Специализированные продукты компании Cisco по обнаружению и блокированию атак. Области применения,

Специализированные продукты компании Cisco по обнаружению и блокированию атак. Области применения, новые возможности и модели.Руслан Иванов

Системный инженер-консультант

[email protected]

Требование разнообразия устройств

Смешение частного и служебного

Нужен доступ к критичных ресурсам

Цель

Расширение спектра целевых угроз

Атаки на новые технологии

Рост экосистемы киберпреступности

# ! %

Инкапсуляция коммуникаций

Виртуализация центров обработки данных

Переход к облачному хранению

# ! %

Рост трафика на ПК Драматический рост трафика в ЦОД

Взаимодействие видео и социальных сетей

# ! %

Business Pipeline

Социальные сети

Web-почта

Приложения

Hotmail

Cisco SecureX

Соответствие

Сервисы

Сеть

Distributed Workforce & BYOD


Защищенный универсальный

доступ

Защита сетевого периметра

Threat DefenseThreat

Defense

Защищенный переход к облачным

вычислениям

Virtualization & Cloud


Application Visibility & Control


Авторизованное использование

контента

Исследование угроз

Контекстная политика

Соответствие: PCI 1.0/2.0 HIPAA SOX ФЗ-152 СТО БР

Сервисы:

Сеть:


Threat Defense



Исследование угроз:

Политика:

Web Security Appliance

VPN

Identity Services Engine TrustSec

Cisco Advanced Services Partner Shared Services

AnyConnect

Cloud Web Security

WLAN Controller

Adaptive Security

Intrusion Prevention

Virtual Security Gateway

Nexus 1000v

Router Security

Email | Web Security

Adaptive Security (CX)

Router Security

Web Security

Adaptive Security

NCS Prime: Networks/Security

Router Switch Appliance Cloud Virtual

Identity Services Engine

Что входит в портфолио Cisco по ИБ

Межсетевые экраны

Модуль межсетевого экрана ASA для коммутатора Catalyst 6500

Показатель Значение

Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K

Cisco Virtual Security Gateway

VirtualizationSecurity

V-Motion (Memory)

V-Storage (VMDK)

VM Segmentation

Hypervisor Security

VM Sprawl

Patch Management

VM OS Hardening

Role Based Access

Physical Security

Virtual Security Gateway на Nexus 1000V с vPath

Cisco Virtual Security Gateway

SecurityAdmin

Port Group

ServiceAdmin

Virtual Network Management Center• Консоль управления VSG• Запуск на одной из VMs

Virtual Security Gateway• Программный МСЭ• Запускается на одной из VMs• Сегментация и политики для всех

VMs

Nexus 1000V with vPath• Распределенный virtual switch• Запускается как часть

гипервизора

Физический сервер• UCS или• Другой x86 server

Cisco ASA 1000V Cloud Firewall• Проверенные технологии Cisco теперь и для виртуализированных

сред.• Совместная модель безопасности:

– VSG для зон безопасности на уровне одного клиента;– ASA 1000V для контроля безопасности границы между разными

клиентами.• Бесшовная интеграция

– С Nexus 1000V & vPath• Масштабирование по

необходимости.

Межсетевые экраны Cisco ASA 5500 Еще совсем недавно

Multi-Service (Firewall/VPN и IPS)

Про

изво

дите

льно

сть

и м

асш

таби

руем

ость

Data CenterCampusBranch OfficeSOHO Internet Edge

ASA 5585 SSP-60(40 Gbps, 350K cps)




ASA 5540 (650 Mbps,25K cps)



ASA 5505 (150 Mbps, 4K cps)

ASA 5550 (1.2 Gbps, 36K cps)

ASA 5580-20 (10 Gbps, 90K cps)

ASA 5580-40(20 Gbps, 150K cps)

ASA 5512-XПропускная способность межсетевого экрана 1 Гбит/с

ASA 5515-XПропускная способность межсетевого экрана 1,2 Гбит/с




1. Пропускная способность на уровне нескольких Гбит/сДля удовлетворения растущих требований к пропускной способности

