Post on 21-Sep-2018
Fran Pena SAM, CISSP frpena@cisco.com
CISCO Ciber-Seguridad para el mundo real www.cisco.com/web/ES/solutions/executive/security.html
El problema de la seguridad
Capturar los beneficios de la movilidad, la nube e IoE
NUEVOS MODELOS
DE NEGOCIO
ENTORNO DE
AMENAZAS DINÁMICO
Proteger ante nuevos y cambiantes vectores de ataques
COMPLEJIDAD Y
FRAGMENTACIÓN
Incrementar los niveles de protección simplificando las
operaciones y reduciendo costes
El coste medio de una brecha es de 4.5M$
54% de las brechas permanecen sin descubrir meses*
MESES
Se produce una brecha
INICIO
*Fuente: Verizon Data Breach Report 2014
Source: Verizon Data Breach Report 2014 Source: Verizon Data Breach Report 2014
Source: Verizon Data Breach Report 2014
HORAS
60% de los datos son robados en horas*
Entorno de amezas dinámico
$
Están monetizando nuestros datos…
Entorno de amezas dinámico
Exploits
$1K - $300K
Malware de Móviles
$150
SPAM
$50 - $500K
Cuenta Facebook
$1
Desarrollo Malware
$2500
Datos Tarj.
Crédito$0.25 - $60
Datos Seg. Social
$1
Informe Médico
> $50
Info Cuenta Bancaria
> $1K
Servicios DDOS
$7
Durante 25 años hemos creido encontrar la solución muchas veces… no existe la bala de plata
“No falsos positivos, no falsos negativos.”
IDS / IPS UTM
“Self Defending Network”
NAC
“Encaja en el patrón”
AV
FW/VPN
“Bloquea o Permite”
Application Control
“Arreglar el Firewall”
PKI
“No hay clave, no hay acceso”
Sandboxing
“Detectar lo desconocido”
Complejidad y fragmentación
Cada vez estamos mas expuestos…
Siempre hay una forma de entrar
“Begin the
transformation to
context-aware and
adaptive security
infrastructure now as
you replace legacy
static security
infrastructure.”
- Neil MacDonald VP & Gartner Fellow
Source: Gartner, Inc., “The Future of Information Security is Context Aware
and Adaptive,” May 14, 2010
Todos tenían seguridad…
Siempre hay una forma de entrar
…es el momento de pensar diferente
¿Como responder?
El nuevo Modelo de Seguridad
Visibilidad Local
APT NGFW
NGNAC
DURANTE
Control Cumplimiento
Endurecimiento
Detectección Bloqueo Defensa
Alcance Contención
Remediación
Política y Control Identificación y Bloqueo Análisis y Remediación
ANTES DESPUÉS
NGIPS - Cisco FirePower
WWW Web - Cisco WSA/CWS
- Cisco ASA
- Cisco ISE
- Cisco AMP
SPAM - Cisco ESA/CES
Visibilidad Global
La Red - Cisco Switches, Wireless, VPN, OpenDNS y LANCOPE
El nuevo Modelo de Seguridad
Visibilidad Local
NGFW
NGNAC
DURANTE
Control Cumplimiento
Endurecimiento
Detectección Bloqueo Defensa
Alcance Contención
Remediación
Política y Control Identificación y Bloqueo Análisis y Remediación
ANTES DESPUÉS
NGIPS - Cisco FirePower
WWW Web - Cisco WSA/CWS
- Cisco ASA
- Cisco ISE
SPAM - Cisco ESA/CES
Visibilidad Global
La Red - Cisco Switches, Wireless, VPN, OpenDNS y LANCOPE
APT - Cisco AMP
El nuevo Modelo de Seguridad
Cisco: 17.5 horas TTD de la industria:* 100-200 días
Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)
Enero
Lunes
1 Enero
Febrero
Marzo
Abril
Simplificación
Correlación
Retrospección
Visibilidad
El nuevo Modelo de Seguridad
Cisco: 17.5 horas TTD de la industria:* 100-200 días
Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)
Enero
Lunes
1 Enero
Febrero
Marzo
Abril
Simplificación
Correlación
Retrospección
Visibilidad
INTERNET
Conexión SMTP válida?
Contenido malo o no solicitado?
Sede de Command &
control?
Acción hostil? Contenido malicioso en el
cliente?
WWW
Reputación Firmas
Firmas
Investigación de incidentes
Registro de dominio
Inspección de contenido
Spam Traps, Honeypots, Crawlers
Lista de Bloqueo y Reputación
Acuerdos con terceros
Reglas y lógica propios de plataforma
Visibilidad Global Solución global a un problema global
+1,6M sensores
+150M endpoints
Inputs multivector
100 TB datos/dia
35% correo mundial
19.7B Bloq. Web/día
+1.1M muestras/dia
Open Source (Snort,
OpenAppID, ClamAV)
Cisco TALOS
Visibilidad Global Ejemplo – DNS, un viejo conocido casi siempre olvidado
91,3% del malware utiliza DNS
68% de las organizaciones NO lo monitorizan
Punto ciego utilizado para obtener control, extraer datos y redireccionar tráfico
DNS is Used by Every Device on Your Network
ANY OPERATING SYSTEM Win, Mac, iOS, Android,
Linux, custom app servers,
and even IoT
ANY TOPOLOGY no matter how your
LAN or WAN is set up,
it simply works
ANY OWNER network’s DHCP tells
every connected device
where to point DNS
Visibilidad Global Ejemplo – DNS, un viejo conocido casi siempre olvidado
INTERNET
EN LA RED
OTRO
TRÁFICO TRÁFICO
WEB TRÁFICO
INTERNET
OpenDNS Bloqueo por dominio DNS Además de por IP o URL
OTRO
TRÁFICO TRÁFICO
WEB TRÁFICO
FUERA DE LA RED
OpenDNS Bloqueo por Dominio, IP o URL
OpenDNS Bloqueo por Dominio, IP o URL
Visibilidad Global Ejemplo – DNS, un viejo conocido casi siempre olvidado
INTERNET
EN LA RED
OTRO
TRÁFICO TRÁFICO
WEB TRÁFICO
INTERNET
OpenDNS Bloqueo por dominio DNS Además de por IP o URL
OTRO
TRÁFICO TRÁFICO
WEB TRÁFICO
FUERA DE LA RED
OpenDNS Bloqueo por dominio Además de por IP o URL
OpenDNS Bloqueo por dominio Además de por IP o URL
OTRO
TRÁFICO TRÁFICO
80M+ Peticiones maliciosas
bloqueadas/día
+ =
RED GLOBAL
• 70B+ peticiones DNS/día • 65M+ de usuarios • 100% disponibilidad • Cualquier terminal,
puerto, aplicación…
ANÁLISIS ÚNICO
• Equipo avanzado • Clasificación automatizada • BGP peering • Visualización 3D
Visibilidad Local Ejemplo – NGFW & NGIPS
Malware
Aplicaciones de cliente
Sistemas Operativos
Terminales móviles
Teléfonos
Routers y switches
Impresoras
Servidores de
Command &
control
Servidores de red
Usuarios
Transferencia
de ficheros
Aplicaciones Web
Aplicaciones
Amenazas
IPS Típico
NGFW Típico
Cisco NGFW/NGIPS
Puertos
Visibilidad Local Ejemplo – Network as a Sensor/Enforcer
Telemetría
Network
Detectar/Mitigar flujos de tráfico anómalos y Malware Ej. Comunicación con hosts maliciosos, propagación de malware interno, filtración de datos…
Detectar/Mitigar uso aplicaciones y violación de acceso Ej. Consultor externo accediendo a datos financieros…
Detectar/Mitigar equipos no corporativos, APs… Ej. Consultor externo accediendo conectando un AP en una oficina…
Cisco LANCOPE
Visibilidad Local No hay seguridad efectiva sin contexto
Visibilidad Local No hay seguridad efectiva sin contexto
No podemos protegernos de aquello que no vemos
El nuevo Modelo de Seguridad
Cisco: 17.5 horas TTD de la industria:* 100-200 días
Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)
Enero
Lunes
1 Enero
Febrero
Marzo
Abril
Simplificación
Correlación
Retrospección
Visibilidad
Correlación La aguja en el pajar
Vulnerable – Requiere acción
El Host/IP no es vulnerable
El puerto no está abierto en el Host/IP
No existe el Host/IP
Evento
• La detección basada en reglas requiere el
conocimiento de la causa
• La detección de anomalías monitoriza los
efectos, p.ej:
• Servidores Web inician conexiones hacia
fuera
• Flujos Excesivos a los servidores de
Bases de Datos
• Nuevos servicios activos en un sistema
crítico…..
Correlación Detección de las señales débiles
El nuevo Modelo de Seguridad
Cisco: 17.5 horas TTD de la industria:* 100-200 días
Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)
Enero
Lunes
1 Enero
Febrero
Marzo
Abril
Simplificación
Correlación
Retrospección
Visibilidad
Malware pasa a través de las defensas de
control
La prevención de Malware nunca es 100% efectiva
Brecha
Las herramientas actuales necesitan mucho tiempo, muchos recursos y mucho expertise
Cada etapa son procesos separados, sin conexión entre ellos
De ello se aprovechan los atacantes
Retrospección Independientemente de las capas de defensa…
DURANTE
Detección Bloqueo Defensa
Identificación y bloqueo
ANTES
Control Cumplimiento
Endurecimiento
Política y Control
DESPUÉS
Alcance Contención
Remediación
Análisis y remediación
Retrospección Resolviendo el problema de la decisión en un momento concreto
Point-in-Time
Sandboxing
Antivirus…
Sleep Techniques
Protocolos desconocidos
Cifrado
Polimorfismo .exe
.jar
Reputación del Fichero = Maligno
Bloqueado!
