревиатуры 1. FW, IDS, IPS, AV, VM, DLP, PKI, SIEM, UTM, WAF, MDM, HIPS 2. NTA, EDR, SOC, UEBA, CASB, TI, EPP, NGAV, STAP, EVC, BDS, PAM, NFT, IRP, NAC, SAT, IAG, NGEP, AEP, AWL 3. SDS, SDP, DDP, MDR, SOAR !Что у вас есть? В утвержденном сегодня плане мероприятий по ИБ в рамках «Цифровой экономики» есть и другие аббревиатуры
  4. 4. Мобильные пользователи Филиал Где/как мы обычно строим защиту? Облако Сеть Админ ЦОД Пользователи ЗАПИСЫВАТЬ каждую коммуникацию Понимать, что такое НОРМА Предупреждать об ИЗМЕНЕНИЯХ ЗНАТЬ каждый узел Реагировать на УГРОЗЫ быстро HQ
  5. 5. Даже если ваш периметр защищен • А что делать с возрастающим объемом зашифрованного трафика (например, TLS)? • А как быть с технологиями типа pinning? • А наш периметр готов к переходу в облака? • А периметр учитывает программно- определяемые сети и сегментацию? 🤦
  6. 6. Пора задуматься о смене стратегии © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
  7. 7. Как «читать» гартнеровские хайпы Впервые стали говорить Много шума Не так страшен черт, как его малюют Наработаны контрмеры Плато продуктивности технологии Исследования Пора пилотировать Время принимать решения Пора брать
  8. 8. Инфраструктурная безопасность • Инфраструктурная безопасность – наиболее проработанный и зрелый рынок • Российские вендоры смотрят именно сюда, как на наиболее «понятный» им сегмент
  9. 9. Откуда вы берете данные об угрозах? • TI – это базирующееся на доказательствах знание об угрозах (индикаторы компрометации, контекст, механизмы, тактики, процедуры, акторы и др.) • Знать не достаточно – примените знание к вашим решениям по ИБ • Не чурайтесь бесплатных и open source источников и решений • Внедрите платформу TIP и интегрируйтесь с SIEM 💻Cisco, Kaspersky Lab, Group-IB, Перспективный мониторинг, ГосСОПКА, FinCERT, BI.ZONE
  10. 10. ПК остаются основной точкой входа для инцидентов инцидентов начинаются на ПК 70% ПОЧЕМУ? Разрыв в защите организаций говорят, что атаки обходят средства предотвращения 65% Ошибки пользователей атакующих обходят защиту ПК из-за ошибок пользователей 48% Разрыв в видимости Организаций не могут определить причину инцидента 55% среднее время обнаружения в индустрии 100ДНЕЙ Источник: Cisco
  11. 11. 3 современных подхода к защите ПК может требовать дополнительной экспертизы и ресурсов Обнаруживать IOCs & аномалии в системной активности 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0 может потребовать от пользователей изменения поведения и может быть сложным во внедрении Изолировать приложения & данные в гипервизоре/контейнерах 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0 может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или приложению Предотвращать соединения в Интернет- активности 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0
  12. 12. Защита DNS Защищает доступ к Интернет везде Вредонос C2-соединения Фишинг HQ Sandbox NGFW Proxy Netflow AV AV ФИЛИАЛ Router/UTM AV AV ROAMING AV Первая линия Все это начинается с DNS DNS используется всеми устройствами Защита от вредоносов, фишинга и общения с C2 Получение контроля над всеми устройствами и пользователями в Интернет
  13. 13. Сдвиг с предотвращения к реагированию Защита в момент времени Непрерывная защита Сеть ПК Мобильное устройство Виртуальная машина Облако Жизненный цикл внутренней угрозы Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановлени е ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
  14. 14. EDR: на что обратить внимание? • Фокус на обнаружение продвинутых угроз, реагирование и расследование • Обнаружение за счет контроля поведения или через IoC • Производительность агентов • Где управление и анализ данных – консоль, локальный ПК, облако? • Интеграция с сетевой безопасностью для лучшего обнаружения • Постепенное слияние с сегментом EPP 💻
  15. 15. EDR vs STAP vs EVC EDR STAP EVC BDS NGEP AEP Gartner IDC Forrester NSS Labs EDR – Endpoint Detection & Response STAP – Specialized Threat Analysis & Protection EVC – Endpoint Visibility & Control BDS – Breach Detection System NGEP – Next Generation Endpoint Protection AEP – Advanced Endpoint Protection
  16. 16. Игроки рынка EDR • Carbon Black, Cisco, CounterTack, CrowdStrike, Cyberbit, Cyberreason, Cynet • Digital Guardian, Endgame, F-Secure, Fidelis, Fireeye, WatchGuard • Invincea, LightCyber, McAfee, Microsoft, Nuix, Outlier Security, Panda, RSA • SecDo, SentinelOne, Symantec, Tanium, Verint • Open Source: Google Rapid Response, Facebook osquery, Mozilla Investigator, El Jefe, Lima Charlie, Sysmon + ELK 💻
  17. 17. Нехватка специалистов по безопасности Потребность в специалистах по кибербезопасности в 12 раз выше, чем в ИТ- специалистах Нехватка специалистов по кибербезопасности в России составляет около 55-60 тысяч человек при ежегодной подготовке 25500 человек Компании с недостатком специалистов, тратят на борьбу с последствиями атак в среднем в 5 раз больше ? Мировая нехватка специалистов по кибербезопасности составит к 2020-му году 1 миллион человек Security Team
  18. 18. MDR vs EDR: что выбрать? • Необходимость внедрения концепции EDR при отсутствии экспертизы или ресурсов • Услуга реагирования на инциденты опциональна • Возможно ваш MSSP предлагает или планирует предлагать эту услугу • Возможно EDR-вендор предложить вам «урезанную» версию сервиса • Не забывайте, что это аутсорсинг со всеми его плюсами и минусами 💻Cisco, AlertLogic, FireEye, eSentire, Rapid7, Raytheon, Red Canary, SecureWorks, Artic Wolf
  19. 19. Угроза может проникнуть минуя периметр Лобби и переговорки… Вы их контролируете? Любопытство возьмет верх или нет?
  20. 20. А еще хакеры лезут через Wi-Fi
  21. 21. Сеть как масштабируемый источник знаний Interwebs Internal Network Ключевые NetFlow поля • Packet count • Byte count • Source IP address • Destination IP address • Start sysUpTime • End sysUpTime • Packet count • Byte count • Input ifIndex • Output ifIndex • Type of Service • TCP flags • Protocol • Next hop address • Source AS number • Dest. AS number • Source prefix mask • Dest. prefix mask Использование Время Где QoS От/Куда Использование Роутинг и пиринг NetFlow Data NetFlow Collector
  22. 22. NTA: на что обратить внимание? • DPI или NetFlow/sFlow/jFlow/cFlow/IPFIX (поддерживает ли оборудование?) • Это не IDS/SIEM/UEBA – разные задачи • Физическое / виртуальное устройство / работа с сетевым оборудованием напрямую • Работа в облачных средах • Взаимодействие с агентами на узлах для подтверждения атаки • Конфликт «сетевики vs безопасники» – чье решение? 🕸Cisco, Darktrace, Vectra, LightCyber, Fidelis, FireEye, Phirelight, Trend Micro, Kaspersky Lab, SS8, Microolap
  23. 23. Технология поведенческой аналитики: ключевые особенности • Анализ активности пользователей, как первоочередная задача • Анализу подлежит активность и поведение пользователей, а не роли, атрибуты или параметры доступа (хотя они важны в контексте) • Анализ подразумевает не использование жестко зафиксированных правил корреляции, а применение более интеллектуальных методов (например, машинного обучения и т.п.), позволяющих без описанных ранее шаблонов зафиксировать аномалии в поведении
  24. 24. 3 причины обращения заказчиков к UEBA • Нехватка возможностей существующих решений и технологий по обнаружение угроз, связанных с деятельностью пользователей • Необходимость мониторить окружение, которое не покрывается другими решениями и технологиями • Высокая стоимость сортировки и приоритезации событий ИБ в существующих SIEM-решений, которые как-то но оперируют событиями, связанными с пользователями