2. Встроенные средства ускорения сервисов (дополнительное оборудование не требуется)Для поддержки меняющихся потребностей бизнеса

3. Платформа с поддержкой сервисов нового поколенияДля защиты инвестиций

5 новых моделей Cisco ASA 5500-x

Межсетевые экраны для центров обработки данных

CiscoCisco®® ASA 5585ASA 5585CiscoCisco®® ASA 5585ASA 5585 Cisco ASA 8.4Cisco ASA 8.4Cisco ASA 8.4Cisco ASA 8.4 Cisco ASA 9.0Cisco ASA 9.0Cisco ASA 9.0Cisco ASA 9.0CiscoCisco®® ASA 5585ASA 5585 Cisco ASA 8.4Cisco ASA 8.4 Cisco ASA 9.0Cisco ASA 9.0

НадежнаяплатформаНадежная

платформаПроизводительностьПроизводительность КластеризацияКластеризация

6464--разрядное разрядное

ПОПО

Кластеризация: высокая доступность

• Все устройства в кластере являются активными и передают трафик.

• Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу.

• В случае сбоя узла проведение сеанса переходит на резервные устройства.

• Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу.

Управление кластеризацией

• Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере.

Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM.

• Обработка удаленных команд выполняется на любом узле.• Статистические данные использования ресурсов в рамках

кластераИспользование ресурсов ЦП и памяти для любого узла.

Использование канала управления кластером.

• Поддержка Cisco® Security Manager

Слайд 17

jz1 Please replace "Andaman" with the actual release nameJudith Ziajka; 06.07.2012

Кластеризация:мастер конфигурации

Кластеризация:системная панель мониторинга

Кластеризация:использование ресурсов

Использование ресурсов ЦП и

памяти для любогоузла в кластере

Количество подключений в

секунду для всего кластера и для каждого узла

Кластеризация: вкладка «Пропускная способность»

Общая пропускная способность и

пропускная способность каждого

узла

Кластеризация: сведения о распределении нагрузки и использовании канала управления кластером

Использование канала управления

кластером

Распределение нагрузки между

членами кластера

Кластеризация: захват пакетов

Интеграция решения МСЭ и web-защиты Cisco Cloud Web Security

Лучшее в своем классе

Лучшая в своем классебезопасность сети

Лучшая в своем классеweb-защита на основе

облака

Обзор решения для web-защиты Cisco Cloud Web Security

Script

PDF

Flash

Java

.exe

Несколькосканеров

AV

Web-страница

«Чистый»

контент

Известные вредоносные программы заблокированы

Глубокийанализ

контента

Виртуализован-ная

эмуляцияскриптов

Структурноеизучениеконтента

Да

Новыевредоносные программы

заблокированы

Web-контент

Контроль исходящего трафика

Script-сканирован

ие

Сканированиерепутации

PDF-сканирован

ие

Flash-сканирован

ие

Java-сканирован

ие

Exe-сканирован

ие

Cisco Cloud Web Security:прозрачность и контроль web-приложений

ЧТО

Классификация и контроль web-трафика

Более 1000 приложений

Подробная классификация и контроль поведений микроприложений и приложений

Более 75 000 микроприложений Контроль

пропускной способности

Конфигурация Cisco ASA

Гибкая реализация политик

• Web-защита на основе облака с учетом контекста• Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security• Несколько антивирусных механизмов и сканеров web-содержимого• Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web-

приложений и 75 000 микроприложений

??Cisco® ASA

Утвержденные сайты

Ограниченный

доступ

Центр. офис

Кадровая служба

CIC

Cisco TrustSec: расширение политик безопасности Cisco ASA

Метка групп безопасности

SGT f Пользователь, группа, состояние, код устройства, IP-адрес, сертификат……

Основа Cisco TrustSec: Cisco ISE

SGT: расширение политики Cisco ASA

Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно использовать SGT (0008) или имя группы безопасности (sgt_marketing).

