Сеть как средство защиты и реагирования на угрозы
TRANSCRIPT
![Page 1: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/1.jpg)
Cisco Confidential 1 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сеть как средство защиты и реагирования на угрозы Оксана Санникова Инженер по информационной безопасности, Cisco [email protected]
![Page 2: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/2.jpg)
Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Мобильность, облака, Интернет вещей
Проблема №1
Целевые атаки – это большая проблема
Проблема №2
Современная сеть сложна Проблема №3
* P
onem
on In
stitu
te S
tudy
![Page 3: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/3.jpg)
3
Защита периметра – это только начало пути
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
![Page 4: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/4.jpg)
4
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.
Вы знаете, что вы уже скомпрометированы?
Вредоносный трафик обнаружен в 100% сетей*
Cisco 2014 Annual Security Report *Компании подключены к доменам, которые распространяют вредоносные файлы или сервисы
Корпоративные сети уже скомпрометированы
![Page 5: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/5.jpg)
5
Проблемы с традиционной моделью «эшелонированной» безопасности на периметре
Слабая прозрачность
Многовекторные и продвинутые угрозы
остаются незамеченными
Точечные продукты
Высокая сложность, меньшая
эффективность Ручные и статические
механизмы Медленный отклик, ручное управление,
низкая результативность Наличие обходных каналов
Мобильные устройства, Wi-Fi, флешки, ActiveSync,
CD/DVD и т.п. ç Как ваш NGFW защитит от этого?
![Page 6: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/6.jpg)
“Мишенью для атаки может стать все, что угодно!”
Никому нельзя верить. Cisco можно J Приложениям, сертификатам, облакам, устройствам, пользователям…
“Сеть – это не только ПК и пользователи”
![Page 7: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/7.jpg)
“Безопасность сети становится критичной задачей!”
![Page 8: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/8.jpg)
8
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
100%-й безопасности нет – станьте как пионер, готовыми ко всему, включая заражение
ДО Понять Защитить Усилить
ПОСЛЕ Локализовать Вылечить Устранить
Обнаружить Блокировать Отразить
ВО ВРЕМЯ
Видимость и защита в течение всего жизненного цикла
Сеть как защитная стена
Сеть как инструмент реагирования
Сеть как сенсор AC
I AC
I
![Page 9: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/9.jpg)
9
Искусство сетевой безопасности Важный совет
Усильте безопасность, используя встроенную в сеть защиту
Сеть как сенсор, защитная стена и средство реагирования
![Page 10: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/10.jpg)
10 Сеть как сенсор
Пользователи Вредоносы Устройства Трафик Приложения
![Page 11: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/11.jpg)
11
Вы не можете защитить то, чего не видите На периметре вы видите только верхушку айсберга
0101010010
11
0101010010
11
0101010010
11
0101010010
11
![Page 12: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/12.jpg)
12
Что сеть может сделать для вас? Сеть как сенсор
Обнаружить аномальный трафик и вредоносы Например, коммуникации с вредоносными сайтами или эпидемию ВПО внутри сети
Обнаружить использование приложений и нарушение пользователями политик Например, доступ к финансовому серверу, работу по Skype или утечки данных
Обнаружить посторонние устройства в сети Например, работу несанкционированных 3G/4G-модема или точки доступа
![Page 13: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/13.jpg)
13
Обнаружить необнаруживаемое… Проактивно!
