`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Форум Cisco по безопасности

+22
голоса

В эпоху цифровых преобразований информационные технологии становятся ключевым инструментом бизнеса, определяющим победу в конкурентной борьбе. Одно из главных препятствий на пути внедрения инноваций ‒ угрозы информационной безопасности. По данным исследования Cisco, 71% руководителей по всему миру сдерживают использование перспективных технологий из-за подобных рисков.

Поэтому безопасность – одна из наиболее часто обсуждаемых тем на всевозможных конференциях и форумах. Более того, все чаще мировые лидеры ИТ-индустрии организуют конференции, полностью посвященные вопросам ИБ. Одна из таких конференций под названием «Технологии кибербезопасности» была проведена Cisco Systems в начале декабря. На ней ведущие специалисты компании рассказали о разработках, способных противостоять угрозам информационной безопасности на протяжении всего цикла атаки.

Конференцию открыл технический директор из киевского офиса Cisco Алексей Бессараб. Почему Cisco, известная как разработчик сетевых устройств и технологий, обсуждает сегодня проблемы ИБ, задал он риторический вопрос. Для этого есть ряд важных причин.

Форум Cisco по безопасности
Алексей Бессараб: «Как будущую цель Cisco рассматривает разработку технологий и решений, которые позволят сделать IoT безопасным»

Сегодня перед компанией стоит трудная задача. К Сети подключается все больше и больше устройств, и подходы к ИБ, которые использовались раньше, становятся неактуальными. Один из основных факторов, которые необходимо учитывать тот, что радикально меняется ландшафт угроз. Атаки становятся все более сложными, более массовыми. В большинстве случаев атакующие преследуют вполне конкретные цели – финансовые, политические, промышленный шпионаж. Поэтому проблема безопасности сетей становится как никогда актуальной. Компания понимает, что только сеть может обеспечить безопасность огромного количества устройств, подключаемых к Интернету в рамках реализации концепции IoT. И как будущую цель Cisco рассматривает разработку технологий и решений, которые позволят сделать IoT безопасным.
 
За последние годы компания вложила много усилий в то, чтобы сделать сеть интеллектуальной, расширить ее возможности и функции. Но параллельно с этим возрастала и сложность сети. Поэтому вторая цель – сделать сеть простой в использовании.

Форум Cisco по безопасности
Стори Твиди-Йейтс: «Защита на ранних этапах абсолютно необходима, но в наши дни вас все равно рано или поздно взломают. Поэтому необходимо уметь защищаться и после атаки»

Сегодня на рынке ИБ работают более 400 компаний. При этом большинство компаний специализируются на конкретной области ИБ. В отличие от них, Cisco использует комплексный подход к защите информационных систем, который обеспечивает безопасность на всем цикле атаки.

В среднем, атака обнаруживается через 100 дней. Очевидно, что нужна более быстрая реакция на вторжение. Как достичь этого с помощью интегрированной защиты Cisco, рассказала менеджер Cisco по продвижению решений, обеспечивающих информационную безопасность бизнеса, Стори Твиди-Йейтс (Story Tweedie-Yates). Она начала с того, что опровергла некоторые заблуждения о последовательности вредоносных действий.

Представьте себе, продолжила она, что есть три фирмы, продающие похожие по функциональности средства ИБ. Эти средства подвергаются тестированию, которое говорит о том, что все они защищают от вторжений на 100%. Но только первое блокирует угрозы за пять минут, второе – за несколько дней, а третье обещает заблокировать все угрозы за несколько месяцев. Конечно, все выберут первое средство, поскольку очевидно, насколько важно заблокировать угрозы быстро. Почему мы в этом уверены без размышлений? Вот некоторые фактические данные.

На проведение непосредственной атаки злоумышленнику требуется несколько минут, а компании необходимо потратить несколько суток на то, чтобы выяснить, что система взломана. Конечно, речь идет о новых, ранее не известных угрозах. Таким образом время между атакой и ее обнаружением может быть использовано атакующим для выполнения своих целей. За последние полтора года удалось существенно сократить время обнаружения взлома системы. Данные свидетельствуют о том, что некоторые угрозы обнаруживаются быстро, а некоторые – медленно. Здесь возникает вопрос, почему некоторые угрозы обнаруживаются не так быстро, как другие? Дело в том, что угрозы различаются цепочкой вредоносных действий. Это элементы, которые есть в любой кампании по использовании угроз. Прежде всего, атакующие изучают жертву, они смотрят социальные сети, проверяют ее интересы и т. п. Потом они строят свою инфраструктуру, покупают серверы, исследуют вредоносное ПО, которое нужно на них установить. Дальше, они используют эту инфраструктуру, чтобы добраться до жертвы, например, посылая ей письмо с вредоносным кодом или побуждая зайти на вредоносный сайт. После того как жертва открыла такое письмо, ищутся и используются уязвимости, для того чтобы перехватить управление компьютером и установить на нем вредоносное ПО, с помощью которого злоумышленник добивается своей цели. Эта цепочка действий одинаковая, но угрозы все разные.

