`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Cisco предлагает защиту в три фазы

+33
голоса

Посещая, так сказать, по долгу службы множество конференций и семинаров, на которых поднимаются проблемы информационной безопасности, всякий раз задумываешься о роли киберпреступников в развитии информационных технологий. Не был исключением и семинар, проведенный Integrity Systems, на котором рассматривались решения Cisco для защиты компаний от современных угроз.

Он начался докладом менеджера по продуктам безопасности Cisco Владимира Илибмана о главных тенденциях в области ИБ. Какие угрозы видит Cisco в последние два года, что изменилось в технологиях, используемых для атак, каковы мотивации злоумышленников, и как компания рекомендует строить систему защиты — вот основные темы, которые также были подняты в выступлении.

Три фазы защиты от Cisco

Владимир Илибман: «Современный подход Cisco к построению системы безопасности заключается в том, что она должна охватывать весь жизненный цикл: до атаки, во время атаки и после атаки»

Прежде всего, докладчик обратил внимание аудитории на то, что технологическая вооруженность киберпреступников постоянно возрастает. Сегодня они используют самые передовые достижения ИТ, включая технологии больших данных и облачные, предоставляют атаки-как-сервис. Основная цель злоумышленников — получение максимальной прибыли, что их отличает от «благородных» хакеров первого поколения, которые работали только ради славы. Еще одна отличительная черта современных киберпреступников — это солидная финансовая база, которая привлекает в их ряды далеко не худших специалистов и обеспечивает доступ к новейшим достижениям в области ИТ. Это позволяет им опережать разработчиков систем защиты.

Все это приводит к следующему хронометражу атак: 60% данных крадутся за часы, 85% атак на платежные терминалы не обнаруживаются неделями, 54% взломов остаются нераскрытыми месяцами.

Целями большинства атак служат люди, при этом для доступа к информационным системам используются так называемые атаки на доверии. Подготовке атак уделяют значительное время. Оно уходит на всестороннее изучение как объекта, так и субъекта атаки. Все чаще встречаются направленные, или целевые атаки — Advanced Persistent Thread (APT). В качестве примера APT выступающий привел атаку на банки Европы (включая Украину и Россию) под названием Carbanak, осуществленную в середине февраля, результатом которой явилось похищение из 100 банков до 1 млрд. долл. Интересно, что от момента атаки до ее выявления прошло около 1,5 лет.

Основными каналами атак служат почта и веб. При этом приобретает распространение метод «спама на снегоступах (snowshoe)», когда небольшое количество спама рассылается с большого количества адресов.

Может показаться парадоксальным факт, что при опросе 90% компаний заявили, что они уверены в своей ИБ-политике, однако в действительности 54% сталкивались с взломами своих систем защиты. К уязвимостям защиты приводят пробелы в реализации политики и процедур, использование точечных средств защиты, ручных и статических механизмов и ряда других недостатков.

Современный подход Cisco к построению системы безопасности заключается в том, что она должна охватывать три фазы. На первой фазе, до атаки, необходимо использовать средства для ее предотвращения, профилактики и упреждения; на второй, во время атаки, должны выполняться обнаружение, блокировка и защита; и на третьей, после атаки, необходимо локализовать атаку, восстановить и изолировать от нападения ИС. Для реализации этого подхода компания объединяет продукты безопасности в коллективную систему. С этой целью в 2014 г. Cisco анонсировала приобретение ряда компаний. Одним из самых известных является покупка компании Sourcefire. Это крупнейший на рынке производитель систем IPS, разработавший ряд уникальных технологий для выявления нового вредоносного кода. Большую ставку компания делает на переносе части ИБ-интеллекта из локальной сети в облако. С этой целью была создана Cisco Talos Security Intelligence & Research Group. В задачи группы входит сбор данных о реальных угрозах и предоставление их клиентам и партнерам. Информация собирается с 1,6 млн. сенсоров, 150 млн. устройств, анализируется 35% электронной почты, 13 млрд. веб-запросов. Группа насчитывает более 600 экспертов в области ИБ. Система Talos является сервисом и доступна по подписке.

О продуктах Cisco для защиты корпоративных сред рассказал консультант по сетевым решения Сергей Любохинец, Integrity Systems. Портфель компании включает полный набор продуктов в области ИБ для сетей любого масштаба, начиная от классических брандмауэров и заканчивая сложными системами предотвращения вторжений.

Набор технологий ИБ соответствует концепции «до, во время и после» атаки. Компания также считает, что на уровне сети должна проводиться единая политика. Она реализуется на основе Identity Services Engine (ISE), которая предоставляет сервисы аутентификации и авторизации, управление жизненным циклом гостевого доступа, сервисы профилирования, оценки состояния, доступ для групп. В отличие от классического RADIUS-сервера, ISE тесно интегрируется со всем оборудованием Cisco. Еще одной особенностью является возможность профилирования политик для устройств, подключаемых как к проводным, так и к беспроводным сетям. Можно также оценивать соответствие узлов требованиям политик ИТ/ИБ и корпоративным стандартам, управлять гостевым доступом. Cisco ISE поддерживает трехзвенную схему защиты и объединяет решения в единый комплекс.

Еще одна технология защиты, инкорпорированная вместе с Sourcefire, это Advance Malware Protection (AMP). Она позволяет обнаружить, перехватить и блокировать вредоносный код и предоставить информацию о том, как эта атака развивалась (осуществлять анализ траектории вредоносного кода с помощью ретроспективного анализа). AMP может интегрироваться с различными компонентами сети: это может быть клиент на ПК, установка на Cisco ASA вместе с сервисами FirePOWER, брандмауэры и ряде других устройств. Принципы работы AMP — репутационная фильтрация и поведенческий анализ. При этом происходит тесное взаимодействие с облаком Talos. Несмотря на то что AMP работает на разных устройствах, управление осуществляется с единой консоли FireSIGHT.

Вторая презентация Сергея Любохинца была посвящена брандмауэру нового поколения Cisco ASA с функциями FirePOWER.

Три фазы защиты от Cisco

Сергей Любохинец: «Объединение ASA с сервисами FirePOWER позволяет непрерывно анализировать широкий спектр угроз и вовремя реагировать на них»

Прежние брандмауэры нового поколения (NGFW) могли по сигнатурам внутри трафика определить его принадлежность конкретному приложению. Это позволяло заблокировать соответствующее приложение. Однако эта функция не позволяла защититься от вредоносного кода внутри трафика.

После покупки компании Sourcefire и реализации технологий в классическом брандмауэре Cisco ASA появилось устройство Cisco ASA с функциями FirePOWER, которое позволяет определить угрозу внутри трафика приложения. Это устройство размещается на границе сети и сканирует весь приходящий трафик.

Решение представляет собой классический брандмауэр ASA, на базе которого развернуты сервисы Sourcefire, которые включают IPS, усиленную защиту от вредоносного кода AMP, а также технологии анализа ИБ, мониторинга, контроля приложений Application Visibility and Control (AVC) и фильтрации URL-адресов. Устройство обеспечивает комплексную защиту от угроз на протяжении всего жизненного цикла атаки (до атаки, во время атаки, после атаки).

Продуктовая линейка Cisco ASA не изменилась — сервисы FirePOWER реализованы в виде виртуальной машины. Таким образом, если у заказчика уже функционируют брандмауэры ASA, на них без труда можно развернуть сервисы FirePOWER. Для этого нужно докупить SSD, если его нет в поставке устройства, и активировать лицензию. В старших моделях ASA 5585 эти сервисы выполняются на отдельном аппаратном модуле, который устанавливается в шасси. Естественно, включение сервисов понижает производительность устройства в целом. Управление устройством осуществляется с помощью Cisco ASDM (Adaptive Security Device Manager). Сервисы FirePOWER пока управляются отдельной программой.

Что касается новинок, то во II квартале на рынок выйдет брандмауэр ASA 5506-Х с сервисами FirePOWER ориентированный на малые и средние распределенные предприятия. Одной из его особенностей является модульная функциональность. Набор активных функций определяется соответствующей лицензией.

Cisco ASA может распознавать порядка трех тысяч приложений, и их количество постоянно увеличивается. Для некоторых приложений можно распознавать выполняемую им функцию. Например, для Skype можно блокировать передачу файлов. Есть возможность также описывать собственные приложения, используя шаблоны в форматах ASCII, HEX и PCAP-файлы. Фильтрация URL выполняется как по категориям, так и по репутации. При этом репутации сайтов получают из облака Talos. Устройство позволяет также определить страну, с территории которой производится атака. С помощью этой функции можно запретить все запросы из стран, обмен данными с которыми не предусмотрен. Такая функция полезна для блокировки DDoS-атак. Можно также осуществлять контроль по типам передаваемых файлов и направлению передачи. Устройство генерирует подробный отчет о ИБ-инцидентах, есть также возможность изменить правила реагирования. Устройства Sourcefire умеют сканировать сеть и проводить инвентаризацию и профилирование узлов. Это используется для анализа угроз. Таким образом, устройство определяет корреляцию между контекстом и угрозами, между направлениями атак, обеспечивает динамические механизмы безопасности и ретроспективную защиту. Анализ сети, протоколов, приложений, сервисов, устройств, ОС, уязвимостей и ряда других характеристик позволяет автоматизировать создание и настройку политик брандмауэра и IPS, а функция мониторинга сети предоставляет администратору подробную информацию о ее состоянии. Осуществляется также мониторинг сетевых событий и инцидентов ИБ.

В итоге, объединение ASA с сервисами FirePOWER позволяет непрерывно анализировать широкий спектр угроз и вовремя реагировать на них.

+33
голоса

Напечатать Отправить другу

Читайте также

Три фазы защиты от Cisco

Тема заметки не раскрыта!
Вывод: от Cisco защититься нельзя!

Да, есть некоторая неоднозначность, если вырывать цитату из контекста.

Ай некарасьё! Менять название статьи после публикации как-то некузяво :)

Ну и да - нет от Сиско защиты :)

Ну, знаете ли, быстро поднятое - все равно что не упавшее :)

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT