Рішення cisco intent based networking для ......source: scm world/cisco smart...
TRANSCRIPT
РішенняCisco Intent Based Networking
для промислових мереж
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Подключенная
экосистема
Подключенные
устройства
Подключенные
сервисы
• Industrial over IP
• Трансформация инфраструктуры
• Слияние IT и OT
• Подключение приложений
• Аналитика по оптимизации
процессов
• Новые модели и сервисы
• Взаимодействие всех
бизнесс-процессов
• Формирование
подключенной экосистемы
Enterprise Integration & Big Data
Приложения
IIoT Platform
Приложения
Этапы внедрения решений IoT
Asset Management Predictive Maintenance Field operations Supply Chain Optimization
Решаемые задачи IIoT
IoT Data Platform
Стандарты промышленных сетейМножество различных стандартов и протоколов.
• Profibus DP;
• Profibus PA;
• Foundation Fieldbus;
• Modbus RTU;
• HART;
• DeviceNet.
• LON
• Profinet
• BACnet
• Ethernet/IP
• CIP
• CAN
© 2018 Cisco and/or its affiliates. All rights reserved.
Рост внедрений решений IoT… но есть ряд нюансов
компаний уже используют решения IoT, начиная получать первые бизнес-результаты
50%
компаний центр компетенции строят на базе IT-подразделения
компаний готовы вложить в 2019 году более 100 млн в цифровизацию
51%Connectivity & Security
DataAggregation
Automation & Management IT/OT
Value Monetization
EcosystemPartner Skill-set
Проблемы
36%
ожидают возврата инвестиций в первые 2 года
43%
© 2018 Cisco and/or its affiliates. All rights reserved.
IT и OT: разные приоритеты
Безопасность
Целостность Доступность
Доступность Целостность
Безопасность
1. Конфиденциальность
2. Целостность
3. Доступность
4. Наблюдаемость
1. Доступность
2. Целостность
3. Наблюдаемость
4. Конфиденциальность
Ключевые показатели в ИТ
Ключевые показатели в ОТ
Информационная
безопасность
Снижение
рисков
Снижение
затрат
Доступность
данных
Качество
продукции
Непрерывность
производства
Безопасность
Загрузка
оборудования
99.99
Целевые показатели внедрения IoT
Ключевые направления цифровизации на производстве
Снижение
простоев
48%
Снижение
незапланированных
простоев с 11% до
5.8%
Снижение
брака
49%
Снижение брака с
4.9% до 2.5%
Время вывода
новой продукции
23%
Цикл вывода новой
продукции с 15 до
11 мес
Повышение
загрузки обору-
дования (OEE)
16%Общее улучшение
OEE
с 74% до 86%
Управление
запасами
35%
Повышение
эффективности
склада продукции и
материалов
Снижение
энерго-
потребления
18%
Общая экономия в
год с
$8.4M до $6.9M
Source: SCM World/Cisco “Smart Manufacturing and the Internet of Things 2015” survey of 418 Manufacturing Business Line
Executives and Plant Managers across 17 vertical industries.
Cisco IoT
EthernetIndustrial Ethernet
Wi-FiIndustrial Wi-Fi
CellularIoT-шлюзы
LPWANСенсорные сети
LoRaWAN
RF-MeshСенсорные сети
Industrial Compute
Kinetic — Управление данными
Программная платформа для edge-приложений (IOx)
Edge Compute
Security Прозрачность Защита Детектирование Реакция
Management &
AutomationDNA-Center Kinetic Control Center
Архитектура технологической сети
Система управления предприятием
Система управления производством
Распределенная система управления и
контроля
Контроллеры технологического процесса
Терминалы управления
Датчики и исполнительные механизмы
Демилитаризованная зона
Уровень 5
Уровень 4
Уровень 3
Уровень 2
Уровень 1
Уровень 0
Технологическая сеть
Уровень 0-2
Технологическая сеть
Уровень 3
Демилитаризованная
зона
Корпоративная сеть
Уровни 4–5
Технологическая сеть
Уровень 0-2
Технологическая сеть
Уровень 3
Демилитаризованная зона
Корпоративная сеть
Уровни 4–5
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco поглотила Sentryo, одного из лидеров рынка промышленной ИБ
• Мониторинг аномалий и обнаружение угроз в промышленных сетях
• Инвентаризация промышленных активов, включая потоки данных между ними и уязвимости
• Контроль изменений конфигурации
• Интеграция с МСЭ, SIEM, CMDB и т.п.
