2. IPS обычно блокирует то, что разрешено МСЭ
Периметр
DMZ
Ядро
Экстранет
Критические
сетевые
сегменты
2
3. • Уязвимости: слабости системы, которые позволяют хакерам
эксплуатировать их
• Пример: Microsoft Tuesday – каждый второй вторник каждого месяца
Microsoft анонсирует уязвимости и выпускат патчи для них
• Cisco - участник MAPP (Microsoft Active Protections Program)
• Эксплойт: специфическая атака на уязвимость
• На каждую уязвимость существует множество потенциальных
эксплойтов
• Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а
не условия эксплуатации уязвимостей
Уязвимости vs. Эксплойты
3
4. • Заваливают нерелевантными событиями
• Не дают информации для продолжения расследования
• Требуют месяцев на тюнинг
• “Черный ящик” – сложно определить, работает ли он
• Результат:
• IPS минимально эффективны или не используются
• Много времени и ресурсов тратится на то, чтобы заставить IPS работать
• Организации все равно ломают
Проблемы с традиционными IPS
4
5. Более 4 из 10 предупреждений систем безопасности
так и остаются нерасследованными. Почему?
44 %предупреждений
НЕ были изучены
2016
(n = 5000)
Нерасследованные предупреждения представляют собой огромный риск для бизнеса
7 %
не сталкивались
с предупреждениями
систем безопасности
54 %
обоснованных преду-
преждений НЕ устранены
56 %
предупреждений
были изучены
28 %
исследован-
ных преду-
преждений
оказались
обоснован-
ными
46 %
обоснованных предупреждений
устранены
93 %
сталкивались
с предупреждениями
систем безопасности
12. Автоматизация
Понимание инфраструктуры
«Левые» узлы, аномалии,
нарушения политики идр.
Оценка ущерба
Снижение числа событий, с
которыми предстоит иметь дело
Автоматизация тюнинга
«Подкрутка» политик IPS, базируясь на
изменениях в сети
Идентификация пользователя
Ассоциация пользователей с событиями
безопасности для снижения времени
расследования
Индикаторы
компрометации
Идентификация
узлов, которые были
взломаны
12
15. Автоматизация: учет контекста
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского
приложения
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?
16. • Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого уровней
• Разрешенные адреса / диапазоны
адресов
• И т.д.
Обнаружение аномалий
18. Встроенная корреляция событий
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDFПочта
Админ.
запрос
PDF
Почта
Админ.
запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWWWWW
WWW
Динамические механизмы безопасности
http://
http://WWWВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Приоритет 2
Приоритет 3
Оценка вредоносного воздействия
5 ИК
19. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие
сохранено
LINUX
SERVER
WINDOWS
SERVER Linux не
уязвим
Windows
server уязвим
Атака
блокирована
Атака
скоррелирована с
целью
Новая Windows-атака направлена на
Windows и Linux сервера. Атаки
скоррелированы с профилем цели.
Событие об атаке сгенерировано.
Не только простая корреляция событий ИБ
21. • Различные типы события для
системы корреляции
• Атаки / вторжение
• Активность пользователя
• Установлено соединение
• Изменение профиля трафика
• Вредоносный код
• Изменение инвентаризационных данных (например,
появление нового узла в сети или ОС на узле)
• Изменение профиля узла
• Появление новой уязвимости
Встроенная система корреляции событий
23. Автоматизация нейтрализации
Примеры модулей нейтрализации
• Cisco ISE (pxGrid Mitigation)
• Установка атрибута хоста
• Скан Nmap
• Скрипты
• F5 iRules
• Netscaler
• …
События Intrusion
События Discovery
Действия пользователей
События хостов
События Connection
Профили трафика
Событие Malware
Правила
корреляции
Условия
Политики корреляции
Правила
корреляции
События
корреляции
Действия
(API, Email, SNMP)
30. Признаки (индикаторы) компрометации
События
СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы
эксплойтов
Получение
администраторски
х полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера
35. AMP защищает с помощью репутационной фильтрации
и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
36. AMP обеспечивает ретроспективную защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак
42. В то же время устройство с
установленным FireAMP
endpoint connector
отреагировало на
ретроспективное событие и
мгновенно отправило в
карантин новое malware
43. Через 8 часов после первой
атаки Malware пытается
снова попасть в систему
через оригинальную точку
входа, но оно распознано и
заблокировано.
