Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
Михаил Кадер
Инженер
08.10.2020
NGFW, SWG, CASB, SASE: что выбрать под ваши задачи?
2© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Серия вебинаров Cisco Club по ИБ в октябре
• Руководство по внедрению NAC в корпоративной сети - 01/10
• NGFW, SWG, CASB, SASE: что выбрать под ваши задачи? -08/10
• Как снизить число фолсов на средствах обнаружения угроз -15/10
• Руководство по сетевой сегментации: от ACL и EPG до TrustSecи ACI - 22/10
• Базовая современная архитектура электронной почты и как ее защитить - 29/10
3© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Серия вебинаров Cisco Club по ИБ в ноябре и декабре
• Не пора ли обновить стратегию защиты от программ-вымогателей?
• Что надо сделать, чтобы внедрение EDR не превратилось в ваши поминки?
• Применение средств контроля сетевого доступа в процессе реагирования на инциденты ИБ
• Вся правда о дешифровании TLS 1.3 или как вас обманывают?
• Современная архитектура электронной почты и как ее защитить
• Как выстроить эффективный процесс повышения осведомленности персонала?
• Безопасность контейнерных перевозок
4© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
О чем поговорим сегодня
• Жить стало …. Веселее?
• А теперь о реальных сценариях и продуктах
- МСЭ нового поколения (NGFW)
- Шлюз доступа в интернет (SWG)
- Брокер доступа к Облакам (CASB)
- Облачный шлюз безопасности (SIG)
• Заключение
Жить стало …Веселее?
6© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как хорошо было 20 лет назад…
Банк
Офис
POS
Коммутатор
Маршрутизатор
ЦОД
Computers
7© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как сложно (страшно) жить сегодня!!!
Банк
ОфисPOS
Коммутаторы
Routing
ЦОД
Оператор
POSIP Телефоны
Компьютеры
ОблакаПартнеры
Интернет
Беспроводная
сеть
Беспроводные
устройства
Устройства ОТ
Принтеры
Видео
Беспроводная
сеть
Беспроводная
сеть
Беспроводная
сеть
Беспроводные
устройства
Компьютеры
IP Телефоны
Видео
Принтеры
Устройства ОТ
8© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как сложно (страшно) жить сегодня!!!
Банк
ОфисPOS
Коммутаторы
Routing
ЦОД
Оператор
POSIP Телефоны
Компьютеры
ОблакаПартнеры
Интернет
Беспроводная
сеть
Беспроводные
устройства
Устройства ОТ
Принтеры
Видео
Беспроводная
сеть
Беспроводная
сеть
Беспроводная
сеть
Беспроводные
устройства
Компьютеры
IP Телефоны
Видео
Принтеры
Устройства ОТ
Реальные сценарииспасения
Межсетевой экран нового поколения (NGFW)Cisco Firepower
11© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Граница ИнтернетОсновные функции Основные возможности
Доступность и масштабируемостьГорячее резервирование или
кластеризация
Расширенный контроль доступаПриложения, URL-и, пользователи,поддержка политик TrustSec с SGT
Блокировка доступа к вредоноснымIP's, URL-м, DNS
Аналитика угроз Talos
Динамическая и статическая трансляция адресов и портов
Масштабируемая трансляция адресов и портов
VPN для удаленного доступа Cisco AnyConnect
VPN между площадкамиVPN точка-точка, многоточка, полная
связанность
Обнаружение вредоносного сетевого трафика
СОВ Snort
Контроль передачи файлов, блокирование ВПО
Расширенная защита от ВПО
Динамический анализ неизвестных файлов Песочница Threat Grid
DMZ
HA
Campus/ PrivateNetwork
Internet Edge
Service Provider InternetRemote User
NGFW or ASA
HSRP
12© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Подключение удаленных пользователей (RA VPN)
Use-case: RAVPN
Основные функции Основные возможности
Доступность и масштабируемость Балансировка VPN
Расширенный контроль доступа IPSEC и SSL
Блокировка доступа к вредоноснымIP's, URL-м, DNS
Аналитика угроз Talos
Динамическая и статическая трансляция адресов и портов
AD, LDAP и Radius
VPN для удаленного доступа IKEv2
VPN между площадками RADIUS CoA
Обнаружение вредоносного сетевого трафика
СОВ Snort
Контроль передачи файлов, блокирование ВПО
Расширенная защита от ВПО
Динамический анализ неизвестных файлов
Песочница Threat Grid
DMZ
HA
Campus/ PrivateNetwork
Internet Edge