Sentryo ICS CyberVision
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Интеллектуальная промышленная сетьПолное портфолио, базирующееся на
интеллектуальной сети
Унифицированные операции
и глубокая сегментация
Свитчи доступа
Точки доступа
Свитчи ядра
Wireless Controller
Identity & Политики
Автоматизация& Аналитика
© 2018 Cisco and/or its affiliates. All rights reserved.
Сети
ИБ – это основа
Унифицированные коммуникацииЦОД IoT
© 2018 Cisco and/or its affiliates. All rights reserved.
Портфолио Cisco в области промышленных сетей
Коммуникации
Вычисления на периметре
Обмен и контроль данных
Mgmt and
automation
Industrial
switching
IoT Gateways/
Compute
Industrial
routing
Industrial
Wi-Fi
Sensor networking
(LoRa/RF Mesh)
Industrial
security
Edge Data Management - Kinetic
Edge computing infrastructure
Сенсоры/Устройства
Приложения
Аналитика
Security
Сеть
ИБ
пронизывает
весь стек
Контроль
данных
Control center
IoT Security
Искусственный интеллект и кибербезопасность
Что заставляет нас думать об ИИ в ИБ?
• Сложность получения
контекста
• Нехватка данных
• Огромные объемы данных
Контекст
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
• Усложнение атак и рост их
числа
• Эволюция угроз
• Нехватка лучших практик
• Нехватка специалистов
Навыки / Люди
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
• Атаки быстрее защитников
• Уменьшение времени
реагирования
Время
0 1 0 1 1 1 1 0 1 1 1
0
1 1 0 0 1 1 0 0 0 0 1
1
1 0 1 1 1 0 1 0 0 0 0
1
0 0 0 1 1 0 0 0 0 0 1
0
0 1 0 0 0 0 1 0 0 1 0
0
Эволюция терминов
KDD
СтатистикаРаспознавание
образов
Базыданных
Машинноеобучение
ИИ
Глубокоеобучение
Добыча
данных
«Предсказания очень сложны, особенно если говорить о будущем»
Нильс Бор
Огромное количество алгоритмов ИИ
ИИ на благо безопасности
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ВОЗМОЖНОСТИ
• Сетевая телеметрия
• Классификация метаданных
• Обнаружение аномалий
ОБНАРУЖЕНИЕ ВРЕДОНОСНОГО ПО
Виновен по поведению
Модель совместных запросов
Геолокационная модель
Модель индекса безопасности
Виновен по связям
Модель предсказуемого IP сегмента
Корреляция DNS и WHOIS данных
Шаблон виновности
Модель всплесков активности
Модель оценки языкового
шаблона (NLP)
Обнаружение DGA
Классификация вредоносных доменов
На примере Cisco Umbrella
Обнаружение ВПО в шифрованном трафике
Acc. FDR
SPLT+BD+TLS+HTTP+DNS 99.993% 99.978%
TLS 94.836% 50.406%
DNS 99.496% 94.654%
HTTP 99.945% 98.996%
TLS+DNS 99.883% 96.551%
TLS+HTTP 99.955% 99.660%
HTTP+DNS 99.985% 99.956%
SPLT+BD+TLS 99.933% 70.351%
SPLT+BD+TLS+DNS 99.968% 98.043%
SPLT+BD+TLS+HTTP 99.983% 99.956%
TLS DNS
HTTPSPLT+BD
На примере Cisco ETA
Исследование ESG
• 29% хотят использовать ИИ для обнаружения инцидентов• Распознавание и классификация – одно из самых популярных
направлений в применении ИИ
• 27% хотят использовать ИИ для реагирования на инциденты
• 24% хотят использовать ИИ для идентификации рисков
• 22% хотят использовать ИИ для улучшения ситуационной осведомленности о состоянии ИБ на предприятии
Есть ли реальные примеры?