Retrospección Resolviendo el problema de la decisión en un momento concreto
Point-in-Time
Sandboxing
Antivirus…
Sleep Techniques
Protocolos desconocidos
Cifrado
Polimorfismo
Point-in-Time
Cisco AMP
Continuous
Reputación del Fichero = Desconocida
Sandboxing
Reputación…
Las respuestas
• Para la Infección en cuanto se detecta • Recuperación en horas vs meses • MUY alto retorno de Inversión
Continuous
Control total y retorno de inversión
• Quién es el paciente 0? • Qué sistemas han sido afectados? • Cuál ha sido la extensión de la brecha? • Qué otros “amigos” venían con ella?
www.cisco.com/go/amp
Retrospección Cisco AMP ofrece las respuestas a las preguntas después de una brecha
www.cisco.com/go/amp
Protección de correo Cisco ESA
WWW
Proxy Web Cisco WSA
NGFW Cisco ASA
NGIPS Cisco FirePower App
Cliente Cisco AMP for Hosts
con retrospección
Control en red Control en cliente
AMP Everywhere
Retrospección El mas amplio portfolio de protección anti-malware…
Cliente Cisco Anyconnect
El nuevo Modelo de Seguridad
Cisco: 17.5 horas TTD de la industria:* 100-200 días
Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)
Enero
Lunes
1 Enero
Febrero
Marzo
Abril
Simplificación
Correlación
Retrospección
Visibilidad
Simplificación Operativa simplificada mediante la consolidación de consolas
INTERNET
EN LA RED
OTRO
TRÁFICO TRÁFICO
WEB TRÁFICO
INTERNET
OTRO
TRÁFICO TRÁFICO
WEB TRÁFICO
FUERA DE LA RED
OpenDNS Bloqueo por Dominio, IP o URL
OpenDNS Bloqueo por Dominio, IP o URL
ASA/FirePower Bloqueo en linea por Dominio, IP, URL, Aplicación, paquete…
WSA Bloqueo por IP, URL, Aplicación o contenido
ESA/CES Bloqueo por
IP, origen o contenido
CWS Bloqueo por IP, URL, Apliación o contenido
ESA/CES Bloqueo por
IP, origen o contenido
ISE Bloqueo por Equipo, usuario, lugar…
OS PersonalFW Bloqueo en linea por IP o Apliación
Cisco Firepower Management Center Centraliza, integra y simplifica la gestión
Control de Admisión (NAC) Cisco ISE
Protección de correo Cisco ESA
WWW
Proxy Web Cisco WSA
NGFW Cisco ASA
NGIPS Cisco FirePower App
www.cisco.com/go/ise
Cisco pxGRID (Compartición de contexto)
3ª Partes SIEMs, FW, IPAMs…
X
Control en red Control en cliente
Simplificación Operativa simplificada mediante compartición de contexto
Network as a Sensor Cisco CTD
Cliente Cisco Anyconnect
Simplificación Operativa simplificada mediante la consolidación de consolas
INTERNET
EN LA RED
OTRO
TRÁFICO TRÁFICO
WEB TRÁFICO
INTERNET
OTRO
TRÁFICO TRÁFICO
WEB TRÁFICO
FUERA DE LA RED
OpenDNS Bloqueo por Dominio, IP o URL
OpenDNS Bloqueo por Dominio, IP o URL
ASA/FirePower Bloqueo en linea por Dominio, IP, URL, Aplicación, paquete…
WSA Bloqueo por IP, URL, Aplicación o contenido
ESA/CES Bloqueo por
IP, origen o contenido
CWS Bloqueo por IP, URL, Apliación o contenido
ESA/CES Bloqueo por
IP, origen o contenido
ISE Bloqueo por Equipo, usuario, lugar…
OS PersonalFW Bloqueo en linea por IP o Apliación
Simplificación Operativa simplificada mediante auto ajuste
Nuevas plataformas
Cisco ASA 5585-X Cisco ASA 5500-X Cisco FirePower 4100/9300
NGFW NGIPS - Cisco FirePower - Cisco ASA APT - Cisco AMP
Nuevas plataformas Cisco Firepower 4100 Series
• Interfaces de 10-Gbpsy 40-Gbps • Rendimiento hasta 80-Gbps • Tamaño 1UA • Baja latencia
• Serviciso ASA • Servicios FirePower • DDoS Radware • Futuros de terceras partes…
Optimización de rendimiento Seguridad MultiServicio Gestión unificada
• Gestión unificada • Gestión multitenant • Múltiples opciones de despliegue
¿Por qué Cisco?
http://www.cisco.com/go/nssngfw2014
NSS Labs Security Value Map for
Breach Detection (AMP)
2015
NSS Labs Security Value Map for
Intrusion Prevention System (IPS) 2015
NSS Labs Security Value Map for
Next-Generation Firewall
(NGFW) 2014
Gartner IPS Magic Quadrant 2015
*Infonetics
¿Por qué Cisco?
• #1 en seguridad IT empresarial*
*Infonetics
• Aproximación sistémica
• +200M$ anuales en I+D de seguridad
Mas que la suma de la inversión en I+D de los primeros 5 competidores de mercado
+1700 ingenieros especializados
+190 patentes de seguridad
Líder en Gartner MQ de NGIPS, SSL VPN, NAC, Correo y Navegación