cisco cyber threat defense
DESCRIPTION
TRANSCRIPT
![Page 1: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/1.jpg)
Cisco Cyber Threat DefenseАлексей Лукацкий
Бизнес-консультант по безопасности
Cisco
![Page 2: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/2.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 2
СЕТЬMOBILITYMOBILITY
COLLABORATIONCOLLABORATION
CLOUD
НОВАЯ КАРТИНА УГРОЗ
СНИЖЕНИЕ КОНТРОЛЯ
![Page 3: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/3.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 3
Широкий спектр средств защиты
• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной фильтрации, средства защиты баз данных и порталов и т.п.
![Page 4: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/4.jpg)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 4
Современные угрозы
![Page 5: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/5.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 5Слайд 5
Угрозы становятся как никогда изощреннее
Шпионаж РазрушениеМанипуляция
Script Kiddies
Группыхактивистов
Организованнаяпреступность
Спецслужбы
![Page 6: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/6.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 6
Сама по себе безопасность периметра малоэффективна
Устройства периметра
Контроль и управление
Сетевая разведка и распространение
Кража данных
Целевые угрозы зачастую обходят
периметр
Только вся сеть целиком имеет достаточный уровень наблюдаемости для
выявления сложных угроз
![Page 7: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/7.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 7
Смотрите шире на периметр безопасности
Advanced Persistent Threats и другие
угрозы построянно проходят ваш
периметр – это их правило прорыва и
необходимое условие
распространеня.Они играют не по
правилам.
‘break the rules’.
X X X X O X X X O O
![Page 8: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/8.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 8
Stuxnet
Ваша сеть СКОМПРОМЕНТИРОВАНАВы знаете где?
![Page 9: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/9.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 9
Знать атакующего
•Страна? Конкуренты? Частные лица?Кто?•Что является целью?Что?•Когда атака наиболее активна и с чем это связано?Когда?•Где атакующие? Где они наиболее успешны?Где?•Зачем они атакуют – что конкретно их цель?Зачем?•Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?
![Page 10: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/10.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 10
Знать себя
•Кто в моей сети?Кто?•Что делают пользователи? Приложения? •Что считать нормальным поведением?Что?•Устройства в сети? Что считать нормальным состоянием?Когда?•Где и откуда пользователи попадают в сеть?•Внутренние? eCommerce? Внешние? Где?•Зачем они используют конкретные приложения? Зачем?•Как всё это попадает в сеть? Как?
![Page 11: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/11.jpg)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco11
Что поможет на эти вопросы?
![Page 12: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/12.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 12
Что объединяет всех?!
СЕТЬВидимость всего трафика
Маршрутизация всех запросовИсточники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
![Page 13: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/13.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 13
Интегрированная архитектура ИБ
Локальный и глобальный анализ
угроз
Общие политика &
Управление
Сеть, реализующая
политику
Одноцелевые и многоцелевые устройства работают хорошо… но в вакууме
Многофункциона-льное устройство
Анализ угроз
Политика & Управление
Hardware
Сеть
Одноцелевое устройство
Network Security
ContentSecurity
Ана-лиз
угроз
Policy &
Mgmt
HW
Ана-лиз
угроз
Policy &
Mgmt
HW
Сеть
Cisco SecureX обеспечивает:• Понимание контекста
• Всесторонний обзор
• Масштабируемый контроль
• Динамическая адаптация к новым угрозам
• Защита данных и приложений
![Page 14: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/14.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 14
СЕТЬ
Безопасность, встроенная в инфраструктуруВсесторонний обзор и масштабируемый контроль
Глобальный и локальный анализ угроз
Общие политика и управление
Инф
ормация
Реализация
Behavioral Analysis
EncryptionIdentity Awareness
Device Visibility Policy Enforcement
Access Control
Threat Defense
Sees All Traffic
Routes All RequestsSources All Data
Controls All Flows
Handles All Devices
Touches All UsersShapes All Streams
Сеть, реализующая политику
![Page 15: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/15.jpg)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco15
NetFlow – забытый инструмент сетевой безопасности
![Page 16: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/16.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 16
Существующие защитные стратегии
Обнаружение угроз на базе сигнатур / репутации
Обнаружение угроз на базе аномалий
Сетевой периметр
МСЭIPS/IDS Обманные системы
Внутренняя сеть
Контентная фильтрация Web/Email
трафика
Cisco Cyber Threat Defense
![Page 17: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/17.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 17
Обнаружение вторжений: сценарии
Система обнаружения сетевых вторжений• на основе сигнатур• пассивный сбор• первичный источник оповещения
Журнал Syslog сервера• инструмент глубокого анализа• возможность фильтрации• ограниченное воздействие на систему
Анализ сетевых потоков • слабое воздействие на устройства• основной инструмент исследования• небольшой требуемый объем памяти
![Page 18: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/18.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 18
Портфолио Cisco IPSP
erfo
rman
ce a
nd S
cala
bilit
y
ЦОДКампусФилиалыSOHO Периметр
ASA5585-S60P60
ASA5585-S40P40
ASA5585-S20P20
ASA5585-S10P10
IPS 4510, 4520
IPS-4270
4345 (Saleen)Mar 2012
4360 (Saleen)Mar 2012
IDSM-2
ASA-SSM-40
ASA-SSM-20
ASA-SSM-10 ASA-SSC-5
IPS-4240
IPS-4255
IPS-4260
ISR-NME
ISR-AIM
![Page 19: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/19.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 19
A
B
C
CB
A
CA
B
Не везде есть IPS, но везде есть NetFlow
![Page 20: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/20.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 20
NetFlow – это редко используемый источник данных ИБ
![Page 21: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/21.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 21
Откуда мы можем получать NetFlow?