Service Provider InternetRemote User
NGFW or ASA
HSRP
13© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Удаленное подразделение
Основные функции Основные возможности
Расширенный контроль доступаПриложения, URL-и, пользователи,поддержка политик TrustSec с SGT
VPN для удаленного доступа Cisco AnyConnect
VPN между площадками VPN на основе маршрутизации
Подключение к двум провайдерам IP SLA или по зонам
Блокировка доступа к вредоноснымIP's, URL-м, DNS
Аналитика угроз Talos
Блокировка вредоносного трафика по информации от других систем аналитики
угрозThreat Intelligence Director
Обнаружение вредоносного сетевого трафика
СОВ Snort
Контроль передачи файлов, блокирование ВПО
Расширенная защита от ВПО
Динамический анализ неизвестных файлов Песочница Threat Grid
Data Center or HQ
NGFW HA
Internal Network
EDGE router (HSRP)
EDGE router (HSRP)
NGFW HA
IPSEC SITE-TO-SITE VPN
Internet
14© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Основные функции Основные возможности
Расширенный контроль доступаПолитики TrustSec Policy с SGT,
политики ACI с EPG
Малая задержка Аппаратное ускорение обработки
Доступность и масштабируемостьГорячее резервирование или
кластеризация
Географическое распределение ЦОД-ов
Распределенная кластеризация
Обнаружение вредоносного сетевого трафика
СОВ Snort
Контроль передачи файлов, блокирование ВПО
Расширенная защита от ВПО
Динамический анализ неизвестных файлов
Песочница Threat Grid
Сегментация МСЭ Логические МСЭ
Центр обработки данных
NGFW in HA/Cluster
NGFW Cluster
Data CenterEdge
Data Center
Distribution
Access Layer
App Servers ToolsDatabaseWeb App
vPC/Port-Channel
vPC/Port-Channel
East-West
North-South
Extranet
15© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Data CenterN/S
Inside
DMZ
Outside
ESXiHost A
ESXiHost B
HA Pair
CSP or ENCS(Computer
cluster)
Branch
Inside
N/S
N/S
N/S
Облако/Виртуализация
Основные функции Основные возможности
Internet
External LB
Inside
DMZ
E/W
External LB
Inside
DMZ
Internal LB
E/W
Inside
DMZ
KVM Host A
KVM Host B
HA Pair
OutsideE/W
E/W
Расширенный контроль доступаПриложения, URL-и, пользователи,поддержка политик TrustSec с SGT
/CCP
VPN для удаленного доступа Cisco AnyConnect
VPN между площадкамиVPN на основе маршрутизации и
политик
Блокировка доступа к вредоноснымIP's, URL-м, DNS
Аналитика угроз Talos
Блокировка вредоносного трафика по информации от других систем
аналитики угрозThreat Intelligence Director
Обнаружение вредоносного сетевого трафика
СОВ Snort
Контроль передачи файлов, блокирование ВПО
Расширенная защита от ВПО
Динамический анализ неизвестных файлов
Песочница Threat Grid
16© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Основные функции Основные возможности
Расширенный контроль доступаApplications, URLs, Users, and
TrustSec Policy using SGTs
Блокировка доступа к вредоноснымIP's, URL-м, DNS
Аналитика угроз Talos
Блокировка вредоносного трафика по информации от других систем
аналитики угрозThreat Intelligence Director
Обнаружение вредоносного сетевого трафика
СОВ Snort
Контроль передачи файлов, блокирование ВПО
Расширенная защита от ВПО
Динамический анализ неизвестных файлов
Песочница Threat GridInternal Network
HA UpdateActive Standby
VPC
NGIPS NGIPS
VPC
ISP
СОВ нового поколения
Шлюз безопасного доступа к WEB-ресурсам (SWG)Cisco WSA
18© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Потребление веб контента в настоящее времяИзменился принцип работы с веб
Правительствоздравоохранение
банки
Удаленныепользователи
E-commerceСоцсетиE-mail
Потоки Подключенныедома
Поиск
19© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обмануть и напугать
20© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Encrypted Traffic
Malware distributed by hacked legitimate sites
Increase in SaaS usage
Companies with Browser infection
Веб трафик
Глобальный феномен для TLS 1.3
Браузеры – 2015-2016 1000+ уязвимостей
Вектор атаки веб в настоящее время
55%
70%
82%
85%
35% Chrome
34% Internet Explorer
35% Firefox
Source: CVEdetails.com
21© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Web Security Appliance предоставляет…
Cisco WSA
Гибкие опции развертывания
ИнтеграцииЭффективную защиту
Детальный контроль
Детальную отчетность
22© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Процессы Cisco Web SecurityProxy Bypass
Settings
IP BasedBypass
Authentication
ADLDAPISE
Guest
URL Filtering
Multi-URL Categorization
DLP
Secure ICAP
Transaction Filters
SubnetProtocol
User Agent
Decryption
TLS/SSL Inspection
& Certification Check
WBRS AVC
ApplicationVisibility &
Control
Anti-Virus
WebrootSophos/McAfee
CTA
Behavioral Analytics
Cloudlock
Shadow IT
Detection
Browser Isolation
MenloEricom
Web Traffic Tap
Send decrypted
traffic externally
CTR
DetectionInvestigationRemediation
L4TM
Block malicious non-web
traffic
AMP
File ReputationSandboxing
Retrospection
Initial Request ID Profile Per Policy Matching
3rd Party Integrations
AWSR
Custom Reporting
Upstream Proxy
Proxy Chaining
External Services
Reporting
Granular Web
Tracking
Logs
Cisco Integrations
ReputationCategory
Stealthwatch
Proxy Logs
SSL Decryption
F5 Radware
Video Caching
UnveilTechnology
SIEM
HPSplunk
23© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Web репутация
Suspicious Domain Owner
Server in High Risk Location
Dynamic IP Address
Domain Registered
< 1 Min192.1.0.68example.comExample.org17.0.2.12 BeijingLondonSan JoseKiev HTTPSSLHTTPS
Domain Registered > 2 Year
Domain Registered < 1 Month
Web Server Less Than1 Month
Who HowWhere When
0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
Poor NeutralQuestionable TrustedFavorable
24© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Входящие и исходящие контроли
Входящие контроли Исходящие контроли
URL Categories
Application Visibility Control
Bandwidth Control
File Types, Download
Size
Office 365 / External feeds
Custom URLs/IPs/ Domains
URL Categories
File Type ,File Size & File Names
External DLP Control
Web Traffic Tap (WTT)
Anti-Malware Control
Custom URLs/IPs /Domains
25© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
URL категории поддерживаются TALOS
Внутренняя разработка, один из лучших механизмов категоризации с использованием динамического анализа контента (DCA)
85+ категорий
Мульти категории
30+ языков
Обновления URL базы
5 мин
26© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Malware Sites Newly Seen Domains
Spam Open HTTP Proxy High Risk Sites and Locations
Spyware & Adware
DNS Tunneling Banking Fraud TOR exit Nodes Bogon
Botnets Dynamic DNS Phishing Link-share IOC
Exploits Domain Generated Algorithm
Open Mail Relay Cryptojacking
P2P Malware Node
Potential DNS Rebinding
Mobile Threats
Категории угроз
27© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пользовательские и внешние URL категории
Cisco Feeds
Office 365
Сайты
Regular Expressions
Внешние LiveFeeds
Локальные Custom URL Category
Админ вручную добавляет значения
IP адреса / домены/ сайты
Имя сайта или формат regex
Нет ограничений
WSA получает Automatic Feeds
Поддерживается CSV формат
Прямая интеграция с O365
Поддерживается более 30 Feeds
28© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Контроль и анализ приложений
Сотни приложений
Детальный контроль
Facebook & Streaming Media
For Example: YouTube
Multiple App Category in AVC
Контроль полосыДетальный контрольМножество приложений
Контроль полосы
29© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Типы объектов/файлов и загрузка
Размер загрузки
Типы объектов/файлов Инспекция архивов
30© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Блокировка известных угроз
Multiple detection methods:
.PDF.LNK.EXE.DOC
Pattern matching
Emulation technology
Advanced heuristic
techniques
Webroot
Автоматизированные обновления
Высокоскростноепараллельное потокове
сканирование
Несколько механизмов сканирования AV
Potential Threats
~35% additional coverage
WebrootSophos
илиMcAfee
Adware Spyware Trojans Worms Viruses
31© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Known Signatures
.PDF.LNK.EXE.DOC.SYS .SCR
?
