Данияр Жигитбек 2017
В чем проблема? Обзор системы Cisco Stealwatch Сетевая телеметрия Компоненты Cisco Stealwatch Интеграция Cisco Stealwatch + Cisco ISE Контроль облачных сред Контроль мобильных устройств Реагирование на инциденты Заключение
Традиционные периметровые средства обнаружения угроз: межсетевой экран, антивирус, фильтры, итд. Но… Специально написанные программы (APT) Незащищенный Wi-Fi, 3g/4g модемы, флешки. Рост сетевого трафика Отсутствие видимости внутри сети – проблема 1! Мониторить каждый порт –не рационально.
Сеть, которая защищает сама себя? Оптимизация ресурсов (рабочая сила, финансы) Видимость сети Концепция интегрированной безопасности Cisco Stealwatch – уникальное решение!
Сбор телеметрических данных в масштабах сети (NetFlow) Cистема Cisco StealthWatch (100< алгоритмов обнаружения аномалий) Предоставление контекстной информации (Cisco ISE) Расследование сетевых инцидентов ( Cisco Security Packet Analyzer)
Netflow и его «клоны»(sFlow, J-Flow, cFlow, NetStream, Packeteer-2, IPFIX, nvzFlow и другие) 2 вида телеметрии Netflow: 1) выборочная 2) полная Отвечает на вопросы: «Кто подключается к сети?», «Что подключается?», «Как подключается нечто?», «Когда нечто подключается?» «Откуда и куда подключается нечто?».
Основные: FlowCollector Консоль управления StealthWatch Management Console Дополнительные: FlowSensor UDP Director Cloud Concentrator
Кто является целью угроз? Является ли пользователь важной целью? К какой информации имеет доступ пользователь? С какого устройства пользователь получает трафик? Возникали ли у пользователя в последнее время ошибки оценки состояния безопасности? Существуют ли другие события, связанные с сеансами пользователя? Как лучше всего устранить проблемы, имеющие отношение к пользователю?
NAT: функция «сшивки NAT» Прокси-сервера: функция ProxyWatch Связь с серверами ботнетов и троянцев. Обновление 3-5 минут. Лицензия StealthWatch Lab Intelligence Center Threat Feed.
Частное облако: Cisco StealthWatch FlowSensor Публичное облако (напр, Amazon Web Services): программные агенты StealthWatch Cloud Agent –> StealthWatch Cloud Concentrator –> FlowCollector –> StealthWatch Management Console
Антивирус: отсутствие сигнатур вредоносных программ Эвристические алгоритмы: нехватка ресурсов Решение: nvzFlow (Cisco AnyConnect)! -> StealthWatch FlowCollector
Карантин (Cisco ISE) «Заморозить» учетную запись пользователя Блокирование за превышение лимита скачивания Сигнал тревоги Захват интересующих сетевых сессий (Cisco Security Packet Analyzer) и их дальнейший анализ
Cisco Stealwatch - это: Расширенный мониторинг сети Расширенная аналитика и обнаружение угроз Ускоренное реагирование на инциденты Более быстрая и точная техническая экспертиза Совершенствование сегментации сети