Контроль доступа к Интернет
TRANSCRIPT
Контроль доступа к Интернет
Лукацкий Алексей[email protected]
10.10.16 © 2015 Cisco and/or its affiliates. All rights reserved.
Решения Cisco по защите и контролю доступа в Интернет
ASA с FirePOWER Services / Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance(Physical & Virtual)
Cisco ISR с FirePOWERServices
Фильтрация Web - WSA/CWS & FirePOWER
• Фильтрация URL• Репутация Web
• Web-приложения (Facebook, LinkedIn, Twitter и т.д.)
• Идентификация пользователей
• Действия с политиками: Allow/Warn/Block• Предупреждение пользователей• Продвинутая генерация отчетов
• AMP/Advanced Malware Protection• Мониторинг трафика L4
• Кеширование (WSA)• Ограничение полосы пропускания
• Сигнатурные антивирусы• Расшифрование высокого % HTTPS• Data Loss Prevention (WSA)• Прозрачный / явный прокси (WSA)
• FTP & SOCKS Proxy (WSA)• Мобильные пользователи (CWS)
• Расширенные функции Web-прокси• SSO для приложений SaaS
• Inline Stateful Firewall• Контроль не-web приложений (Skype, Oracle)• Сетевые протоколы (SMTP, DNS, ICMP)
• Контроль доступа L3-7
• Сетевые возможности (NAT, Routing, VPN, TCP Intercept и т.д.)
• NGIPS (File Trajectory, IoC)
WSA / CWS ASA с FirePOWER
Корпоративный Web Proxy NGFW
Web Filtering
Cloud Access Security
Web Reputation
Application Visibility and
ControlParallel AV Scanning
Data-LossPrevention
File Reputation
Cognitive Threat
Analytics*
XX X X
ДоПослеВо время
X
File Retrospection
www
Мобильный пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
www www
Allow Warn Block Partial BlockОсновной офис
WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client АдминПеренаправле-ниетрафика
www
HQ
File Sandboxing
X
Client Authentication
Technique
* Roadmap feature: Projected release 2H CY15
XCisco® ISE
Cisco Web Security Appliance
1. Сканируем текст
Cisco Web Usage ControlsURL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к эталонным документам
4. Возвращаем самое близкое значение категории
2. Вычисляем релевантность
FinanceAdultHealth
Finance Adult Health
AllowWWW WarnWWW WWW Partial Block BlockWWW
5. Enforces policy
If Unknown, the Page Is Analyzed
BlockWWW
WarnWWW
AllowWWW
If Known
Репутационный анализСила контекста реального времени
Suspicious Domain Owner
Server in High Risk Location
Dynamic IP Address
Domain Registered
< 1 Min192.1.0.68example.comExample.org17.0.2.12 BeijingLondonSan JoseКиев HTTPSSLHTTPS
Domain Registered > 2 Year
Domain Registered < 1 Month
Web сервер < 1 места
Who HowWhere When
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 1110100111010010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10IP значение репутации
Сканирование malware в реальном времениDynamic Vectoring and Streaming
Сигнатурный и эвристический анализЭвристическое обнаружениеИдентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверкаИдентификация известного поведения
Множество механизмов
сканирования malware
Оптимизация эффективности и уровня обнаружения с интеллектуальным мультисканированием
Расширение сигнатурного покрытия с использованием нескольких механизмов
Улучшение впечатления с помощью параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного трафика с помощью перехвата и расшифровки SSL соединений
Эмуляция в реальном времени
Sandbox реального времениАнализ для защиты от атак 0-day
Layer 4 Traffic MonitorОбнаружение зараженных узлов
Пользователи
Cisco®
S-Series
Network -Layer
Analysis
Мощные данные antimalwareПредотвращение трафика“Phone-Home”
§ Сканирует весь трафик, все порты и все протоколы
§ Обнаружение malware, обходящее порт 80§ Предотвращение трафика botnet
§ Автоматически обновляемые правила§ Генерация правил в реальном времени