Fuzzy Fingerprinting
Indications of compromise
Блокировка известного malware
Поведенческий анализ для неизвестных
файловПостоянный анализ
Быстрая идентификация и блокировка с
помощью отслеживания состояния во времени
MaliciousCleanUnknown
Блокировка сложных malware угроз с помощью файловой репутации
Advance Malware Protection
.SCR
• Advanced Analytics
• Dynamic analysis
• Threat Intelligence
Репутация Песочница Ретроспектива
32© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Layer 4 Traffic Monitoring
Cisco WSA
Internet
МаршрутизаторМСЭ Коммутатор
Span portWCCP
✓ Отправка RST для сессий TCP✓ Отправка ICMP unreachable
для сессий UDP✓ Пакеты отправляются из порта прокси
T1M1
✓ Перехват пакета из коммутатора✓ Весь TCP/UDP трафик✓ Без IP адресов
Блокировка коммуникаций malware с внешним миром
Botnets
33© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
www
Roaming UserBranch Office
www www
Allow Warn Block Partial BlockCampus Office
ASA StandaloneWSA ISR G2 AnyConnect
AdminTraffic Redirections
HQ
Reporting
Log Extraction
Management
STIX / TAXII (APIs)CTA
Anti-Malware
File Reputation
WebpageOutbreak
Intelligence
After
X
www.website.com
XX
Dynamic MalwareAnalysis
File Retrospection
Cognitive Threat Analytics
Многоуровневый механизм обнаружения CTA
Layer 1
CTA
Anomaly Detection
TrustModeling
Layer 2
Event Classification
Entity Modeling
CTALayer 3
RelationshipModeling
CTA
1000Incidentsper Day
10BRequestsper Day
Recall Precision
АномалииWeb Requests (flows)
УрозыIncidents (aggregated events)
ВредоносныйEvents (flow sequences)
КампанияIncident Clusters
Защита от угроз с CTA
34© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
WSA это единственный продукт Cisco, который может расшифровывать TLS 1.3
TLSv1.3
WSA v12.0
Internet
Endpoints
35© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Интеграция WSA с Office 365
User: Exec
User: Engg
User: Marketing
Office 365 Traffic
Office 365
Office 365 API
Office 365
AllowWWW
O365 Exceptions
BlockWWW
Access PolicyExternal Feeds
• Skype
• Notes
• Bing
• Dropbox
Some Exceptions
O365
O365 with Exceptions
36© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Безопасность данных и DLP
Снизить риск утечек чувствительной информации
On-Premises
Enterprise DLP Integration
through ICAP Protocol
WSA
DLP Vendor Box
+
Расширенный DLP
Базовый DLP
WSA
Outbound Control
37© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
WSA
IDS
Inspection/Forensics
Decrypted Traffic
Tap Interface
HTTP & HTTPS
HTTP & HTTPS
HTTP HTTPS
Traffic Broker
Security PacketAnalyzer
Unencrypted Traffic
Unencrypted Traffic
Unencrypted Traffic
WTT policies
• P1
• P2
• T1
• T2
No Tap
Tap
URL Categories
Web Traffic Tap (WTT) Outbound Control
User: Exec
User: Engg
User: Marketing
38© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Режимы развертывания WSA
Прозрачный режим
Web Cache
Communication
Protocol
(WCCP)
Policy Based Routing (PBR)
Layer 4 Switch
Layer 7 Switch
Automatic Detect
Settings (WPAD)
Proxy Auto Config File
(PAC)
Direct Proxy IP address
Direct Load
Balancer IP Address
Режим Explicit ForwardЯвно заданный прокси
39© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Web отчетность
Image HereImage HereImage Here
WSA SMA AWSR
Web
Tracking
Security Reports
User
Reports
Schedule Reports
Achieve Reports
Centralized Reports
Customized
Reports
Group Based
Reports
WSA & Umbrella Reports
Централизованное управление и отчеты
Локальные отчеты Централизованные настраиваемые отчеты
40© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
WSA
Network/LAN
Threat Score
SandboxThreat Grid
DatabaseStatic & Dynamic