В целом, рынок ИИ повторяет тенденции
Изучают
59% изучают, собирают
информацию или
разрабатывают стратегию
Пилотируют
25% пробуют поставщиков,
взаимодействуют с
потребителями, учатся на
своих ошибках
Внедряют
6%
Реализовали
6%
+4% планируют внедрить в
2018
Источник: Gartner
Несмотря на наличие игроков рынка ИИ в кибербезопасности
Но мы еще вначале пути
Описательная
аналитика
Что случилось?
Диагностичес-
кая аналитика
Почему это случилось?
Предсказатель
-ная аналитика
Что случится?
Предписываю-
щая аналитика
Что я должен сделать?
Сложность
Ценность
Без человека пока не обойтись
Описательная
Диагностическая
Предсказательная
Предписывающая
Аналитика Участие человека
Решение
Дей
ств
ие
Поддержка решений
Автоматизация решений
Дан
ны
е
Текущий статус кибербезопасности и ИИ
Впервые стали
говорить
Много
шума
Не так страшен черт,
как его малюют
Наработаны контрмеры Плато
продуктивности
технологии
О безопасности
никто не думает
Первые
уязвимости
Страх и
неопределенность
Первые решения по
безопасности с ИИ
Атаки ->
отражение ->
атаки …
ИИ тут!📍
«Задача трёх тел»
Продукты Cisco IoT
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шлюзы Cisco IoT – множество функций ИБАппаратные
Процессоры и электроникаАппаратные
Механические и сенсорыПрограммные
Приложения и ресурсы
Акселерометри гироскоп
Входные сигналы тревоги для цифровых сенсоров
Отслеживание по GPS и геолокация
Блокировка Sim-карт
Модуль Trust Anchor(ACT2 чипсет)
Быстрое аппаратноешифрование
Проверка SUDI
АппаратныйTrust Anchor
МСЭ прикладногоуровня
Secure Boot
Cisco® процесс(CSDL, тестирование уязвимостей, PSIRT, TALOS)
Жизненный цикл ИЮ приложений с Cisco IOx
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Функции безопасности коммутаторов
Безопасная связь в самых суровых условиях
Богатый функционал защиты
Защищенная ОС Cisco® IOS XE с встроенными механизмами обеспечения доверия
MACsec - IEEE 802.1AE – шифрование на уровне канала для обеспечения целостности, конфиденциальности и аутентификацииNetFlow – мониторинг потоков и обнаружениеугроз и аномалий
Аутентификация 802.1x
Cisco TrustSec® – ролевая безопасность
Программно-определяемая сегментация с помощью Cisco SD-Access
C97-741671-00 © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Линейка коммутаторов Industrial Ethernet
IE 4010IE 4000
10/100M
Функц
ио
на
льно
сть
1G 10G
IE 5000
IE 3010
CGS
2520IE2000UIE 2000
IE 1000
• Designed for all
industries
• Layer 2 or 3
(IP service)
• 4 10 GE* uplinks
• 24 GE downlinks
• IEEE1588 PTP
(default and power
profiles)
• Layer 2 NAT
• Up to 12
PoE/PoE+
• Dying gasp
• Cisco TrustSec
SGT/SGACL
• MACSec
• FNF
• TSN-ready
• Stacking*
• Conformal
coating*
• Iox-ready
• MRP, REP, PRP
• HSR
• Timing interfaces
(IRIG-B, GPS)
• Cisco DNA
Essentials/
Advantage
• Lightly-managed• Layer 2 only• 30 sec bootup
time • Web config tool• Up to 8
PoE/PoE+ ports
• L2 or L3 (IP lite)• Small form factor• IP30, IP67• MRP, REP • Layer 2 NAT• IEEE1588 PTP• Up to 8
PoE/PoE+ ports• Conformal
coating *• Cisco DNA
Essentials
• L2 or L3 (IPservices)
• Small form factor• PRP, REP• IEEE 1588 PTP
(default and power profiles)
• Up to 4PoE/PoE+ ports
• Conformal coating *
• L2 or L3 (IP services)
• 1 RU• 2 GE uplink
