Принципы построения защищенной сети

Руслан  ИвановСистемный  инженер-­‐консультант

Принципы  построения  защищенной  сети

С  чем  мы  сталкиваемся?

Изменение  бизнес-­‐моделей

Динамичность  угроз

Сложность  и  фрагментация

организаций   не  знают  всех  своих  сетевых  устройств

BYOD

90%

ПОГЛОЩЕНИЯ

раз  больше  облачных  сервисов  используется,   чем  

знает  ИТ  и  ИБ

ОБЛАКА

в  5–10основных 500  Android-­‐

приложений имеют  проблемы  с  безопасностью

ПРИЛОЖЕНИЯ

92%поглощений   в  первой  половине 2014 года

16,775

С  чем  мы  сталкиваемся?

Изменениебизнес-­‐моделей

Динамичность  угроз

Сложность  и  фрагментация

Сообщество злоумышленников целенаправленно ведет свою деятельность скрытно

60%Данныхкрадутся  за  ЧАСЫ

54%Проникновений

остаютсянеобнаруженными

МЕСЯЦАМИ

ГОДЫМЕСЯЦЫЧАСЫСТАРТ

85%вторжений  в  PoS

не  обнаруживаютсяНЕДЕЛЯМИ

НЕДЕЛИ

51%увеличилось  число  

компаний,   заявивших  о  потерях  в  $10M+ за  3  

ГОДА

С  чем  мы  сталкиваемся?

Изменениебизнес-­‐моделей

Сложность  и  фрагментация

Динамичностьугроз

Вендоров ИБ  на  конференции  RSA 2015  

Нехватка  персонала  ИБ

373 12xСреднее  число  ИБ-­‐вендоров на  крупном  

предприятии

50

Сложность ЛюдиФрагментация

©   2015   Cisco  and/or   its  affiliates .   All  rights   reserved. Cisco  Confidential 5

$

3.355%

МобильностьУстройств наработника*

IP-­‐траффикмобильный  к  2017**

*  Cisco   IBSG ,  **   Cisco  2013   VNI,   ***   IDC  

54544%

ОблакаОблачных приложенийна  организацию*

Рост  ежегоднойоблачной  нагрузки***  

*  Skyhigh Networks   Industry   Report,   **    Cisco   G lobal  Cloud   Index,  ***   Cisco  VNI   G lobal  Mobile   Data   Traffic   Forecast,  

Рост  в  M2M  IP-­‐траффика 2013–18**

5000М Подключенных“умных  вещей”  к  2020*

36X*  Cisco   IBSG ,  **   Cisco  VNI:   G lobal   Mobile   Data   Traffic  Forecast   2013-­‐2018  

IoE

Проблемы  с  традиционной  моделью  «эшелонированной»  безопасности

Слабая  прозрачность

Многовекторные и  продвинутые   угрозы  

остаются  незамеченными

Точечные  продукты

Высокая  сложность,  меньшая  

эффективность

Ручные  и  статические  механизмы

Медленный  отклик,   ручное  управление,  низкаярезультативность

Наличие  обходных  каналов

Мобильные  устройства,  Wi-­‐Fi, флешки,  ActiveSync,  

CD/DVD и  т.п.  

Современные  угрозы  требуют  большего,  чем  просто  эшелонированная  оборона!

54%компрометаций

остаются  незамеченнымимесяцами

60%данных  

похищается  за  несколько  часов

Они  стремительно  атакуют  и  остаются  неуловимыми

Целое  сообщество  злоумышленниковостается  нераскрытым,  будучи  у  всех  на  виду

100%организаций  подключаются  к  доменам,   содержащим  

вредоносные  файлы  или  службы

Как  хакеры  используют  свои  знания?!

ИНН  /  SSN:от  $1  

Картапациента:

>$50

DDOS  as  a  Service:от  $7/час

8©2014    Cisco  and/or   its  affiliates.  All   rights   reserved.

