Cisco NGFW. Security Expert Webinars. Fran Pena SAM, CISSP

Transcripción

1 Cisco NGFW Security Expert Webinars Fran Pena SAM, CISSP

2 NGFW Estrategia Seguridad Cisco CISCO NGFW Diferenciadores Demostracion

3 El problema de la seguridad NUEVOS MODELOS DE NEGOCIO Capturar los beneficios de la movilidad, la nube e IoE ENTORNO DE AMENAZAS DINÁMICO Proteger ante nuevos y cambiantes vectores de ataques COMPLEJIDAD Y FRAGMENTACIÓN Incrementar los niveles de protección simplificando las operaciones y reduciendo costes

4 Entorno de amezas dinámico Datos Tarj. Crédito$ $60 Exploits $1K - $300K Datos Seg. Social $1 Malware de Móviles $150 Informe Médico > $50 SPAM $50 - $500K Info Cuenta Bancaria > $1K Cuenta Facebook $1 Servicios DDOS $7 Desarrollo Malware $2500 Están monetizando nuestros datos

5 Complejidad y fragmentación Sandboxing FW/VPN AV Bloquea o Permite PKI Encaja en el patrón IDS / IPS UTM NAC No hay clave, no hay acceso Application Control No falsos positivos, no falsos negativos. Arreglar el Firewall Self Defending Network Detectar lo desconocido Durante 25 años hemos creido encontrar la solución muchas veces no existe la bala de plata

6 Siempre hay una forma de entrar Todos tenían seguridad

7 El nuevo Modelo de Seguridad ANTES DURANTE DESPUÉS Política y Control Identificación y Bloqueo Análisis y Remediación Control Cumplimiento Endurecimiento Detectección Bloqueo Defensa Visibilidad Local Alcance Contención Remediación NGFW - Cisco ASA NGIPS - Cisco FirePower APT - Cisco AMP NGNAC - Cisco ISE WWW Web - Cisco WSA/CWS SPAM - Cisco ESA/CES La Red - Cisco Switches, Wireless, VPN, OpenDNS y LANCOPE Visibilidad Global

8 El nuevo Modelo de Seguridad ANTES DURANTE DESPUÉS Política y Control Identificación y Bloqueo Análisis y Remediación Control Cumplimiento Endurecimiento Detectección Bloqueo Defensa Visibilidad Local Alcance Contención Remediación NGFW - Cisco ASA NGIPS - Cisco FirePower APT - Cisco AMP NGNAC - Cisco ISE WWW Web - Cisco WSA/CWS SPAM - Cisco ESA/CES La Red - Cisco Switches, Wireless, VPN, OpenDNS y LANCOPE Visibilidad Global

9 Cisco NGFW Diferenciadores TTD de la industria:* días Enero Febrero Marzo Abril Cisco: 17.5 horas Enero Lunes 1 Visibilidad Correlación Retrospección Simplificación Fuente: Cisco 2016 Annual Security Report *Median time to detection (TTD)

10 Cisco NGFW Diferenciadores TTD de la industria:* días Enero Febrero Marzo Abril Cisco: 17.5 horas Enero Lunes 1 Visibilidad Correlación Retrospección Simplificación Fuente: Cisco 2016 Annual Security Report *Median time to detection (TTD)

11 Visibilidad Global Solución global a un problema global Reputación Firmas Cisco TALOS INTERNET Lista de Bloqueo y Reputación +1,6M sensores Spam Traps, +150M endpoints Honeypots, Inputs multivector Crawlers Reglas y lógica propios de plataforma Registro de dominio 100 TB datos/dia 35% correo Firmas mundial 19.7B Bloq. Web/día +1.1M muestras/dia Inspección de contenido Acuerdos con terceros Open Source (Snort, WWW OpenAppID, Investigación ClamAV) de incidentes Conexión SMTP válida? Contenido malo o no solicitado? Sede de Command & control? Acción hostil? Contenido malicioso en el cliente?