Объединение всех компонентов

Сервер маркетинга

Каталоги AD и LDAP

Cisco ASA

SXP

SGT (003)SGT (003)

Пользователь = kpahareПользователь = kpahare

SXP

Корпоративные серверыSGT = 003

Cisco®

ISE AAA

Основные моменты

• Решение Cisco TrustSec® поддерживается только частью коммутаторов; оно позволяет выполнять поэтапные развертывания.

• SGT может быть функцией одного или нескольких атрибутов. Допускает использование сложных правил политик.

• Политики доступа Cisco® ASA могут быть сочетанием SGT и правил на основе пяти сетевых признаков.

Пользователь = Guest аутентифицируется с гостевого_iPad и ему назначаетсяSGT = 100/Guest (гость).На устройстве Cisco ASA: { если SGT = 100; разрешить доступ только_в_Интернет}

Пользователь = kpahare аутентифицируется с iPad (или некорпоративного_актива) и ему назначается SGT = 009/BYOD.На устройстве Cisco ASA: {если SGT=009; разрешить доступ только_по_протоколу_rdp к финансовым_приложениям }

Пользователь = kpahare аутентифицируется с корпоративного актива и ему назначается SGT = 007/Quarantine (карантин). Антивирусное ПО было отключено. После включения антивирусного ПО пользователю kpahare назначается 008/Compliant (соответствует).На устройстве Cisco® ASA: { если SGT = 008; разрешитьполный_доступ к финансовым_приложениям }

Примеры сценариев использования

Параметры правил Cisco ASA 9.0

* Предполагает группы объектов для IP-адресов.

Источник Назначение Действие

IP Группа или пользователь AD

Группа обеспечениябезопасности

IPГруппа

обеспечениябезопасности

Порт Действие

Любой [email protected] 10.1.1.1

Любой Любой Гость с iPad Гостевые сервисы http Разрешить

Любой Любой

Пользовательцентра

обработки вызовов на

виртуальном рабочем месте

(HVD)

CRM http Разрешить

Любой Любой

Пользователькадровой

службы на виртуальном

рабочем месте (HVD)

База данныхкадровой службы

https Разрешить

Любой Любой Любой Любой Любой Любой Запретить

ASA 9.0 SG-Firewall Rules

Source Destination Action

IP Group/User Tag IP Tag Port Action

10.10.10.0/24 ANY EmployeesPersonal Devices

Internet http Allow

ANY Marketing Marketing Corp-server http Allow

ANY ANY Audit PCI TCP Allow

ANY ANY ANY ANY ANY ANY DENY

• Security Group - база данных загружается с Cisco ISE;

• Соответствие IP, SGT, пользователей/устройств загружаются с помощьюпротокола SXP;

• В правилах ОДНОВРЕМЕННО можно использовать информацию изMicrosoft(c) Active Directory, IP-адреса и SGT.

Поддержка МСЭ IPv6

Текущая поддержка IPv6

• Адресация интерфейсов• Списки доступа IPv6• Статическая маршрутизация по протоколу IPv6• Обнаружение соседей по протоколу IPv6• Межсетевой экран в контекстах безопасности по протоколу IPv6 • Модули проверки приложений с поддержкой IPv6: FTP, HTTP, ICMP, SIP, SMTP и

IPsec• IPv6 в режиме прозрачного межсетевого экрана (уровень 2) • Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM). • Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2

100% ComplianceUSGv6 Удаленный доступ Сетевая трансляция

адресов

Extension Extension HeaderHeader

V6 ClientV6 ClientV4 HeadendV4 Headend

V4 Client V4 Client V6 HeadendV6 Headend

NAT64NAT64NAT66NAT66

DHCPv6DHCPv6OSPFv3OSPFv3

8.4.2 9.0.1

Унифицированные политики безопасности для IPv4 и IPv6

access-list global_access extended permit ip any host 192.168.1.1ipv6 access-list global_access_ipv6 permit ip any 2620:144:2d00:800::/55

Унифицированные политики безопасности для IPv4 и IPv6

access-list global_access_1 extended permit ip any host 192.168.1.1access-list global_access_1 extended permit ip any 2620:144:2d00:800::/55

