cisco web security - обзор технологии и функционала

1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Алексей Лукацкий

Cisco Systems, бизнес-консультант, EMEAR Security

Cisco Web Security

2 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Зксплоиты Кражи и

шпионаж Прерывание

работы

Безопасность Web – ставки выше, чем когда-либо


Web страницы содержат скрытые угрозы

• Flash

• Java

• JPG

• PDF

• Script

• .exe

• Etc.

Potential

threats


Facebook time:

2,110,516 minutes or

35,175 hours, 1465

days, 4.1 years!

# of Facebook likes:

3,925,407 at 1 second a

like that’s almost 1100

hrs/day or 45 days just

liking things!

Bytes on YouTube

video playback:

11,344,463,363,245

or 10 TB

Pandora:

713,884,303,727

or .6 TB

Total browse time for

the day:

2,270,690,423 or

4,320 Years.

Total bytes for the day:

70,702,617,989,737

or 64 TB over 15% from

YouTube!

Потеря производительности – это тоже угроза Сколько полосы пропускания занимает ежедневно Web 2.0?

Source: Cloud Web Security Report


Мы можем помочь. Cisco Web безопасность обеспечивает…

Сильную защиту Защита каждого устройства, везде, в любое время

Полное управление Управление Web трафиком для всех устройств

Защита инвестиций Предоставление больше за ваши инвестиции


Cisco – это лидер в квадранте Gartner для Secure Web Gateways

Gartner’s Magic Quadrant for Secure Web Gateways

Lawence Orans, Peter Firstbrook, 28 May 2013

This graphic was published by Gartner, Inc. as

part of a larger research document and should be

evaluated in the context of the entire document.

The Gartner document is available upon request

from this URL.

Gartner does not endorse any vendor, product or service

depicted in its research publications, and does not advise

technology users to select only those vendors with the highest

ratings. Gartner research publications consist of the opinions of

Gartner's research organization and should not be construed as

statements of fact. Gartner disclaims all warranties, expressed or

implied, with respect to this research, including any warranties of

merchantability or fitness for a particular purpose.

Abili

ty to E

xecute

Completeness of Vision

Challengers Leaders

Niche Players Visionaries

Cisco

Blue Coat Systems Websense

Zscaler McAfee

Symantec

Barracuda Networks

Trend Micro

Trustwave

Sophos

Sangfor ContentKeeper

Technologies

Phantom Technologies-iboss

Security

http://www.gartner.com/technology/reprints.do?id=1-1DBXGR1&ct=121221&st=sb


Cisco Web безопасность обеспечивает сильную защиту

WWW

Время

запроса

Время

ответа

Cisco® SIO

URL Фильтрация

Репутационный фильтра

Динамический анализ (DCA)

Сигнатурные anti-malware движки & AMP

Анализ в Sandbox real-time

Block

WWW

Block

WWW

Block

WWW

Block

WWW

Allow

WWW Warn

WWW WWW Partial

Block

Block

WWW

cws


Control

Cisco

AnyConnect®

Cisco

IPS

Cisco CWS

WWW

Cisco WSA Cisco ASA Cisco ESA

Visibility

WWW

Web

Endpoints

Devices

Networks

Email

IPS

Cisco Security Intelligence Operations (SIO) Выдающийся глобальный облачный механизм безопасности

1.6 million global sensors

100 TB of data received per day

150 million+ deployed endpoints

35% worldwide email traffic

13 billion web requests

24x7x365 operations

40+ languages

600+ engineers, technicians, and researchers

80+ PH.D., CCIE, CISSP, AND MSCE users

More than US$100 million spent on dynamic research and development

3- to 5- minute updates

5,500+ IPS signatures produced

8 million+ rules per day

200+ parameters tracked

70+ publications produced

Инф

орм

ац

ия

об

новл

ени

я

Cisco® SIO


1. Скан текста

Cisco Web Usage Controls URL фильтрация и динамический анализ контента

WWW

URL Database

3. Вычисление близости к эталонным документов

4. Наиболее близкое совпадение категории

2. Определение релевантности

Finance

Adult

Health

Finance Adult Health

Allow

WWW Warn

WWW WWW Partial

Block

Block

WWW

5. Применение политики

Если не знаем --

анализ

Block

WWW

Warn

WWW

Allow

WWW

Если знаем


Анализ репутации Мощь контекста в реальном времени

Suspicious

Domain Owner

Server in High

Risk Location

Dynamic IP

Address

Domain

Registered

< 1 Min

192.1.0.68 example

.com Example.org 17.0.2.12 Beijing London San Jose Kiev HTTP SSL HTTPS

Domain

Registered

> 2 Year

Domain

Registered

< 1 Month

Web server

< 1 Month

Who How Where When

0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10

IP Значение репутации


Механизм динамического анализа контента (DCA) Идентификация большей части спорного контента