с помощью “dynamic discovery”
Инспекция пакетов и
заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter
Предотвращение утечек данныхСнижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd-pary вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
РасширенныйDLP
Базовый DLP
Dropbox
Microsoft Outlook
Gmail
Cisco Web Security Полное управление пользователями
Data-Loss Prevention (DLP)
Application Visibility and Control (AVC)
Admin
AllowWWW
Централизованное управление и
отчетностьPolicy
Защита от угрозПользователь
Cisco® Web Usage Controls
Partial Block
WWW
BlockWWW
Что делать с мобильными пользователями?Cisco AnyConnect Secure Mobility Client
Пользователь с ноутбуком, планшетом или телефоном
Роуминг-пользователь с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Delivers Verdict
WSA веб безопасность
Расположение web безопасности
CWS web безопасность
Router or firewall re-route traffic to WSA or CWS
Перенаправление web трафика
Работа с WWW через VPN
Перенаправление трафика на ближайший web прокси
Cisco AnyConnect®
Client
VPN
ACWS
VPN
Унифицированный репортинг
Унифицированное управление и репортинг
Унифицированные политики
Роуминговый пользователь HQ
Облачный GUI поWeb-безопасности
WSA
Роуминговый пользователь HQ
Приложение длягенерации отчетов
WSA
ü
üüü
Высокопроизводительная платформа прокси, Интегрированная аутентификация
Многоядерная оптимизация Интегрированная идентификация и аутентификация
§ Отсутствие проблем, связанных с задержкой при антивирусном сканировании
§ Включание функционала мультисканирования для увеличения эффективности безопасности
§ Оптимизация для сложного веб контента
§ Политики идентификации§ Прозрачная, single sign-on (SSO)
аутентификация в Active Directory§ Гостевые политики, реавторизация§ Поддержка нескольких не связанных между
собой деревьев
NTLM/Active Directory
LDAP
Secure LDAP
CRES0
1
2
3
4
5
6
1-Core 2-Cores 4-Cores
Burdened System Capacity(Web Transactions/Hour)M
illio
ns
Дополнительная информация по WSA
Требования клиентов ASA FirePOWER WSA/CWS OpenDNS Umbrella Meraki MX
Качество URL фильтрации
Advanced Malware Protection
Next Generation IPS
Роуминг/защита вне сетевых пользователей
Web использование и compliance
Web/HR отчетность
Унифицированная платформа (UTM/NGFW)
Облако
Облачное управление
Простота развертывания
Относительная стоимость решения
Domain Name
Full Tunnel VPN + AMP
CWS
CWS
AMP скороCognitive Threat Analytics + AMP API Driven – e.g. FireEye Integration
Алгоритм выбора решений по безопасности Web
Это замена web-прокси?
Да
Нужна защита для мобильных пользователей Web?
Да
Нет
Это SMB-заказчик?
Да
Нет Они готовы коблачному решению?
Да
Нет
Cloud Web Security
Meraki MX
Централизован ли Интернет-трафик?
Отдается предпочтение комбинации защите Web с NGFW/UTM?
Да
Нет
Web Security Appliance
ASA with Firepower Services
Да
Нет
ASA with Firepower Services
Web Security Appliance
Cloud Web Security
OpenDNS
Meraki MX
OpenDNS
Нет
ASA with Firepower ServicesRegardless
Add-on OpenDNS Umbrellafor DNS Threat Protection
Add-on OpenDNS Investigatefor Enhance Web Threat Intel
OpenDNS
Cisco Cognitive Threat Analytics
Реалии современных киберугроз
Злоумышленники вероятнее всего будутконтролировать вашу
инфраструктурой черезweb
Вероятнее всего вас взломают через
Ваше окружение будет взломано
Вредоносный код: обнаружение и обход
Техники обнаружения Техники обхода
Известные сайты и узлы в Интернет Смена узлов / страницыперенаправления
Песочница Обнаружение виртуализации
Антивирус Обнаружение антивируса / безфайловое инфицирование
Сигнатурные системы (IDS/IPS) Обфускация файлов / полиморфный код
Что может быть использовано для обнаружения Web-угроз? Разве это все?!