Поддержка OSPFv3

Улучшения мультиконтекстных возможностей на МСЭ ASA

Cisco ASA 9.0: маршрутизация в мультиконтекстном режиме

OSPFv2 EIGRP

Кол-во экземпляров,поддерживаемых

для каждого контекста2 (процессы) 1 (экземпляр)

Поддержка контекста Пользователь и администратор

Поддержка overlap Да (area) Да

Поддержка shared interface Да

Один и тот же интерфейс CLI в мульти- и

одноконтекстном режимахДа

Cisco ASA 9.0: VPN-подключения между площадками в мультиконтекстном режиме

Этап 1 (этот выпуск).• VPN-подключения между площадками по протоколам IKEv1 и IKEv2:

IPv4 и IPv6

• Поддерживаются все режимы аварийного переключения:

«активный/активный» и «активный/резервный»

• Конфигурация аналогична конфигурации в режиме одного контекста

• Ограничения и распределения ресурсов в системном контексте:распределение и распределение при резком увеличении спроса на лицензии

Cisco ASA 9.0: смешанный мультиконтекстный режим

Кластеризация

IPv6

Cisco® Cloud Web Security

Улучшения мультиконтекстных возможностейСмешанный режим

Cisco TrustSec®

Шифрование нового поколения

Бесклиентские VPN-подключения

Улучшения производительности и масштабируемости

VPN-подключения в Cisco ASA-SM

Спасибо!

Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!

Специализированные продукты компании Cisco по обнаружению и блокированию атак. Области применения, новые возможности и модели.Руслан Иванов

Системный инженер-консультант

[email protected]

Новый прикладной МСЭ Cisco ASACX и система управления CiscoPrime Security Manager

Понимание контекста

Классический МСЭ ASA

Так было…

Устройство Интегрированное решение Виртуализация

Широкий спектр платформ

Cisco ASA CXCisco ASA CX



Так стало

Устройство Интегрированное решение Виртуализация

Широкий спектр платформ

ASA CX – новый прикладной МСЭ

• Межсетевой экран нового поколения• Context-Aware Firewall• Активная/Пассивная аутентификация• Application Visibility and Control/DPI с анализом контента• Репутационная фильтрация

КОГДАЧТО ГДЕ/ОТКУДА КАККТО

Идентификация пользователей

• Покрытие широкого спектра сценариев идентификации

* Future

КТО

TRUSTSEC*Network IdentityGroup informationAny tagged trafficUser Authentication

• Auth-Aware Apps• Mac, Windows, Linux• AD/LDAP user credential

AD/LDAP Identity• Non-auth-aware apps• Any platform• AD/LDAP credential

IP SurrogateAD Agent

NTLMKerberos

Анализ работы приложенийЧТО

75,000+ MicroApps

MicroApp EngineГлубокий анализ трафика приложений

ПоведениеприложенийКонтроль действий пользователя внутри приложений

Покрытие…… классификация всего трафика

1,000+ приложений

Фильтрация URL бизнес-классаЧТО

Маркетинг Юристы Финансы

языков

стран

mn URLs

покрытие

60

200

20

98%

Политики на базе местоположенияГДЕ/ОТКУДА

ОФИС

ОТЕЛЬ

Идентификация устройств

• Информация с 100,000,000 оконечных устройств

Устройство Состояние

AV

Registry Files

Версия ОС

Identity Services Engine

КАК

Полный контекст. Плюс знание угроз

КОГДАЧТО ГДЕ/ОТКУДА КАККТО

Знание угрозЗнание угроз

Полный контекст. Плюс знание угроз

www.facebook.com GO

Cisco SIO

Когда использовать ASA, а когда ASA CX?

ASA•Ядро или ЦОД•Multi-tenant•Active/Active Failover

ASA CX•Кампус или граница•Контроль приложений•Next-gen Firewall

А в чем разница между WSA и ASA CX?

WSA

• Прокси-сервер• Кеширование• Сканирование Anti-Malware• DLP• Полная Web-безопасность

ASA CX

• Next-gen Firewall• Inline• Все порты/протоколы• Базовая Web-безопасность

ASA CX – модуль для ASA 5585-X

ASA SSP

CX SSP

Один или два?

