Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015

Алексей Лукацкий
10 ноября 2015
Безопасность повсюду

2© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Филиалы
ЛВС
Периметр
АСУ ТП
ЦОД
Оконечные
устройства
Максимальное покрытие от уровня сети до оконечных
устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов
– ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Безопасность везде

Десктопы Бизнес-
приложения
Критическая
инфраструктура
Оставляя позади…

Движемся вперед Критическая
(Amazon, Rackspace,
Windows Azure и т.д.)
Бизнес-приложения
(Salesforce, Marketo,
DocuSign и т.д.)
Мобильные
пользователи
Удаленные
пользователи
Десктопы Бизнес-
Критическая

Protection for Cloud Apps
Protection for Remote Users
Что мы анонсируем?
OpenDNS
Cloud Access Security (CAS)
Обновление CWS
Безопасность облаков
ПКСеть Мобильные Виртуальные Облака
ISE 2.0 и AnyConnect 4.2
Развитие AMP Everywhere
Сети и ПК
Организации всех
размеров
Cisco
Threat Awareness Service
Active Threat Analytics

OpenDNS

Недостаток
квалифицированных
специалистов в сфере
безопасности
Для многих средств требуется
больше ресурсов, чем
имеется для выполнения
работы
50% компьютеров —
мобильные
70% офисов — удаленные
Большинство мобильных и удаленных
сотрудников не всегда включают VPN,
большинство филиалов не
обеспечивают обратный транзит
трафика, а большая часть новых
оконечных устройств только
обнаруживают угрозы
70-90% вредоносного ПО
уникально для каждой
организации
Средства на основе сигнатур,
реактивный интеллектуальный
анализ угроз и отдельное
применение политик безопасности
не могут опередить атаки
Общие проблемы безопасности

3 подхода к защите удаленных пользователей
может требовать
дополнительной экспертизы и
ресурсов
Обнаруживать IOCs &
аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от
пользователей изменения
поведения и может быть
сложным во внедрении
Изолировать приложения
& данные
в гипервизоре/
контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую
видимость и блокирование *если*
есть возможность блокировать по
любому порту, протоколу или
приложению
Предотвращать
соединения в Интернет-
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0

ПРОДУКТЫ И ТЕХНОЛОГИИ
UMBRELLA
Применение
Служба сетевой безопасности
защищает любое устройство, в
любом месте
INVESTIGATE
Аналитика
Обнаружение и
прогнозирование атак до
того, как они происходят

Предотвращение угроз
Не просто обнаружение угроз
Защита внутри и вне сети
Не ограничивается устройствами, передающими трафик через
локальные устройства
Интеграция с партнерским и пользовательским ПО
Не требует услуг профессионалов при настройке
Блокировка каждого домена для всех портов
Не только IP-адреса или домены только через порты 80/443
Постоянное обновление
Устройству не нужно обращаться к VPN на локальном сервере для
получения обновлений
UMBRELLA
Применение политик
Новый уровень защиты от вторжений

ИНТЕРНЕТ
ВНУТРИ СЕТИ
ВЕСЬ
ПРОЧИЙ
ТРАФИК
ВЕБ-
ТРАФИК
ТРАФИК
ЭЛЕКТРОННОЙ
ПОЧТЫ
ИНТЕРНЕТ
ВЕСЬ
ПРОЧИЙ
ТРАФИК
ВЕБ-
ТРАФИК
ТРАФИК
ЭЛЕКТРОННОЙ
ПОЧТЫ
ВНЕ СЕТИ
ASA
блокировка в сети по IP-адресу,
URL -адресу или пакету
ESA/CES
блокировка
по отправителю
или контенту
WSA/CWS
блокировка по URL-адресу
или контенту через
прокси-сервер
ESA/CES
блокировка
по отправителю
или контенту
CWS
блокировка по URL-адресу
или контенту через
прокси-сервер
Umbrella
блокировка по домену
а также по IP-адресу или
URL -адресу
Umbrella
блокировка по домену
а также по IP-адресу или
URL -адресу
Место Umbrella в инфраструктуре Cisco

