2. Недостаток
квалифицированных
специалистов в сфере
безопасности
Для многих средств требуется
больше ресурсов, чем
имеется для выполнения
работы
50% компьютеров —
мобильные
70% офисов — удаленные
Большинство мобильных и удаленных
сотрудников не всегда включают
VPN, большинство филиалов не
обеспечивают обратный транзит
трафика, а большая часть новых
оконечных устройств только
обнаруживают угрозы
70-90% вредоносного ПО
уникально для каждой
организации
Средства на основе сигнатур,
реактивный интеллектуальный
анализ угроз и отдельное
применение политик безопасности
не могут опередить атаки
Общие проблемы безопасности
3. 3 подхода к защите мобильных пользователей
может требовать
дополнительной экспертизы и
ресурсов
Обнаруживать IOC
и аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от
пользователей изменения
поведения и может быть
сложным во внедрении
Изолировать приложения
и данные
в гипервизоре/
контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую
видимость и блокирование *если*
есть возможность блокировать по
любому порту, протоколу или
приложению
Предотвращать
соединения в Интернет-
активности
0 1 0 1 1 1 1 0 1 1 1
0
1 1 0 0 1 1 0 0 0 0 1
1
1 0 1 1 1 0 1 0 0 0 0
1
0 0 0 1 1 0 0 0 0 0 1
0
0 1 0 0 0 0 1 0 0 1 0
0
4. Необходимость доступа любых устройств из
любой точки мира
Больше разных
пользователей
Работа из большего
количества мест
Использование большего
количества устройств
Доступ к большему
количеству различных
приложений и передача
важных данных
Местопо-
ложение
Приложение
Устройство
С помощью любого приложения, к
любым важным данным, для любого
пользователя
5. Решение Cisco AnyConnect Secure Mobility Solution
Широкая поддержка платформ
• Apple IOS, Android, Blackberry, Windows
Phone, Windows 7/8/10, MAC, Linux, ChromeOS
• Работа через клиента и через браузер
Постоянное подключение
• постоянно активное подключение,
• выбор оптимального шлюза,
• автоматическое восстановление подключения
Унифицированная безопасность и модульность
• Идентификация пользователей и устройств
• Проверка соответствия
• Интегрированная веб-безопасность
• Интеграция с защитой от вредоносного кода
• Поддержка VDI
Корпоративный
офис
Безопасный,
Постоянный
Доступ
ASA
Wired Wi-Fi
мобильная
или Wi-Fi
Мобильный сотрудник
Домашний
офис
Филиал
6. Поддерживаемые платформы
Устройства пользователей и инфраструктура
Инфраструктура
Клиенты
Microsoft
Windows
Mac OS X Linux
Настольное устройство
Мобильные средства связи
Apple iOS
iPhone и iPad
• HTC
• Motorola
• Samsung
• Версия 4.0 и
более
поздние
• HTC
• Lenovo
• Motorola
• Samsung
• Версия 4.0 и
более
поздние
Бесклиентские
подключения
BlackBerry
+
Android
Смартфоны Планшетные
компьютеры
Управление
ASDM CSMCLI
Защищенные
соединения
Cisco ISR*
Cisco®
ASA
Cisco
ASR*
Коммутаторы IEEE
802.1x
Интернет-
безопасность
Cisco WSA
Cisco ISE
Идентификация
и политика+
Cisco
NAC
Cisco AnyConnect
для web-защиты
на основе облака
Windows
Phone
IPSec, SSL VPN
802.1X
MACSec
7. Cisco AnyConnect для VPN-доступа
• Клиент полного туннелирования IPsec/SSL VPN
• Постоянное подключение и высочайшее удобство работы
пользователей
• Управление доступом в сеть
• Оценка состояния настольных систем и мобильных устройств
• Широкая поддержка платформ ОС настольных систем и
мобильных устройств
• Детализированный контроль доступа
• Предоставление пользователям определенных ресурсов
• Защищенное хранилище
• Широкая поддержка браузеров и приложений
Клиент Cisco AnyConnect Secure Mobility
Портал бесклиентских VPN-подключений по протоколу SSL
8. Клиент AnyConnect -постоянное подключение
Автоматическое переподключение между
сетями Wi-Fi, 3G и разрывах связи
Повторная аутентификация не требуется
Таймер максимальной
продолжительности сеанса
Off Premises
9. Выбор оптимального шлюза
Подключение к наиболее оптимальному головному устройству
Время = 225 мс
Время = 223 мс
Время = 224 мс
Время = 110 мс
Время = 127 мс
Время = 125 мс
Время = 73 мс
Время = 75 мс
Время = 76 мс
МоскваВладивосток
СПб
Пороговое значение времени
приостановки (часы)
Пороговое значение повышения
производительности (%)
Параметры профиля:
Астана
10. Поддержка публикации:
• Внутренних веб-сайтов
• Веб-ориентированных приложений
• Файловых ресурсов NT/Active Directory
• Почтовых ресурсов POP3S, IMAP4S, and SMTPS. Microsoft Outlook Web Access Exchange
Server 2000, 2003, and 2007, 2010.