Пользователи Вредоносы Приложения Трафик Устройство
Сеть как сенсор Видимость сети, контроль, контекст и аналитика
ACI Vision: Policy Based, Automated Security at Scale
Обнаружение чужих AP (Wireless Security Module) Обнаружение несоответствующих политике устройств (Device Sensor, ISE)
Обнаружение изменения репутации внешних и внутренних устройств (NetFlow, Lancope)
Обнаружение аномалий в трафике (NetFlow, Lancope, NBAR2) Обнаружение сетевых DDoS-атак (Control Plane Policing, CleanAir)
Обнаружение источника и пути распространения APT (NetFlow, ISE, Lancope) Обнаружение управления и работы вредоносного ПО (NetFlow, Lancope)
Обнаружение аномального поведения приложений (NBAR2) Обнаружение нарушения пользовательского доступа (Identity Services Engine, TrustSec) Обнаружение вредоносного ПО в почте и Web (ISR, Cisco Cloud Web Security) Обнаружение вторжений, ботнетов, целевых атак, SQL Injection, вредоносного ПО
(IPS Module, Wireless IPS (wIPS), Sourcefire NGIPS) Обнаружение распространения вредоносного ПО внутри (NetFlow, Lancope)
Обнаружение утечек данных (NetFlow, Lancope) Система раннего предупреждения (Cisco Security Intelligence Operations)
![Page 14: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/14.jpg)
14
Распознавание широкого спектра устройств
![Page 15: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/15.jpg)
15
Опыт Cisco: идентификация и блокирование посторонних беспроводных устройств
• Само мобильное устройство не может сказать, что оно «чужое» • Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного
• Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают контролировать беспроводной эфир • Все это часть функционала платформы Cisco Mobility Services Engine
![Page 16: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/16.jpg)
16
Распознавание приложений и их функций на примере Skype
![Page 17: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/17.jpg)
17
Учет контекста: кто, что, где, когда и как
• Профиль хоста включает всю необходимую для анализа информацию • IP-, NetBIOS-, MAC-адреса • Операционная система • Используемые приложения • Зарегистрированные пользователи
• Сетевой протокол • Транспортный протокол • Прикладной протокол • И т.д.
• Идентификация и профилирование мобильных устройств
![Page 18: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/18.jpg)
18
NetFlow – сердце подхода «Сеть как сенсор» Путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информации для каждого сетевого соединения
Каждое сетевое соединения в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты, время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n семплов
![Page 19: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/19.jpg)
19
Кто Кто Что
Когда
Как
Откуда Больше контекста
Высокомасштабиуремый сбор Высокое сжатие => долговременное
хранилище
NetFlow с точки зрения контекста
![Page 20: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/20.jpg)
20
NetFlow – сердце подхода «Сеть как сенсор» Пример: NetFlow Alerts с Lancope StealthWatch
Отказ в обслуживании SYN Half Open; ICMP/UDP/Port Flood
Распространение червей Инфицированный узел сканирует сеть и соединяется с узлами
по сети; другие узлы начинают повторять эти действия
Фрагментированные атаки Узел отправляет необычный фрагментированный трафик
Обнаружение ботнетов Когда внутренний узел общается с внешним сервером C&C
в течение длительного периода времени
Изменение репутации узла Потенциально скомпрометированные внутренние узлы или
получение ненормального скана или иные аномалии
Сканирование сети Сканирование TCP, UDP, портов по множеству узлов
Утечки данных Большой объем исходящего трафика VS. дневной квоты
![Page 21: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/21.jpg)
21
NetFlow – сердце подхода «Сеть как сенсор» NetFlow в действии: атака в процессе реализации
Стадия атаки Обнаружение Использование уязвимостей Злоумышленник сканирует IP-адреса и порты для поиска уязвимостей (ОС, пользователи, приложения)
1§ NetFlow может обнаружить сканирование диапазонов IP § NetFlow может обнаружить сканирование портов на каждом IP-адресе
Установка вредоносного ПО на первый узел Хакер устанавливает ПО для получения доступа 2 § NetFlow может обнаружить входящий управляющий
трафик с неожиданного месторасположения
Соединение с “Command and Control” Вредоносное ПО создает соединение с C&C серверами для получения инструкций
3 § NetFlow может обнаружить исходящий трафик к известным адресам серверов C&C
Распространение вредоносного ПО на другие узлы Атака других систем в сети через использование уязвимостей
4§ NetFlow может обнаружить сканирование диапазонов IP § NetFlow может обнаружить сканирование портов на каждом IP-адресе внутреннего узла
Утечка данных Отправка данных на внешние сервера 5
§ NetFlow может обнаружить расширенные потоки (HTTP, FTP, GETMAIL, MAPIGET и другие) и передачу данных на внешние узлы
![Page 22: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/22.jpg)
22
Обнаружение вредоносного кода на базе NetFlow
• Что делать, когда вы не можете поставить сенсор IPS на каждый сегмент сети?