Как Umbrella дополняет AMP
Через различные
технологии & оба
защищают на уровне IP
Туннели на клиенте блокируют
некоторые соединения с DNS в
облаке, а AMP фиксирует
соединения & блокирует соединения
на устройстве
*Клиент получает обновления IP-списка
каждые 5 мин, а AMP получает IP-списки
ежедневно
Cisco AMP Connector
защищает на уровне
файлов
облачная репутация будет
блокировать & помещать в
карантин вредоносные файлы на
лету и в ретроспективе
*email-вложения обходят OpenDNS, а
не-файловые web-эксплойты обходят
AMP
OpenDNS клиент
защищается на уровне
DNS
перед установкой IP-соединения &
часто перед загрузкой файлов. Мы
также блокируем вредоносные
домена
*DNS–запросы, использующие не-HTTP,
будут обходить AMP
DNS
Компрометация системы Утечка данных
IP DNS IPФАЙЛ

OpenDNS Umbrella
OpenDNS InvestigateOpenDNS Investigate
опережение будущих атак
с помощью блокировки
вредоносных доменов,
IP-адресов и ASN
блокировка обратных вызовов
и утечки с любого порта, протокола
или приложения
на уровне DNS и IP
анализ угроз на основе
запросов в реальном времени
всех доменов и IP-адресов
в Интернете
ДО
Обнаружение
Внедрение
политик
Усиление
ПОСЛЕ
Определение
масштаба
Сдерживание
Восстановление
Блокировка
Защита
ВО ВРЕМЯ
ЖИЗНЕННЫЙ ЦИКЛ АТАКИ
OpenDNS поддерживает весь жизненный цикл атаки

Cloud Access Security

И не сможете использовать
почту без защиты
? ?
?
? ?
?
?
??
? ?
Вы должны защитить их
Вы не сможете работать
без электронной почты
Когда вы внедряете
облачные приложения
Каждый раз, внедряя новую технологию,
необходимо обеспечивать ее защиту

Облачные приложения становятся неотъемлемой
частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных
данных
Риски
несоответствия
правовым нормам
Риск
инсайдерских
действий
Вредоносное ПО
и вирусы

Понимание рисков, связанных с облачными
приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-отдел:
•  Не видит, какие используются приложения
•  Не может идентифицировать опасные приложения
•  Не может настроить необходимые средства
управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72% ИТ-отделов используют 6 и более неутвержденных приложений2
26% корпоративной ИТ-инфраструктуры в 2015 году будет
управляться вне ИТ-отделов
35%
«Теневые» ИТ
Использование
несанкционированных
приложений
Источник: 1CIO Insight; 2,3Gartner

Понимание рисков использования данных в
облачных приложениях
Это проблема, так как ваш ИТ-отдел:
•  Не может остановить утечку данных и устранить
риски несоблюдения нормативных требований
•  Не в состоянии заблокировать входящий
опасный контент
•  Не в силах остановить рискованные действия
пользователей
организаций сталкивались с утечкой конфиденциальных данных при совместном
использовании файлов1
90% приложений могут стать опасными при неправильном
использовании2
72% файлов на каждого пользователя открыто используется
в организациях3
185
«Теневые» данные
Использование санкционированных
приложения для неправомерных целей
Источник: 1Ponemon, 2013 Cost of Data Breach
Study;
2CIO Insight; 3Elastica

Payroll.docx
Пользователи свободно обмениваются информацией и
это может привести к нарушениям безопасности
Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных
приложений и «теневых» данных
При использовании облачных
приложений ИТ-отдел не может
контролировать все разрешения
на совместное использование
20% совместно
используемых файлов
содержит данные,
связанные с соблюдением
нормативов

Бизнес
В вопросах защиты своей информации не
полагайтесь на поставщиков приложений
Поставщики приложений
Облачные
75% мобильных приложений не прошли базовые
тесты безопасности1
... и они не могут контролировать поведение
Источник: 1: Gartner

Бизнес
Обеспечение безопасности облачного доступа —
это ваша ответственность
Поставщики приложений
Облачные

Elastica обеспечивает мониторинг, управление и
защиту на всем протяжении атаки
Аудит
облачных
приложений и
служб,
используемых
сотрудниками
Расследование
Изучение вторжений
для изоляции
уязвимостей в системе
облачного трафика,
являющегося
причиной
вредоносного
поведения
И многое другое .......
До Во время После
Жизненный цикл атаки
Приложениядля
обеспечения
Мини-
программы
Securlet
CASB
Мини-программы Securlet
Отдельные приложения обеспечения безопасности, предоставляющие преимущества
всех 4-х приложений безопасности Elastica, но для определенного приложения SaaS,
а не для всей облачной экосистемы.
Шлюз CASB
Подключение к шлюзу Elastica для получения дополнительных
данных об определенных облачных службах и реализации
встроенной политики
Защита
Защита
предприятия путем
создания и
реализации
индивидуальных
политик
ЗащитаОбнаружениеАудит Расследование

Оценка
аудита
Оценка рисков
«теневых» ИТ
ЗащитаStreamIQ ThreatScore
Контроль и
анализ
Securlet
Шлюз
Оценка
рисков
«теневых»
данных
Перенаправление трафика через систему Cisco Cloud
Access Security
Мини-программы Securelet Шлюз Elastica
И многое другое .......

