Cisco ASA with FirePOWER Services
9 likes9,437 views
Документ представляет Cisco ASA с функцией Firepower — межсетевой экран нового поколения (NGFW), обеспечивающий многоуровневую защиту от угроз и усовершенствованный мониторинг сетевой активности. Он объединяет технологии защиты, такие как Advanced Malware Protection и предотвращение вторжений, для устранения недостатков традиционных систем безопасности. Cisco ASA предлагает комплексную защиту на всех этапах жизненного цикла атаки, обеспечивая быстрое реагирование и адаптацию к современным угрозам.
Cisco ASA with FirePOWER Services
- 1. Первый в отрасли МСЭ нового поколения, ориентированный на угрозы Cisco ASA с функциями FirePOWER Алексей Лукацкий Бизнес-консультант по безопасности 18/09/14 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
- 2. Встречайте: Cisco ASA с функцией FirePOWER Первый в отрасли межсетевой экран нового поколения (NGFW), ориентированный на угрозы Особенности ► Межсетевое экранирование Cisco® ASA в сочетании с системой предотвращения вторжений Sourcefire® нового поколения ► Усиленная защита от вредоносного кода Advanced Malware Protection (AMP) ► Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и контроля приложений (AVC) и фильтрации URL-адресов Преимущества ► Непревзойденная, многоуровневая защита от угроз ► Беспрецедентная прозрачность сетевой активности ► Комплексная защита от угроз на всем протяжении атаки ► Снижение стоимости и сложности систем © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
- 3. Cisco: в центре внимания — безопасность! Приобретение компании Sourcefire Security • Ведущие в отрасли СОПВ нового поколения • Мониторинг сетевой активности • Advanced Malware Protection • Разработки отдела по исследованию уязвимостей • Инновации в ПО с открытым исходным кодом AMP + FirePOWER (технология OpenAppID) AMP > управляемая защита от угроз (VRT) Коллективные исследования Cisco – подразделение Talos по исследованию и анализу угроз • Подразделение Sourcefire по исследованию уязвимостей — VRT • Подразделене Cisco по исследованию и информированию об угрозах — TRAC • Подразделение Cisco по безопасности приложений — SecApps 2013 2014 2015... Cognitive + AMP Приобретение компании Cognitive Security • Передовая служба исследований • Улучшенные технологии поведенческого анализа в режиме реального времени Коллективный анализ вредоносного кода > Система коллективной информационной безопасности Приобретение компании ThreatGRID • Коллективный анализ вредоносного кода • Анализ угроз © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
- 4. Проблемы с традиционной моделью «эшелонированной» безопасности Слабая прозрачность Многовекторные и продвинутые угрозы остаются незамеченными Точечные продукты Высокая сложность, меньшая эффективность Ручные и статические механизмы Медленный отклик, ручное управление, низкая результативность © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
- 5. Результат печален – потребитель проигрывает Секунды Минуты Часы Дни Недели Месяцы Годы 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Источник: 2012 Verizon Data Breach Investigations Report От атаки до компрометации От компрометации до утечки От утечки до обнаружения От обнаружения до локализации и устранения 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
- 6. Эволюция механизмов безопасности Уровень безопасности Статические механизмы Вмешательство человека Полуавто- матические Механизмы на основе прогнозиро- вания Текущие требования Динами- ческие механизмы © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
- 7. Что не так с прежними МСЭ нового поколения? Фокусируются на приложениях... Но полностью упускают из вида угрозу 0100 111001 1001 11 111 0 0100 1110101001 1101 111 0011 0 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 01000 01000111 0100 11101 1000111010011101 1000111010011101 1100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0111100 011 1010011101 1 Прежние МСЭ нового поколения могли уменьшить область атаки, но усовершенствованный вредоносный код часто обходил защитные механизмы. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
- 8. Современный ландшафт угроз требует большего, чем просто контроль приложений 54% компрометаций остаются незамеченными месяцами 60% данных похищается за несколько часов Целое сообщество злоумышленников остается нераскрытым, будучи у всех на виду Они стремительно атакуют и остаются неуловимыми 100% организаций подключаются к доменам, содержащим вредоносные файлы или службы © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
- 9. Прежним МСЭ нового поколения не хватает возможностей мониторинга и контроля Действенная защита от угроз невозможна без средств полноценного мониторинга © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
- 10. Комплексная защита от угроз в течение всего жизненного цикла атаки ДО АТАКИ ВО ВРЕМЯ Исследование Внедрение политик Укрепление Жизненный цикл атаки АТАКИ Обнаружение Блокирование Защита ПОСЛЕ АТАКИ Локализация Изолирование Восстановление Сеть Терминал Мобильное устройство Виртуальная машина Облако Защита в момент времени Непрерывная защита © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
- 11. Комплексная защита требует Отражения угроз Обнаружения угроз Корреляции и консолидации 82,000 новых угроз в день 180,000+ ежедневно экземпляров Троянцы виновны в 8 из 10 инфекций в 2013 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Source: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html
