Взаимодействие на основе доверия Collaborate with Confidence
Алексей Лукацкий Бизнес-консультант Владимир Илибман Технический консультант Empowered Branch
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
1
The Cisco 2008 Annual Security Report
www.cisco.com/go/securityreport
Экосистема киберпреступников Авторы Разработчики злоумышленных программ Создатели вредоносных программ
Злоумышленники первой ступени
Сбор данных о компьютере
Шпионящее ПО
Внутреннее злоупотребление привилегиями
Конечный результат Известность
Компрометация ПК и приложений
Сбор информации
Трояны
Злоумышленники второй ступени
Хакеры/прямые атаки
Черви
Вирусы
Промежуточная ступень
Создание ботнетов
Организатор атак типа DDoS с целью вымогательства
Кража
Шпионаж
Спамер Управление ботнетами Личная информация Информационное маклерство
Вымогательство Злоумышленник Фарминг/ изменение DNS Хищение персональных данных
Коммерческие продажи Мошеннические продажи Финансовое мошенничество
Различные типы вредоносного ПО Рост числа троянских коней, browser helper objects (BHO) и шпионского ПО – основная угроза современного мира
Новые объекты для заражения
В банкоматах Росбанка, Петрокоммерц и Бин-банка обнаружен троян, ворующий информацию о кредитных карточках
В Австралии была зарегистрирована новая сеть ботнет psyb0t, заражающая червем роутеры и DSL-модемы. Было заражено уже более 100 тыс. устройств
Ботнет: от начала до конца
3. Получение инструкций
Spam Engines (SMTP)
Landing Pages (HTTP)
5. Заражение и атаки сайтов
1. Рассылка спама
4. Рассылка спама
2. Попадание бота с зараженного сайта
Червь Conficker
10 000 0000 зараженных компьютеров за одну неделю
Рост числа вредоносного ПО, участвующего в построение ботнетов и краже данных Уникальные сигнатуры вредоносного ПО
# уникальных сигнатур в 2006: 972K # уникальных сигнатур в 2007: 5.5M
500% рост за 12 месяцев
100%-й рост спама
Спам по источнику распространения
Спам нового поколения Рост интеллекта Целенаправленный Скрытые email и web
Новые вектора атак, включая SMS vishing Активное использование социального инжиниринга
Новый тип фишинга В кампании «Spear-phishing» участвует всего несколько получателей писем, но это и позволяет быть более сфокусированными и получать «лучший» эффект
Угрозы: резюме Угрозы носят заказной и криминальный характер Угрозы и криминалитет становятся быстрее, умнее & неуловимее Точечные (даже лучшие в своем классе) решения не справляются в одиночку с ростом угроз
Заказчики не могут защищать свои ресурсы в режиме 24х7
Система глобальной корреляции
Empowered Branch
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
14
Опыт пользователей
“Облачная” безопасность как стратегия Cisco
Analyst NDA
Cisco Security Cloud Services Cisco Security Cloud Services Безопасность Глобальная корреляция электронной почты
Пользовательское оборудование ASA с фильтрации ботнетов
Web Security
Email Security
IPS 7.0
Корпоративная сеть
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
15
Центр исследования безопасности Cisco Cisco Security Intelligence Operations
Cisco SensorBase
Threat Operations Center
Динамические обновления
Инфраструктура безопасности, которая динамически защищает против последних угроз с помощью :
Cisco SensorBase Наиболее полная база угроз и репутаций Интернета
Threat Operations Center Глобальная команда исследователей, аналитиков и разработчиков сигнатур
Динамические обновления Динамические обновления и практические рекомендации
Усилено системой глобальной корреляции Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
16
Фиаско перед атакой “Инъекция SQL” Подход традиционных систем защиты на основе сигнатур
Что находит СИГНАТУРА Что?
Analyst NDA
Вердикт: Неизвестно
Фрагментированные SQL команды внутри веб-трафика
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
17
Защита от атак с помощью репутаций Усиленная глобальной корреляцией
Что находит CISCO IPS Что? Как? Кто?
Где?