Заказчику нужен только ASA CX? Пусть заказывает один модуль в шасси 5585-X!

Заказчику нужен ASAи ASA CX? Пусть заказывает два модуля в шасси 5585-X!

Cisco Prime Security Manager

• Система управления для ASA CX• Встроенный в ASA CX для управления одним МСЭ• Отдельное устройство для поддержки нескольких ASA CX• RBAC• Конфигурация, события и репортинг• Виртуальная машина или устройство UCS

Cisco ASA CXCisco ASA CX



Объединяя все вместе

Понимание угроз

Новое поколение систем предотвращения вторжений Cisco IPS

Семейство специализированных устройств IPS Cisco

Про

изво

дите

льно

сть,

мас

шта

биру

емос

ть, а

дапт

ивно

сть

Комплекс зданий

Интернет-периметр

Филиал

Cisco IPS 4360Cisco IPS 4360

CiscoCisco®® IPS 4345IPS 4345

Центр обработки данных



Новинка

Новинка

Новинка

Новинка

Семейство интегрированных устройств ASA-IPS CiscoП

роиз

води

тель

ност

ь, м

асш

таби

руем

ость

, ада

птив

ност

ь

Комплекс зданий

Интернет-периметр

ФилиалSOHO Центр обработки данных

Cisco ASA 5585Cisco ASA 5585--XX--S60P60S60P60

Cisco ASA 5585Cisco ASA 5585--S40P40S40P40



CiscoCisco®® ASA 5512ASA 5512--X IPSX IPS

Cisco ASA 5515Cisco ASA 5515--X IPSX IPS

Cisco ASA Cisco ASA 55255525--X IPSX IPS

Cisco ASA Cisco ASA 55455545--X IPSX IPS

Cisco ASA 5555Cisco ASA 5555--X IPSX IPS

Новинка

Новинка

Новинка

Новинка

Новинка

Cisco ASA серии 5500-X IPS

Новый межсетевой экран с поддержкой сервисов и функцией IPS

• Платформа межсетевого экрана нового поколения с поддержкой сервисов

• Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста

• Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS.

• 1 интерфейс Gigabit Ethernet

• Доступны платы расширения ввода-вывода

• Специализированная платформа IPS среднего уровня с учетом контекста

• Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости

• Обработка с аппаратным ускорением Regex

• Интерфейсы Gigabit Ethernet

• Платы аппаратного обхода будут доступны в октябре

Устройства Cisco IPS серии 4300

Устройства Cisco IPS серии 4500

• Специализированные высокоскоростные устройства IPS с учетом контекста

• Обработка с аппаратным ускорением Regex

• Развертывания на уровне ядра ЦОД или предприятия

• Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP

• Масштабируемость: доступен слот для будущего наращивания мощностей

Сравнение оборудования Cisco IPS 4300 и IPS 4500

Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520

Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)

Процессор 4 ядер4 потока

4 ядер8 потока



Память 8 GB 16 ГБ 24 ГБ 48 GB

Базовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu6 x 1 GE Cu

4 x 10 GE SFP

6 x 1 GE Cu

4 x 10 GE SFP

Ускоритель Regex Один Один Один Два

Электропитание Постоянное значениепеременного тока

2 с возможностью горячей замены



Cisco IPS 4510

Производительность• Реальный средний показатель: 3 Гбит/с• Реальный диапазон показателей: 1.2-5 Гбит/с• Транзакционная передача по HTTP: 5 Гбит/с

Характеристики платформы:• 2 RU (шасси)• Многоядерный ЦП корпоративного класса (8 ядер,

16 потоков)• 24 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex• Открытый слот (в верхней части) для

использования в будущем

Места развертывания• Средние и крупные предприятия• ЦОД кампуса• Требуется 3 Гбит/с реальной пропускной

способности IPS• Требуется резервный источник питания• Требуется специализированная система IPSПорт AUX и

консоль

Интегрированный ввод-вывод

6 GE Cu

Индикаторы состояния

Порты управления

Отсеки для жесткого диска (пустые)


4 слота 10 GE SFP

2 портаUSB

Cisco IPS 4520

Производительность• Реальный средний показатель: 5 Гбит/с• Реальный диапазон показателей: 2.5-7.7 Гбит/с• Транзакционная передача по HTTP: 7,6 Гбит/с

Характеристики платформы:• 2 RU (шасси)• Многоядерный ЦП корпоративного класса (12 ядер,

24 потоков)• 48 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex (x2)• Открытый слот (в верхней части) для

использования в будущем

Места развертывания• Средние и крупные предприятия• Центр обработки данных• Требуется 5 Гбит/с реальной пропускной

способности IPS• Требуется резервный источник питания• Требуется специализированная система IPSПорт AUX и

консоль


6 GE Cu

Индикаторы состояния

Порты управленияОтсеки для жесткого диска (пустые)


4 слота 10 GE SFP

2 портаUSB

Специализированная система Cisco IPS 4500• Прозрачна и незаметна в сети• Ввод-вывод на основе IPS• Нормализация под управлением IPS• Свободный слот для использования в будущем

Интегрированное устройство Cisco ASA 5585-X IPS• Прозрачность как вариант.• Ввод-вывод принадлежит межсетевому экрану.• Нормализацией управляет межсетевой экран.• Для выбора политики IPS доступны

дополнительные возможности (5 элементов потока, код пользователя и т. д.).

Варианты в центре обработки данных: Cisco IPS 5585-X и Cisco IPS 4500

Основные отличия

Реальная методология тестирования

• Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов.

• Для оценки используются средние показатели пяти тестов.• Сочетание типов трафика зависит от типа и расположения сети.• В тестах используются стандартные профили приложений

пределов прочности (сочетания трафика).• Тестирование предоставляет клиентам рекомендации. • Клиенты могут легко воспроизвести

тесты.• Тесты не имеют отношения к компании

Cisco.

Производительность Cisco IPS 4500 в режиме inline

0

1

2

3

4

5

6

7

8

Реальный средний показатель Транзакционная передача по HTTP

4510 4520

Максимальная производительность (Гбит/с)

Сравнение производительности Cisco IPS 4500

Значение Cisco IPS 4510 Cisco IPS 4520

Реальный средний показатель (Гбит/с)

Cisco использует пять сторонних тестов, которые показывают состав

смешанного трафика развертываний.3 5

Максимальная производительность(Гбит/с)

Максимальные уровни пропускной способности при полной проверке

трафика.5 10

Количество подключений в секунду Беспроблемная обработка всплесков подключений. 72,000 100,000

Максимальное количество открытых подключений

Динамично функционирующим центрам обработки данных требуется большое

количество подключений.3,800,000 8,400,000

Среднее время задержкиЗадержка может привести к проблемам

транзакций и повлиять на производительность.

< 150 мс < 150 мс

Контекстно-зависимая архитектура IPS

Прозрачность контекста

IPS

Cisco® SIO

Политика с учетом контекста

Политика с учетом контекста

в режиме Inline, корреляция в устройстве

в режиме Inline, корреляция в устройстве

в режиме Inline, оценка рисков для бизнеса на основе

контекста

в режиме Inline, оценка рисков для бизнеса на основе

контекста

Проверка политики с учетом контекста

Текущие средства контроля:

Порт IPПротоколСети VLANРабота с копией трафика и режим inline

Требуются гибкие средства контроля для приведения политики в соответствие с направлениями угроз, повышения производительности проверки и снижения

количества ложноположительных результатов.