- 12. Первый в отрасли МСЭ нового поколения, ориентированный на угрозы Cisco ASA с функциями FirePOWER Особенности ► Межсетевое экранирование Cisco® ASA в сочетании с системой предотвращения вторжений Sourcefire® нового поколения ► Усиленная защита от вредоносного кода Advanced Malware Protection (AMP) ► Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и контроля приложений (AVC) и фильтрации URL-адресов Преимущества ► Непревзойденная, многоуровневая защита от угроз ► Беспрецедентная прозрачность сетевой активности ► Комплексная защита от угроз на всем протяжении атаки ► Снижение стоимости и сложности систем «С помощью многоуровневой защиты организации смогут расширить возможности для мониторинга, внедрить динамические механизмы безопасности и обеспечить усиленную защиту в течение всего жизненного цикла атаки» © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
- 13. Непревзойденная комплексная и многоуровневая защита ► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений ► Система гранулярного мониторинга и контроля приложений (Cisco® AVC) ► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER ► Фильтрация URL-адресов на основе репутации и классификации ► Система Advanced Malware Protection с функциями ретроспективной защиты Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI Advanced Malware Protection (по подписке) FireSIGHT (по подписке) Аналитика и автоматизация Cisco ASA Фильтрация URL- адресов VPN и политики аутентификации Предотвращение вторжений (по подписке) Мониторинг и контроль приложений Кластеризация и высокая доступность Межсетевой экран Маршрутизация и коммутация Встроенное профилирование сети © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
- 14. Беспрецедентная прозрачность сетевой активности Категории Технологии FirePOWER Прежние IPS Прежние МСЭ нового поколения Угрозы Пользователи Веб-приложения Протоколы приложений Передача файлов Вредоносный код Серверы управления и контроля ботнета Клиентские приложения Сетевые серверы Операционные системы Маршрутизаторы и коммутаторы Мобильные устройства Принтеры VoIP-телефония Виртуальные машины © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
- 15. Оценка вредоносного воздействия Каждому событию вторжения присваивается уровень воздействия атаки на объект УРОВЕНЬ ВОЗДЕЙСТВИЯ 1 2 3 4 0 ДЕЙСТВИЯ АДМИНИСТРАТОРА ПРИЧИНЫ Немедленно принять меры, опасность Событие соответствует уязвимости, существующей на данном узле Провести расследование, потенциальная опасность Открыт соответствующий порт или используется соответствующий протокол, но уязвимости отсутствуют Принять к сведению, опасности пока нет Соответствующий порт закрыт, протокол не используется Принять к сведению, неизвестный объект Неизвестный узел в наблюдаемой сети Принять к сведению, неизвестная сеть Сеть, за которой не ведется наблюдение © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
- 16. Автоматизированная, комплексная защита от угроз Непревзойденная защита в течение всего жизненного цикла атаки Корреляция между векторами атаки Админ. запрос Почта PDF 5 ИК 3 ИК Раннее предупреждение о современных типах угроз Ретроспективная защита Админ. запрос ПPоDчтFа Сокращение времени между обнаружением и нейтрализацией Узел A Узел B Узел C Корреляция между контекстом и угрозами Оценка вредоносного воздействия Динамические механизмы безопасности WWW WWWWWW Адаптация политик к рискам http:// WWhWttp:// ВЕБ Приоритет 1 Приоритет 2 Приоритет 3 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
- 17. Признаки (индикаторы) компрометации События СОВ Бэкдоры Подключения к серверам управления и контроля ботнетов Наборы эксплойтов Получение администраторских полномочий Атаки на веб- приложения События анализа ИБ Подключения к известным IP серверов управления и контроля ботнетов События, связанные с вредоносным кодом Обнаружение вредоносного кода Выполнение вредоносного кода Компрометация Office/PDF/Java Обнаружение дроппера © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
- 18. Анализ траектории движения вредоносных программ • Сетевая платформа использует индикаторы компрометации, анализ файлов и траекторию движения файла для того, чтобы показать, как вредоносный файл перемещается по сети, откуда он появился, что стало причиной его появления и кто еще пострадал от него Сеть Endpoint Контент © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
- 19. Сравнение Cisco ASA с функциями FirePOWER и прежних МСЭ нового поколения Возможности Cisco ASA с функциями FirePOWER Прежние МСЭ нового поколения Упреждающая защита на основе репутации На высшем уровне Не имеется Автоматизация мониторинга, учета контекста и интеллектуальной безопасности На высшем уровне Не имеется Репутация файлов, отслеживание активности файлов, ретроспективный анализ На высшем уровне Не имеется Индикаторы компрометации На высшем уровне Не имеется СОВ нового поколения На высшем уровне Имеется1 Мониторинг и контроль приложений На высшем уровне Имеется Политика допустимого применения/Фильтрация URL- адресов На высшем уровне Имеется Удаленный доступ по VPN На высшем уровне Не на уровне предприятия Межсетевое экранирование с отслеживанием состояния, высокая доступность, кластеризация На высшем уровне Имеется2 1- Обычно для 1-го поколения СОВ. 2 - Возможности высокой доступности зависят от производителя МСЭ нового поколения © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
- 20. Cisco ASA с функциями FirePOWER Первый в отрасли МСЭ нового поколения, ориентированный на угрозы Непревзойденная прозрачность ▶ Полная осведомленность о сетевом контексте для устранения уязвимостей Комплексная защита от угроз ▶ Лучшая в своем классе многоуровневая защита в одном устройстве Автоматизация ▶ Простота управления, динамическое реагирование и восстановление © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
- 21. Благодарю за внимание © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25