2. Disclaimer
За 60 минут нельзя рассказать о том,
как построена ИБ внутри Cisco.
Упомянутые в презентации
процессы, сервисы, продукты,
технологии и подходы не являются
полным описанием того, что
делается внутри ИБ компании Cisco.
Упомянутые в презентации
процессы, сервисы, продукты,
технологии и подходы изменяются с
течением времени (в том числе и в
данный момент)
Презентация базируется на
публичной информации, раскрытие
которой разрешено службой ИБ
компании Cisco
3. Что такое Cisco сегодня?
3
• ИТ-компания
• Производственное
предприятие
• Финансовая компания
• Облачный провайдер /
провайдер услуг
• Издательство
• Учебный центр
• Телекомпания
5. Наши инвестиции в безопасность
175+ международных
сертификаций
150+
Продуктовых линеек
Cisco с Trustworthy
Technologies
80+ Red Team
20 НИОКР в 5 странах
70,000+
сотрудников
подписали
Code
of Conduct
every year
14,
230
Политик ИБ и защиты
данных,
аудитов
Security Advocates900+
35K+ Security Ninjas
Incident Responders100+
Обязательный Secure
Development Lifecycle
Программа Value Chain
Security
Программа защиты
данных
6. Operationalize Security
Cloud Security Ops and Technology
Trustworthy Systems
Customer Data Protection and Privacy
Supply Chain Security
Transparency and Validation
Security & Trust Organization (STO)
Разные виды
ИБ в Cisco
7. Security
challenge
inside Cisco
Угрозы на
Cisco за один
день
1.2 триллиона
Событий безопасности в день по всей сети
28 миллиарда
Netflows анализируется в день (Stealthwatch)
47 ТБ
Internet-трафика инспектируется
7.6 миллиарда
DNS-запросов в день (Umbrella)
13.4 миллиона
Срабатываний NGIPS в день
4.4 миллиона
Emails получается в день (ESA)
1000 фишинговых писем от службы ИБ
Никто не
справится с
этим
вручную
8. Security
challenge
inside Cisco
Результаты за
один день
Уровни автоматической защиты
6.25 Million
DNS-запросов блокируется
Umbrella
2.0 Million
Web-транзакций блокируется
WSA
2.5 Million
Email блокируется в день
ESA
17,000
файлов анализируется в день
ThreatGrid
& AMP
22
управляемых инцидента
CSIRT
2 / неделя Blackholed streams
CSIRT
9. Миссия NASA InSight
Я надеюсь, что озвученные мной инициативы и проекты
Cisco стимулируют появление у вас новых мыслей по защите
ваших предприятий. По каждому из описанных разделов
презентации мы сможем поговорить с вами более подробно!
11. В Cisco данным разрешено перемещаться
между…
Любыми
пользователями
Сотрудники
Контрактники
Партнеры
Любыми
устройствами
Корпоративные
Собственные
IoT
Любыми
приложениями
ЦОД
Мультиоблако
SaaS
В любых
местах
Внутри сети
Через VPN
Вне сети
12. 4 столпа доверенного предприятия в Cisco
12
B
Secure
Administration
Identity Services
Engine (ISE)
Software Defined
Access
Доверенный
доступ
Single Sign On
802.1x
Multi-Factor
Authentication
Доверенная
идентичность
Trusted Endpoint
Trusted Server
Trusted Network
Network Services
Orchestrator
Доверенная
инфраструктура
Internal App
security
baselines
SaaS security
baselines
IaaS security
baselines
Доверенные
сервисы
13. Три технологии доверенной идентичности
Microsoft Active Directory
• Аутентификация пользователей в Windows, Macintosh и Linux
• Клиентские приложения: Outlook Email и Calendar, SharePoint, …
Аутентификация 802.1x
• Для проводных и беспроводных сетей, VPN
и домашних офисов
• Cisco Identity Services Engine (ISE)
Управление идентификацией
• Для мобильных, облачных и корпоративных приложений
• Многофакторная аутентификация и Single Sign on.
• Пользователи могут войти в систему один раз в начале дня и
оставаться в ней пока активна их сессия
14. Аутентификация 802.1x с помощью Cisco ISE
14
B
Корпоративный доступ
Wired, Wireless, VPN, Home Office
802.1x
802.1x
802.1x
SGT
Свыше миллиона
активных
профилированных
“устройств”
Max ~250K параллельных
“устройств”
26K домашних офисов;
~60K ПК
639 WLC; ~200K ПК
70 ASA; ~90K ПК
2K коммутаторов доступа
~200K ПК
8 DivBiz сегментов; ~8K ПК
98 стран
580 офисов
122K пользователей
Только Интернет
~14K гостей/неделя
Central Web Auth
15. Взаимодействие ИТ и ИБ (на примере проекта
Cisco ISE)
COO
CTO
SVP IT
VP IT
Any Device
Team
SVP
Infra Services
Sr. Dir
Network
Services
VP Ops/
Implementation
Sr. Dir
Strategy &
Security
Security
Services
Directory
Services
Sr. Dir
Data Centers
Sr. Dir
Arch/Design
SVP
Security & Trust
VP
InfoSec
Требования и
политики
безопасности
Отвечают за
мобильные
устройства,
ответственны
за проверки
устройств на
соответствие
политикам
ЦОД и
виртуальная
инфраструктура
Отвечают за
поддержку и
разворачивание
сетевых
сервисов
Отвечают за
поддержку и
разворачивание
сетевой
инфраструктуры
Отвечает за
ISE и
остальные
сервисы
безопасности
Инфраструктура и
сервисы Microsoft
Active Directory
Архитектура
решения и
высокоуровневый
дизайн
Operational
Excellence:
99.999%
Availability
16. Cisco ISE является мощным источником
контекста для мониторинга
Условия и права доступа зависят
от «идентификации» (контекста
доступа) устройства:
• OUI: Вендор + другие атрибуты
• Профилирование и/или DNS
17. • Почему MFA?
• Слабые или украденные учетные записи являются
мощным оружием хакеров, используемым в 95% всех
Web-атак. MFA может предотвратить это
• Цифровой логин
• Трансформация традиционного имени + пароль в что-то
более безопасное into something more secure and
бесшовное
• Пароль сам по себе больше не обеспечивает
безопасностьи
• MFA / Multi-Factor Authentication
• Больше чем одно устройство или технология
• Пример: приложения могут требовать дополнительный
одноразовый код или биометрию для входа
Многофакторная аутентификация
17 BRKCOC-1012
18. Yubikey поддержка, только дотронься и
ты вошел!
Генератор
мобильных кодов
Мобильное
приложение
Мобильное
сообщение (SMS)
Голосовой вызов
Приложение на
десктопе
Email
Yubi Key
Duo Push
Опции MFA
19. Доверенные оконечные устройства
Стандарт доверенного устройства
Регистрация устройства
Anti-malware
Версия ОС
Обновление ПО
Шифрование
Обнаружение root/jailbreak (только для мобильных)
Пароль/Скринсейвер
Удаленная очистка данных
Управление устройством (MDM)
Инвентаризация ПО и железа
Cisco Security Suites
CISCO CYODКУПЛЕНО CISCO
65,344
MOBILE
DEVICE
S
121,593
CISCO
SUPPLIED
DEVICES
6,230
41,655
13,472
74,947
48,802
341
20. Доверенные сервера
Стандарт доверенного сервера
Регистрация устройства
Управление конфигурацией
Защита ОС
Обновление ОС
Управление уязвимостями ПО и ОС
Защищенное управление
Централизованная аутентификация
Шифрование данных
Защита учетных записей и разделяемых секретов
Anti-malware
Интеграция с SIEM и реагированием на инциденты
Замкнутая программная среда (AWL)
IT UCS
серверов
12,042
Виртуальных
машин
47,526
21. Доверенные сетевые устройства
21
Аутентификация периметра (802.1x)
Защищенное управление
Контроль & автоматизация защищенной
конфигурации (SDN)
Сегментация
MFA для удаленного доступа
Шифрование WAN
