NGFW Webinar Spanish April 13 presentation - cisco.com · Visibilidad Local NGFW APT NGNAC DURANTE...

Fran Pena SAM, CISSP [email protected]

CISCO Ciber-Seguridad para el mundo real www.cisco.com/web/ES/solutions/executive/security.html

El problema de la seguridad

Capturar los beneficios de la movilidad, la nube e IoE

NUEVOS MODELOS

DE NEGOCIO

ENTORNO DE

AMENAZAS DINÁMICO

Proteger ante nuevos y cambiantes vectores de ataques

COMPLEJIDAD Y

FRAGMENTACIÓN

Incrementar los niveles de protección simplificando las

operaciones y reduciendo costes

El coste medio de una brecha es de 4.5M$

54% de las brechas permanecen sin descubrir meses*

MESES

Se produce una brecha

INICIO

*Fuente: Verizon Data Breach Report 2014

Source: Verizon Data Breach Report 2014 Source: Verizon Data Breach Report 2014

Source: Verizon Data Breach Report 2014

HORAS

60% de los datos son robados en horas*

Entorno de amezas dinámico

$

Están monetizando nuestros datos…

Entorno de amezas dinámico

Exploits

$1K - $300K

Malware de Móviles

$150

SPAM

$50 - $500K

Cuenta Facebook

$1

Desarrollo Malware

$2500

Datos Tarj.

Crédito$0.25 - $60

Datos Seg. Social

$1

Informe Médico

> $50

Info Cuenta Bancaria

> $1K

Servicios DDOS

$7

Durante 25 años hemos creido encontrar la solución muchas veces… no existe la bala de plata

“No falsos positivos, no falsos negativos.”

IDS / IPS UTM

“Self Defending Network”

NAC

“Encaja en el patrón”

AV

FW/VPN

“Bloquea o Permite”

Application Control

“Arreglar el Firewall”

PKI

“No hay clave, no hay acceso”

Sandboxing

“Detectar lo desconocido”

Complejidad y fragmentación

Cada vez estamos mas expuestos…

Siempre hay una forma de entrar

“Begin the

transformation to

context-aware and

adaptive security

infrastructure now as

you replace legacy

static security

infrastructure.”

- Neil MacDonald VP & Gartner Fellow

Source: Gartner, Inc., “The Future of Information Security is Context Aware

and Adaptive,” May 14, 2010

Todos tenían seguridad…

Siempre hay una forma de entrar

…es el momento de pensar diferente

¿Como responder?

El nuevo Modelo de Seguridad

Visibilidad Local

APT NGFW

NGNAC

DURANTE

Control Cumplimiento

Endurecimiento

Detectección Bloqueo Defensa

Alcance Contención

Remediación

Política y Control Identificación y Bloqueo Análisis y Remediación

ANTES DESPUÉS

NGIPS - Cisco FirePower

WWW Web - Cisco WSA/CWS

- Cisco ASA

- Cisco ISE

- Cisco AMP

SPAM - Cisco ESA/CES

Visibilidad Global

La Red - Cisco Switches, Wireless, VPN, OpenDNS y LANCOPE


Visibilidad Local

NGFW

NGNAC

DURANTE


Endurecimiento

Detectección Bloqueo Defensa

Alcance Contención

Remediación

Política y Control Identificación y Bloqueo Análisis y Remediación

ANTES DESPUÉS

NGIPS - Cisco FirePower

WWW Web - Cisco WSA/CWS

- Cisco ASA

- Cisco ISE

SPAM - Cisco ESA/CES

Visibilidad Global

La Red - Cisco Switches, Wireless, VPN, OpenDNS y LANCOPE

APT - Cisco AMP


Cisco: 17.5 horas TTD de la industria:* 100-200 días

Fuente: Cisco® 2016 Annual Security Report *Median time to detection (TTD)

Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

INTERNET

Conexión SMTP válida?

Contenido malo o no solicitado?

Sede de Command &

control?

Acción hostil? Contenido malicioso en el

cliente?