Elastica предоставляет платформу обеспечения
безопасности облачных приложений
Comprehensive Data Science Powered™
Шлюз Elastica
(прозрачный мониторинг)
РАССЛЕДОВАНИЕ инцидентов
и реагирование
Политика
API-интерфейсы облачных
приложений
(<1 мин для внедрения)
Журналы межсетевых
экранов и прокси-серверов
ASA, WSA, CWS и других
АУДИТ всех «теневых» ИТ и данных
Elastica
CloudSOC™
Несколько источников
входящего трафика
Стек платформы обеспечения безопасности
облачных приложений Elastica
Все категории данных
анализируются на одной
платформе данных
ЗАЩИТА благодаря детализированному
контролю применения политик для
каждого приложения
ОБНАРУЖЕНИЕ вторжения и эксплойтов
в облачных приложениях

Отчет оценки рисков
«теневых» ИТ
Business
Readiness Rating™
Оценка аудита
Оценка рисков «теневых»
данных
После
StreamIQ™
ThreatScore™
ContentIQ™
Отчетность
и аналитика
Cisco Cloud Access Security
Облачные
? ?
??
?? ?
IO IOI
IO IOI
Защита
IO IOI
IO IOI
Облачная
политика SOC IO IOI
IO IOI
?
5417
IO IOI
IO IOI
?
?
IO IOI
Аудит
?
Рассле-
дование
WSA
ДоВовремя
Elastica CloudSOC™
Другие
устройства
ASA
Совместно с
Данные Учетная запись Пользователь
Центр
управления
безопасностью
Анализ
и контроль
Securlet™
Шлюз

ISE 2.0

Сейчас труднее чем когда-либо увидеть, кто находится
в вашей сети и чем занимаются эти пользователи
?
Нельзя защитить то, что нельзя увидеть
?
опрошенных организаций не вполне
представляют себе, какие устройства
находятся в их сети
90%
компаний подтвердили,
что их мобильные устройства были
атакованы вредоносным ПО
за последние 12 месяцев
75%
27
© Компания Cisco и (или) ее дочерние компании, 2015 г.
Все права защищены. Конфиденциальная информация Cisco
?

Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам
Что
Когда
Где
Как
Платформа ISE
ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом
контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в
сеть
Физическая или
виртуальная
машина
Контекст
контроллер
ISE pxGrid

Теперь заказчики могут разворачивать
такие сервисы ISE, как профилирование,
оценка состояния, гостевой доступ и
BYOD на устройствах сетевого доступа,
произведенных сторонними
производителями (не Cisco).
Обеспечение такого же высокого уровня безопасности,
но для большого количества устройств
Преимущества
Что нового в ISE 2.0?
Систематическая защита
Развертывание платформы ISE на
всех сетевых устройствах, включая
сторонних производителей
Упрощение администрирования
Максимальное использование
заранее настроенных шаблонов
профилей для автоматического
конфигурирования доступа
устройств сторонних
производителей (не Cisco)
Увеличение ценности
Получение дополнительной
ценности на базе
существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
•  Шаблон конфигурации MAB для определенных
устройств сторонних производителей (не Cisco)
•  Перенаправление CoA and URL-адресов для
работы с ISE
•  Устройства сетевого доступа сторонних
производителей (не Cisco) могут работать с
обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
Интеграция с устройствами сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в
ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco

Оптимизация управления благодаря единому рабочему пространству
•  Новые сервисы и консоль администратора TrustSec
–  Инструментальная панель TrustSec
–  Изменение матрицы
–  Автоматической создание SGT
–  ISE как спикер/слушатель SXP
•  Обновленный интерфейс пользователя
–  Улучшенная структура меню для облегчения навигации
–  Возможность поиска в графическом интерфейсе
•  Улучшенные возможности отчетности
–  Заново включены опции печати в формате PDF и локальное
хранение
–  Усовершенствованный фильтр для регистрации и создания
отчетов в реальном времени
Интуитивно простой рабочий центр
и матрица политики доступа
Обновленный пользовательский
интерфейс TrustSec, основанный на
новом рабочем центре, позволяет
осуществлять простое и быстрое
развертывание, устранение неполадок и
контроль.
.
Простое управление
благодаря выделенным рабочим
центрам, позволяющим визуализировать,
понимать и управлять политикой из
одного интерфейса.
Быстрое включение TrustSec
для базовых сценариев использования,
включая управление доступом
пользователя к центру обработки данных
и межпользовательскую сегментацию
Новый пользовательский интерфейс TrustSec
Автоматическая конфигурация
новых политик SGT и правил
авторизации
Рабочий центр TrustSec
Матрица политики доступа
Гостевой
доступ
Подрядчик
Сотрудник
Зараженный
Источник
Назначение
Интернет
Ресурсы подрядчика
Сервер отдела
кадров
Человеческие
ресурсы Восстановление
Разрешить
использование IP
Разрешить
Разрешить
Разрешить
Разрешить
Разрешить
Разрешить
Разрешить
Разрешить
Разрешить
Отклонить
Отклонить
Отклонить
Отклонить
Отклонить
Отклонить
Отклонить
Отклонить
Отклонить
Отклонить

ПРЕИМУЩЕСТВА
Экосистема ISE – построена с использованием Cisco pxGrid
Формула 1-2-3 …ISE интегрируется с ИТ-платформами для выполнения трех функций
ISE позволяет пользовательским
ИТ-платформам учитывать
пользователей/идентификаторы,
устройства и сеть
ISE - это лучшая платформа
применения сетевых политик для
заказчиков
ISE предоставляет общий доступ
к пользовательскому контексту,
контексту устройств и сетей
через ИТ-инфраструктуру
ISE получает контекст от экопартнеров
для улучшения политики доступа к сети
1 2 3
ISE помогает ИТ-средам
заказчика подключаться к сети
Cisco
ISE
ЭКОПАРТНЕР

КОНТЕКСТ
ISE

КОНТЕКСТ
ISE

СЕТЬ
CISCO

ДЕЙСТВИЕ
НЕЙТРАЛИЗАЦИЯ
Согласование ответов на вопросы
«Кто, какое устройство, какой доступ»
и событий. Значительно лучше,
чем просто IP-адреса!
Создание единого места для реализации
комплексной политики сетевого доступа
благодаря интеграции
Сокращение времени, усилий и затрат
на реагирование на события
безопасности и сети

Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы —
8 новых партнеров pxGrid
Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы
Структура pxGrid позволяет Cisco
интегрироваться с партнерами
экосистемы для предоставления
пользователям решения, которое
соответствует существующей
инфраструктуре.
Снижение затрат
Сокращение ресурсов, требуемых для
событий безопасности и сети,
благодаря упрощению доступа
к сети Cisco
Улучшенный мониторинг сети
Обеспечение мониторинга действий
пользователей и устройств в целях
аналитики и создание отчетов
о событиях
Упрощенное управление
Единое место для управления
политиками благодаря интеграции
ISE с решениями сторонних
производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать
политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации
серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности
ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в
ответ на события безопасности.
Межсетевой экран и контроль доступа

Быстрое сдерживание распространения угроз
С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)
Быстрое сдерживание распространения угроз с помощью FMC и ISEЧто нового в ISE 2.0?
Центр FMC Cisco совместно с ISE
идентифицирует и обращается к
подозрительному действию на
основании предустановленных политик
безопасности.
•  Интеграция с решением Cisco AMP для защиты от вредоносных программ
•  Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
•  Разрешение или отказ в доступе к порталу подрядчиков
FMC обнаруживает
подозрительный файл и
уведомляет ISE с
помощью pxGrid, изменяя
тег группы безопасности
(SGT)
на подозрительный
Доступ запрещается
каждой политикой
Автоматические уведомления
ANC ISE для уведомления сети о
подозрительной активности в
соответствии с политикой
Раннее обнаружение угроз
FireSight сканирует активность и
публикует события в pxGrid
Корпоративный
пользователь
загружает файл
растущей экосистемы партнеров
и обеспечение быстрого
сдерживания распространения
угроз благодаря интеграции с ISE
FMC сканирует
действия
пользователя и файл
В соответствии
с новым тегом,
ISE распространяет
политику по сети

Улучшенный мониторинг обеспечивает полную картину
действий оконечных устройств в сети
Сеть как сенсор
•  Cisco ISE
•  Портфель сетевых решений
Cisco
•  Cisco NetFlow
•  Lancope StealthWatch
Данные

Зона
администратора
Зона
предприятия
Зона
POS
Зона
подрядчика
Мониторинг способствует принятию практических
решений благодаря сегментации и автоматизации
Сеть как регулятор
•  Cisco ISE
•  Портфель сетевых решений Cisco
•  Cisco NetFlow
•  Lancope StealthWatch
•  Программно-определяемая
сегментация TrustSec Cisco
Зона
сотрудников
Зона
разработки

Улучшенный контроль с помощью авторизации на основе
местоположения
Авторизация на основе местоположения
Администратор определяет
иерархию местоположения и
предоставляет пользователям
конкретные права доступа на
основе их местоположения.
Интеграция платформы Cisco Mobility
Services Engine (MSE) позволяет
администраторам максимально
использовать ISE для авторизации
сетевого доступа на основе
местоположения пользователя.
Улучшенная реализация
политики
с помощью автоматического
определения местоположения и
повторной авторизации
Упрощенное управление
благодаря настройке авторизации
с помощью инструментов
управления ISE
Детализированный контроль
сетевого доступа с помощью
авторизации на основе
местоположения для отдельных
•  Конфигурация иерархии местоположений по всем объектам местоположения
•  Применение атрибутов местоположения MSE в политике авторизации
•  Периодическая проверка MSE на предмет изменения местоположения
•  Повторное предоставление доступа на основе нового местоположения
С интеграцией платформы Cisco Mobility Services Engine (MSE)
Холл Палата Лаборатория
Скорая
помощь
Врач
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Данные
пациента
Местоположения для
доступа к данным
пациента
Палата
Скорая помощь
Лаборатория
Холл

Ролевой контроль доступа
Упрощение управления ИБ с ролевым доступом
•  Ролевой контроль доступа
•  Авторизация на уровне команд с подробной регистрацией действий
•  Выделенный TACACS+ центр для сетевых администратаров
•  Поддержка основных функций ACS5
Управление устройствами TACACS+
Заказчики сейчас могут
использовать TACACS+ в ISE для
упрощения управления
устройствами и расширения
безопасности через гибкий и точный
контроль доступа к устройствам.
Упрощенное и
централизованное управление
Рост безопасности, compliancy,
подотчетности для всего
спектра задач
администрирования
Гибкий и точный контроль
Контроль и аудит конфигураций
сетевых устройств
Админы ИБ
TACACS+
Work Center
Сетевые админы
TACACS+
Work Center
Поддержка TACACS+ для управления устройствами
Централизованная видимость
Получение всесторонней
конфигурации TACACS+ через
TACACS+ administrator work
center

Упрощение управления защищенным доступом
•  Мониторинг активных сессия
через AD и Network log-ins
•  Поддержка сессий клиентов
Wired MAB и NADs
•  Уведовление справочников
через PxGrid
•  Назначение VLANs, dACLs,
SGTs и других для
пользователей,
авторизованных через EWA
Identity mapping
Более безопасно
с интегрированным 802.1x, сапликантом
и сертификатами
Базовый
с whitelisting
Access
Security
Лучше и гибче
С ISE Easy Wired Access
Расширение Easy Wired Access
(EWA) предлагает заказчикам
расширение защиты проводных
сетей с помощью ISE
С ISE Easy Wired Access (EWA)
Лучшая видимость
в активных сетевых сессиях,
аутентифицированных через
AD
Расширенный контроль
с опцией для Monitoring-only
Mode или Enforcement-Mode
Гибкое внедрение
которое больше не требует
сапликанта или PKI, позволяя
ISE использовать COA для
повышения уровня защиты
Complexity
Identity
mapping
Monitor-only mode Enforcement–ModeUser 1
Active Directory
Login
User 1
Network
Login
Publish to pxGrid
Admin 1
ISE
Access Security
Complexity
Access
Security Complexity
EWA, безопасная альтернатива «белым спискам» (whitelisting)