• Из всех критичных и важных точек
![Page 22: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/22.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 22
Выборочный трафик• Часть трафика, обычно менее
5%, • Дает быстрый взгляд в сеть
Похоже на чтение каждой 20-й страницы книги. Технической книги-справочника
ПОЛНЫЙ трафик• Весь трафик подлежит сбору• Предоставляет исчерпывающий
обзор всей сетевой активности • Эквивалент внимательного
постраничного чтения + пометки на полях + закладки
Выборка полезна для мониторинга сети, но не для безопасности
Полный и выборочный NetFlow
![Page 23: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/23.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 23
Netflow для обнаружения аномалий
![Page 24: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/24.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 24
Поведенческий анализ
![Page 25: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/25.jpg)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco25
Cisco Cyber Threat Defense
![Page 26: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/26.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 26
Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения
• Признанный игрок рынка мониторинга сети и безопасности
• Cisco Solutions Plus ProductОбщие дизайны Cisco+Lancope
Совместные инвестиции в развитие
Доступность в канале продаж Cisco
• Отличный уровень сотрудничества с Cisco
Lancope StealthWatch
![Page 27: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/27.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 27
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers,и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Context
Телеметрия NetFlowCisco Switches, Routers и ASA 5500
Данные о контексте угрозыCisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope
![Page 28: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/28.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 28
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
![Page 29: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/29.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 29
• Обнаружение брешей в настройках МСЭ
• Обнаружение незащищенных коммуникаций
• Обнаружение P2P-трафика
• Обнаружение неавторизованной установки локального Web-сервера или точки доступа
• Обнаружение попыток несанкционированного доступа
• Обнаружение ботнетов (командных серверов)
• Обнаружение атак «отказ в обслуживании»
• Обнаружение инсайдеров
• Расследование инцидентов
• Troubleshooting
Решаемые задачи
![Page 30: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/30.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 30
Cisco CTD: обнаружение атак без сигнатур
Что делает 10.10.101.89?
Политика Время начала
Тревога Источник Source Host Groups
Цель Детали
Desktops & Trusted Wireless
Янв 3, 2013 Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Множество хостов
Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб
![Page 31: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/31.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 31
Cisco CTD: обнаружение атак без сигнатурВысокий Concern Index показывает
значительное количество подозрительных событий
Группа узлов
Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656%
High Concern index
Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
![Page 32: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/32.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 32
Не зная броду, не суйся в воду
Принятие решения безполного обзора и понимания контекста
Чистый или грязный
Интернет-кафе
? Репутация ?
Проводной или нет?
Злоумышленник
Управляемый или нет
РАЗЫСКИВАЕТСЯНормальное поведение
![Page 33: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/33.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 33
Добавляя контекст и понимание
CI2 I4A
ЛОКАЛЬНОБизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНОСитуационныйанализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-действия
APP Приложения
URL Сайты
Реализация безопасности с локальными глобальным контекстом
![Page 34: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/34.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 34
Откуда мы можем взять контекст?