• У вас же есть NetFlow на каждом коммутаторе и маршрутизаторе
• Отдайте его для обнаружения аномальной активности • Сканирование • Целенаправленные угрозы • Эпидемии вредоносного ПО • DDoS • Утечки данных • Ботнеты
![Page 23: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/23.jpg)
23
StealthWatch 6.6 как часть CTD: что нового
• Alarm Workflow
• Новые алгоритмы безопасности
• Улучшения Threat Feed
• Поддержка NBAR2
• Интеграция с ISE расширяется поддержкой карантина
• Улучшения управления заданиями
• Поддержка Cisco UCS
• ANC – Assisted Network Classification for Network Scanners
• FlowCollector 5000
• FlowReplicator High Availability
• Virtual FlowCollector 1K, 2K, 4K
![Page 24: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/24.jpg)
24
StealthWatch 6.7 как часть CTD: что нового
Функции безопасности • Работа с прокси • Интеграция с TrustSec • External Lookup • StealthWatch Security Update • Новые алгоритмы безопасности
Ease of Use to Improve MTTK • Улучшенный Work Flow
• Улучшенный Flow Queries
• Улучшения управления запросами и заданиями
Устройства и платформы • Обновление централизованного управления
• Dell 13G Hardware Platform
• Поддержка KVM Hypervisor для FC VE
![Page 25: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/25.jpg)
25
Репутационный анализ AMP Поведенческий анализ AMP
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие
метки
Расширенная аналитика
Идентичная сигнатура
Признаки компрометации
Сопоставление потоков устройств
У нас есть эмуляция атак и песочница, но не только
![Page 26: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/26.jpg)
26
MAC
Выделенные устройства
NGIPS / NGFW на FirePOWER
ПК
Cloud Web Security & Hosted Email
SaaS Web & Email Security
Appliances
Мобильные устройства Cisco ASA с FirePOWER Services
Платформа обнаружения вредоносного кода AMP На маршрутизаторе, МСЭ, IPS, WSA/ESA, ПК, в облаке
![Page 27: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/27.jpg)
27
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013
Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
![Page 28: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/28.jpg)
28
Искусство сетевой безопасности Важный совет
Знайте, что значит нормально Сеть как сенсор Трафик, Потоки, Приложения, Устройства, Пользователи
![Page 29: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/29.jpg)
29 Сеть как защитная стена
![Page 30: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/30.jpg)
30
Что сеть может сделать для вас? Сеть как защитная стена
Сегментировать сеть для локализации атак TrustSec - Secure Group Tagging, VRF, ISE и многое другое
Шифровать трафик для защиты данных в процессе передачи MACsec for Wired, DTLS for Wireless, IPSec/SSL for WAN и многое другое
Защитить филиалы при прямом доступе в Интернет IWAN, Cloud Web Security and More
![Page 31: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/31.jpg)
31
Искусство сетевой безопасности Важный совет
Разделяй и защищай Сегментируйте сеть для локализации атак TrustSec, ISE, VLAN/VRF/EVN, ACL
![Page 32: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/32.jpg)
32
Сеть как защитная стена ACI Vision: Policy Based, Automated Security at Scale
Сегментируйте сеть и контролируйте доступ для локализации атак
Сегментация сети для локализации атак
Контроль доступа для выполнения политик
Контроль доступа пользователей на базе устройства, местоположения, типа сети, времени
и других параметров (ISE) Физические и виртуальные разрешения и запреты
(Access Control Lists) Единая политика для проводного/беспроводного/удаленного доступа (ISE, Unified Access Switches)
Ролевой контроль доступа на базе топологии, способа доступа (TrustSec/SGT, ISE)
Сегментация сети (VLAN, TrustSec/SGT, VRF/EVN)
![Page 33: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/33.jpg)
33
Cisco TrustSec Сегментация на базе ролей и политик
Гибкая и масштабируемая политика
Switch Router DC FW DC Switch
Простота управления доступом
Ускорение защитных операций
Единая политика везде
Кто может общаться и с кем Кто может получить доступ к активам Как система может общаться с другими системами
Политика
![Page 34: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/34.jpg)
34
Поддержка на решениях Cisco
Классификация Распространение SGT Реализация политик Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X