  25. 25. Продукт или технология? • Вы можете выбрать отдельный продукт или встроенную в существующее решение технологию / функцию • Возможно сегмент отдельных продуктов UEBA «вымрет», слившись с другими классами продуктов, повысивших свою эффективность работы с пользовательским контекстом UEBA Технология SIEM DLP NTA EDR IAG/PAM Продукт
  26. 26. UEBA: на что обратить внимание? • Анализ активности (профилирование) пользователя на разных уровнях (логи, поведение, сетевой трафик) • Какие источники данных поддерживаются? • Необходимо понимать свое окружение и что такое «нормально» или «аномально» • Отдельный продукт или одна из функций SIEM, NTA, EDR, PAM, DLP 🙇Balabit, Exabeam, Gurucul, Fortscale, Intersect, Preempt, RedOwl, Rapid7, Securonix, Splunk
  27. 27. Сетевые ресурсыПолитика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативам P Что Когда Где Как Программно определяемая микросегментация Дверь в сеть Контекст
  28. 28. SDS: на что обратить внимание? • Агенты, виртуальные устройства, контейнеры или использование сетевого оборудования • Работа с облачными средами • Понимание топологии и матрицы доступа • Интеграция с существующей сетевой инфраструктурой и структурой ИБ • Начните с критических сегментов и приложений 🚦Cisco, Illumio, vArmour, CloudPassage, NeuVector, AWS, Azure, Unisys, Catbird, Saife
  29. 29. Богатый контекст Василий Планшет Здание 7, корпус 2, 1 этаж 11:00 AM Europe/Moscow 11-00 AM Беспроводная сеть Безопасность в контексте Кто Что Где Когда Как Отсутствие контекста IP Address 192.168.1.51 Не известно Не известно Не известно Не известно Нужный пользователь с нужным устройством попадет в сеть только из нужного места с необходимыми правами Любой пользователь. Любое устройство откуда угодно попадает в сеть Результат Контекст:
  30. 30. SDS vs SDP: на что обратить внимание? • Схожая с SDS технология обеспечения доступа к периметру предприятия на основе контекста (кто, откуда, приложение и т.п.) • Поддержка IaaS • Изменение дизайна и концепции «Интернет- периметра» 🚦Unisys, Cisco, Certes, Saife, Dispel, BlackRidge, Akamai, Vidder, Zentera
  31. 31. Кто? Известные пользователи (Сотрудники, продавцы, HR) Неизвестные пользователи (Гости) Что? Идентификатор устройства Классификация устройств (профиль) Состояние устройства (posture) Как? Проводное подключение Беспроводное подключение VPN-подключение Где / куда / откуда? Географическое местоположение Департамент / отдел SSID / Порт коммутатора Когда? Дата Время Другие? Пользовательские атрибуты Статус устройства / пользователя Используемые приложения Опыт использования контекста внутри сети Cisco
  32. 32. Хакеры атакуют мгновенно и сидят в сети незаметно Bitglass 205 Trustwav e 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305 Cisco 200
  33. 33. Обман как тактика в ИБ • Сети (IP, VLAN) • Сервера (контроллеры, Web, SQL) • Уязвимости приложений • ПК • Данные (логины/пароли, файлы, куки и др.) Надувной истребитель
  34. 34. DDP: на что обратить внимание? • Агент или виртуальное устройство • Типы эмулируемых систем • Наличие ресурсов для работы с такими системами • Понимание существующей топологии • Интеграция в существующую систему ИБ на предприятии 🔮Attivo, TrapX, Cymmetria, Illusive, Javelin, TopSpin, GuardiCore, Acalvio, Код безопасности
  35. 35. А можно попробовать бесплатно? • Amun • Conpot • Dionaea • DCEPT • Elastichoney • Glastopf • Honeyd • HoneyDrive • Kippo • p0f • ShockPot • Wordpot 🔮Возможно стоит попробовать open source решения для оценки идеи и ее реализации
  36. 36. От обмана к симуляции 👊AttackIQ, Core Security, Cymulate, SafeBreach, Verodin, Threatcare • Технологии симуляции атак позволяют предсказать, что произойдет в вашей организации в случае взлома • Портфолио симулируемых атак (размер и частота обновления) • Не отменяет пентестов, часто требуемых на уровне законодательства
  37. 37. Согласно оценкам Гартнер к 2018: 25% корпоративного трафика будет миновать периметр ИБ.
