Безопасность внутренней сети с помощью решений Cisco
0 likes950 views
Документ описывает архитектуру безопасности Cisco для малых и средних бизнесов, акцентируя внимание на важности сетевой безопасности, мониторинга и контроля доступа. Приведены примеры решений для управления доступом пользователей и устройств, а также предложения по улучшению защиты внутренней сети и управлению угрозами. Уделяется внимание интеграции систем безопасности и управления с учетом контекста устройства и пользователя.
![11
Политика для
личного iPad
[ограниченный доступ]
Точка доступа
Политика для
принтера
[поместить в VLAN X]
Автоматическое распознавание и идентификация
миллионов устройств
Принтер Личный iPad
ISE
CDP
LLDP
DHCP
MAC-адрес
CDP
LLDP
DHCP
MAC-адрес
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей
ПОЛИТИКА
Точка
доступа
СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
СБОР ДАННЫХ
Коммутатор собирает данные, относящиеся к
устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯ
ISE производит классификацию устройства,
сбор данных о трафике и формирует отчет об
использовании устройства
АВТОРИЗАЦИЯ
ISE реализует доступ на основе политик для
данного пользователя и устройства
Эффективная классификация
устройств с использованием
инфраструктуры
Решение](https://image.slidesharecdn.com/3ciscocampussecurity-150403054856-conversion-gate01/85/Cisco-11-320.jpg)
Безопасность внутренней сети с помощью решений Cisco
- 1. 1 Безопасность внутренней сети с помощью решений Cisco Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
- 2. 2 Архитектура безопасности Cisco Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Аналитический центр Talos Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг
- 3. 3 Источник: 2012 Verizon Data Breach Investigations Report От компрометации до утечки От атаки до компрометации От утечки до обнаружения От обнаружения до локализации и устранения Секунды Минуты Часы Дни Недели Месяцы Годы 10% 8% 0% 0% 75% 38% 0% 1% 12% 14% 2% 9% 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы Периметр защищен, но инцидентов полно. Почему?
- 4. 4 Проблемы с традиционной моделью «эшелонированной» безопасности на периметре Слабая прозрачность Многовекторные и продвинутые угрозы остаются незамеченными Точечные продукты Высокая сложность, меньшая эффективность Ручные и статические механизмы Медленный отклик, ручное управление, низкая результативностьНаличие обходных каналов Мобильные устройства, Wi- Fi, флешки, ActiveSync, CD/ DVD и т.п.
- 5. 5 Какие проблемы мы должны решить во внутренней сети? Единая политика доступа, привязанная к пользователям, а не устройствам Разграничение доступа на уровне сетевой инфраструктуры Мониторинг подозрительной активности на уровне сети Защита от угроз во внутренней сети Мониторинг беспроводного эфира Сквозная защита на уровне ЦОД, периметра, удаленного доступа и BYOD
- 6. 6 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 Software-Defined Segmentation based on business policy Что такое единая политика на уровне сети? Традиционная политика Политика TrustSec Источник Назначение Политика поддерживается везде Коммутатор Роутер VPN & МСЭ Коммутатор ЦОД Контроллер Wi-Fi Упрощение правил МСЭ, ACL и VLAN Предотвращение скрытых угроз Снижение затрат на перестройку архитектуры сети
- 7. 7 Сервисы аутентификации Сервисы авторизации Управление жизненным циклом гостевого доступа Сервисы профилирования Сервисы оценки состояния Доступ для групп безопасности Identity Services Engine Упрощенное управление политиками Мне нужно разрешать подключение к сети только определенных пользователей и устройств Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми сервисами Мне нужно разрешить гостям доступ в сеть и управлять их настройками Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD) Мне нужно, чтобы в моей сети были чистые устройства Мне необходим масштабируемый способ реализации политики доступа в сети Реализация единой политики сетевого доступа с помощью Cisco ISE
- 8. 8 Аутентификация пользователей и устройств Отличительные особенности идентификации Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных настольных систем Коммутатор Cisco Catalyst® Web-аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по MAC- адресам Web-аутентификация Сетевое устройство 802.1X IP-телефоныАвторизо-ванные пользователи Гости MAB и профилирование Планшеты На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
- 9. 9 Защита комплексных и динамичных сетей ISE Certificate Authority ü Простое и гибкое внедрение ü Устранение предположений относительно управления сертификатами BYOD ü Предлагает возможность запрашивать, замораживать и/ или отзывать сертификаты ü Аутентификация и сбор атрибутов в динамично изменяемых сетях ü Расширенные алгоритмы для управления неопределенностью идентификации ü Автоматизация управления доступом в сети с несколькими Active Directorie Множество Active Directory Поддержка 1M зарегистрированных устройств и 250K АКТИВНЫХ, одновременно подключаемых устройств
- 10. 10 Идентификация устройств ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети Должно быть предусмотрено управление политиками для каждого типа устройств Необходима гарантия того, что устройство соответствует цифровым меткам Классификация устройств вручную и реализация политик Быстрый рост числа устройств и идентификация для реализации политик Проблема
- 11. 11 Политика для личного iPad [ограниченный доступ] Точка доступа Политика для принтера [поместить в VLAN X] Автоматическое распознавание и идентификация миллионов устройств Принтер Личный iPad ISE CDP LLDP DHCP MAC-адрес CDP LLDP DHCP MAC-адрес ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей ПОЛИТИКА Точка доступа СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства Эффективная классификация устройств с использованием инфраструктуры Решение
- 12. 12
- 13. 13 Снижение числа неизвестных устройств в среднем на 74% Облегчение корпоративной мобильности Снижение сложности управления BYOD и доступа с устройства Настраиваемый дизайн и брендирование Новый опыт пользователей Всесторонняя защита устройства Улучшенное распознавание устройств ПК & мобильные платформы
- 14. 14 Оценка соответствия узлов требованиям политик ИТ и безопасности и корпоративным стандартам Временный ограниченный доступ к сети до устранения проблем Пример политики для сотрудника • Исправления и обновления Microsoft установлены • Антивирус McAfee установлен, обновлен и работает • Корпоративный ресурс проходит проверку • Приложение предприятия выполняется Проблема: • Наличие сведений о работоспособности устройства • Различие уровней контроля над устройствами • Затраты на устранение проблем Ценность: • Временный (на web-основе) или постоянный агент • Автоматическое устранение проблем • Реализация дифференцированных политик на основе ролей Пользователь проводной, беспроводной, виртуальной сети Не соответствует требованиям
- 15. 15 Гостевые политики Управление гостевым доступом Гости Web-аутентификация Беспроводный или проводной доступ Доступ только к Интернету Выделение ресурсов: гостевые учетные записи на спонсорском портале Уведомление: сведения о гостевой учетной записи в бумажном виде, по электронной почте или SMS Управление: права спонсоров, гостевые учетные записи и политики, гостевой портал Отчет: по всем аспектам гостевых учетных записей Интернет
- 16. 16 Модернизированный гостевой доступ с ISE 1.3 Простота доступа без снижения уровня безопасности Брендирование и использование тем «Спонсорство» для мобильного гостевого доступа Модернизированный гостевой доступ Собственные шаблоны за минуты, внедрение за часы (не дни) Your credentials username: trex42 password: littlearms Create Accounts Print Email SMS Уведомление по SMS Поддержка для ПК, Mac и мобильных платформ
- 17. 17 Масштабируемая реализация Сети VLAN Списки управления доступом (ACL) Метки групп безопасности * Шифрование MACSec * Управление доступом на основе политик Обеспечивает реализацию политик Абсолютный контроль Удаленный пользователь VPN Пользователь с беспроводным доступом Пользователь с проводным доступом Устройства * = СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ И УЧЕТОМ КОНТЕКСТА Виртуальный рабочий стол Центр обработки данных Интранет Интернет Зоны безопасности Инновации Cisco
- 18. 18 Маркировка трафика данными о контексте Доступ для групп безопасности (SGA) Медицинские карты пациентов (конфиденциальная информация) Неограниченный доступ для сотрудников Интернет Врач Финансовая служба Гость СНИЖЕНИЕ ЭКСПЛУАТАЦИОННЫХ РАСХОДОВ Масштабируемая реализация политик независимо от топологии сети МАСШТАБИРУЕМАЯ И ЕДИНООБРАЗНАЯ РЕАЛИЗАЦИЯ ПОЛИТИК Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA) ПОВЫШЕНИЕ МАНЕВРЕННОСТИ КОМПАНИИ Инновации Cisco
- 19. 19 Политики на основе понятного технического языка Повышение уровня реализации политик во всей сети Таблица доступа согласно политике на основе ролей Ресурсы D1 (10.156.78.100) Медицинские карты пациентов D3 (10.156.54.200) Электронная почта в интранет-сети D5 (10.156.100.10) Финансовая служба D6 D4 D2 Разрешения Интранет- портал Почтовый сервер Серверы финансовой службы Медицинские карты пациентов Врач Интернет IMAP Нет доступа Совместный web-доступ к файлам Финансовая служба Интернет IMAP Интернет Нет доступа ИТ-админист- ратор WWW, SQL, SSH Полный доступ SQL SQL Матрица политик Совместный web- доступ к файлам permit tcp S1 D1 eq https permit tcp S1 D1 eq 8081 deny ip S1 D1 …… …… permit tcp S4 D6 eq https permit tcp S4 D6 eq 8081 deny ip S4 D6 Требует затрат времени Ручные операции Предрасположенность к ошибкам Простота Гибкость Учет характера деятельности permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 permit tcp dst eq 135 deny ip ACL-список "Врач - карта пациента" Врачи Финансовая служба ИТ-администраторы S1 (10.10.24.13) S2 (10.10.28.12) S3 (10.10.36.10) S4 (10.10.135.10) Отдельные пользователи
- 20. 20 • Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой)) • 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый Пример снижения TCO С традиционным ACL-списком на межсетевом экране Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети 4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE С использованием Cisco ISE 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
- 21. 21 Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети • Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой)) • 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый Пример снижения TCO (2) С традиционным ACL-списком на межсетевом экране Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE 4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE С использованием Cisco ISE 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
- 22. 22 Эксплуатация Эффективное управление Объединенный мониторинг безопасностью и политиками Состояние контекста и панели мониторинга для проводных и беспроводных сетей Централизованное планирование задач управления на несколько дней Рабочие потоки настройки инструктивного характера Сокращение сроков диагностики и устранения неполадок Интеграция с Cisco NCS Prime
- 23. © 2011 Cisco and/or its affiliates. All rights reserved. 23
- 24. 24 Вовлечение конечного пользователя в управление Эффективное управление Снижение нагрузки на ИТ-персонал Адаптационный период для устройств, саморегистрация, выделение ресурсов запрашивающему клиенту* Снижение нагрузки на службу технической поддержки Простой, интуитивно понятный интерфейс пользователя Модель самообслуживания Портал регистрации устройства пользователя*, портал для приглашения гостей * запланировано на лето 2012 г.
- 26. 26 Как контролируется доступ в сети Cisco?! Тип устройства МестоположениеПользователь Оценка Время Метод доступа Прочие атрибуты
- 27. 27 Что более полезно с точки зрения безопасности? “Адрес скомпрометированного устройства 192.168.100.123” - ИЛИ - “Скомпрометировано устройство iPad Васи Иванова в стр.1” Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров. С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы. Cisco Platform Exchange Grid (pxGrid) Повышение эффективности решений партнеров через обмен контекстом
- 28. 28 Экосистема партнеров Cisco ISE Security Information and Event Management (SIEM) и Threat Defense Mobile Device Management Приоритезация событий, анализ пользователей/устройств • ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения • Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и привилегий доступа с событиями в SIEM/TD • Партнеры могут предпринимать действия к пользователям/устройствам через ISE Обеспечение защищенного доступа и соответствия устройства • ISE является шлюзом политик для сетевого доступа мобильных устройств • MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства • ISE связывает привилегии доступа с контекстом соответствия
- 29. 29 Интеграция с MDM Оценка соответствия мобильного устройства Всесторонний защищенный доступ Initial Posture Validation MS Patches Av and AS Installation Application and Process Running State Интеграция с MDM Проверка корпоративных и личных мобильных устройств MDM Policy Check Статус регистрации устройства Статус соответствия устройства Статус шифрования диска Статус установки блокировки экрана Стасус Jailbreak Производитель Модель IMEI Серийный номер Версия ОС Номер телефона
- 30. 30 Интеграция с MDM 3 Jail BrokenPIN Locked EncryptionISE Registered PIN LockedMDM Registered Jail Broken
- 31. 31 Быстрое реагирование на угрозы через SIEM / TD Расширение политик доступа & соответствия с MDM Устранение уязвимостей оконечных устройств Политика защиты индустриальных сетей и IoT Облегченное расследование инцидентов и проблем SSO защищенный доступ к защищаемым данным на мобильных устройствах Усиление эффекта Cisco Security через партнерство Распределение контекста с широким спектром решений партнеров
- 32. 32 Преимущества экосистема партнеров Cisco pxGrid делает решения партнеров более эффективными Адаптивная аутентификация Ø Ассоциация контекстных данных с приложениями & аутентификацией пользователя Ø Снижение риска кражи данных и проникновений за счет более гибкой аутентификации Политика доступа для индустриальных сетей Ø Сегментация на основе политик с контекстом и контролем АСУТП сетей Ø Быстрая идентификация, изоляция и нейтрализация посторонних устройств Захват пакетов и расследование инцидентов Ø Ассоциация контекстных данных пользователей/ролей с сетевыми дампами Ø Рост аккуратности и скорости расследования инцидентов Новые SIEM / TD партнеры присоединяются к экосистеме партнеров ISE Приоритезация уязвимостей оконечных устройств Ø Идентификация и приоритезация сетевых уязвимостей оконечных устройств Ø Снижение времени на расследование и уведомление для снижения векторов атак