Встроенная корреляция определяетсовременные атаки

ИД обходанормализации

трафика

Анализ протокола

ИД атаки требуется полная прозрачность среди нескольких сигнатур, пользователей, протоколов и других компонентов

Мета-сигнатура X

Сигнатура A 10:17Сигнатура B 10:19Сигнатура C 10:19

Контекстная динамическая оценка угроз

Уникальные параметры контекста формируют точную оценку бизнес-рисков

Риск для

бизнеса

Обнаружение и применение рисков объекта атаки и злоумышленника из

Cisco® SIO и локальные данные

Внутренняя репутацияГлобальная репутация

Контроль признаков операционной системы

Конечное значение

Контексты атакиКонтексты злоумышленника и объекта атаки

Поток встроенной корреляции Механизм действийР

иск для бизнеса

Обнаружение и применение рисков эксплойтов из Cisco SIO

СерьезностьТочность

Архитектура IPS с учетом контекста

Приоритеты бизнеса и безопасности• Понимание

бизнес-рисков

• Точность

• Быстродействие

• Эффективность

• Прозрачность

Инновации в управлении угрозами

Архитектура Cisco с учетом контекста• Динамическая оценка бизнес-рисков

• Контекстные данные для точного определения риска и соответствующего действия

• Встроенная корреляция, выполняемая немедленно (не после свершения)

• Отправка уведомлений или эскалация (если необходимо)

Cisco IPS для АСУ ТП

Все типы оборудования• SCADA• DCS• PLC• SIS• EMS

• Все основные производители

• Schneider• Siemens• Rockwell• GE, ABB • Yokogawa• Motorola• Emerson• Invensys• Honeywell• SEL

• И это не конец…

Cisco IPS: возможности управления

• Cisco® Security Manager 4.3

• Cisco IPS DeviceManager 7.1(4)*

• Cisco IPS DeviceManager 7.1(5)

• Cisco IME 7.2.3

* При первых поставках клиенту Cisco IPS 4510 и IPS 4520 поставляются с 7.1(4).

Cisco Security Manager 4.3

• Единое интегрированное приложение• Унифицированный графический интерфейс для

настройки политик, управления и устранения неполадок в межсетевых экранах, устройствах IPS и VPN.

• Управление устройствами безопасности корпоративного класса.

• Управление сотнями устройств безопасностиCisco®.

• Мониторинг состояния и производительности (Cisco® ASA and Cisco IPS).

• Управление образами (Cisco ASA).• Улучшенный Policy Object Manager и глобальный

поиск объектов.

Cisco IDM 7.1(5)

• Поддержка расширенного декодирования HTTP.

• Статистические данные о нагрузке для выполнения анализа.

• Поддержка новых платформ.

Развертывание с помощью шаблонов в Cisco IDM 7.1(5)

• Базовая настройка сигнатур, адаптированная для различных расположений в сети

• Текущая поддержка только на платформах с аппаратным ускорением Regex

• Пошаговый мастер

• Различные шаблоны

Заключение

В заключение

Политика

Кто Что Как Где/откуда Когда

Анализ угроз

Dynamic UpdatesOperations CenterSensorBase

Внедрение на уровне сети

Интегрированная инфраструктура

Интегрированная инфраструктура

Высокоскоростная специализированная

защита

Высокоскоростная специализированная

защита

Облачные вычисленияОблачные

вычисления

Стоит ли класть все яйца в одну корзину?

• Сложность• Операционные затраты• Число уязвимостей• Обучение специалистов• Поддержка• Эксплуатация и управление• Мониторинг и устранение неисправностей• Конфигурация и обновление• Интеграция

Преимущества Cisco• Широкий спектр решений

для ЦОД

• Широкий спектр решений

для обеспечения ИБ

• №1 по объему продаж средств защиты сетей

• №1 по объему продаж IPS коммерческим организациям

• В Cisco впервые интегрировали IPS с маршрутизатором

• В Cisco впервые интегрировали IPS с коммутатором

• В Cisco впервые интегрировали IPS в сетевую ОС

• Широкий спектр IPS

• В Cisco впервые создали IPS, учитывающую метрику репутации

• Поддержка решений, основанных на анализе контекста взаимодействия

Хотите узнать больше?

http://www.facebook.com/CiscoRuhttp://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMediahttp://www.flickr.com/photos/CiscoRussiahttp://vkontakte.ru/Cisco

[email protected]

Спасибо!

Заполняйте анкеты он-лайн и получайте подарки в Cisco Shop: http://ciscoexpo.ru/expo2012/questВаше мнение очень важно для нас!

Technology

Специализированные продукты компании Cisco по обнаружению и блокированию атак. Области применения,