12 Visibilidad Global Ejemplo DNS, un viejo conocido casi siempre olvidado OpenDNS Bloqueo por dominio Además de por IP o URL WEB INTERNET RED GLOBAL 70B+ peticiones DNS/día OTRO 65M+ de usuarios 100% disponibilidad Cualquier terminal, puerto, aplicación ANÁLISIS ÚNICO Equipo avanzado Clasificación automatizada BGP peering Visualización 3D OpenDNS Bloqueo por dominio Además de por IP o URL WEB + = INTERNET OTRO 80M+ Peticiones maliciosas bloqueadas/día EN LA RED FUERA DE LA RED

13 Tipico NGFW control de aplicaciones Visibilidad de applicaciones no es seguridad. NGFW Threat IPS URL DDoS Sandbox Threat Threat Centrado en Aplicaciones, no Amenzanas Otro silo aislado para gestionar

14 Visibilidad Local Ejemplo NGFW & NGIPS Aplicaciones de cliente Sistemas Operativos Amenazas Transferencia de ficheros Servidores de Command & control Terminales móviles Usuarios Aplicaciones Routers y switches Aplicaciones Web Impresoras IPS Típico Malware Puertos NGFW Típico Servidores de red Teléfonos Cisco NGFW/NGIPS

15 Visibilidad Local No hay seguridad efectiva sin contexto

16 Visibilidad Local No hay seguridad efectiva sin contexto No podemos protegernos de aquello que no vemos

17 Cisco NGFW Diferenciadores TTD de la industria:* días Enero Febrero Marzo Abril Cisco: 17.5 horas Enero Lunes 1 Visibilidad Correlación Retrospección Simplificación Fuente: Cisco 2016 Annual Security Report *Median time to detection (TTD)

18 Correlación La aguja en el pajar Evento No existe el Host/IP El puerto no está abierto en el Host/IP El Host/IP no es vulnerable Vulnerable Requiere acción

19 Funcionalidades Analisis Impacto Correlacion Multivector Priority 1 Admin Request 5 IoCs Host A Priority 2 Priority 3 Mail PDF Admin Request Mail PDF 3 IoCs Host B Control de seguridad dinamico Analisis Impacto Indicadores de compromiso Host C WWW WEB WWW WWW Adapt Policy to Risks

20 Cisco NGFW Diferenciadores TTD de la industria:* días Enero Febrero Marzo Abril Cisco: 17.5 horas Enero Lunes 1 Visibilidad Correlación Retrospección Simplificación Fuente: Cisco 2016 Annual Security Report *Median time to detection (TTD)

21 Retrospección Independientemente de las capas de defensa ANTES Política y Control Control Cumplimiento Endurecimiento DURANTE Identificación y bloqueo Detección Bloqueo Defensa DESPUÉS Análisis y remediación Alcance Contención Remediación Malware pasa a través de las defensas de control La prevención de Malware nunca es 100% efectiva Brecha Cada etapa son procesos separados, sin conexión entre ellos De ello se aprovechan los atacantes Las herramientas actuales necesitan mucho tiempo, muchos recursos y mucho expertise

22 Retrospección Resolviendo el problema de la decisión en un momento concreto.exe Sandboxing Sleep Techniques Protocolos desconocidos Cifrado Polimorfismo Point-in-Time.pdf.jar Antivirus

23 Retrospección Resolviendo el problema de la decisión en un momento concreto Sandboxing Point-in-Time Antivirus Cisco AMP Point-in-Time Sandboxing Sleep Techniques Protocolos desconocidos Cifrado Polimorfismo Continuous Reputación Reputación del del Fichero = Desconocida = Maligno Bloqueado!