  38. 38. Облачные приложения становятся неотъемлемой частью бизнеса Как осуществляется их защита? Удаленный доступ Оперативность и скорость Улучшенное взаимодействие Увеличение продуктивности Экономичность Утечка конфиденциальных данных Риски несоответствия правовым нормам Риск инсайдерских действий Вредоносное ПО и вирусы
  39. 39. Понимание рисков, связанных с облачными приложениями, для вашего бизнеса Это проблема, так как ваш ИТ-отдел: • Не видит, какие используются приложения • Не может идентифицировать опасные приложения • Не может настроить необходимые средства управления приложениями сотрудников признают, что используют неутвержденные приложения1 72% ИТ-отделов используют 6 и более неутвержденных приложений2 26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов 35% «Теневые» ИТ Использование несанкционированных приложений Источник: 1CIO Insight; 2,3Gartner
  40. 40. Понимание рисков использования данных в облачных приложениях Это проблема, так как ваш ИТ-отдел: • Не может остановить утечку данных и устранить риски несоблюдения нормативных требований • Не в состоянии заблокировать входящий опасный контент • Не в силах остановить рискованные действия пользователей организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1 90% приложений могут стать опасными при неправильном использовании2 72% файлов на каждого пользователя открыто используется в организациях3 185 «Теневые» данные Использование санкционированных приложения для неправомерных целей Источник: 1Ponemon, 2013 Cost of Data Breach Study; 2CIO Insight; 3Elastica
  41. 41. Payroll.docx Пользователи свободно обмениваются информацией и это может привести к нарушениям безопасности Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных приложений и «теневых» данных При использовании облачных приложений ИТ-отдел не может контролировать все разрешения на совместное использование 20% совместно используемых файлов содержит данные, связанные с соблюдением нормативов
  42. 42. Облачная безопасность • Облачная ИБ находится еще на заре своего развития • Объект защиты находится преимущественно за пределами корпоративной сети
  43. 43. Что такое CASB? Утечки данных Защита данных и соответствие требованиям Риски теневых ИТ и приложений Контроль и видимость приложений Скомпрометирован- ные учетные записи и внутренние угрозы Защита от угроз и UEBA ПриложенияУчетные записи Данные
  44. 44. CASB: на что обратить внимание? • Контроль через forward/reverse proxy или через API • Рейтинг рисков приложений и действий • Мониторинг данных и UEBA • Интеграция с защитой периметра • Поддержка ваших облачных сервисов (в России могут быть сложности) ☔Cisco, SkyHigh, Microsoft (Adallom), Symantec, Forcepoint, Oracle, Netskope, CipherCloud
  45. 45. Безопасность ваших облачных рабочих мест AV HIPS EDR, мониторинг поведения Шифрование данных, IaaS Защита памяти / предотвращение эксплойтов Контроль приложений (AWL) Управление целостностью системы Сегментация, МСЭ, visibility Конфигурация, управление уязвимостями Нет клиентов Web/Email Управление привилегиями админов Управление изменениями Управление логами Гигиена Базовые меры защиты серверов Опциональные меры защиты серверов