Analysis
RetrospectiveBreach Detection
Cognitive Threat Analytics
Switch/Wireless
Retrospective Detection
Advanced Malware Protection (AMP) Cloud
Pervasive Malware Control
Curators of Threat Feeds and
Security Intelligence
Identity Services
Engine (ISE)
AnyConnect
Client
Umbrella Client
pxGrid
File Metadata
WCCPFile Disposition
Security Internet Gateway
Cisco UmbrellaStealthwatchAnomaly Based Detection
Cisco CloudlockCloud Access Security Broker (CASB)
IaaS PaaS
Users Data Apps
SaaS
Policy & Object Analysis/Standardisation
/Push from one Location
IAAS for WSA
Public cloud as Infrastructure
Net flow
AWSR
Unified Reporting
Centralized Management
Remote User Reporting
ST
IX/T
AX
II
ISRFMC NGFW
Roaming Users
Logs/Investigate
Gateway
Cisco Threat Response
ESA
AMP
Blocking Domains
SMA
41© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Гибридная архитектура
Advanced Web Security
Reporting (AWSR)Consolidated reporting
WSA
HQ
Umbrella’sSWG
RoamingBranch
Политики из Umbrella’s SWG на WSA
Internet
Umbrella’s SWG logsWSA logs
42© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE интеграция на WSA
ISE
WSA и ISE интеграция
Support for Secure Group Tags(SGT) ,retrieved from ISE for WSA Policy creation
ISE-PIC
WSA и ISE-PIC интеграция
Support for passive identification of users with ISE-PIC version 2.4
VDI поддержка
Proxy Auth для VDI клиентов
Support for Citrix & Microsoft terminal services clients
SGT ИЛИ AD группы
Откат к AD группам
Fallback to Active directory group for access policy control
AD группы
Поддержка AD групп
Use SGT or Active directory (ISE)groups retretived from ISE or both (AND) for policy creation
WSA 8.7 WSA 11.7 (1st) WSA 11.7 (2nd) WSA 11.8 (1st) WSA 11.8 (2nd)
11.7 11.8
43© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Citrix Xen Desktop TS Agent
Microsoft TS/RDP
XenApp
ISE / PIC
End users: Desktop & Mobile
REST API
Data Plane
PxGridПривязка адресов, портов и
пользователей
Data plane
Control plane
WSA
Port User
Идентификация на основании
адреса и порта
1
2
3
4
Internet
VDI пользователи
Поддержка клиентов VDI– решение
44© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Точка привязки к Observables: Domain name, URL, Destination IP, File name and File Hash
Обогащение базируется на истории веб запросов и глобальной репутации доменов и IP для быстрого получения вердиктов
WSA или SMA подключаются к Security Services Exchange (SSE) и CTR отправляет запросы через SSE на API SMA/WSA
.
Cisco SecureX Threat Response + WSA и SMA
45© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco WSA предоставляет превосходную защиту, видимость и контроль
Остановка угроз Zero Day Детальный контроль
эффективная защита операционная эффективность
Гибкие возможности развертывания
эффективное развертывание
Брокер доступа к облачным ресурсам (CASB) Cisco CloudLock
47© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Cloudlock – брокер доступа к облачным ресурсамCloud Access Security Broker (CASB)
SaaS
Пользователи Данные Приложения
Офис ПодразделенияМобильные/домашние пользователи
48© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Кто и как работает с моими облачными приложениями?
• Как я обнаружу компрометацию учетной записи?
• Кто то ворует мои данные?
• Есть ли в моем облаке «токсичные» данные или данные, охраняемые законодательством?
• Есть ли у меня незаконно распространяемые данные?
• Как я обнаружу нарушение политик?
• Как я могу контролировать использование приложений и связанные с этим риски?
• Есть ли у меня взаимодействие с приложениями третьих фирм?
• Как я могу заблокировать рискованные приложения?