- 33. 33 Cisco ISE поддерживает трехзвенную схему и объединяет решения Cisco в единый комплекс ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Контроль сетевого доступа Передача контекста Ограничение доступа и локализация нарушителей • Cisco ASA • Cisco FireSIGHT • S-Terra CSP VPN • Cisco ISR • Cisco Catalyst • Cisco Nexus • Cisco WSA • Cisco CTD • SIEM • pxGRID
- 34. 34 Cisco ASA with FirePOWER / Cisco FirePOWER помогают мониторить активность внутри сети ► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений ► Система гранулярного мониторинга и контроля приложений (Cisco® AVC) ► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER ► Фильтрация URL-адресов на основе репутации и классификации ► Система Advanced Malware Protection с функциями ретроспективной защиты Cisco ASA VPN и политики аутентификации Фильтрация URL- адресов (по подписке)FireSIGHT Аналитика и автоматизация Advanced Malware Protection (по подписке) Мониторинг и контроль приложений Межсетевой экран Маршрутизация и коммутация Кластеризация и высокая доступность Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI Встроенное профилирование сети Предотвращение вторжений (по подписке) FW + NGFW + NGIPS + AMP + URL + SSL VPN + IPSec VPN
- 35. 35 3D SENSOR 3D SENSOR 3D SENSOR DEFENSE CENTER 3D SENSOR P2P запрещенное приложение обнаружено Событие нарушения зафиксировано, пользователь идентифицирован Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены. IT & HR провели с пользователем работу Идентификация приложений «на лету»
- 36. 36 Гибкие политики работы с приложениями
- 37. 37 Создание «белых списков» / «списков соответствия» • Разрешенные типы и версии ОС • Разрешенные клиентские приложения • Разрешенные Web-приложения • Разрешенные протоколы транспортного и сетевого уровней • Разрешенные адреса / диапазоны адресов • И т.д.
- 38. 38 3D SENSOR 3D SENSOR 3D SENSOR DEFENSE CENTER 3D SENSOR Поведение зафиксировано, уведомления отправлены IT восстановили активы Хосты скомпрометированы Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT. Новый актив обнаружен Поведение обнаружено Обнаружение посторонних / аномалий / несоответствий
- 39. 39 Встроенная система корреляции событий (без SIEM) • Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных • Приложения • Уязвимости • Протоколы • Пользователи • Операционные системы • Производитель ОС • Адреса • Место в иерархии компании • Статус узла и т.п.
- 40. 40 Cisco FirePOWER не только мониторит активность, но и обнаруживает угрозы внутри сети ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Firewall NGFW Управление уязвимостями VPN UTM NGIPS Web Security Исследования ИБ Advanced Malware Protection Ретроспективный анализ IoC / реагирование на инциденты
- 41. 41 Идентификация и блокирование посторонних беспроводных устройств в Cisco • Само мобильное устройство не может сказать, что оно «чужое» • Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного • Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают контролировать беспроводной эфир • Все это часть функционала платформы Cisco Mobility Services Engine
- 42. 42 Cisco AMP Everywhere объединяет… MAC Май 2014 Выделенные устройства Февраль 2013 NGIPS / NGFW на FirePOWER Октябрь 2012 ПК Январь 2012 Cloud Web Security & Hosted Email Март 2014 SaaS Web & Email Security Appliances Март 2014 Мобильные устройства Июнь 2012 Cisco ASA с FirePOWER Services Сентябрь 2014
- 43. 43 Cisco Advanced Malware Protection проводит анализ и пост-фактум ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт угроз Видимость и контекст Контроль сетевого доступа Обнаружение и блокирование вредоносного кода Ретроспективный анализ
- 44. 44 Управление инцидентами с помощью FireSIGHT Кто Что Где Когда Как Сфокусируйтесь сначала на этих пользователях Эти приложения пострадали Взлом затронул эти области сети Такова картина атака с течением времени Это источник угрозы и путь ее распространения
- 45. 45 Анализ траектории вредоносного кода • Какие системы были инфицированы? • Кто был инфицирован? • Когда это произошло? • Какой процесс был отправной точкой? • Почему это произошло? • Когда это произошло? • Что еще произошло?
- 46. 46 Признаки (индикаторы) компрометации События СОВ Бэкдоры Подключения к серверам управления и контроля ботнетов Наборы эксплойтов Получение администраторских полномочий Атаки на веб- приложения События анализа ИБ Подключения к известным IP серверов управления и контроля ботнетов События, связанные с вредоносным кодом Обнаружение вредоносного кода Выполнение вредоносного кода Компрометация Office/PDF/Java Обнаружение дроппера
- 47. 47