Форум Cisco по безопасности
Маркус Джосефссон: «Система StealthWatch вместе с маршрутизаторами и коммутаторами Cisco превращает сеть в датчик, который определяет сложные кибератаки во всей сети»

Однако, по словам выступающей, эта цепочка действий является не более чем мифом. Нам кажется, что для того чтобы противодействовать атакам, нужно принимать меры на ранних этапах этой цепочки. Однако это не так. Далее она привела два дополнительных соображения по этому поводу. Во-первых, нужно строить эшелонированную защиту, потому что злоумышленники – люди квалифицированные и способны проникнуть в систему, если построен только один эшелон обороны в начале описанной цепочки. Но после этого система остается беззащитной. Как это все работает? Представьте себе, что на вашем компьютере установлена программа-вымогатель. Если у вас есть защита на уровне DNS, например, с помощью Cisco OpenDNS, то шифрование файлов можно предотвратить. OpenDNS может блокировать запросы с неразрешенных серверов доменных имен. Средство может блокировать командный трафик на любой порт по любому протоколу. В этом сила эшелонированной обороны. Во-вторых, необходима защита и после того, как устройство заражено. Раннее обнаружение – это второй важный этап защиты. Итак, защита на ранних этапах абсолютно необходима, но в наши дни вас все равно рано или поздно взломают. Поэтому необходимо уметь защищаться и после атаки.

Почему злоумышленники действуют так быстро. По словам выступающей, потому что им это позволяют. Например, несвоевременная установка обновлений или интенсивное использование трафика HTTPS позволяет нарушителям избежать раннего обнаружения. Однако только покупка какого-нибудь нового брандмауэра не является 100-процентной гарантией раннего обнаружения. Существует сочетание людей, процессов и техники, и для того чтобы существенно снизить время до обнаружения угрозы, нужно использовать все компоненты этого сочетания. Первое, персонал должен понять, что установка заплаток является первоочередной задачей. Второе, нужен процесс управления установкой заплаток, чтобы понимать, когда и в какой части комплекса выполнять обновления. И третье, нужна техника, которая обеспечит защиту в промежутках между обновлениями.

Секрет того, как Cisco сокращает время обнаружения угроз, а компания сократила его со 100 дней до 13 часов, состоит в том, что все продукты Cisco обмениваются друг с другом информацией. Если заражается конечное устройство, то AMP (Advanced Malware Protection) передает эту информацию брандмауэру, а тот, в свою очередь, обменивается информацией с продуктом, который устанавливает политики. Разведка угроз состоит в том, чтобы обмениваться информацией через сеть Talos. Последняя представляет собой группу, примерно из 250 человек, занимающуюся исследованием угроз. Она также сопровождает инфраструктуру, которая организует обмен информацией между продуктами Cisco.

Резюмируя, Стори Твиди-Йейтс сказала, что, первое, нужно обучать пользователей, чтобы они понимали, чем вредоносное электронное письмо отличается от нормального; второе, нужно иметь возможность измерять время до обнаружения атаки, чтобы понимать, насколько хорошо мы действуем, и третье, абсолютно необходим план реакции на инцидент, потому что взлом произойдет, весь вопрос в том, когда.

Сеть первой встречает атаку и поэтому должна служить датчиком безопасности. Этот тезис раскрыл в своем выступлении ответственный за Cisco Cyber Threat Defense Маркус Джосефссон (Marcus Josefsson).

Обычно в контексте ИБ говорят о каких-то устройствах, о защите периметра. Однако в данном случае речь шла о защите на уровне маршрутизаторов, коммутаторов, беспроводных контроллеров, на уровне самой внутренней структуры сети. Хорошо бы находить нарушения политики ИБ и расследовать их, используя для этого активные сетевые устройства. Именно к такому классу устройств принадлежит StealthWatch. Это не антивирус, не брандмауэр, не IPS – это комплексная система для решения задач обеспечения ИБ, которая является датчиком нарушений. 

Форум Cisco по безопасности
Владимир Илибман: «Cisco Umbrella позволяет легко обезопасить устройства, подключенные к Интернету, в том числе и мобильные»

Система StealthWatch вместе с маршрутизаторами и коммутаторами Cisco превращает сеть в датчик, который определяет сложные кибератаки во всей сети. Концепция датчика опирается на использование устройств сетевой инфраструктуры как на источники телеметрических данных о выполняемых в сети операциях. Интеграция StealthWatch с Cisco Identity Services Engine (ISE) и TrustSec позволяет сети проверять соблюдение политик. С помощью программно-определяемой сегментации сети TrustSec проверяет политики доступа на основе идентификации пользователей и тегов групповых политик безопасности. Таким образом только авторизованные пользователи, в том числе и мобильные, получают право доступа к соответствующим сетевым ресурсам безотносительно к сетевой топологии.