Основные вопросы
49© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Облачная модель разделения ответственности: SaaS/PaaS/IaaS
SaaS PaaS IaaS
Люди Люди Люди
Данные Данные Данные
Приложения Приложения Приложения
Среда исполнения Среда исполнения Среда исполнения
Промежуточное ПО Промежуточное ПО Промежуточное ПО
Операционное системы Операционное системы Операционное системы
Гипервизоры Гипервизоры Гипервизоры
Сервера Сервера Сервера
Системы хранения Системы хранения Системы хранения
Физическая сеть Физическая сеть Физическая сеть
50© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Чего не хватает облачным провайдерам?
Одна платформа
Дополнительная стоимость
Ограниченный круг проблем
Нет управления инцидентами
Ограниченное реагирование
Недостаточное внимание защите
1
51© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример облачных сервисов
52© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Ищем иголку в стоге сена …
1 из 5000действий
подозрительно
28.7М событий в месяц, из них
5732 подозрительных
53© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Воронка облачных угроз
Реальная угроза
Подозрительные действия
АномалииПоведение
пользователя
Документ создан
Скачанный файл
Разрыв соединения
Почтовое сообщение
Изменение файла
Доступ запрещен
В 113 раз больше чем обычно ошибки регистрации
В 141 больше чем обычно удаляется данных
В 227 раз больше чем обычно скачано файлов
Аномального поведения
Попыток подключения
Действий администратора
58%
31%
11%
Аналитика угроз
Исследования безопасности
Анализ уязвимостей
Централизованные политики
Накопленный опыт
Анализ контекста
54© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
25% пользователей нарушают политики
55© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Больше чем 24,000 на организацию доступно извне
Внешние получатели
70% использовали не корпоративные почтовые адреса
02468
101214
Доступность данных в
организации
2%
10%
12%
56© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cloudlock имеет более 80 готовых политик
Образовательные учреждения
Общие Медицинские данные
Персональные данные
Финансовые и банковские
данные
57© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
58© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
5,500
OAuth не ограничивает количество приложений
77,650 156,796 300,000+
59© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Больше 25% этих приложений несут риск
Percent of Installs by Risk
27% высокий риск
58% средний риск
15% низкий риск
300,000 Third Party Apps
60© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Используемые приложения – статистика организации
61© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Cloudlock решает основные вопросы анализа и защиты облачных приложений
Обнаружение и контроль
Компрометация учетных записей
Внутренние нарушители
Утечки данных
Нарушение политик и нормативных
требований
Контроль OAuth
Shadow IT
Анализ поведения пользователей и
приложений
Защита от утечки данных в облаке
Прикладной МСЭ
62© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
CASB – Контроль на базе API (облако для облака)
Обычные пользователи
Собственные устройства
Публичные сети
Корпоративные пользователи
Корпоративные устройства
Корпоративные сети
Cisco NGFW/ Umbrella
Официальные API
63© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cloudlock обеспечивает автоматизированное реагирование
Обнаружение Уведомление Реакция Процесс Интеграция через API
64© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Cloudlock
Облачная платформа
Сертификация FedRAMP
Успешность внедрений
Более 700 организаций
Облачный интеллектСпециализированное
подразделение аналитиков
Экосистема CiscoЧасть общей архитектуры
ИнтеграцияРеагирование
65© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Webex Teams + Cloudlock
66© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сервисы Cisco Webex Teams
Видео встречиCisco Webex Meetings
Обмен сообщениями
Аннотирование
Обмен файлами
Интеграции
Звонки
67© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
@упоминания привлечь внимание
адресата или увидеть упоминания себя
Поискключевой
информации, людей, пространств, файлов
Фильтрысосредоточиться на важной информации (упоминания, флаги,
непрочтённые сообщения)
Белая доскарисуйте и создавайте совместно с командой
Флаги«пин» сообщения для будущего просмотра
или действия
Современный мессенджерпостоянная полная коммуникация один-на-один или в группе
68© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Cloudlock
Обзор
• Cisco Cloudlock одно из ведущих решений класса Cloud Access Security Broker
Сценарий использования с Webex Team
• Предотвращение утечки данных Webex Teams путём мониторинга сообщений и пространств
Поддерживаемые функции в Webex Teams
• Применение политик к Webex Teams содержимому сообщения и его вложениям
• Уведомление пользователя и администратора о нарушении политик
• Автоматическое удаление контента при нарушении политики
69© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
EventsAPIs
Admin oauth
access
AUTHORIZED
Автоматическая реакция на инцидент:1. Уведомление Admin2. Уведомление User3. Удаление контента
4
3
2
1
3 21
4 Автоматическая реакция на инцидент
CiscoWebex
Cisco Cloudlock
При возникновении нарушения Cloudlockсоздаёт «инцидент»
В Cloudlock настроены DLP политики для мониторинга и контроля данных
Cloudlockподключается к Webexиспользуя events API’s
Интеграция Cisco Webex и Cisco CloudlockАвтоматизированное предотвращение утечки зашифрованных данных
Облачный шлюз безопасности (SIG)Cisco Umbrella
71© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Нам необходимо снизить сложность и увеличить производительность за счёт интеграции функций взаимодействия, защиты и идентификации
Много новых имен на рынке для такого подхода…“Сервисы SASE объединят множество различных сетевых сервисов и сервисов защиты включая SD-WAN, защиту WEB, CASB, программно-определяемый периметр (модель нулевого доверия), защиту DNS и МСЭ как сервис.”