Catalyst 4500E (Sup6E/7E) Catalyst 4500E (Sup8) Catalyst 6500E (Sup720/2T)
Catalyst 3850/3650 WLC 5760
Wireless LAN Controller 2500/5500/WiSM2
Nexus 7000
Nexus 5500 Nexus 1000v (Port Profile)
ISR G2 Router, CGR2000
Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3850/3650 Catalyst 4500E (Sup6E) Catalyst 4500E (7E, 8), 4500X Catalyst 6500E (Sup720) Catalyst 6500E (2T), 6800 WLC 2500, 5500, WiSM2 WLC 5760 Nexus 1000v Nexus 6000/5600 Nexus 5500/22xx FEX Nexus 7000/22xx FEX ISRG2, CGS2000 ASR1000 ASA5500 Firewall
SXP
SXP
IE2000/3000, CGS2000
ASA5500 (VPN RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SXP
SXP SGT
SXP SGT
SXP SGT
SXP
GETVPN. DMVPN, IPsec
• Inline SGT on all ISRG2 except 800 series:
Catalyst 3560-X Catalyst 3750-X
Catalyst 4500E (7E) Catalyst 4500E (8E) Catalyst 6500E (2T) Catalyst 6800
Catalyst 3850/3650 WLC 5760
Nexus 7000
Nexus 5600
Nexus 1000v
ISR G2 Router, CGR2000
ASA 5500 Firewall ASAv Firewall
ASR 1000 Router CSR-1000v Router
SXP
SGT
SGFW
SGFW
SGFW
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
SXP SGT
SXP SGT
Nexus 6000
Nexus 6000 Nexus 5500
Nexus 5600 SXP SGT
SGT
GETVPN. DMVPN, IPsec
SGT
![Page 35: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/35.jpg)
35
Реализация требований законодательства Кампус Филиал Склад
Банки
ЦОД
Без сегментации C сегментацией
Область действия аудита
Упрощение выполнение требований и
ускорение аудита при наличии сегментации
![Page 36: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/36.jpg)
ü 802.1X ü MAB ü WebAuth CISCO SWITCHES, ROUTERS, WIRELESS ACCESS POINTS
ISE: управление политиками в масштабах всей сети Унификация политик вне зависимости от типа доступа
Сеть, поддерживающая 802.1X
ИДЕНТИФИКАЦИЯ
КОНТЕКСТ
КТО ЧТО ОТКУДА КОГДА КАК
ü Гостевой доступ ü Профилирование ü Состояние
Security Camera G/W Vicky Sanchez Francois Didier Frank Lee Personal iPad Agentless Asset Chicago Branch
Employee, Marketing Wireline 3 p.m.
Consultant HQ - Strategy Remote Access 6 p.m.
Guest Wireless 9 a.m.
Employee Owned Wireless HQ
![Page 37: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/37.jpg)
37
Опыт Cisco: контроль доступа внутри такой же, что и на периметре!
Тип устройства Местоположение
Пользователь Оценка Время Метод доступа Прочие атрибуты
![Page 38: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/38.jpg)
38
Опыт Cisco: интеграция с MDM для контроля BYOD
38
Jail Broken PIN Locked
Encryption ISE Registered PIN Locked MDM Registered Jail Broken
![Page 39: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/39.jpg)
39
Искусство сетевой безопасности Важный совет
Шифруйте данные на лету Защитите ваши данные с MACSec, IPSec, DTLS, CISF
![Page 40: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/40.jpg)
40
Шифрование и предотвращение перехвата данных Реализуйте сетевую защиту для защиты от любопытных глаз
Сеть как защитная стена ACI Vision: Policy Based, Automated Security at Scale
Шифрование данных Защита от перехвата Защита от слежки:
Catalyst Integrated Security Feature Set (Port Security, DHCP Snooping, IP Source Guard,
Dynamic ARP Inspection), IPv6 First Hop Security Предотвращение атак на Wi-Fi-спектр: CleanAir
Реализация многоуровневого шифрования:
LAN Link (Wired) Encryption: MACsec LAN Link (Wireless) Encryption: DTLS
WAN Link Encryption: IPSec, SSL Mobile Device Encryption: ISE с MDM Шифрование по ГОСТ 28147-89
![Page 41: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/41.jpg)
41
Защитите вашу инфраструктуру WAN Умный WAN для филиалов
Масштабируемый WAN и Интернет-доступ
Защищенные соединения
Интеграция с Cloud Web Security, фильтрация Web в реальном времени с контролем
приложений
Масштабируемая безопасность через Dynamic Multipoint VPN (DMVPN)
Масштабируемая криптография, в т.ч. и на ГОСТ Интегрированный МСЭ/IPS Надежная аутентификация
Улучшенная производительность приложений Едино для любого транспорта
Автоматические туннели Site-to-Site IPsec
Zero-touch Hub Configuration Инкапсулация трафика
Сеть как защитная стена ACI Vision: Policy Based, Automated Security at Scale
![Page 42: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/42.jpg)
42
Искусство сетевой безопасности Важный совет
Используйте встроенную безопасность
Вы уже инвестировали в вашу сетевую инфраструктуру Активируйте TrustSec, NetFlow, шифрование и др.