AnyConnect 4.2

Cisco AnyConnect®
Cisco AnyConnect: больше чем VPN
Базовый VPN Оценка
состояния
Сервисы
инспекции
Защита от
угроз
Сетевая
видимость
Функции Cisco AnyConnect
Корпоративны
й доступ
Интеграция с решениями Cisco®
Adaptive Security
Appliance (ASA)
Aggregation and
Cloud Services
Routers (ASR/CSR)
Switches and
Wireless Controllers
Integrated Services
Router (ISR)
Identity Services
Engine (ISE)
NetFlow CollectorsWeb Security
Продвинутый
VPN

Рост видимости в сети:
Что нового в AnyConnect
4.2?
Новый модуль AnyConnect Network
Visibility Module (NVM) позволяет
лучше «видеть» пользователей, ПК,
приложения и обеспечивать
аналитику на базе телеметрических
данных
Обеспечение видимости в сети
•  Исключение избранных переменных для обеспечения приватности
•  Сбор и отправка данных, когда AC в сети и/или VPN (включая split tunneling)*
•  Хранение 24-часового кеша данных Netflow при отключении от сети
•  Минимум воздействия на пользователя и общения с пользователем
•  Встроенные аналитические возможности и отчетность обеспечивают лучший аудит
•  Интеграция с Lancope* и LiveAction**
С AnyConnect Network Visibility Module (NVM)*
Более полный обзор
всей сети с лучшей
поведенческой аналитикой и
учетом контекста
Более эффективная защита
против потенциальных угроз с
лучшей видимостью сети,
использующей преимущества
сегментации
Улучшение сетевых операций
с анализом инцидентов для
улучшения дизайна,
планирования сети и
траблшутинга
Collector Dashboard
•  Parent Process Identifier
•  Parent Process Name
•  Basic IP-based Flow Data
•  Unique Device ID
•  IP-based Flow Data With
•  Domain User Name
•  Process Name
•  Process Identifier
•  Device Name
До:
С AnyConnect 4.2:
•  Local and Target DNS
Netflow Collector
* New AnyConnect Module Only Available for Windows and OS X
**Please check with these vendors regarding availability

Lancope
ЛВС/ЦОД
Свитч/WLC
Роутеры Cisco /
Устройства 3rd фирм
Угроза
pxGRID
Сетевые сенсоры Сетевые защитникиРаспределение политик и
контекста
TrustSec
Software-Defined
Segmentation
Cisco
Collective Security
Intelligence
Защищаемые
данные
NGIPS
pxGRID
ISE NGFW
AMP
AnyConnect
Интегрированная защита: ISE + AC + сеть

AMP Everywhere

AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security
AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud
Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security
& Hosted Email
CWS
Threat Grid
Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower
Services
AMP Everywhere
ПКПК
Периметрсети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect

Обзор Threat Grid Everywhere
Подозрительный
файл
Отчет
Периметр
ПК
Firewall
& UTM
Email
Security
Analytics
Web
Security
Endpoint
Security
Network
Security
3rd Party
Integration
S E C U R I T
Y
Security
monitoring
platforms
Deep Packet
Inspection
Gov, Risk,
Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
файл
Premium
content feeds
Security Teams

Автоматическая загрузка подозрительных
файлов
Загрузка
Аналитик или система (API)
загружают подозрительный
файл в Threat Grid.
файл
Периметр
ПК
ASA w/
FirePOWER
Services
ESA
CTAWSA AMP for
Endpoints
AMP
for Network

ЗАКАЗЧИК
СООБЩЕСТВО
ЗАКАЗЧИК И ПАРТНЕР АНАЛИЗ УГРОЗ
AMP
Threat
Grid
UMBRELLA
Применение
политик и
мониторинг
Автоматический захват
вновь обнаруженных
вредоносных доменов за
считанные минуты
Регистрация или
блокировка всей
Интернет-активности,
предназначенной
для этих доменов
файлы домены
Интеграция AMP Threat Grid и OpenDNS

Threat Awareness Service

Обеспечивает взгляд на угрозы,
исходящие из своей компании, и
направленной на нее
Постоянно отслеживает новые угрозы
Предлагает меры нейтрализации
Доступная всегда, каждый день
Проста в настройке и использовании
Это важно для сохранения сети в
Заказчики хотят Threat Intelligence которая:

Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис
анализа угроз, который расширяет видимость угроз и
является доступным 24-часа-в-сутки.
•  Использование одной из лучших в мире баз данных угроз
•  Оперативное обнаружение вредоносной
•  Идентификация скомпрометированных сетей и
подозрительного поведения
•  Помогает компаниям быстро идентифицировать
скомпрометированные системы
•  Обеспечение рекомендаций
•  Помогает ИТ/ИБ идентифицировать угрозы
•  Анализирует сетевой, исходящий из организации
•  Позволяет улучшить общую защищенность

Cisco Threat Awareness Service:
просто внедрить
Базируясь на технологиях Cisco, сервис Threat Awareness
Service не требует:
•  Капитальных вложений
•  Изменений конфигурации
•  Сетевых инструментов
•  Новых внедрений ПО
•  Сенсоров в сети заказчика
•  Дополнительных людских ресурсов
Снижение времени внедрения, сложности,
и цены с ростом эффективности threat intelligence

Люди Данные
Технологии
Новое решение - Active Threat Analytics
Аналитика

ATA (жизненный цикл сервиса)
•  Планирование & Подготовка
1.  Уровень сети
2.  Классификация активов & Анализ защищенности
3.  Политики безопасности & ограничения
•  Сервисы обнаружения
1.  На базе потоков
2.  На базе сигнатур
3.  На базе поведения
4.  Полный захват пакетов
•  Сервисы реагирования
1.  Локализация
2.  Лечение
Защищаемая сеть

Полный захват
пакетов / Анализ
метаданных
пакетов
Cisco
Advanced
Threat
Detection Обнаружение
угроз в Web-
трафике
Нормализация
и проверка
данных
угроз в
трафике Email
вторжений
Автоматизация
локализации
Исследования
угроз и
уязвимостей
Расследования
сетевых
инцидентов
Фокусировка на отраслях
(например, производство,
финансы, промышленность)
24x7
мониторинг

Advanced Threat Analytics: компоненты
архитектуры
Сторона заказчика
ЦОД заказчика
Заказчик A VRF
HTTP/HTTPS
Proxy
InternetVRF
Защищенное соединение
PassiveTap/Intelligent
VisibilitySwitch
DirectConnection
Заказчик
HTTP Malware
Analysis
Email Malware
Analysis
Protocol Metadata
Forensics
Full-Packet
Forensics
Signature-Based
IDS
Protocol Anomaly
Detection
NetFlow / HTTP
Anomaly
Detection
Context
Repository
NetFlow
Aggregation
Telemetry
Aggregation
AccessControl
VA Console
Malware
Console /
Sandbox
IME Console
Infrastructure
Monitoring
Authentication
Services
Firewall
Firewall
SMTP Services
SOC
Investigator I
Investigator II
Incident
Manager
Authentication
Services
MgmtVRF
Active Directory
Investigator Portal
SOCVRF
Alerting /
Ticketing System
Customer Portal
PortalVRF
Threat Intelligence
IntelVRF
Anomaly
Correlation
Cisco Cloud (DC)
Internet
1)  Все данные
сохраняются на стороне
заказчика
2)  Все ATA-устройства
работают в пассивном
режиме, но в реальном
времени

Threat
Intelligence
Feeds
Обогащенные
данные
ATA построена на базе OpenSOC
Full packet capture
Protocol metadata
NetFlow
Machine exhaust (logs)
Неструктурированная
телеметрия
Другая потоковая
телеметрия
Parse
+
Form
at
Enri
ch
Alert
Log Mining and
Analytics
Big Data
Exploration,
Predictive
Modelling
Network
Packet Mining
and PCAP
Reconstruction
Приложения + аналитика

Пример работы у заказчика за 2 недели
Заявки на расследования71
269,808 событий безопасности
Уникальных событий113,713
Коррелированные
события
1710
207,99261,816Threat intel sourced
Телеметрия

Разные варианты предложения
Базовый
Расширенный
Максимальный
§  Security Device Management
§  Collective Security Intelligence
§  Log Collection
§  Event Correlation
§  Rule-Based Analytics
+ Sourcefire and ThreatGrid
+ Statistical Anomaly Detection
+ NetFlow Generation
+ Protocol Metadata Extraction
+ Data Enrichment
+ Designated Investigations
Manager
+ Hadoop/Big Data Analytics
+ Machine Learning
+ Full Packet Capture
+ Proactive Threat Hunting
Speed Accuracy Focus Speed Accuracy FocusSpeed Accuracy Focus
Реагирование на
инциденты
Управление
устройствами
Add-ons:

Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015

Similar a Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015 (20)

Más de Cisco Russia

Más de Cisco Russia (20)

Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015