ДОБРО  ПОЖАЛОВАТЬ  В  ЭКОНОМИКУ  ХАКЕРОВ!Source:  RSA/CNBC

DDoS

Данныекредитнойкарты:  

$0.25-­‐$60

Банковская  учетка:>$1000  

зависит  от  типа  учетки и  баланса

$

Эксплойты$1000-­‐$300K

Учетка Facebook:$1  за  учетку с 15  

друзьями

Спам:$50 за  500K  email

Разработкавредоноса:

$2500(коммерческое   ВПО)

Глобальный  рынок  киберпреступности:  $450млрд-­‐$1трлн

Мобильноевредоносное  ПО: $150

Угрозы  – не  единственная  причина  думать  об  ИБ

Страх

Соответствиетребованиям  регуляторов

Экономика

• Самая  популярная  причина  продажи  ИБ  со  стороны  вендоров (реальные  инциденты  и  мифические  угрозы)

• В  условиях  кризиса  не  работает  (есть  более  приоритетные  риски  и  угрозы  – колебания  курса,  нет  заимствований,  сокращение,  банкротство  контрагентов…)

• Наиболее  актуальная  причина  для  государственных  органов

• Средняя  актуальность  – крупные  предприятия

• Низкая  актуальность  – средний  бизнес

• Практически  неактуальна  –для  малого  бизнеса

• Очень  редко  когда  применяется  в  ИБ

• В  условиях  кризиса  приобретает  очень  важное  значение  

Гипотезы  безопасности  Cisco

Консалтинг Интеграция УправлениеЗнание  угроз ПлатформыВидимость

Акцент  на  операционную  деятельность

Нехватка  персонала

+Проблемы  безопасности

+

Требуется  изменение  отношения  к  ИБ

Точечные  истатичныерешения

©   2015   Cisco  and/or   its  affiliates .   All  rights   reserved. 11

Фрагментация

Сложность

Требуют  лишнего  управления

Локализовать

Вылечить

Устранить  причины

Непрерывное  решение

©   2015   Cisco  and/or   its  affiliates .   All  rights   reserved. 12

Узнать

Применить  политику

Усилить  защиту

Идентифицировать

Блокировать

Отразить

Всепроникающий

Непрерывный

Всегда  

Полное  решение

Серебряной  пули  не  существует…

“Captive  Portal”

“Это  соответствует  шаблону”

“Нет  ложных  срабатываний,нет  пропусков.”

Контроль  приложений

FW/VPN

IDS  /  IPSUTM

NAC

AVPKI

“Запретить  или  разрешить”

“Помочь  МСЭ”

“Нет  ключа,  нет  доступа”

Песочницы

“Обнаружитьнеизвестное”

Только  комплексный  подход  способен  решить  эту  задачу!

ДООбнаружениеБлокирование

Защита

ВО ВРЕМЯ ПОСЛЕКонтроль

ПрименениеУсиление

ВидимостьСдерживаниеУстранение

Угрозы

Сеть Оконечныеустройства

Мобильныеустройства

Виртуальныемашины

Облако

В  определенныймомент Непрерывно

Портфолио  решений  Cisco создано  с  использованием  этого  подхода

ДОКонтроль

ПрименениеУсиление

ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование

Защита

ВидимостьСдерживаниеУстранение

Угрозы

Видимость  и  контроль

Firewall

NGFW

NAC  +  Identity  Services

VPN

UTM

NGIPS  /  AMP

Web  Security

Email  Security

Advanced  Malware  Protection

Network  Behavior  AnalysisЭконом

ика

Требования

 регуляторов

Incident  Response

Стратегические  задачи

Интеграция  в  сеть,широкая  база  сенсоров,контекст  и  автоматизация

Непрерывная  защита  от  целенаправленных

угроз,  облачное  исследование  угроз

Гибкие  и  открытые  платформы,масштабируемость,  всесторонний  

контроль,  управление

Сеть Оконечныеустройства

Мобильныеустройства

Виртуальныеустройства

Облака

Видимость  всего  и  вся Фокус  на  угрозы Платформы

Проблемы  с  традиционным  мониторингом

Admin

Базируется  на  правилах• Зависимость  от  сложных,  

создаваемых  вручную  правил• Зависимость  от  человеческого  

фактора

Зависимость  от  времени• Занимает  недели  или  месяцы  

на  обнаружение• Требует  постоянной  настройки

Security  Team

Очень  сложно• Часто  требует  

квалифицированный  персонал  для  управления  и  поддержки

111010000  110    0111  

Невозможно  противодействовать  в  одиночку  современным  угрозам

Наш  ответ:  Cisco  TALOS

Мозг  архитектуры  безопасности Cisco

Действующее  соединение  SMTP?  