  46. 46. На что обратить внимание? • EPP – не лучшее решение для серверов • Интеграция с IaaS • Наличие полного API • Поддержка гибридного управления (для облаков и решений on premise) ⛅Carbon Black, Illumio, Kaspersky Lab, McAfee, Sophos, Symantec, Trend Micro, Tripwire
  47. 47. Безопасность данных • Безопасность данных находится над инфраструктурной и облачной ИБ (другое измерение) • Наиболее интересные и инвестируемые сегодня технологии
  48. 48. Безопасность приложений • Бизнес и регуляторы предъявляют все больше требований к безопасности приложений • Требуется повышение осведомленности разработчиков
  49. 49. Как выглядит рынок ИБ изнутри • Аналитика – это обязательная функция любого продукта по ИБ (без нее продукт обречен) • SaaS-версия продукта часто помогает развитию
  50. 50. Аналитика ИБ – это сегодня «must have» Что происходит? Почему это происходит? Что произойдет? Что я должен сделать? Описать Диагностировать Предсказать Предписать IDS, AV, SIEM, TI NTA, UEBA, NFT, EDR Fraud Detection SOAR, Attack Simulation Правила, машинное обучение, обнаружение аномалий, исторический анализ (ретроспектива), искусственный интеллект
  51. 51. Машинное обучение (искусственный интеллект) Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее
  52. 52. Шифрованный трафик: знак времени Приватность граждан Требования государства ИБ организации Шифрованный трафик растет Он составляет 60% от общего объема https:// Растущая тенденция шифрования Web-трафика создает ложное чувство защищенности и слепые зоны для защитников
  53. 53. Технология анализа зашифрованного трафика Известный трафик ВПО Известный «чистый» трафик Анализ метаданных в сетевом трафике Применение машинного обучения для построения детекторов Сессии известного ВПО детектируются в зашифрованном трафике с точностью 99+% “Identifying Encrypted Malware Traffic with Contextual Flow Data” AISec ’16 | Blake Anderson, David McGrew
  54. 54. Обнаружение ВПО в шифрованном трафике Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD 54
  55. 55. От SIEM к SOAR • В отличие от анализа логов, обеспечиваемого SIEM, решения SOAR вобрали в себя целый набор различных технологий, обеспечивающих деятельность SOC и служб мониторинга ИБ
  56. 56. Отражение угроз • Гартнеровские циклы с разных точек зрения оценивают различные технологии и сегменты, что позволяет выбрать правильную точку зрения
  57. 57. Классическая пара МСЭ+AV для борьбы с современным ВПО • Памятник вирусу NotPetya / Nyetya в Сколково • Открыт 18 декабря 2017 года при участии компании «Инвитро»
  58. 58. Может ли классическая пара МСЭ+AV бороться с APT? Реальное время или близкое к нему Анализ пост- фактум Сеть Анализ сетевого трафика Расследование инцидентов на уровне сети Содержимое Анализ содержимого Оконечные устройства Анализ поведения на оконечных устройствах Расследование инцидентов на уровне оконечных устройств • Откуда брать данные об угрозах? • Кто анализирует поведение? • Где анализируется поведение? • Как увеличить время проникновения и сбора следов?