Система улучшает видимость сети, выполняет непрерывный мониторинг устройств, приложений и пользователей по всей распределенной сети, агрегирует и анализирует собранные данные для определения базового уровня безопасности сети, проводит аудит собранных с помощью протокола NetFlow данных в исторической ретроспективе для улучшения защиты от угроз, может использоваться при криминалистической экспертизе.

С помощью примерно 150 алгоритмов, заложенных в StealthWatch, можно выполнять сканирование сети, определять DDoS-атаки, фрагментированные атаки, распространение червей, аномальное поведение устройств IoT и многое другое.

Подводя итог своего выступления, докладчик выделил основные функции StealthWatch, в числе который обеспечение 100% видимости сети, эффективный мониторинг производительности сети и непрерывная защита сети на всех стадиях – до атаки, во время атаки и после атаки.

Растет количество компаний, которые предпочитают воспользоваться облачной защитой, чем строить собственную систему ИБ. Для этого Cisco предлагает сервисы безопасности Umbrella, Meraki и CloudLock, о которых рассказал менеджер по продажам систем ИБ Владимир Илибман.

Традиционный подход к обеспечению безопасности сети строился на защите периметра. Однако сегодня в связи с появлением мобильных и удаленных пользователей периметр начинает размываться, и, по оценкам Gartner, к 2018 г. 25% корпоративного трафика будет обходить защиту периметра.

Облачную безопасность можно описать двумя терминами – безопасность из облака и безопасность для облака. Первый относится к использованию облачных технологий и аналитики для защиты периметра и ресурсов корпоративной сети, тогда как второй – для защиты облачных сервисов, которые используются компаниями. Продукты компании Cisco обеспечивают оба класса защиты.

Большинство современных атак используют DNS для того, чтобы либо распространить вредоносный код, либо заразить ПК, либо получить возможность управления. Cisco Umbrella (aka OpenDNS) позволяет легко обезопасить устройства, подключенные к Интернету, в том числе и мобильные, если они не находятся за границами корпоративного брандмауэра.

Об эффективности OpenDNS говорят следующие цифры: в день обнаруживается и добавляется в БД более 3 млн. новых имен доменов, идентифицируется более 60 тыс. вредоносных доменов и осуществляется защита от более 7 млн. вредоносных сайтов и адресов. Доступность к сервису обеспечивается 25 ЦОД, расположенных по всему миру.

Еще одним популярным на Западе является облачный сервис Cisco Meraki, с помощью которого можно защищать и управлять мобильными устройствами из облака. Mobile Device Manager (MDM) позволяет обеспечить защиту мобильных устройств от заражения и от потери данных на большом количестве платформ, а также усилить политики управления мобильными устройствами.  С помощью MDM можно инсталлировать и удалять приложения на мобильных устройствах, осуществлять парольные политики и политики безопасности, ограничивать доступ, избирательно удалять данные, определять местоположение устройства и применять политики на основании местоположения. Поддерживаются также функции автоматической регистрации и профилирования устройств, распространение настроек Wi-Fi, VPN и почты, уведомление администраторов о событиях, таких как выход за пределы территории, изменения в приложениях, удаление профиля и т. п.

Решение CloudLock предназначено для защиты данных и приложений в публичных облаках. Защита обеспечивается с помощью технологии Cloud Access Security Broker (CASB). Она реализована как некий прокси-сервер, который проверяет облачные запросы от сотрудников компаний, их соответствие политикам безопасности и осуществляет мониторинг действий сотрудников в облаке. По словам докладчика, CloudLock является одним из самых популярных сервисов в мире и по количеству клиентов, и по охвату облачных сервисов. Он поддерживает такие сервисы, как Office 365, Dropbox, Google Apps, AWS и ряд других.

Из других докладов участники форума узнали о современных технологиях для цифровых сетей и методах защиты от целевых атак; познакомились с анатомией атаки и возможностями ее предотвращения на любом этапе развития. Эксперты Cisco рассказали также о том, как бороться с киберпреступностью в различных ее проявлениях – с финансовым мошенничеством, кражей конфиденциальной или персональной информации, вымогательством и выведением из строя информационных систем.

Форум Cisco по безопасности

На форуме была организована демонстрация технологий компании. Слушатели смогли оценить функциональность облачного сервиса Cisco Meraki, брандмауэра следующего поколения Cisco FirePower, системы мониторинга сетевого трафика и аномалий Cisco StealthWatch. Демонстрацию организовали партнеры форума: ERC (Electronic Resource Company), «ИТ-Интегратор», группа компаний «МУК».

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT