Как устроена безопасность внутри Cisco: зарисовки

На прошедшей неделе в Москве прошла Cisco Connect, где мне довелось не только провести интеллектуальную игру по сетевой безопасности, но и трижды выступить про КИИ, SecOps и то, как устроена безопасность внутри Cisco. Так как первые две упомянутые презентации касаются решений Cisco, а я стараюсь в блоге не писать про решения работодателя, то выложу только последнюю презентацию, тем более, что она может быть интересна многим предприятиям, которые выстраивают у себя систему ИБ и часто ориентируются на то, как это сделано у других.

Учитывая, что про нашу внутреннюю кухню ИБ можно говорить долго (даже на базе публичной информации), а у меня был всего один час, я решил сделать некоторые зарисовки, описывающие как технические, так и организационные аспекты. Про Cisco Security Ninja я уже писал на Хабре. Про мониторинг нашей инфраструктуры тоже; как и про контроль сетевого доступа. В этот раз я погрузился в детали того, что такое Trusted Enterprise в нашей трактовке и из каких четырех столпов оно состоит, а также в то, что такое C-Bridge, решение, которое позволяет нам мониторить удаленные и недоверенные площадки, подключаемые к нашей корпоративной сети. Ну и специально, чтобы показать, что нельзя построить эффективную ИБ только из готовых, купленных на рынке компонентов, я рассказал о системе iCAM, которую мы написали самостоятельно и которая является объединением двух технологий DLP и UEBA. Про наши собственные open source разработки я также уже писал — про GOSINT, про OpenSOC, про OpenGraphiti и про кучу других.

ЗЫ. Возможно скоро на сайте мероприятия выложат видео этой презентации.