ports• 24 FE downlink
ports• REP• 8 PoE/PoE+
ports, 16 SFP, or 24 copper
• IEEE 1588 PTP (default and power profiles) *
• For all industries
• Layer 2 or 3
(IP service)
• 4 GE uplinks
• Up to 20 GE
ports
• IEEE1588 PTP
(default and
power profiles)
• Layer 2 NAT
• Up to 8
PoE/PoE+
• Dying gasp
• Cisco TrustSec®
SGT/SGACL
• MACSec, FNF
• Time-Sensitive
Network (TSN)
• IOx
• MRP, REP, PRP
• HSR
• Cisco DNA
Essentials/
Advantage
• For all industries
• Layer 2 or 3
(IP service)
• 4 GE uplinks
• 28 total GE
ports
• IEEE1588 PTP
(default and
power profiles)
• Layer 2 NAT
• Up to 12 or 24
PoE/PoE+
• Dying gasp
• Cisco®
TrustSec
SGT/SGACL
• MACSec
• TSN-ready
• Iox-ready
• MRP, REP, PRP
• HSR
• Cisco DNA
Essentials/
Advantage
Best in class
АгрегацияДоступ
IE3300IE3200
• Layer 2
• 2 GE uplinks
• 8 GE downlinks
• Up to 8 PoE/PoE+
ports
• REP
• IEEE1588 PTP
• Macsec
• Profinet, MRP
• Cisco DNA Essentials
• Layer 2
• 2 GE uplinks
• Up to 24 GE ports
• Up to 24 PoE/PoE+
ports
• FNF, REP
• IEEE1588 PTP
• Layer 2 NAT,
• MACSec
• Layer 3
• Profinet
• MRP
• Cisco DNA
Essentials
• Cisco DNA
Advantage
IE3400
• Layer 2
• 2 GE uplinks
• Up to 24 GE ports
• FNF, REP
• TrustSec®
SGT/SGACL
• IEEE1588 PTP
• Layer 2 NAT,
• MACSec
• Layer 3
• Profinet
• MRP, PRP, HSR
• IOX
• TSN
• SDA FE
• Cisco DNA Essentials
• Cisco DNA
Advantage
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Серия Catalyst IE3x00 – расширенное предприятие
IE 3200(базовый
IE 3300 (гибкий)
IE 3400 (крутой)
Управляемость
IBN – Cisco DNA Center managementand assurance*
Обновленный GUI – WEBUI
Stealthwatch с Netflow
Безопасность
Защищенная ОС следующего поколения IOS-XE
IBN – расширение фабрики предприятия
IBN – фабрика предприятия
Cisco TrustSec*
Отличия
Расширенная сеть - Network Advantage*
Power over Ethernet – высокая плотность
* Post-FCS
Склады
Логистика
Парковки
Аэропорты
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
IE 3200(базовый
)
IE 3300 (гибкий)
IE 3400 (крутой)
Защита инвестиций
Архитектура следующего поколения
Расширяемость портов с модулями
Расширенная сеть - Network Advantage*
Функции Industry 4.0 TSN*
Безопасность и отказоустойчивость
Защищенная ОС следующего поколения IOS-XE
Протоколы отказоустойчивости (Fast REP)
PTP, MACsec*
Протоколы отказоустойчивости* (HSR, PRP, MRP)
Снижение операционных затрат
Интеграция Industrial Network Director с ISE
Низкое энергопотребление
Iox*
Заводы
ТЭК
Серия Catalyst IE3x00 – промышленная сеть
* Post-FCS
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Защищенные точки доступа
Расширенная
классификация и
сегментация
устройств
Безопасные и
доверенные
системы
WPA3
Обнаружение посторонних
беспроводных устройств
Мониторинг и контроль
радиоэфира
Расширенная безопасность на
открытых беспроводных сетях
Интуитивная сетевая
безопасность с ISE
WiFi
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Промышленный сегментПромышленный сегмент
Пример: программно-определяемая сегментация
• Ролевая сегментация
• Оперативная визуализация атакованных сегментов
• Изоляция скомпрометиро-ванных или атакованных сегментов
Zone switch
VFD
IE-3400H
HMI
Controller
Cell switch
Controller
IE-3400H
Controller
Distributed IO
Промышленный МСЭ/IDS Cisco ISA 3000