• Поддержка плагинов для RDP, VNC SSH (Java/ActiveX)
• Подключение любых TCP-ориентированных приложений c технологией SmartTunnel на
совместимых платформах
Безклиентский доступ по SSL
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html
11. AnyConnect – больше чем просто VPN
SSL / DTLS
VPN
IPsec VPN
Оценка
состояния
(HostScan/ISE)
Cloud Web
Security/
OpenDNS
L2
саппликант
(Win Only)
Коммутаторы и
контроллеры
WLC
ASA WSAISE/ACS Cloud Web
Security + AMP
Центральные устройства
ASR/
CSR
ISR
Базовый VPN Расширенный VPN Другие сервисы
Модуль
сетевой
видимости
AMP
Enabler
12. Обеспечение интернет-безопасности с помощью
Cisco WSA
Новости
Эл. почта
Социальные сети
Корпоративное ПО
как услуга (SaaS)
Устройство корпоративного доступа
Пользователи
вне сети
Пользователь
проходит
аутентификацию
Устройство
web-
защиты
Cisco
Устройство
корпоративного
доступа
Cisco®
ASA
Идентификационные
данные пользователя
WCCP
Доверенная сетьНедоверенная сеть
13. Клиент Cisco AnyConnect™
Secure Mobility
Интернет-
коммуникации
Внутренние
коммуникации
Обеспечение интернет-безопасности с помощью
решения Cisco Cloud Web Security/OpenDNS Umbrella
Cisco AnyConnect для
web-защиты на
основе облака
14. Cisco AnyConnect
Интернет-безопасность для Cisco Cloud Web Security
• Облачная служба — постоянно
функционирует и всегда
защищена
• Предоставляет
̶ политики допустимого использования;
̶ защиту от угроз со стороны вредоносного
ПО;
̶ возможности управления
использованием приложений;
̶ возможность выбора пользователем
систем защиты во время поездок
(исключаются проблемы с языком).
• Может использоваться вместе с
устройством обеспечения
безопаснсти web-трафика
Cisco® или отдельно.
Cisco AnyConnect для
web-защиты на
основе облака
15. Cisco Network Access Manager – управление
проводным и беспроводным подключением
• Управление корпоративными подключениями
• Проводное (802.3) и беспроводное (802.11) подключение
с помощью одной структуры аутентификации
• Аутентификация пользователей и устройств уровня 2:
–Продвинутый саппликант 802.1X, 802.1X-REV
–802.1AE (MACsec: проводное шифрование)
–Поддержка нескольких типов EAP
–802.11i (сеть с повышенной безопасностью)
• Поддержка конфигураций сети для администратора
(офис) и пользователя (дом)
16. Локализация
• Cisco AnyConnect™ GUI и инсталлятор
поддерживают локализацию на множество языков
• Некоторые поддерживаемые языки:
̶ Русский
̶ Japanese
̶ French (Canadian)
̶ German
̶ Chinese
̶ Korean
̶ Spanish (Latin American)
̶ Czech
̶ Polish
• Возможно делать кастомизированные локализации
под задачи организации
17. Поддерживает оценку состояния
для разных способов доступа
Упрощает управление с единым
агентом
Предотвращает подключение
несоответствующих устройств
(проверка патчей, ключей
реестра, антивирусов….)