  59. 59. Что надо учитывать при борьбе с ВПО? Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановлени е ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ Network Forensics Endpoint Forensics SOAR Attack Simulation Network Traffic Analysis Network Sandboxing User Entity Behavior Analytics Deception Threat Intelligence
  60. 60. Почему такой набор? Канал • Интернет: E-mail • Интернет: Web • Внутри: Wi-Fi • Физический доступ: USB, цепочка поставок, обновление ПО, подрядчики Техника заражения • Старое ВПО • Известный эксплойт • Новый эксплойт к недавней уязвимости • 0day Тело вредоноса • Старое ВПО – известный хэш • Известное тело – простые модификации • Новое тело + обфускация • Нет повторного использования прежних атак • Различные техники обхода на разных уровнях
  61. 61. Борьба с ВПО выглядеть должна так • Эшелонированная оборона • Различные технологии обнаружения • Защита на уровне ПК, сети и Интернет • Контроль семплов и инфраструктуры злоумышленников Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Контроль приложений ЛокализацияЗащита серверов Изоляция Мониторинг DNS Mobile Device Management (MDM) ИБ IaaS/PaaS CASB
  62. 62. Вам нужен продукт или решение ваших задач?
  63. 63. iCAM People Data Identity Policy Identity Data Center Lab End Points Public Cloud User Identity Device Identity Applications & Data InfoSec End User HR/Legal Manager Raw Events Corrective Action Alert Feedback CPR HRMS LDAP OnRamp DCE ISE EMANCES PSIRT BI DI DLP GDM ARTCEPM DSPL Всё ли можно купить на рынке? Источник: Cisco
  64. 64. Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … iCAM: разработка Cisco «для себя»
  65. 65. • 10 секунд на детектирование риска • 24 часа на устранение риска Скорость • 4+ миллиардов событий ежедневно • ±2000 инцидентов в квартал Объемы • 40+ миллиардов файлов Cisco были защищены • 16,000+ серверов мониторится Ценность для бизнеса • User-To-Ops: 100,000 : 1 • 90% сигналов тревоги управляются автоматически • Только 1% инцидентов требует ручной поддержки от Ops Качество операций Эффект от iCAM в Cisco 15,2 миллиона долларов ежегодной экономии / сохранности
  66. 66. OpenSOC и TIP: еще один пример собственной разработки внутри Cisco 6 Мультипетабайтное хранилище Интерактивные запросы Поиск в реальном времени Масштабируемая обработка потоков Неструктурированные данные Контроль доступа к данным Масштабируемые вычисления Hadoop Big Data Platform OpenSOC Алерты в реальном времени Обнаружение аномалий Корреляция данных Правила и отчеты Прогнозное моделирование UI и приложения
  67. 67. Не спешите покупать хайп – поймите свои потребности!
  68. 68. Начните с малого: от пассивной обороны к активной Встроенная защита Защита от угроз, не требующая участия человека Анализ со стороны человека в поисках следов нарушителей Сбор данных, обогащение информации и представление разведданных Юридические меры против нарушителей
  69. 69. Поэтапное наращивание защитных возможностей •Модель университета ПурдьюАрхитектура •Эшелонированная оборона •Серия NIST SP800 и NIST SCF •17/21/31-й приказ ФСТЭК Пассивная оборона •Цикл активной кибер-обороны •Network Security MonitoringАктивная оборона •Kill Chain •Diamond ModelРазведка •Юридические методы против нарушителей •Перехват C&CНападение
  70. 70. В основе всего лежит архитектура! Ценность Цена Архитектура Пассивная оборона Активная оборона Разведка Нападение
  71. 71. Все зависит от модели угроз / нарушителя Новички Киберкриминал Корпоративный шпионаж/ кибертерроризм Спецслужбы ИБ нет Архитектура Пассивная оборона Активная оборона Разведка
  72. 72. В качестве резюме • Современные решения – это инструменты. Кто-то должен уметь ими пользоваться и выстраивать процессы • Без аналитики сегодня все решения по ИБ обречены на провал • Серебряной пули нет и не будет • Решения должны использовать комбинации методов обнаружения (threat intelligence, правила, алгоритмы) • Не пытайтесь все нейтрализовать • Поймите свое окружение, что нормально, а что нет? • Сложно найти отечественные решения
  73. 73. Спасибо!

×