Users/Devices Cisco Identity Services Engine(ISE)
Network Based Application Recognition
(NBAR)
NetFlow Secure Event
Logging (NSEL)
Связь потоков спользователями и
конечнымиустройствами
Связь потоков сприложениями,идущими через маршрутизаторы
Связь потоков сразрешенными и
заблокированнымисоединениями на МСЭ
![Page 35: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/35.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 35
ISEISE
Узлы и ролевые функции ISE
Ролевая функция — одна или несколько из следующих:•Администрирование•Мониторинг•Сервис политик
Оценка состояния в потоке трафика
Сервис политикМониторингАдминистри
рование
Одиночный узел ISE (устройство или виртуальная машина)
Одиночный узел оценки состояния на пути трафика (только устройство)
![Page 36: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/36.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 36
Архитектура ISE
Оконечное устройство Ресурс Реализация
Внешние данныеПросмотр /
настройка политик
Атрибуты запросов
Запрос доступа
Доступ к ресурсу
Ведение журналов
Контекст запроса /
ответа
Мониторинг
Просмотр журналов/
отчетов
Ведение журналов
Ведение журналов
Админист- рирование
Сервис политик
![Page 37: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/37.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 37
• Cisco ISE – унифицированная система управления и контроля защищенным доступом к внутренним ресурсам
Получение контекста от Cisco ISE
Политика Время старта
Тревога Источник Группа хостов источника
Имя пользователя
Тип устройства
Цель
Desktops & Trusted Wireless
Янв 3, 2013
Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество хостов
![Page 38: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/38.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 38
• Поле Flow Action может добавить дополнительный контекст
• NSEL-отчетность на основе состояний для поведенческого анализаСбор информации о отклоненных или разрешенных соединениях
Получение контекста от Cisco ASA / ISR / ASR
![Page 39: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/39.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 39
Cisco ISE
Management
StealthWatch Management
Console
StealthWatch FlowCollector
Архитектура решения Cyber Threat Defense
Сбор и анализЗ NetFlow записей
Корреляция и отображение потоков, идентификационные данные
Cisco TrustSec: Access Control, Profiling and Posture
NetFlow Capable
Devices
Catalyst® 3750-X
Catalyst® 3560-X
Catalyst® 5500
Catalyst® 4500
Access Point
Access Point
Access
Branch
Cam
pus
Distribution
Catalyst® 3750-X Stack
WLC
Catalyst® 6500
Catalyst® 6500
Edge
Site-to-Site VPN
ASA
ISR-G2
Remote Access
NetFlow
Identity
Масштабируемая NetFlow инфраструктура
AAA services, profiling and posture assessment
![Page 40: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/40.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 40
• Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)
• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)
• Понимание контекста
Масштабируемая архитектура
![Page 41: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/41.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 41
Полная видимость всего, что происходит во внутренней сети
InternetAtlanta
San Jose
New York
ASR-1000
Cat6k
UCS сNexus 1000v
ASACat6k
3925 ISR
3560-X
3850Stack(s)
Cat4kDatacenter
WAN
DMZ
Access
![Page 42: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/42.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 42
Визуализация по разным срезам
![Page 43: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/43.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 43
Консоль управления CTD
![Page 44: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/44.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 44
Крупным планом
Обнаружение разных типов атак, включая DDoS
Детальная статистика о всех атаках, обнаруженных в сети
![Page 45: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/45.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 45
Предполагаемая утечка данных
Слишком высокий показатель совместного использования
файлов
Достигнуто максимальное количество обслуженных
потоков
Предустановленные политики
![Page 46: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/46.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 46
Когда?
Сколько?
УчастникУчастник
Каким образом?
Расследование инцидентов
![Page 47: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/47.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 47
Выберите узел для
исследования
Поиск исходящего
трафика
Запрос интересующей информации
![Page 48: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/48.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 48
Результаты запроса
Сервер, DNS и страна
Тип трафика и объем
![Page 49: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/49.jpg)
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco49
В заключение
![Page 50: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/50.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 50
Firewall
IPS
Web Sec
N-AV
Email Sec
Целенаправленные угрозы пректируются с учетом
необходимости обхода шлюзов безопасности
Распространение угроз внутри
периметра
Периметр безопасности останавливает основную часть угроз, тем не менеесложные кибер-угрозы обходят средства безопасности
Следы кибер-угроз можно обнаружить только в сети в целом
Распространение на устройства
Целенаправленные угрозы, входящие
изнутри сети
Традиционных средств защиты периметра недостаточно
![Page 51: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/51.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 51
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers,и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Context
Телеметрия NetFlowCisco Switches, Routers и ASA 5500
Данные о контексте угрозыCisco Identity, Device, Posture, Application
Cyber Threat Defense обеспечивает внутренние контроль и защиту
![Page 52: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/52.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 52
Объединим все вместе
Устройства Внутренняя сеть
Видимость, контекст и контроль
Используем данные NetFlow для
расширения видимости на уровне доступа
Унификация в единой панели возможностей
по обнаружению, расследованию и
реагированию
Совмещение данных NetFlow с Identity, событиями ИБ и
приложениями для создания контекста
КТО
ЧТОГДЕ/ОТКУДА
КОГДА
КАКHardware-enabledNetFlow Switch
Cisco ISE
Cisco ISR G2 + NBAR
Cisco ASA + NSEL
Контекст
![Page 53: Cisco Cyber Threat Defense](https://reader033.vdocuments.net/reader033/viewer/2022061122/546f7f03b4af9f2b0b8b4582/html5/thumbnails/53.jpg)
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 53
Где узнать больше?