24 Retrospección Cisco AMP ofrece las respuestas a las preguntas después de una brecha Continuous Las respuestas Quién es el paciente 0? Qué sistemas han sido afectados? Cuál ha sido la extensión de la brecha? Control total y retorno de inversión Para la Infección en cuanto se detecta Recuperación en horas vs meses MUY alto retorno de Inversión

25 Retrospección El mas amplio portfolio de protección anti-malware con retrospección Control en red Control en cliente Protección de correo Cisco ESA Proxy Web Cisco WSA NGFW Cisco ASA NGIPS Cisco FirePower App Cliente Cisco AMP Anyconnect for Hosts WWW AMP Everywhere

26 Cisco NGFW Diferenciadores TTD de la industria:* días Enero Febrero Marzo Abril Cisco: 17.5 horas Enero Lunes 1 Visibilidad Correlación Retrospección Simplificación Fuente: Cisco 2016 Annual Security Report *Median time to detection (TTD)

27 Simplificación Operativa simplificada mediante la consolidación de consolas Cisco Firepower Management Center INTERNET Centraliza, integra y simplifica la gestión INTERNET WEB WSA Bloqueo por IP, URL, Aplicación o contenido OTRO ESA/CES Bloqueo por IP, origen o contenido WEB CWS Bloqueo por IP, URL, Apliación o contenido OTRO ESA/CES Bloqueo por IP, origen o contenido ASA/FirePower Bloqueo en linea por Dominio, IP, URL, Aplicación, paquete OS PersonalFW Bloqueo en linea por IP o Apliación OpenDNS Bloqueo por Dominio, IP o URL OpenDNS Bloqueo por Dominio, IP o URL ISE Bloqueo por Equipo, usuario, lugar EN LA RED FUERA DE LA RED

28 Simplificación Operativa simplificada mediante compartición de contexto Control en red Control en cliente Protección de correo Cisco ESA Proxy Web Cisco WSA NGFW Cisco ASA NGIPS Cisco FirePower App Cliente Cisco Anyconnect WWW Cisco pxgrid (Compartición de contexto) X Network as a Sensor Cisco CTD Control de Admisión (NAC) Cisco ISE 3ª Partes SIEMs, FW, IPAMs

29 Nuevas plataformas NGFW - Cisco ASA NGIPS - Cisco FirePower APT - Cisco AMP Cisco ASA 5500-X Cisco ASA 5585-X Cisco FirePower 4100/9300

30 Nuevas plataformas Cisco Firepower 4100 Series Optimización de rendimiento Seguridad MultiServicio Gestión unificada Interfaces de 10-Gbpsy 40-Gbps Rendimiento hasta 80-Gbps Tamaño 1UA Baja latencia Serviciso ASA Servicios FirePower DDoS Radware Futuros de terceras partes Gestión unificada Gestión multitenant Múltiples opciones de despliegue

31 Por qué Cisco? NSS Labs Security Value Map for Next-Generation Firewall (NGFW) 2014 NSS Labs Security Value Map for Intrusion Prevention System (IPS) 2015 NSS Labs Security Value Map for Breach Detection (AMP)

32 Gartner IPS Magic Quadrant 2015 *Infonetics

33 Por qué Cisco? #1 en seguridad IT empresarial* +200M$ anuales en I+D de seguridad Mas que la suma de la inversión en I+D de los primeros 5 competidores de mercado ingenieros especializados +190 patentes de seguridad Líder en Gartner MQ de NGIPS, SSL VPN, NAC, Correo y Navegación Aproximación sistémica *Infonetics

34 Demostracion Cisco Firepower Management Center INTERNET Centraliza, integra y simplifica la gestión INTERNET WEB WSA Bloqueo por IP, URL, Aplicación o contenido OTRO ESA/CES Bloqueo por IP, origen o contenido WEB CWS Bloqueo por IP, URL, Apliación o contenido OTRO ESA/CES Bloqueo por IP, origen o contenido ASA/FirePower Bloqueo en linea por Dominio, IP, URL, Aplicación, paquete OS PersonalFW Bloqueo en linea por IP o Apliación OpenDNS Bloqueo por Dominio, IP o URL OpenDNS Bloqueo por Dominio, IP o URL ISE Bloqueo por Equipo, usuario, lugar EN LA RED FUERA DE LA RED

35