Останавливает 50% спорного контента* *Source: Cisco SIO, based on data from customer production traffic

Высокая производительность

• База данных URL – более 50 млн ужлов

• Категоризация в реальном времени для неизвестных URL

• Поддержка русского языка

Настройка для обычно блокируемого контента

• Pornography and Adult

• Hate

• Gambling

• Proxy Avoidance

Анализ контента с человеческой точки зрения

• Эвристический анализ на основе моделирования концепции контента

• Улучшенная точность


Adaptive

Scanning

Адаптивное сканирование: автоматический выбор сканера

Репутация + тип контента + выбор сканера = Адаптивное сканирование

www.anysite2.com -3.5

www.anysite1.com +1.1

www.anysite3.com -5.5

WSA

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

Cisco® SIO

HTML

HTML

HTML


Сканирование Malware в реальном времени Dynamic vectoring and streaming

Сигнатурный и эвристический анализ

• Оптимизация эффективности и уровня обнаружения с интеллектуальным мульти-сканированием

• Расширенное покрытие несколькими механизмами

• Идентификация зашифрованного вредоносного трафика с помощью перехвата, расшифровки и сканирования SSL трафика

• Улучшение впечатления пользователя благодаря параллельному потоковому сканированию для более быстрого анализа

• Всегда самые свежие сигнатуры благодаря автоматическим обновлениям

Эвристическое обнаружение Необычное поведение

Anti-Malware сканирование

Параллельное, потоковое сканирование

Сигнатурная проверка Идентификация известного поведения

Несколько движков Anti-

Malware


Анализ в Sandbox в реальном времени для определения атак нулевого дня Анализ каждого объекта на странице (CWS only)

Эмуляция в реальном времени


Основные функции AMP на Cisco Email и Web Security

File Sandboxing

Анализ поведения

неизвестных файлов

File Retrospection

Ретроспективный

анализ после атаки

File Reputation

Блокирование

вредоносных файлов


За горизонтом события ИБ

Антивирус

Песочница

Начальное значение = Чисто

Точечное обнаружение

Начальное значение = Чисто

AMP

Пропущены атаки

Актуальное значение = Плохо = Поздно!!

Регулярный возврат

к ретроспективе

Видимость и

контроль – это ключ

Не 100%

Анализ остановлен

Sleep Techniques

Unknown Protocols

Encryption

Polymorphism

Актуальное значение = Плохо =

Блокировано

Ретроспективное

обнаружение, анализ

продолжается


Интеграция AMP & VRT & ESA/WSA/CWS

AMP клиент – единый модуль, который применяется в WSA и ESA

Web/Sender

Reputation

Web/

Email

Proxy

VRT Sandboxing

WSA/ESA/CWS

Amp connector

Локальные

AV-сканеры

Запрос репутации файла

AMP

Cloud

Неизвестный файл,

загрузка в песочницу

Обновление

репутации

файлов

Sandbox

connector

AMP Client

Local

Cache

Обновление

ретроспективы


File SHA Hash

‘Fingerprint’

Неизвестно 1->100

Файл

распознан

Файл неизвестен

Отправить в песочницу?