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Спецификация Cisco ISA3000
Параметр ISA-3000-4C ISA-3000-2C2F
Порты Ethernet 4 x 10M/100M/1G copper 2 x 10M/100/1G copper, 2 x 100M/1G fiber
Размеры H x W x D 13 см x 11.2 см x 16 см
Вес 1.9 кг
Монтирование DIN Rail, optional rack mounting
Power Input Nominal – 12-24/48v DC - Full range – 9-60v DC
Power consumption 24Watts
MTBF 398,130 часов 376,580 часов
Влажность Relative humidity of 5% to 95% non-condensing IEC 60068-2-6
Температурный режим
-40 C to +85 C (type Test)-40 C to +60 C (continuous operation)
-40C to 70C with 40LFM; -34C to 74C with 200LFM
Гарантия 5 year limited HW warranty
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Поддерживаемые промышленные протоколы ISA3000
Детекторы протоколов/приложенийBACNet
COSEM
COTP
DNP3
Emission control protocol
Fujitsu device control
GOOSE
GSE
IEC-60870-5-104
ISO MMS
Modbus
OPC-UA
Q931
SRC
TPKT
CIP
Honeywell Control Station/NIF Server
Honeywell Experion DSA Server Monitor
Deep Packet Inspection
Modbus
DNP3
CIP
IEC-60870-5-104
IEC 61850 - MMS
Например, обнаружение чтение
флага регистра Modbus, записи
флага регистра и т.д.
Возможность инспекции заголовка, тела
данных для фильтрации на основе
функций, команд и данных
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Опции фильтрации
Опции для CIP
cip_attribute
cip_class
cip_conn_path_class
cip_instance
cip_req
cip_rsp
cip_service
cip_status
Опции для Modbus
read_coils
read_discrete_inputs
read_holding_registers
read_input_registers
write_single_coil
write_single_register
read_exception_status
diagnostics
get_comm_event_counter
get_comm_event_log
write_multiple_coils
write_multiple_registers
report_slave_id
read_file_record
write_file_record
mask_write_register
read_write_multiple_registers
read_fifo_queueencapsulated_interface_transport
Опции для DNP3
DNP3 Functions DNP3 Internal Indicators flags present in a DNP3 Application Response Header
"confirm" "all_stations"
"read" "class_1_events"
"write" "class_2_events"
"select" "class_3_events"
"operate" "need_time"
"direct_operate" "local_control"
"direct_operate_nr" "defice_trouble"
"immed_freeze" "device_restart"
"immed_freeze_nr" "no_func_code_support"
"freeze_clear" "object_unknown"
"freeze_clear_nr" "parameter_error"
"freeze_at_time" "event_buffer_overflow"
"freeze_at_time_nr" "already_executing"
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Новые функции• Безопасность
• IE3400 & IE3400H с Trustsec & Netflow
• Масштабирование
• Plantwide PTP
• Edge Compute
• Простота
• Plug and Play (IND)
• Automated Micro-segmentation
Сценарии• Соединение PLC/DCS/control system
• Удаленный доступ & troubleshooting
Cisco Industrial Automation Cisco Validated Design
Результаты• Улучшение OEE (общая эффективность)
• Снижение рисков безопасности
• Готовность к Industry 4.0
Протестировано:
Архитектура Cisco SAFE
Готовые дизайны Cisco Validated Designs
www.cisco.com/go/cvd www.cisco.com/go/safe
Анализ потока
Сеть
L2/L3
МСЭАнтивре-доносное ПО
Аналитика угроз
к внешним зонам
Управление доступом +TrustSec
к комплексу зданий
к облаку
Межсетевой экран нового поколения
Зоны обще-
доступ-ных
серверов Сеть
L2/L3
Мониторинг и контроль приложений (AVC)