Role Based Access Controls (ARBAC)
Политики защищенного доступа
(SNMP/SSH ACL)
Шифрование канала аутентификации
(TACACS шифрование)
Аутентификация и шифрование уровня
управления (SNMPv3)
Централизованная регистрация событий
Аутентификация и централизация хранилища
identity (TACACS+, LDAP)
Контролируемый защищенный авторитативный
DNS-сервис (pDNS, ODNS)
Защищенный источник времени (NTP)
Мониторинг административного доступа (AAA
Accounting & Logging)
Аутентификация протоколов маршрутизации
Контроль целостности имиджа сетевой ОС
Дифференцированный доступ (политика
динамических пользователей и устройств,
оценка состояния & защита)
Стандарт доверенного сетевого устройства
8,495
LAN Switches
7,607
Routers
653
Wireless LAN
Controllers
30,022
Cisco Virtual
Office
715
Firepower, ASA
22. Доверенные внутренние приложения
22
Стандарт доверенного приложения
Регистрация приложений (ServiceNow)
Управление конфигурацией
Централизованная аутентификация (SSO)
Оценка воздействия на приватность (GDPR)
Управление уязвимостями и патчами (Qualys, Rapid7)
Защищенное управление
Мониторинг и защита данных (DLP, IRM, шифрование)
Оценка исходного кода приложений (SCAVA)
Базовая и глубокая оценка приложений (BAVA/DAVA)
Управление ключами и шифрование
Защита SOAP, REST и API
Интеграция с SIEM и реагированием на инциденты
3982 внутренних приложений
Сложности
• Старые приложения
• Высокая кастомизация
• Поддержка после EOL
• Как управлять рисками
• Автоматизация стандарта
23. Движение в облака
• ~30% роста из года в год
• Свыше 600 облачных сервисов
проанализировано и
разрешено к использованию
• Многие обрабатывают данные
Highly Confidential или
Restricted
• Необходима совместимость
0
100
200
300
400
500
600
700
2012 2013 2014 2015 2016 2017
24. Доверенные облачные провайдеры
24
(Cloud Assessment and Service Provider Remediation CASPR)
BRKCOC-1012
Privacy and
Data Security
Application
Security
Infrastructure
Security
Authentication
and
Authorization
Vulnerability
Management
Support and
Operations
Incident
Analysis and
Response
Business
Continuity
Модели
CASPR
Public
Confidential
Highly
Confidential
Restricted
Logging and
Auditability
120+ вопросов
25. Модель зрелости безопасности
Политика на
базе
места/IP
вставки
безопасности
Политика на
базе
понимания
App/ID
на все
предприятие
Дизайн
потоков от
активов к
данным
по бизнес-целям
Обнаружение
активов &
данных
предприятие+3-и
стороны
Непрерывное
обнаружение
сеть+облако+ПК
Непрерывная
верификация
предприятие+3-и
стороны
1
2
3
4
5
6
Усиление инфраструктуры
Управление рисками
Динамический контекст
Эволюция угроз и доверия
Статическое
предотвращение
27. Cisco Trusted Access
Доверие
пользователь
-устройство
Доверие IoT
— И/ИЛИ —
доверие
приложения
м
Доступ
приложений
Сетевой
доступ
Нормализация
политик
Реагирование
на угрозы
1
2
3
4
5
6
Установление SD-
периметра
Автоматические
адаптивные политики
Практичный подход «Zero Trust» к безопасности
Установление
уровня доверия
29. Cisco iCAM –
Intelligent Context
Aware Monitoring
(UEBA + DLP)
Cisco TIP –
внутренняя
платформа Big Data
Threat Intelligence
and Security Analytics
40 Billion
Файлов Cisco
защищено
16,000+
серверов
мониторится
10 секунд
на детект риска
200 TB
ElasticSearch
Cluster
2,2 PB
Hadoop Cluster
27 TB
памяти
2848
ядер
Users-to-Ops
100,000 : 1
ВНИМАНИЕ
Мы это не продаем!