GartnerSASE Hype Cycle for Enterprise Networking, Andrew Lerner, 2019
…но все согласны что он должен быть реализован в облаке
Secure Access Service Edge (SASE)
Secure Internet Gateway (SIG)
Zero Trust Edge
Elastic Cloud Gateway
72© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
SASE начинается с безопасности, но включает и многое другое
Highly available global cloud infrastructure | API-based, programmable aОсведомленность, политики и интеграция
Взаимодействие Идентификация
SD-WAN, VPN, удаленный доступ
Модель нулевого доверия рабочему
месту
Защита
SWG, CASB, защита DNS,
МСЭ
73© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Umbrella
Secure VPN(AnyConnect)
SD-WAN
ASA/Firepower
Meraki
Cisco SASECapabilities
Identity/Access
Integrated security platform
PrivatePublic
Remoteworker
Branchoffices
Roaming/mobile
Headquarters/ Data center
Cisco’s connect-to-cloud technology
Firewall SD-WANVPN Proxy
Zero Trust
Device posture and health
Least privileged access
Continuous verification
Adaptive MFA
Security Core
Secure web gateway
Low touch provisioning
FWaaS
Tunnel resiliency
CASB DLP
Malware analysis
DNS-layer security
Secure remote worker
And more…
And more…
Workload
Application discovery and security
Automated micro segmentation
Cloud Infrastructure monitoring and threat protection
And more…
Solutions
Secure Access by Duo
Secure Workload(Tetration)
SecureX Cloud Analytics(Stealthwatch Cloud)
App Dynamics
Cisco’s cloud-delivered technology
Network as a ServiceSecurity as a Service
74© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Четыре сценрия
Защита удаленных и мобильных
пользователей
Защита доступа в Интернет и
SD-WAN
Блокировка рискованных приложений и
Shadow IT
Защита от угроз
1 2 3 4
75© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сценарий #1: Защита от угрозс Cisco Umbrella
76© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
1 4из
Высокий риск взлома
Предприятий рискует быть
серьезно взломанным в течении
следующих 24 месяцев
Sources: Ponemon 2019 Cost of a Data Breach Study
77© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Долгое время обнаружения и устранения
Среднее время обнаружения
взлома
Source: Ponemon 2019 Cost of a Data Breach Study
Среднее время устранения взлома
78© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Безопасники не справляются
Слишком много событий
44% видят более 10K ежедневно
Управление
79% не могут управлять событиями от разных производителей
Source: Cisco 2019 CISO Benchmark Survey
79© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Umbrella может помочь
Sources: TechValidate of Cisco Umbrella customers
50%Снижения сигналов тревоги
75%Снижение количества ВПО
80© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• DNS: ✓ Блокирование доменов и адресов, откуда
исходят угрозы
• Secure web gateway (SWG):✓ Детальная осведомленность о трафике web ✓ Защита от ВПО✓ Песочница✓ Расшифрование TLS ✓ Детальные анализ контента и действий с
облачными приложениями
• Интеллектуальное предвидение : ✓ Блокировка новых и продвинутых угроз
• DNS: ✓ Остановить угрозу, прежде чем она дойдет
до сети или пользователя
• Защита из облака и для мобильных пользователей: ✓ Защита всех устройств, пользователей и
точек подключения вне зависимости от использования VPN
Как именно Umbrella помогает
Оперативно и вездеБлокирование угроз...
81© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сценарий #2: Защита удаленных и мобильных пользователей с Cisco Umbrella
82© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Удаленная работа на взлете
40%
Сотрудников работают дистанционно
Source: ESG Research Survey, Cisco Secure Internet Gateway Survey, January 2019
83© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
8 10изсотрудников часто или
постоянно это игнорируют
Несмотря на то, что 82% организаций требуют VPN…
VPN и защита часто игнорируются
Source: ESG Research Survey, Cisco Secure Internet Gateway Survey, January 2019
84© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Umbrella может помочь
Sources: TechValidate of Cisco Umbrella customers
75%reduction in malware
75%повышение уровня
защиты мобильных сотрудников
85© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Защита везде и для всех используя интегрированных или отдельных клиентов:
Windows, Mac, Google Chromebook, Cisco Security Connector iOS app, Android
Как Umbrella помогаетПовсеместная защита пользователей
Malware
C2 Callbacks
Phishing
86© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сценарий #3: Защита доступа в Интернет и SD-WAN с Cisco Umbrella
87© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
87
79%компаний переходят на прямой
доступ в Интернет
(direct internet access - DIA)
76%используют или планируют
использовать SD-WAN
68%успешных атак связаны с
компрометацией
удаленных офисов или
пользователей
Source: ESG Research Survey, Cisco Secure Internet Gateway Survey, January 2019
88© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как Umbrella помогает
• Быстрое внедрение защиты на уровне DNS на устройствах SD-WAN
• Осведомленность обо всем корпоративном трафике
• Обнаружение использования облачных приложений и блокирование рискованных
• Глубокий анализ за счет применения функций прокси и облачного МСЭ
Umbrella
Data Center Branch
DIA
SD-WAN fabric
MPLS
Защита прямого доступа в Интернет для Cisco SD-WAN
89© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сценарий #4: Блокирование рискованных приложений и повышение эффективности работы с Cisco Umbrella
90© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проблема: ненадежныеприложения & Shadow IT
1,220облачных сервисов используется в среднем в крупных компаниях
80%пользователей используют ПО, не одобренное ИТ
33% атак идут от неконтролируемых сервисов
*Cisco Cloudlock CyberLab ** Gartner’s Top 10 Security Predictions (ref)
91© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как Umbrella помогаетЭффективная защита, управление и контроль облачными приложениями
• Информация об опасных приложениях и активности их использования
• Осведомленность об использовании облачных приложений
• Контроль контента и доступа к приложениям
• Контроль пользовательской активности для популярных облачных приложений (uploads/attachments/post/share)
• Обнаружение ВПО
NGFW, SGW,CASB, SASEВсе вместе?
93© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco SecureX
Your Infrastructure
SIEM/SOARIdentity
3rd Party/ITSM Intelligence
Cisco Secure
ApplicationsCloud
Network Endpoint
Your teamsITOpsSecOps NetOps
InvestigationRemediation
ManagedPolicy
OrchestrationAutomation
DetectionAnalytics
Unified Visibility
Продолжение следует…
95© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Серия вебинаров Cisco Club по ИБ в октябре
• Руководство по внедрению NAC в корпоративной сети - 01/10
• NGFW, SWG, CASB, SASE: что выбрать под ваши задачи? -08/10
• Как снизить число фолсов на средствах обнаружения угроз -15/10
• Руководство по сетевой сегментации: от ACL и EPG до TrustSecи ACI - 22/10
• Базовая современная архитектура электронной почты и как ее защитить - 29/10
96© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Серия вебинаров Cisco Club по ИБ в ноябре и декабре
• Не пора ли обновить стратегию защиты от программ-вымогателей?
• Что надо сделать, чтобы внедрение EDR не превратилось в ваши поминки?
• Применение средств контроля сетевого доступа в процессе реагирования на инциденты ИБ
• Вся правда о дешифровании TLS 1.3 или как вас обманывают?
• Современная архитектура электронной почты и как ее защитить
• Как выстроить эффективный процесс повышения осведомленности персонала?
• Безопасность контейнерных перевозок