Безопасность
веб-трафика
Защитаэлектроннойпочты
Система предотвра-щениявторжений нового поколения
Отказв обслужи-вании(DDoS)VPN-
концентратор
Безопасность хоста
МСЭ веб-приложений
Баланси-ровщикнагрузки
Транспорти-ровкаРазгрузка функций безопасности транспортного уровня
Интернет
SAFE упрощает обеспечение ИБ: периметр
Безопасность хоста
Беспроводная
сеть
Беспроводная сетьПредотвращение вторжений в беспроводной сети
Оценка
состояния
Управление
доступом +
TrustSec
Анализ
потока
Сеть
L2/L3
Сеть
L2/L3
Безопасность хоста
Оценка
состояния
Управление
доступом +
TrustSec
Анализ
потока
Сервисы
безопасности
веб-трафика
МСЭ Система
предотвращения
вторжений
нового
поколения
Анти-
вредоносное
ПО
Анализ
потока
Мониторинг
и контроль
приложений
(AVC)
Аналитика
угроз
VPN
Менеджер, анализирующий информацию о продукте
Оператор, обрабатывающий транзакции по кредитным картам
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения/маршрутизатор
к ЦОД
к облаку
WAN
SAFE упрощает обеспечение ИБ: филиал
Безопасность хоста
Беспроводная сеть
Предотвра-щениевторженийв беспроводнойсети
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сеть
L2/L3
Сеть L2/L3Безопасность хоста
Идентификация Оценкасостояния
МСЭ Система предотвра-щениявторжений нового поколения
Антивре-доносное ПО
Анализ потокаАналитика угроз
VPN
Председатель правления, отправляющий электронные сообщения акционерам
Менеджер по работе с клиентами, анализирующий базу данных клиентов
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения
к ЦОД
WAN
Иденти-фикация
Управление мобильными устройствами
Анализ потокаУправление доступом +TrustSec
Управление доступом +TrustSec
Управление доступом +TrustSec
Маршрутизатор
SAFE упрощает обеспечение ИБ: комплекс зданий
Сеть
L2/L3
Управление доступом +TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щениявторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщикнагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом +TrustSec
Система предотвра-щениявторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/Конфигурация
Мониторинг/контекст
Анализ/корреляция
Аналитика
Регистрация в журнале/отчетность
Аналитика угроз
Управлениеуязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
SAFE упрощает обеспечение ИБ: ЦОД
к периметру
Зона общих
сервисов
Cisco Cloud Web Security
Облачный сервис CRM
Интернет
Интернет
Сервис поиска в Интернете
Аналитика
угроз
Безопасность
хоста
Мониторинг
и контроль
приложений
(AVC)
Анти-
вредоносное
ПО
Обнаружение
аномалий
Репутация/
фильтрация
веб-трафика
к филиалу
SAFE упрощает обеспечение ИБ: облако
к периметру
Интернет
Инженерпо эксплуатации,
размещающий заказ
на выполнение работ
Технический специалист,
удаленно проверяющий
журналы
Заказчик, обновляющий
профиль
Безопасность
хоста
Иденти-
фикация
Оценка
состояния
МСЭ Антивре-
доносное
ПО
Репутация/
фильтрация
веб-трафика
Система
предотвращения
вторжений
нового поколения
VPN
VPN
Безопасность
хоста
Безопасность
хоста
Межсетевой экран нового поколения
ВНЕШНИЕ ЗОНЫ
SAFE упрощает обеспечение ИБ:внешние зоны
Видео
Управление
уязвимостями
Аналитика угроз
Голос
Клиент
Синхронизация
времени
Оценка
состоянияОбнаружение
вторжений
в беспроводной
сети
Беспроводное
подключение