45. AMP for Endpoints дает вам ответы на наиболее
важные вопросы ИБ
Что произошло?
Откуда началось заражение?
Куда успело попасть вредоносное ПО?
Что происходит?
Как нам остановить это?
46. Смотрите, откуда оно в вашей системе
Что произошло?
Отслеживайте источник и путь движения:
• Как ВПО попало в систему?
• Где точка входа?
• Каков вектор атаки?
Куда успело попасть вредоносное ПО?
Что происходит?
Как нам остановить это?
Откуда началось заражение?
47. Выйдите за рамки только одного ПК
Что произошло?
Откуда началось заражение?
Куда успело попасть вредоносное ПО?
Что происходит?
Как нам остановить это?
Отслеживайте зоны атаки:
• Где атака сейчас
• Что видят другие ПК в сети
48. Определите, что вредоносное ПО делает
Что произошло?
Откуда началось заражение?
Куда успело попасть вредоносное ПО?
Что происходит?
Как нам остановить это?
Поймите детали, как работает ВПО:
• Что он пытается сделать, на понятном
языке
49. Остановите его в несколько кликов
Откуда началось заражение?
Куда успело попасть вредоносное ПО?
Что происходит?
Зная детали выше, хирургически вмешайтесь и
нейтрализуйте:
• Просто как клик, добавить в черный
список, и вычистит ВПО из системы
Что произошло?
Как нам остановить это?
53. Архитектура с двойным многоядерным CPU обеспечивает:
Защита от угроз без компромиссов с
производительностью
Уровень 7 & Advanced Threat Engine
I/O
Многоядерный CPU x86
Внутренний свитч
Ускорение на уровнях 2-3 & SSL
Многоядерный CPU NPU
Сохранение производительность, когда
включаются дополнительные сервисы инспекции
угроз
Гибкость и будущее развитие vs. построенных
на ASIC платформах, мешающих добавлению
новых функций ИБ
Умная обработка трафика проверяет потоки, не
требуя ИБ-инспекции, тем самым повышая
производительность
Сохранение производительности
54. Сравнение производительность на больших пакетах*
Пример: Firepower 2100 - масштабируемая
производительность
Сервисы
FW+AVC
Снижение
производи-
тельность
(vs. FW+AVC)
FW+AVC+IPS
Cisco Firepower
2100 Series
1.9 - 8.5 Гбит/с
~ 0%
1.9 – 8.5 Гбит/с
Конкурент “A”
2.0 – 4.0 Гбит/с
< 50% >
1.0 – 2.0 Гбит/с
Конкурент “B”
2.0 – 3.0 Гбит/с
< 50% >
1.0 – 1.5 Гбит/с
Конкурент “C”
2.5 – 7.0 Гбит/с
< ~ 50% >
1.7 – 3.5 Гбит/с
Конкурентные решения не могут обеспечить
такие же показатели
Сохранение
производительности
*Источник: 1024 байта или выше для TCP из материалов каждого производителя
55. Цена автоматизации
55
$144 000
$72 000
$59 400
$24 300
$18 000
$3 000
Оценка ущерба Автоматизация
тюнинга
Ассоциация атак с
пользователями
Типичная IPS Cisco NGIPS
Источник: SANS "Calculating TCO on Intrusion Prevention Technology” whitepaper,
December 2013
Одно из трех
крупнейших
мировых кредитных
бюро:
• 20,000 узлов
• 7,500 сотрудников
Часовая ставка
сотрудника: $75/час
Cisco NGIPS
сохраняет
заказчику $230,100
в год.
57. Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
request@cisco.com или своему менеджеру
Cisco для организации встречи для более
вдумчивого обсуждения ваших задач
и способов их решения
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после Cisco Connect?
58. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/