WWW

Reputación Firmas

Firmas

Investigación de incidentes

Registro de dominio

Inspección de contenido

Spam Traps, Honeypots, Crawlers

Lista de Bloqueo y Reputación

Acuerdos con terceros

Reglas y lógica propios de plataforma

Visibilidad Global Solución global a un problema global

+1,6M sensores

+150M endpoints

Inputs multivector

100 TB datos/dia

35% correo mundial

19.7B Bloq. Web/día

+1.1M muestras/dia

Open Source (Snort,

OpenAppID, ClamAV)

Cisco TALOS

Visibilidad Global Ejemplo – DNS, un viejo conocido casi siempre olvidado

91,3% del malware utiliza DNS

68% de las organizaciones NO lo monitorizan

Punto ciego utilizado para obtener control, extraer datos y redireccionar tráfico

DNS is Used by Every Device on Your Network

ANY OPERATING SYSTEM Win, Mac, iOS, Android,

Linux, custom app servers,

and even IoT

ANY TOPOLOGY no matter how your

LAN or WAN is set up,

it simply works

ANY OWNER network’s DHCP tells

every connected device

where to point DNS


INTERNET

EN LA RED

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

INTERNET

OpenDNS Bloqueo por dominio DNS Además de por IP o URL

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

FUERA DE LA RED

OpenDNS Bloqueo por Dominio, IP o URL



INTERNET

EN LA RED

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

INTERNET

OpenDNS Bloqueo por dominio DNS Además de por IP o URL

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

FUERA DE LA RED

OpenDNS Bloqueo por dominio Además de por IP o URL

OpenDNS Bloqueo por dominio Además de por IP o URL

OTRO

TRÁFICO TRÁFICO

EMAIL

80M+ Peticiones maliciosas

bloqueadas/día

+ =

RED GLOBAL

• 70B+ peticiones DNS/día • 65M+ de usuarios • 100% disponibilidad • Cualquier terminal,

puerto, aplicación…

ANÁLISIS ÚNICO

• Equipo avanzado • Clasificación automatizada • BGP peering • Visualización 3D

Visibilidad Local Ejemplo – NGFW & NGIPS

Malware

Aplicaciones de cliente

Sistemas Operativos

Terminales móviles

Teléfonos

Routers y switches

Impresoras

Servidores de

Command &

control

Servidores de red

Usuarios

Transferencia

de ficheros

Aplicaciones Web

Aplicaciones

Amenazas

IPS Típico

NGFW Típico

Cisco NGFW/NGIPS

Puertos

Visibilidad Local Ejemplo – Network as a Sensor/Enforcer

Telemetría

Network

Detectar/Mitigar flujos de tráfico anómalos y Malware Ej. Comunicación con hosts maliciosos, propagación de malware interno, filtración de datos…

Detectar/Mitigar uso aplicaciones y violación de acceso Ej. Consultor externo accediendo a datos financieros…

Detectar/Mitigar equipos no corporativos, APs… Ej. Consultor externo accediendo conectando un AP en una oficina…

Cisco LANCOPE

Visibilidad Local No hay seguridad efectiva sin contexto

Visibilidad Local No hay seguridad efectiva sin contexto

No podemos protegernos de aquello que no vemos




Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

Correlación La aguja en el pajar

Vulnerable – Requiere acción

El Host/IP no es vulnerable

El puerto no está abierto en el Host/IP

No existe el Host/IP

Evento

• La detección basada en reglas requiere el

conocimiento de la causa

• La detección de anomalías monitoriza los

efectos, p.ej:

• Servidores Web inician conexiones hacia

fuera

• Flujos Excesivos a los servidores de

Bases de Datos

• Nuevos servicios activos en un sistema

crítico…..

Correlación Detección de las señales débiles




Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

Malware pasa a través de las defensas de

control

La prevención de Malware nunca es 100% efectiva

Brecha

Las herramientas actuales necesitan mucho tiempo, muchos recursos y mucho expertise

Cada etapa son procesos separados, sin conexión entre ellos

De ello se aprovechan los atacantes

Retrospección Independientemente de las capas de defensa…

DURANTE

Detección Bloqueo Defensa

Identificación y bloqueo

ANTES


Endurecimiento

Política y Control

DESPUÉS

Alcance Contención

Remediación

Análisis y remediación

Retrospección Resolviendo el problema de la decisión en un momento concreto

Point-in-Time

Sandboxing

Antivirus…

Sleep Techniques

Protocolos desconocidos

Cifrado

Polimorfismo .exe

.pdf

.jar

Reputación del Fichero = Maligno

Bloqueado!