Опыт внутренней разработки Cisco
30. Часто приходится создавать системы ИИ
самостоятельно
30
• Решение iCAM
разрабатывалось
внутри службы ИБ
Cisco для
мониторинга утечек
информации и
анализа поведения
пользователей
• Готового решения
мы не нашли
33. • 10 секунд на детектирование
риска
• 24 часа на устранение риска
Скорость
• 4+ миллиардов событий
ежедневно
• 2000 инцидентов в квартал
Объемы
• 40+ миллиардов файлов Cisco
были защищены
• 16,000+ серверов мониторится
Ценность
для бизнеса
• User-To-Ops: 100,000 : 1
• 90% сигналов тревоги
управляются автоматически
• Только 1% инцидентов требует
ручной поддержки от Ops
Качество
операций
Эффект от iCAM в Cisco
15,2 миллиона долларов ежегодной экономии / сохранности
35. Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования
36. Cisco Security Analytics Suite
NTA
EDR
SIEM
UEBA
/
CASB
AMP for Endpoints
Stealthwatch
CloudLock
37. Инфраструктура под
расследованием
Меры защиты и
восстановлени
я
Системы коммуникаций и
взаимодействия
РасследованиеМониторинг и
реагирование
Обогащение/TI
Телеметрия и
другие
источники
Решения провайдеров
по ИБ
Управление
сервисами
Security Analytics
Suite
AV Intel
Providers
Cloud
Infra
Service
Provider
Solutions
Digital
Forensics
Tools
Security
Case
Management
Enrichment
Providers
Threat Intel
Providers
Платформы для разведки
Threat
Intelligence
Malware
Analysis
Knowledg
e Base
Log
Management
Native
Logs
Cyber Security
Controls
Wiki
Comm &
Collab Apps
Internal
Infra
Ticketing
Training
Platforms
Physical Security
Controls
Сейчас
Sensor
Telemetry
Other Data
Sources
38. C облаков мы также берем данные для анализа
Компонент Предпочитаемое решение Альтернатива
Облачный L3-шлюз Cisco CSR Нет данных
Intrusion Detection (IDS) SourceFire for AWS Snort
Сбор NetFlow Stealthwatch Cloud License nfcapd/nfdump
Passive DNS Cisco’s PDNS Tool OpenDNS
PDNS (Open Source Project)
Operational Intelligence Splunk ELK
Захват сетевых пакетов CSIRT’s PCAP Solution В процессе изучения
Прикладные данные CloudLock SkyHigh
39. Структура CSIRT
39
NetFlow System Logs
Разведка и
исследования
4
Аналитики APT
14
Следователи
22/17
Аналитики
User
Attribution
Analysis
Tools
Case Tools Deep
Packet Analysis
Collaboration
Tools
Intel Feeds
Операционные инженеры3/26
40. THE INTERNET CISCO ASSETS
THREATS PER QUARTER THREAT DEFENCE
1,558,649,099
39,778,560
19,862,979
770,399,963
25,802,498
3,364,087
20,529
1,978 INCIDENTS MANAGED (QTR)
DNS-RPZ
BGP Blackhole
WSA
ESA
ANTIVIRUS
HIPS
ENDPOINT AMP
CSIRT
Prevention
2,417,877,715 = TOTAL THREATS PREVENTED(QTR)
Detection
Сколько инцидентов поступает в CSIRT?
42. Отражение атак: BGP RTBH @Cisco
• OER – Optimized Edge Routing
• Также известен как Performance
Routing (PfR):
• Немедленно устанавливает null0 route
• Позволяет избежать дорогостоящего
изменения правил ACL или на МСЭ
• Использует iBGP и uRPF
• Не требует дополнительной настройки
• Настраивает /32 null0 route:
42
route x.x.x.x 255.255.255.255 null0
iBGP peering
43. Cisco Threat Mitigation System (TMS)
Единый инструмент для управления DNS RPZ* и BGP BH**
* - Response Policy Zones
** - Black Hole
47. • Средняя длительность интеграции инфраструктуры
покупаемых/поглощаемых компаний составляет около 1 года
после официального объявления
• В переходный период новые сотрудники должны иметь доступ к
корпоративным ресурсам с помощью VPN (AnyConnect)
• Политика безопасности Cisco запрещает применять разделение
туннелей (split-tunneling), что может привести к снижению
продуктивности сотрудников, ухудшению опыта, особенно для
инженерных команд
• В процессе интеграционного периода нет возможности
мониторить недоверенную сеть
Ряд сложностей у крупной компании
48. Почему Cisco запрещает split tunneling?
Тип компании Размер Да Нет
US Telecom 30,000 X
US Gov 5000 X
US Carrier 25,000 X
US Hardware Mfg 15,000 X
US Telecom 180,000 X *
US Telecom 250,000 X **
US DDoS SP 2,000 X
US Gov 100,000 X
US Aerospace 130,000 X
US Cyber R&D 1,000 X
US SP 43,000 x
• Служба ИБ Cisco InfoSec считает,
что split tunneling при
подключении пользователя к
недоверенной сети приводит к
высокому риску
• Угроза исходит из
скомпрометированных устройств,
через которые внешние
злоумышленники могут иметь
доступ внутрь Cisco
• Недавний неформальный опрос
Cisco CSIRT подтверждает, что
это общая практика * Исключение для принтеров на уровне портов
** Локальные LAN только, без Internet
BRKCOC-190048
49. Что такое C-Bridge?
• Фундаментально C-Bridge – это сетевое решение, использующее
маршрутизаторы, коммутаторы и средства защиты Cisco, для
предоставления быстрого, защищенного подключения и мониторинга
безопасности новых площадок
• Автономное решение, которые задействует управление идентификацией и
проверку пользовательских устройств для обеспечения доступа к
корпоративным ресурсам без компрометации безопасности предприятия
• Обеспечивает базу для реализации защитных мер и мониторинга старых
сетей
• Плотное взаимодействие разных команд Cisco:
• IT Acquisition Integration
• IT Network Services
• InfoSec Architecture
• InfoSec CSIRT
51. Физическая безопасность C-Bridge
• Два набора замков (внутри +
снаружи) на внутренней и
внешней «дверцах» C-Bridge
• Закрытые двери не мешают
работать с проводами для их
подключения к сети и питанию
• После подключения внешняя
дверца может быть оставлена
открытой для обеспечения
вентиляции
BRKCOC-1900 51
52. Наполнение C-Bridge
• Стойка может быть высотой
до 20 RU
• Сейчас стойка заполнена на
16 RU с дополнительными
(запасными) 4 RU
• 4 RU для IT-наполнения, 12
RU для целей безопасности
и мониторинга
BRKCOC-1900 52
54. Программные компоненты C-Bridge
• InfoSec CSIRT мониторит весь доступ к/через Интернет
• В дополнение к межсетевому экранированию:
• Sourcefire IDS 7150 with AMP for Networks
• vWSA с AMP for Content с интеграцией с ThreatGrid
• Генерация несемплированного Netflow и передача в Cisco Stealthwatch