Анализ файлов в Web-трафике на лету
Отправка файлов для анализа в
песочнице
Анализ DNS-запросов и ответов
Категоризация и контроль репутации
URL
ThreatGRIDWSA/CWS
Как работает CTA?
Обработка, близкая к реальному времени
1K-50K инцидентов в день10B запросов в день +/- 1% аномалий 10M событий в день
HTTP(S)Request
Классификатор X
Классификатор A
Классификатор H
Классификатор Z
Классификатор K
Классификатор M
Кластер 1
Кластер 2
Кластер 3
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request HTTP(S)
Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
Кластер 1
Кластер 2
Кластер 3
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)RequestHTTP(S)
Request
HTTP(S)Request
HTTP(S)RequestHTTP(S)
Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)RequestHTTP(S)
Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
Обнаружение аномалий Моделирование доверия Классификация Моделирование сущностей
Моделирование отношений
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)RequestHTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
HTTP(S)Request
ПОДТВЕРЖДЕН взлом(нескольких пользователей)
ОБНАРУЖЕНА угроза (unique)
Идентификация аномального web-трафика с помощью статистического анализа
Распознавание атак путем анализа имени доменов в каждом запросе HTTP/HTTPS
Обнаружение инфекций в web-запросах
Обнаружение широкого спектра угроз путем анализа коммуникаций с серверами C2
Определение опасного трафика, тунелированного в HTTP/HTTPS-запросы путем использования IOC
Что может обнаруживать CTA?
Утечки данных Domain Generation Algorithm (DGA)
Exploit KitКоммуникации с C2-серверами
Туннелированиечерез HTTP/S
Cisco WSA (Web Security Appliance)
Внешняя телеметрия (BlueCoat Sec. GW)
Cisco CWS (Cloud Web Security)
CiscoCognitive ThreatAnalytics (CTA)
Confirmed Threats
Detected Threats
Threat Alerts
Реагированиена инциденты
HQ
STIX / TAXII APICTA
CTA
CTA
SIEMs:Splunk, ArcSight, Q1 Radar, ...
HQ
Web Security Gateways
Cloud
Web Security Gateways
CTA a-la-carteATD bundle = CTA & AMPWSP bundle = CWS & ATD
CTA a-la-carte
CTA a-la-carte
Логи Web (входная телеметрия)
Обнаружение взломов &Видимость сложных угроз
Архитектура Cognitive Threat Analytics
Процесс реагированияСила в интеграции с другими решениями Cisco
Подтвержденные взломы:Автоматическое создание тикета, используя существующий SIEM для команды на очистку или переустановку ПК
Подозреваемые взломы и целевые атаки:
Комбинация высокого риска и высокой уверенности с подозреваемой утечкой данных может быть эскалирована на аналитиков 3-го уровня поддержки для ручного анализа
CTA: что происходит после обнаружения
IPS
ISE ИТ-служба
CTA AMP For Endpoint
SIEM
AMP For Endpoint
Обнаружение угрозы Немедленная реакция Финальная реакция
Быстрота и автоматизация
Цель: блокировать каналы, по которым работает ВПО для предотвращения утечки данных
Тщательность и адаптация
Цель: понять причину и источник, оценить потери, обновить политики
CTA: Обнаружение C2 10мин
Обнаружение угрозы Немедленная реакция Финальная реакция
ISE: Карантин пользователя 15мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Блокирование C2-канала 20мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Поиск файлов, генерящих C2 20мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Блокирование ВПО
Unknown
30мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E и CTA 30мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E+SIEM: разбор полетов 1 день
Ошибка пользователя? Уязвимое приложение? Новый эксплойт?
Обнаружение угрозы Немедленная реакция Финальная реакция
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/
CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.