(ESA)

Ненадлежащий   или  нежелательный  

контент?  (ASA/WSA/CWS)

Место  для  контроля  и  управления?  (ASA/WSA)

Вредоносное  действие?  (ASA/IPS)

Вредоносный  контент  на  оконечных  устройствах?  

(AnyConnect)

WWW

Репутация Сигнатуры

Сигнатуры

Исследование  угроз

Регистрация  доменов

Проверкаконтента

Ловушки   для  спама,   ловушки  для  хакеров,  интеллектуальные  анализаторы

Черные   спискии  репутация

Партнерство  со  сторонними  разработчиками

Правила  и  логикадля  конкретных  платформ

Cisco  Talos

Доверяем  ли  мы  внешнему  облаку?

Полностью  публичное  облако Гибридное  облако(только  хэшифайлов  в  облаке)

Полностью  частное  облако(все  данные  у  заказчика)

Данные  из  облака+

ThreatGRIDТребуется   лицензия  на  ПО

НЕТ  устройств  ThreatGRID

Данные  из  облака

+

Предварительный  анализ  хешей в  

облаке+

Данные  из  облака

+

Весь  анализв  облаке

(ThreatGRID)+

AMP  Appliance  или подписка  на  ПО

ThreatGRIDТребуется   лицензия  на  ПО

AMP  Appliance  или подписка  на  ПО AMP  Appliance  или подписка  на  ПО

Cisco  Platform  Exchange  Grid  (pxGrid)

Что  более  полезно  с  точки  зрения  безопасности?“Адрес  скомпрометированного  устройства 192.168.100.123”

-­‐ ИЛИ  -­‐“Скомпрометировано  устройство iPad Васи  Иванова в  комнате  13”

Cisco  ISE  собирает  контекстуальные  “big  data”  из  множества  источников  в  сети.  С  помощью  Cisco  pxGrid эта  информация  «делится»  с  решениями  партнеров.

С  контекстуальными  данными ISE,  решения  партнеров  могут  более  аккуратно  и  быстро  идентифицировать,  нейтрализовывать и  реагировать на  сетевые  угрозы.

Повышение  эффективности  решений  партнеров  через  обмен  контекстом

Экосистема  решений  

ISE  как  “Сервис  контекста”,  TrustSec

Архитектура  открытой  платформыРазработка  экосистемы  SSP

Встроенная  безопасность  в  ИТ

Мобильность  (MDM),  Угрозы (SIEM),  облачные  решения

Комплексное  партнерское  решение

Lancope,  «Сеть  как  сенсор»Использование  знания  Сети

Текущая  экосистемапартнеров  Cisco

Экосистемные партнёры

Инфраструктура  API

ДОПолитика  и  контроль

ПОСЛЕАнализ  и  

восстановлениеОбнаружение  и  блокирование

ВО ВРЕМЯ

Инфраструктура   &  Мобильность

NACУправление  уязвимостями Обнаружение   пользовательских   событий Захват   пакетов Реагирование   на  инциденты

SIEMВизуализацияNetwork  Access   Taps

Ок,  у  Cisco  крутые  продукты,  что  дальше?

Дальше  это  выглядит  так,  как  будто  кто-­‐то  вывалил  кучу  деталей  Lego  на  ковёр.  

Необходимость  стройной  и  понятной  архитектуры  решений

Мы  не  знаем,  что  нам  делать  со  всеми  этими  деталями,  как  нам  получить  то,  что  на  картинке?

Мы  ориентируемся  на  конкретные  сетевые  зоны

Как  мне  обеспечить  безопасность  ЦОД?  И  от  чего?

Что  именно  мне  нужно  сделать,  чтобы  обезопасить  работу  сервисов  между  доверенной  и  партнёрской  зонами  в  ЦОД?

Нас  интересуют  практические  задачи!

Как  обезопасить  данные  кредитных  карт  от  кражи?