Виртуальная
частная сеть
Политики/
Конфигурация
Анализ/
КорреляцияОбнаружение
аномалий
Анти-
вредоносное ПО
Безопасность
клиента
Мониторинг
Управление
мобильными
устройствами
МСЭ
Анализ потока
Обнаружение
вторжений
Предотвращение
вторжений
Сетевая
инфраструктура
Предотвращение
вторжений
в беспроводной
сети
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Кампусная сеть
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ
СЕТЬАНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ
СЕТЬ
Регистрация
в журнале/отчетность
Мост
конференции
Видео
Управление
уязвимостями
Аналитика угроз
Голос
Клиент
Синхронизация
времени
Оценка
состоянияОбнаружение
вторжений
в беспроводной
сети
Беспроводное
подключение
Виртуальная
частная сеть
Политики/
Конфигурация
Анализ/
КорреляцияОбнаружение
аномалий
Анти-
вредоносное ПО
Безопасность
клиентаCisco Cloud Web
Security
Мониторинг
Управление
мобильными
устройствами
МСЭ
Анализ потока
Обнаружение
вторжений
Предотвращение
вторжений
Сетевая
инфраструктура
Предотвращение
вторжений
в беспроводной
сети
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Филиал
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ
СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВОБЕСПРОВОДНАЯ
СЕТЬ
Регистрация
в журнале/отчетность
=
Управление
уязвимостями
Аналитика угроз
Хранение
Сервер
МСЭ
веб-приложений
Разгрузка
TLS
Синхронизация
времениПолитики/
Конфигурация
Анализ/
КорреляцияОбнаружение
аномалий
Анти-
вредоносное ПО
Мониторинг
и контроль
приложений
Мониторинг
Защита
электронной
почты
МСЭ
Анализ потока
Обнаружение
вторжений
Предотвращение
вторжений
Сетевая
инфраструктура
Песочница
для вредоносного ПО
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
ЦОД
Доступ
ПРИЛОЖЕНИЕ
Балансировка
нагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ
СЕТЬАНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ
СЕТЬ
Безопасность
сервера
Регистрация
в журнале/отчетность
Мост
конференции
Управление
уязвимостями
Аналитика угроз
Хранение
Сервер
Синхронизация
времени
Репутация/
фильтрация
веб-трафика
Политики/
Конфигурация
Анализ/
КорреляцияОбнаружение
аномалий
Анти-
вредоносное ПО
Мониторинг
и контроль
приложений
Cisco Cloud Web
Security
Мониторинг
Сетевая
инфраструктура
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Облако
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ
СЕТЬАНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ
СЕТЬ
Безопасность
сервера
Регистрация
в журнале/отчетность
Управление
уязвимостями
Аналитика угроз
Синхронизация
времени
Виртуальная
частная сеть
Политики/
Конфигурация
Анализ/
КорреляцияОбнаружение
аномалий
Анти-
вредоносное ПО
Мониторинг
МСЭ
Анализ потока
Обнаружение
вторжений
Предотвращение
вторжений
Сетевая
инфраструктура
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
WAN
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ
СЕТЬАНАЛИЗ WAN ОБЛАКО СЕРВИС
ПОЛЬЗОВАТЕЛЬ УСТРОЙСТВОБЕСПРОВОДНАЯ
СЕТЬ
Регистрация
в журнале/отчетность
Action items
1. Обновление архитектуры АСУТП сегмента.
2. Стандартизация оборудования для нужд архитектуры.
3. Репликация сервисов ИБ на АСУТП-сегменте сети.
4. Построение/стандартизация стыка ИТ и ОТ сегментов.
5. Автоматизация сети. Управляемые сервисы.
Спасибо!