Оценка состояния и безопасный VPN-доступ с
унифицированным агентом и Cisco ISE
18. Подключает только разрешенные приложения через VPN
Избранное туннелирование через VPN
VPN
Обеспечивает безопасный удаленный
доступ для выбранных приложений
для определенного пользователя,
устройства и роли (per-app VPN)
Уменьшает риски неразрешенных
приложений, связанные с
компрометацией данных
Поддерживает большое количество
типов устройств и удаленных
пользователей (сотрудники, партнеры,
контрактники)
WWW
19. Схема лицензирования AnyConnect 4.x
Подписки по числу пользователей,
1/3/5 лет, возможность Perpetual для
Plus
Apex
§ Все функции Plus
§ Posture
§ Clientless
§ Suite B
§ NVM
Простая двухуровневая структура
позволяет заказчикам экономить
средства (лицензирование на базе
пользователей, не устройств)
Схема лицензирования стала
существенно проще
Лицензирование на уровне
организации и возможность
развертывания лицензии на любом
концентраторе (ASA, ISE,
ISR/ASR/CSR, ...) делает всё проще
Plus *
§ PC/Mobile VPN
§ Mobile per-app
VPN
§ Web security
§ NAM
20. AnyConnect VPN Only
MOBILE
License
(per ASA
model)
ADVANCED
ENDPOINT
ASSESSMENT
License
(per ASA)
Лицензия СТАРОГО типа
(с привязкой к ASA)
Always-On, Clientless,
Posture Assessment, Suite B
PREMIUM License
(per user for each ASA)
AnyConnect VPN Only
Старая модель лицензирования
Лимит: число подключений
(конкретная ASA)
Тип: Perpetual
Кванты: 10-10K
Лимит: число подключений
(конкретная ASA)
Тип: Perpetual
Кванты: 25-10K
Много пользователей, низкая
активность
PHONE
License
(per ASA
model)
21. • Лицензирование по числу пользователей
• L-AC-APX-LIC= (Apex): 25 пользователей, 1 год: 380 долларов (GPL)
• L-AC-PLS-LIC= (Plus): 25 пользователей, 1 год: 158 долларов (GPL)
• L-AC-PLS-P-G (Plus, Perpetual): 25 пользователей, 1136 долларов
(GPL), включая 33 доллара SASU
• Лицензирование по числу соединений на конкретном
устройстве
• L-AC-VPNO-xxxx=: 25 подключений, 4 994 доллара (GPL), включая
799 долларов SASU
Оценка по порядкам (на текущую дату)
22. Особенности VPN Only
o Применяется к конкретной ASA
o Учитываются одновременные подключения (НЕ пользователи)
o Только сервисы AnyConnect VPN (нет OpenDNS, NVM, ISE Posture, …)
o Нет возможности переносить, совместно использовать и т.п.
o Не предусмотрен апгрейд до Plus/Apex
o Не предусмотрено совместное использование с Plus или Apex
o Требуется контракт SASU для доступа к ПО и технической поддержке
23. Что такое «пользователь»?
Авторизованный пользователь – пользователь, который будет использовать
AnyConnect (частота не важна).
Лицензии Plus и Apex продаются на базе общего числа пользователей, НЕ
одновременных подключений.
Если у пользователя много устройств, это всё ещё один пользователь.
Каждое «необитаемое» устройство (сервер, IoT, …) – это тоже пользователь.
24. А если мы собираемся использовать
несколько ASA?
Число лицензий AnyConnect Plus и Apex основано на общем числе
авторизованных пользователей сервиса, не важно, обслуживает их
1 устройство или 5000 устройств.
В рамках этого разговора мы не рассматриваем вопросы стоимости
устройств ;).
Лицензия VPN Only привязывается к конкретной ASA и определяет число
одновременно активных VPN-подключений. Для каждой ASA требуется своя
лицензия VPN Only.
25. У нас 2 ASA, как регистрировать лицензии
Plus/Apex?
Подписки Plus и Apex (L-AC-PLS-LIC=) / (L-AC-APX-LIC=)
Можете сразу указать серийные номера нескольких ASA при начальной
регистрации.
Можете воспользоваться функционалом Share (см.
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-
client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc57, там есть
скриншоты).
Plus perpetual
Регистрируйте один серийный номер ASA при начальной регистрации.
Для каждой регистрации используется количество 1.
Последующие регистрации с помощью PAK.
26. Все лицензии на AnyConnect типа «подписка» включают доступ к
обновлениям/исправлениям AnyConnect, а также технической
поддержке в течение срока действия подписки.
Все лицензии на AnyConnect типа “perpetual” требуют приобретения
дополнительного контракта SASU для получения обновлений,
исправлений и технической поддержки.
Для поддержки оборудования VPN-концентратора требуется
отдельный SMARTnet.
Я запутался с SASU, есть какое-то общее правило
27. Модуль сетевой видимости
Расширенный контекст об
активностях устройства
Коллектор и
системы отчетов
Расширяет сбор данных об устройстве
информацией о сетевой активности приложений/пользователей
АналитикаАудитНаблюдаемость
. . .