Какие  существуют  рекомендации  по  обработке  кредитных  карт  по  беспроводным  сетям?  Это  вообще  возможно?

Простота  всегда  побеждает

Вы  же  сами  рассказываете,  что  сложность  безопасности  растёт,  значит  надо  всё  делать  проще!

Цели  архитектуры  SAFE

• Упростить  сложное• Показать,  как  УГРОЗЫ

связаны  с  ВОЗМОЖНОСТЯМИпротиводействия  средств  защиты

• Предоставить  эталонный  дизайн – ту  самую  картинку  на  коробке  Lego

Заголовок  слайда  

Как  в  SAFE  выглядит  защита  от  угроз  и  соответствие  требованиям  регуляторов  для  филиала?

От  архитектуры  к  решению:  защищаем  филиал  на  20-­‐99  пользователей

Маршрутизатор  ISRS2S  VPN,  унифицированные  коммуникации,   Trustsec, CWS,  анализ  Netflow

Коммутатор  CatalystКонтроль  доступа  + Trustsec,  анализ  Netflow,  ISE

Безопасность  хостовАнтивирус,  AMP  for  Endpoints

Унифицированная  БЛВСКонтроль  доступа  + Trustsec,  анализ  Netflow,  WirelessIPS,  ISE

WAN

ASA  с  сервисами  FirePowerFW,  NGIPS,  AVC,  AMP,  фильтрация  URL

Email   Security  ApplianceЦентрализованная  защита  email,  антиспам,  антивирус,DLP,  AMP

ISE  +  Cisco  Threat  DefenseЦентрализованные ISE  и CTDКонтроль  доступа  + Trustsec,  Проверка  на  соответствие,Защита  от  угро на  основе  анализа  потоков  Netflow

Internet

От  решения  – к  низкоуровневому  дизайну

Маршрутизатор  ISRISR  4321

Коммутатор  CatalystCatalyst  3850-­‐48

Безопасность  хостовАнтивирус,  AnyConnect 4.0,  AMP  for  Endpoints

Унифицированная  БЛВСWLC  5508,  AP3701i,MSEv

ASA  с  сервисами  FirePowerASA   5515  w/  FP  Services

Email   Security  ApplianceESA  в  центральном  офисе

ISEISE в  центральном  офисе

Vlan 10

G1/1

G2/1Trunk

G1/2

G1/23

G2/1

10.1.1.0/24

10.1.2.0/24

Vlan 12

12.1.1.0/24

WANInternet

Структура  документов  по  архитектуре  SAFE

Общий   высокоуровневый  обзор  архитектуры

Архитектурные   руководства   по  местам   в  сети  и  доменам   безопасности  

Проверенные   дизайны  Cisco  Validated  Design

SAFE  Overview

Architecture  Guides

How  To

First  Look  

DIGПроверено

Пример  руководств  по  проектированию  и  внедрению  безопасного  ЦОД

SAFE  Overview   Guide

Secure  Data  Center  Architecture  Guide

How  To  Deploy  ASA  Cluster

Secure  Data  Center  First  Look  Guide  

ASA  Clustering  with  FirePOWER

Общий   высокоуровневый  обзор  архитектуры

Архитектурные   руководства   по  местам   в  сети  и  доменам   безопасности  

Проверенные   дизайны  Cisco  Validated  Design

Проверено

Рекомендуемые  руководства

• Firewall  and  IPS  Deployment  Guide

• Remote  Access  VPN  Deployment  Guide

• Remote  Mobile  Access  Deployment  Guide

• VPN  Remote  Site  Over  3G/4G  Deployment  Guide

• Email  Security  using  Cisco  ESA  Deployment  Guide

• Cloud  Web  Security  Deployment  Guide

• Web  Security  using  Cisco  WSA  Deployment  Guide

• 5  BYOD  Deployment  Guides

• Teleworking  ASA  5505  Deployment  Guidewww.cisco.com/go/cvd

Состав  руководства

Цели  руководстваОбзор  архитектурыОписание  решения

• С  бизнес  и  технологической  точки  зренияДетали  внедрения

• Типовая  конфигурация• Отказоустойчивость• Управление• Итоги

Список  продуктовПример  конфигурации

Рекомендации  по  настройке

Если  вы  знаете, что  ваша  сеть  уже  скомпрометирована,будете  ли  вы  защищаться  по  старому?