![Page 43: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/43.jpg)
43 Сеть как инструмент реагирования
![Page 44: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/44.jpg)
44
Что сеть может сделать для вас? Сеть как инструмент реагирования
Уменьшить время восстановления и ускорить реагирование Например, анализ траектории вредоносного кода, интеграция с AD на уровне сети
Автоматизировать настройку и динамически ее менять исходя из ситуации в сети Например, ACL, QoS, динамические политики, корреляция событий
Интегрироваться с другими решениями для защиты инвестиций и роста качества защиты Например, RESTful API, eStreamer API и т.п.
![Page 45: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/45.jpg)
45
Искусство сетевой безопасности Важный совет
Автоматизируйте для ускорения Уменьшение времени реагирования Автоматизация настроек политик
![Page 46: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/46.jpg)
46
Автоматизация защиты и реагирования Cisco APIC Enterprise Module в действии
Интеграция с FirePOWER Network-Wide Rapid Threat Detection and Mitigation
Идентификация пробелов Обнаружение дупликатов
Идентификация конфликтов
Обнаружение нестыковок
Оценка соответствия Пометка политик
Follow-Me ACL
Автоматизация ACLs для мобильности
Автоматизация ACL
Автоматизации нейтрализации ВПО
Performance Routing (PfR) Config. IWAN
Оценка соответствия политик WAN IWAN
QoS
Автоматизация защиты филиалов
![Page 47: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/47.jpg)
47
Встроенная система корреляции событий FireSIGHT позволяет собирать данные по всей сети
События СОВ
Бэкдоры Подключения к серверам
управления и контроля ботнетов
Наборы эксплойтов Получение
администраторских полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP серверов
управления и контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
![Page 48: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/48.jpg)
48
Возможность отслеживать движение вредоносного ПО и злоумышленника по сети
• Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло? • Что еще произошло?
![Page 49: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/49.jpg)
49
ISE как “context directory service”
Создание экосистемы по безопасности Cisco
Архитектура открытой платформы Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM), облако
Комплексное партнерское решение
Lancope, «Сеть как сенсор» Использование значения Сети
Текущая экосистема партнеров Cisco
![Page 50: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/50.jpg)
50
Шифруйте линки и включите CISF Защитите ваши данные
5 принципов для построения настоящей защиты сети Включите NetFlow Поймите, что у вас значит нормально
Обнаруживайте необнаруживаемое… Заранее
Внедрите TrustSec/сегментация Локализация атак
Ролевое управление, независящее от топологии и типа доступа
Внедрите APIC-EM Ускорьте конфигурирование и устранение проблем
Внедрите Intelligent WAN Защитите филиалы и допофисы
Видимость Фокус на угрозы Платформы
![Page 51: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/51.jpg)
51
Сеть как сенсор Обнаружение аномального трафика
Обнаружение нарушений пользователями политик Обнаружение чужих устройств, точек доступа & других
Сеть как защитная стена Сегментация сети для локализации атак
Шифрование данных для защиты от человека посередине Защита филиалов для Direct Internet Access
Сеть как инструмент реагирования Автоматизированное, близкое к реальному времени отражение атак
Роль сетевой безопасности
![Page 52: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/52.jpg)
52
Искусство сетевой безопасности Важный совет
Объедините усилия Защита от вредоносного кода Безопасность, ориентированная на угрозы Сеть как сенсор, защитная стена и средство реагирования
![Page 53: Сеть как средство защиты и реагирования на угрозы](https://reader034.vdocuments.mx/reader034/viewer/2022042602/55bb01bdbb61ebc00e8b456b/html5/thumbnails/53.jpg)
Спасибо