vFlowCollector
• CSIRT PDNS и Cisco Umbrella
• Qualys Vulnerability Scanner (виртуальный)
• BGP Black Hole/Quarantine
• DLP-функциональность
• Сбор Syslog
BRKCOC-1900 54
55. Облегченная версия C-Bridge
Создание многоуровневой
архитектуры C-Bridge :
• Малая: 2RU = ISR4451 с
модулем Etherswitch, FTD для
ISR (UCS-E) и UCS-E для
CSIRT VMs, до ~300Mbps
• Средняя: 3RU = ISR4451 с
модулем коммутации и 2x
UCS-E для CSIRT VMs +
ASA5555X-FTD, до ~600Mbps
• Большое: стандартное
решение на ½ стойки C-
Bridge, 1Gbps+
ß Vs. à
56. Преимущества C-Bridge
56
Скорость
Обеспечение параллельного доступа к
корпоративным ресурсам и
недоверенным сетям на 10 месяцев
быстрее
Масштабируемость
Решение может быть внедрено на одной
или нескольких площадках
Сетевая безопасность
Возможность мониторить Интернет и
внутренний трафик в недоверенной сети
для обнаружения потенциальных угроз
Cisco on Cisco
Почти полностью состоит из оборудования
Cisco, включая Stealthwatch, NGIPS,
Umbrella
Повторное использование
Одна стойка может быть повторно
использована в новых проектах
Продуктивность сотрудников
Устраняет необходимость применения
AnyConnect для доступа к локальным
ресурсам
58. Внедрение Umbrella
58
(Апрель 2017)
AnyConnect модуль: 78k клиентов за первую неделю,
100k клиентов за 2 недели, 3 кейса
Первая неделя внедрения роумингового клиента:
431k дополнительных блокировок на 12.2k
уникальных узлов (10% от всего)
Верхние 100 пользователей генерят 70%
роуминговых блокировок
Облегченная защита для устройств не защищенных в
Cisco
Покрывает все порты и протоколы, не только web или
email
Аудит DNS-запросов из устройств, когда они не
подключены к Cisco
59. Результаты внедрения Umbrella
59
• Решение очень простое для внедрения
• Добавляет безопасности
• Облегченное внедрение без внесения изменений в сеть,
обновление через DHCP или статику
• Планирование и управление изменениями 90 дней
• 30 минут на внедрение!
“Все, что нужно, - распространить 4 строки
кода на несколько DNS серверов.”
• 166k событий ВПО блокировано в первые 24 часа,
снижая нагрузку на WSA:
• 62% меньше блокировок “bad web reputation”
• 96% меньше блокировок “bad URL category”
• 82% меньше блокировок“malware”
INTERNET
MALWARE
BOTNETS/C2
PHISHING
& HERE!
LANCOPE
WSA
(+ESA)
FIREPOWER
AM
P
AM
P
AM
P
AM
P
AMP
AMP
AM
P
AM
P
MERAKI
AM
P
AM
P
ASA
HER
E
HER
E
HERE
HER
E
HER
E
HQ
Branch Branch
Mobile
Mobile
68. Ключевые факторы успеха
• Не более 20 минут на
модуль; а еще лучше
десять
• Когорта экспертов
• Вирусный маркетинг
• Проектировщики учебных
курсов
• Соревнование
• Ломайте правила
• Креативные люди
• Вовлечение руководства
• Геймификация
70. Что приходится мониторить в 6 направлениях
Cisco STO?
122K человек/170 стран
26,000 домашних офисов
1,350 лабораторий
2,500 приложений/500 облачных
сервисов
3M IP-адресов/40K
маршрутизаторов
425 устройств, обнаруживающих
инциденты ИБ
350+ сотрудников службы ИБ
(включая расширенный состав)
4TБ данных собирается и
анализируется ежедневно
1.2трлн сетевых событий
15млрд потоков NetFlows
4.7млрд DNS-записей
75млн Web-транзакций
• Блокируется – 1.2M (WSA)
94% входящих e-mail блокируется
на периметре (ESA)
47TБ трафика инспектируется
• эквивалентно 3.8K часов видео blu-ray
5