Analyst NDA
Вердикт: блокировать
Фрагменты SQL внутри веб-трафика Первое подключение HTTP Динамический IP адресс Динамический DNS История веб-атак Из скомпрометированной азиатской сети Есть история ботнетовской активности
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
Только “чистые” источники
18
Cisco Security Intelligence Operations Cisco Security Services Глобальная телеметрия угроз
Глобальная корреляция
Глобальная телеметрия угроз
8:15 GMT Все пользователи Cisco IPS защищены
Рекламное агенство в Лондоне
8:00 GMT Сенсор детектирует атаку от нового бота Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
ISP датацентр в Киеве
8:01 GMT Сенсор детектирует рассылку спама Cisco Confidential – NDA until 4/21
Филиал банка в Чикаго
8:04 GMT Сенсор детектирует сканирование ботклиента 19
Cisco IPS 7.0
Переход от сетевой IPS к глобальной IPS Покрытие
Удвоение эффективности по сравнению с сигнатурной IPS Аккуратность
Репутационные фильтры уменьшают ложные срабатывания Быстрое реагирование 100x быстрее чем традиционный метод, который ориентируется только на сигнатуры Репутационные фильтры IPS усиленные Глобальной Корреляцией Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
20
Cisco ASA: фильтрация трафика ботнетов
Cisco ASA 5500 Series
Сканирует весь трафик все порты и протоколы Мониторинг команд и контрольного трафика от ботов к центрам управления Детектирует инфицированных клиентов, которые пытаются связаться с центром управления
Использование интеллектуального анализа угроз Зараженные компьютеы
Empowered Analyst NDABranch
CSIO
Botnet Filters
© 2009 Cisco Systems, Inc. All rights reserved.
Автоматические обновляемые правила
Cisco CiscoConfidential Confidential– NDA until 4/21
21
Центр реагирования на угрозы Инфраструктура: $100M ежегодных инвестирований в технологии защиты Более 1000+ серверов для управления 100GB информации обрабатывается еженедельно 500 источников (партнерские и публичные)
Иследования: 500+ экспертов безопасности >250 сертификаций безопасности, >100 публикаций, около 100 патентов
Функционирование 7/24/365 4 Security Operations Centers Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
22
Архитектура безопасности Cisco SAFE
Empowered Analyst NDA Branch
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco CiscoConfidential Confidential– NDA until 4/21
23
Архитектура и угрозы безопасности Новые технологии незащищены Web 2.0, виртуализация, сетевые вычисления, etc.
Отсутствие согласованности и взаимодействия между продуктами Временные решения Основанные на эмоциях решения безопасности Покупка “модных” решений
Изолированные продукты Отсутствие политик безопасности Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
24
Cisco SAFE Образцовая архитектура безопасности Бесплатные технические дизайны и руководства по внедрению
Архитектура контроля безопасности Базис для дизайнов Фокус на наблюдаемости и контроле Соединяет решения и сервисы
Преимущества Объединяет безопасность и сеть Полностью оттестированные и проверенные дизайны Модульность Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
25
Модули архитектуры SAFE Управление
Граница WAN
Филиал Si
WAN
Внешняя сеть
Партнер
Кампус Si
Si
Ядро Si
Интернетпериметр
Датацентр
Телерабочий
Si
Internet Si
Электронная коммерция
SensorBase
Si
Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
26
Безопасность как сервис
Empowered Analyst NDA Branch
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco CiscoConfidential Confidential– NDA until 4/21
27
«Облачная безопасность» как развитие сервисов безопасности Локальное устройство
Решения безопасности Cisco
Интегрированн ая безопасность
Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
Безопасность как сервис
Cisco Confidential – NDA until 4/21
Физическая безопасность
Гибридная архитектура
28
SaaS: Защита электронной почты
Гибридное, на хостинге
Выделенное, на хостинге Аутсорсинг, у заказчика
На базе устройства
Analyst NDA
Одна технология IronPort. Разные варианты
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
29
Защита e-mail: первый шаг в SaaS Местоположение системы Управление
Аутсорсинг
Хостинг
Гибридное (хостинг)
Территория заказчика
ЦОД Cisco
Оба
Эксперты Cisco или совместно
Совместно
Совместно
Cisco
Cisco
Совместно
Мониторинг
Услуги Cisco по уд. управлению
ЦОД Cisco Аварийное восстановление
Мониторинг и поддержка (24/7)
Доступность 99,999%
Несколько центров мониторинга безопасности (SOC)
Выделенное оборудование для заказчика Analyst NDA
© 2009 Cisco Systems, Inc. All rights reserved.
Cisco Confidential – NDA until 4/21
Апробированные процессы и методология 30