Не  видя  ничего,  ничего  и  не  обнаружишь

Сетевыесервера

ОС

Рутера и свитчи

Мобильныеустройства

Принтеры

VoIP телефоны

Виртуальныемашины

Клиентскиеприложения

Файлы

Пользователи

Web приложения

Прикладныепротоколы

Сервисы

ВредоносноеПО

Серверауправленияботнетами

УязвимостиNetFlow

Сетевоеповедение

Процессы

Фокус  на  угрозы

?

Обнаружить,  понять  и  остановить  угрозу

?

Аналитика  иисследования

угроз

Угрозаопределена

История  событий

Как

Что

Кто

Где

Когда

Контекст

Записано

Блокирование

Непрерывная  защита  от  целенаправленных  угроз

Как

Что

Кто

Где

Когда

Аналитика  иисследования

угроз

История  событий

Непрерывный  анализКонтекст Блокирование

Только  комплексный  подход  способен  решить  поставленные  задачи

ДООбнаружениеБлокирование

Защита

ВО ВРЕМЯ ПОСЛЕКонтроль

ПрименениеУсиление

ВидимостьСдерживаниеУстранение

Угрозы

Сеть Оконечныеустройства

Мобильныеустройства

Виртуальныемашины

Облако

В  определенныймомент Непрерывно

FirePOWER подчиняется  той  же  идее

ДОКонтроль

ПрименениеУсиление

ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование

Защита

ВидимостьСдерживаниеУстранение

Ландшафт  угроз

Видимость  и  контекст

Firewall

NGFW

Управление  уязвимостями

VPN

UTM

NGIPS

Web  Security

ИсследованияИБ

Advanced  Malware  Protection

Ретроспективный  анализ

IoC /  реагирование  на  инциденты

И  Cisco  Advanced  Malware  Protection тоже

ДОКонтроль

ПрименениеУсиление

ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование

Защита

ВидимостьСдерживаниеУстранение

Ландшафт  угроз

Видимость  и  контекст

Контрольсетевогодоступа

Обнаружение   иблокированиевредоносного

кода

Ретроспективныйанализ

Cisco  ISE  также  поддерживает    этот  подход  и  объединяет  решения  Cisco в  единый  комплекс

ДОКонтроль

ПрименениеУсиление

ВО ВРЕМЯ ПОСЛЕОбнаружениеБлокирование

Защита

ВидимостьСдерживаниеУстранение

Ландшафт  угроз

Видимость  и  контекст

Контрольсетевогодоступа

Передачаконтекста

Ограничение  доступаи  локализациянарушителей

• Cisco  ASA• Cisco  FireSIGHT• Cisco  ISR• Cisco  Catalyst• Cisco  Nexus• Cisco  WSA

• Cisco  CTD• SIEM• pxGRID

Внедрение  ИБ  там  где,  нужно,а  не  там,  где  получается

Малый  и  средний  бизнес,   филиалы

Кампус Центр  обработки  данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active  Directory

Беспроводнаясеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные   сервисы  ISR-­‐G2

CSM

ASA

ASAv ASAvASAv ASAv

Гипервизор

Виртуальный   ЦОД

Физический   ЦОД

Аналитический  центр  Talos

Удаленныеустройства

Доступ

Облачный  шлюз  

безопасности

Облачный  шлюз  

безопасности

Матрица  ASA,   (сеть  

SDN)

АСУ  ТП

CTD

IDS RA

МСЭБеспроводная

сеть

Коммутатор

Маршрутизатор

СегментацияМониторинг

«Поэтому  и  говорится:  если  знаешь  его  и  знаешь  себя,  сражайся  хоть  сто  раз,  опасности  не  будет;  если  знаешь  себя,  а  его  не  знаешь,  один  раз  победишь,  другой  раз  потерпишь  поражение;  если  не  знаешь  ни  себя,  ни  его,  каждый  раз,  когда  будешь  сражаться,  будешь  терпеть  поражение.»  

Сунь  Цзы.  Искусство  войны.