Retrospección Resolviendo el problema de la decisión en un momento concreto

Point-in-Time

Sandboxing

Antivirus…

Sleep Techniques

Protocolos desconocidos

Cifrado

Polimorfismo

Point-in-Time

Cisco AMP

Continuous

Reputación del Fichero = Desconocida

Sandboxing

Reputación…

Las respuestas

• Para la Infección en cuanto se detecta • Recuperación en horas vs meses • MUY alto retorno de Inversión

Continuous

Control total y retorno de inversión

• Quién es el paciente 0? • Qué sistemas han sido afectados? • Cuál ha sido la extensión de la brecha? • Qué otros “amigos” venían con ella?

www.cisco.com/go/amp

Retrospección Cisco AMP ofrece las respuestas a las preguntas después de una brecha

www.cisco.com/go/amp

Protección de correo Cisco ESA

WWW

Proxy Web Cisco WSA

NGFW Cisco ASA

NGIPS Cisco FirePower App

Cliente Cisco AMP for Hosts

con retrospección

Control en red Control en cliente

AMP Everywhere

Retrospección El mas amplio portfolio de protección anti-malware…

Cliente Cisco Anyconnect




Enero

Lunes

1 Enero

Febrero

Marzo

Abril

Simplificación

Correlación

Retrospección

Visibilidad

Simplificación Operativa simplificada mediante la consolidación de consolas

INTERNET

EN LA RED

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

INTERNET

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

FUERA DE LA RED



ASA/FirePower Bloqueo en linea por Dominio, IP, URL, Aplicación, paquete…

WSA Bloqueo por IP, URL, Aplicación o contenido

ESA/CES Bloqueo por

IP, origen o contenido

CWS Bloqueo por IP, URL, Apliación o contenido

ESA/CES Bloqueo por


ISE Bloqueo por Equipo, usuario, lugar…

OS PersonalFW Bloqueo en linea por IP o Apliación

Cisco Firepower Management Center Centraliza, integra y simplifica la gestión

Control de Admisión (NAC) Cisco ISE

Protección de correo Cisco ESA

WWW

Proxy Web Cisco WSA

NGFW Cisco ASA

NGIPS Cisco FirePower App

www.cisco.com/go/ise

Cisco pxGRID (Compartición de contexto)

3ª Partes SIEMs, FW, IPAMs…

X

Control en red Control en cliente

Simplificación Operativa simplificada mediante compartición de contexto

Network as a Sensor Cisco CTD

Cliente Cisco Anyconnect

Simplificación Operativa simplificada mediante la consolidación de consolas

INTERNET

EN LA RED

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

INTERNET

OTRO

TRÁFICO TRÁFICO

WEB TRÁFICO

EMAIL

FUERA DE LA RED



ASA/FirePower Bloqueo en linea por Dominio, IP, URL, Aplicación, paquete…

WSA Bloqueo por IP, URL, Aplicación o contenido

ESA/CES Bloqueo por


CWS Bloqueo por IP, URL, Apliación o contenido

ESA/CES Bloqueo por


ISE Bloqueo por Equipo, usuario, lugar…

OS PersonalFW Bloqueo en linea por IP o Apliación

Simplificación Operativa simplificada mediante auto ajuste

Nuevas plataformas

Cisco ASA 5585-X Cisco ASA 5500-X Cisco FirePower 4100/9300

NGFW NGIPS - Cisco FirePower - Cisco ASA APT - Cisco AMP

Nuevas plataformas Cisco Firepower 4100 Series

• Interfaces de 10-Gbpsy 40-Gbps • Rendimiento hasta 80-Gbps • Tamaño 1UA • Baja latencia

• Serviciso ASA • Servicios FirePower • DDoS Radware • Futuros de terceras partes…

Optimización de rendimiento Seguridad MultiServicio Gestión unificada

• Gestión unificada • Gestión multitenant • Múltiples opciones de despliegue

¿Por qué Cisco?

http://www.cisco.com/go/nssngfw2014

NSS Labs Security Value Map for

Breach Detection (AMP)

2015


Intrusion Prevention System (IPS) 2015


Next-Generation Firewall

(NGFW) 2014

Gartner IPS Magic Quadrant 2015

*Infonetics

¿Por qué Cisco?

• #1 en seguridad IT empresarial*

*Infonetics

• Aproximación sistémica

• +200M$ anuales en I+D de seguridad

Mas que la suma de la inversión en I+D de los primeros 5 competidores de mercado

+1700 ingenieros especializados

+190 patentes de seguridad

Líder en Gartner MQ de NGIPS, SSL VPN, NAC, Correo y Navegación

NGFW Webinar Spanish April 13 presentation - cisco.com · Visibilidad Local NGFW APT NGNAC DURANTE...

Documents

Transcript of NGFW Webinar Spanish April 13 presentation - cisco.com · Visibilidad Local NGFW APT NGNAC DURANTE...