30. • vzFlow = Netflow(IPFIX) + дополнительные поля
• Именно vzFlow реализован в AnyConnect NVM
Посмотрим повнимательнее
31. ИД род. процесса (ID запустившего процесса)
Имя родительского процесса (запустившего iexplore.exe)
Запись Netflow (Source IP, Destination IP, …)
Уникальный Device ID (корреляция записей)
Имя устройства (bsmith-WIN7)
Локальный DNS (starbucks.com), целевой DNS (-> amceco.box.com)
Доменимя пользователя (AMERbsmith)
Имя процесса (iexplore.exe)
ИД процесса(ID iexplore.exe)
* Можно включать/отключать сбор полей данных
Контекст в трактовке NVM
Приложение – пользователь – устройство – местоположение – цель
32. Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Набор решений Stealthwatch: лицензии для
оконечных устройств и облаков
Flow
Collector
Endpoint
Concentrator
Много клиентов AnyConnect с NVM
Серверы в AWS
Cloud
Concentrator
Лицензия Endpoint
License и Endpoint
Concentrator помогают
собирать IPFIX от
AnyConnect NVM
(AnyConnect Apex!!!).
Лицензия Cloud
License и Cloud
Concentrator
помогают собирать
IPFIX от серверов,
развернутых в AWS.
36. AMP-активатор расширяет защиту от malware
Обеспечивает быстрый и удобный путь
включения функционала Advanced
Malware Protection (AMP)
Обеспечивает защиту конечного
устройства до туннелирования трафика
в сеть
Минимизирует потенциальное влияние
путем обеспечения проактивной защиты и
быстрого устранения заражения
Больше
защиты
Windows/MAC Mobile
Мобильное устройство
37. Cisco AMP расширяет возможности NGFW и NGIPS
Ретроспективная безопасностьТочечное обнаружение
Непрерывная и постоянна защита
Репутация файла и анализ его
поведения
38. Полная защита среды с помощью Cisco AMP
AMP Защита
Метод
Идеально
для
Контент
Лицензия для ESA и WSA, а
также для CES и CWS
Пользователей решений Cisco
для защиты электронной почты и
обеспечения безопасности веб-
трафика
Сеть
Отдельное устройство
-или -
Включите AMP на устройствах
FirePOWER или ISR G2/4k
Пользователей NGIPS/NGFW и
ISR
Хост
Установка на стационарные и
мобильные устройства, включая
виртуальные
Windows, Mac, Android, VM
Cisco
Advanced
Malware
Protection
Вектор угроз Email и Web Сеть Оконечные устройства
39. Cisco AMP защищает с помощью репутационной
фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
40. Cisco AMP обеспечивает ретроспективную защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак
44. В 10:57 неизвестный файл
с IP-адреса 10.4.10.183 был
передан на IP-адрес 10.5.11.8
Пример траектории файла
45. Семь часов спустя файл был
передан через бизнес-
приложение на третье
устройство (10.3.4.51)
Пример траектории файла
46. Полчаса спустя с помощью
того же приложения файл был
скопирован еще раз на
четвертое устройство
(10.5.60.66)
Пример траектории файла
47. Решение Cisco®
Collective
Security Intelligence Cloud
определило, что этот файл
является вредоносным. Для
всех устройств было
немедленно создано
ретроспективное событие
Пример траектории файла
48. Тотчас же устройство
с AMP для Endpoints
среагировало на
ретроспективное событие
и немедленно остановило ВПО
и поместило в карантин только
что определенное вредоносное
ПО
Пример траектории файла
49. Через 8 часов после первой
атаки вредоносное ПО
пыталось повторно проникнуть
в систему через исходную
входную точку,
но было распознано
и заблокировано
Пример траектории файла
51. Ретроспективный анализ процессов позволяет ответить на
следующие вопросы
• Как угроза попала на узел?
• Что плохого происходит на моем
узле?
• Как угроза взаимодействует с
внешними узлами?
• Чего я не знаю на своем узле?
• Какова последовательность
событий?
52. • AnyConnect – многофункциональный клиент для
обеспечения комплексной безопасности.
• Схема лицензирования существенно упростилась и стала
более прозрачной.
• Комплексные возможности включают не только различные
функции предотвращения нарушений безопасности, но и
средства мониторинга, а также модуль активации клиента
АМР для оконечных устройств.
Резюме