Да

Нет

1->59 : чисто

60->100: заражено

Вердикт «Чисто»

Вердикт «Заражено»

Реакция по политики

ESA / WSA

Amp

Service

Amp Cloud Service

Вердикт

«Чисто» + отправить

в песочницу

Вердикт «Чисто»

Amp Client

Чисто

Заражено

Вердикт Рейтинг

Нет рейтинга

Принятие решений в связке AMP и ESA/WSA/CWS


Мониторинг угроз на сетевом уровне

Пользователи Анализ на сетевом уровне

Предотвращение трафика ботнетов (“Phone-home”)

• Сканирование всего трафика, на всех портах, по всем протоколам

• Обнаружение вредоносного ПО, обходящего порт 80

• Предотвращение трафика ботнетов

Мощные данные для борьбы с вредоносным кодом

• Автоматически обновляемые правила

• Генерация правил в реальном времени, используя “динамическую идентификацию”

Инспекция пакетов и

заголовков

Интернет


Cisco Web Security предлагает полное управление

Data Loss Prevention (DLP)

Application Visibility and Control (AVC)

Admin

Allow

WWW

WWW Partial

Block

Block

WWW

Centralized

Management &

Reporting

Policy

Threat Protection User

Cisco Web Usage Controls


Application Visibility and Control (AVC)

1,000+ Apps

URL фильтрация

• База данный URL – более 50 млн сайтов

• Динамическия категоризация для неизвестных URL Application

Behavior

150,000+

Micro-Apps

• Управление приложениями Web 2.0

• Политика для работы с приложениями

• Поведение внутри приложений

• Обзор деятельности в сети

http://

+

Правила применения в сегодняшнем Web Снижение уровня «расстроенности» пользователей


Безопасный поиск и рейтинг контента Более глубокий контроль приложений

Безопасный поиск

Предотвращение обхода политики с помощью поисковиков

Гарантия того, что поисковые механизмы вернут результат, в котором нежелательный контент отфильтрован

Настройка – один клик

Поддержка: Google, Bing, Yahoo, Yandex. Дальше -- болше

Рейтинг сайтов

Блокирование нежелательного контента на разных сайтах

Основано на метаданных, а не на анализе файлов

Поддержка: Flickr, Craigslist, YouTube


Предотвращение утечек данных Снижение риска утечки чувствительной информации

On-Premises

Интеграция DLP

по ICAP

протоколу

CWS

WSA

Cloud

DLP вендор

WSA

+

Базовый DLP

Расширенный

DLP

Базовый DLP


Контроль полосы пропускания для потокового медиа

• Механизм AVC обнаруживает потоковое аудио и видео, которое использует HTTP как транспорт

• Ограничения по пользователям

Каждому клиенту разрешается использовать N Kbit/sec для потокового медиа

Ограничение перегрузки, применение правил использования, увеличение производительности пользователей

• Агрегатные ограничение

Потоковое медиа может использовать не более, чем N мбит/сек полосы пропускания

Гарантия полосы

• Может комбинироваться с категориями и Identlties.


Централизованное управление и отчетность Complete solution for on-premises or cloud

Централизованная отчетность

Централизованное управление

Просмотр угроз

Возможности расследования

Внутри

Угрозы, данные, приложения

Управление

Общие политики между офисами и удаленными пользователями

Обзор

Разные устройства, сервисы, сетевые уровни

Управление политиками

Делегированное администрирование

Анализ, исправление и переработка политик безопасности


Защита мобильных пользователей Cisco AnyConnect Secure Mobility Client

Пользователи с

телефонами, лаптопами,

планшетами

Пользователи

с ноутбуками

Client installed on machine

Web пользователи

Block

WWW

Warn

WWW

Allow

WWW

Вердикт

CWS applies web

security features

WSA применяет

политики

Web Security

Location

Перенаправление

Web трафика

Перенаправление

трафика в WSA

Трафик

через

VPN

попадает

в HQ

Направляет

трафик на

ближайший Web

прокси

Cisco

AnyConnect™

Client

VPN

ACWS

VPN


Cisco Context Directory Agent

Цель CDA – предоставить ASA / ASA NGFW / WSA / CWS информации о соответствии IP-адреса и имени пользователя для применении политики безопасности, базирующейся на имени пользователя, а не IP-адреса

CDA, заменяющий AD Agent, интегрируется с ISE 1.1.x и ACS 5.3/5.4 и позволяет получить информацию о пользователях, не зарегистрированных в AD


Cisco Web Security Virtual Appliance

Выгоды

• Выбор форм-фактора

• Гибкость развертывания

• Ценовая модель – подписка

Варианты использования

• Региональный офис

• Пики трафика

• Инициатива облака/виртуализация

Cisco UCS

Appliance

+

+

WSAV

cisco web security - обзор технологии и функционала

Technology