Этот опасный, опасный, опасный мир

Форум Cisco «Безопасность без границ» состоялся в Киеве 15 мая. На нем обсуждались современные методы киберпреступности и были представлены новейшие разработки Cisco в области информационной безопасности, позволяющие компаниям найти баланс между производительностью и безопасностью сети.

Участники мероприятия познакомились с современным опытом проектирования и развертывания безопасных сетей, позволяющими создать многоуровневую и модульную систему защиты, максимально эффективную при противодействии кибератакам.

Общую ситуацию в области информационной безопасности обрисовал в своем пленарном докладе менеджер по развитию бизнеса Алексей Лукацкий. Он отметил, что сегодня основные проблемы защиты возникают вследствие распространения мобильных технологий и удаленных методов работы, а также становящейся все более популярной практикой у сотрудников корпораций использования для работы собственных устройств (течение «Bring Your Own Device», BYOD). Это завоевывает умы ИТ-специалистов, но в то же время вызывает вопросы у служб информационной безопасности. Становится трудно понятным, как позволять чужому устройству подключаться к корпоративной сети и как это контролировать.

Усиливающуюся опасность начинают представлять социальные сети. Службы безопасности хотят контролировать, к каким сетям подключаются сотрудники и что они там делают. Поскольку нежелательно полностью блокировать выход в Интернет, то он должен предоставляться с необходимыми уровнями контроля и защиты.

Все это приводит к противоречиям со службами ИТ, задача которых заключается в предоставлении сотрудникам как можно больше возможностей для успешного выполнения своей работы.

Снять подобное противоречие непросто, особенно с учетом все большего использования мобильных устройств. В отличие от настольных компьютеров, они не обладают достаточными вычислительными ресурсами для установки всего необходимого спектра средств защиты. Возникает задача, как обеспечить необходимый уровень безопасности на небольшом устройстве. Кроме этого, исчезло понятие периметра сети, что также породило ряд проблем для соответствующих служб.

Все это вызвало необходимость разработки новой парадигмы информационной безопасности — контекстной безопасности, которую компания сейчас продвигает под названием Cisco SecureX. В ней учитывается кто, когда, откуда и куда получает доступ, с какого устройства, к какому приложению и какая функция приложения запрашивается.

Сегодня компания уходит от «заплаточного» дизайна, от точечных решений, пусть даже лучших в своем классе, и разрабатывает продукты, объединенные общим замыслом, предлагая интегрированные решения для достижения некоторой единой цели. Она заключается в объединении разных технологий в рамках единых политик, механизмов и систем управления.

Именно этот принцип заложен в стратегии информационной безопасности Cisco SecureX. На нижнем уровне иерархии находится сеть передачи данных, далее — средства защиты (маршрутизаторы, коммутаторы, в том числе и виртуализированных сред, брандмауэры, IPS и т. п.). Дальше располагаются технологии управления с единым языком управления. Однако все это ничего не стоит, если нет подразделения, занимающегося исследованиями в области информационной безопасности. Технологии меняются буквально ежедневно, злоумышленники разрабатывают совершенно новые подходы для взлома сетей. Все это должно постоянно анализироваться с тем, чтобы своевременно выработать механизмы защиты.

Если говорить об уровне средств защиты, то здесь решения Cisco делятся на три блока, которые отражают направления развития на ближайшие несколько лет. Это унифицированный доступ, традиционные задачи защиты периметра, филиалов и работы в Интернете и защищенный ЦОД.

Итог получается следующий. На первом уровне стратегии в области безопасности находится политика, которая определяет, кто подключается к ресурсам, откуда, когда, с помощью чего и т. п. Второй уровень — это анализ угроз, поскольку нужно понимать, от чего защищаться, и, наконец, конкретная технология, которая реализует первые два уровня.

Алексей Лукацкий: «Киберпреступность стала зрелым бизнесом со всеми присущими ему атрибутами, и старые методы борьбы с ней становятся непригодными»

Что же нового предлагает сегодня компания Cisco в рамках изложенной выше парадигмы? Основной акцент делается на средства защиты периметра и филиалов, на сетевую безопасность в ее классическом понимании. Недавно выпущено обновленные семейства устройств защиты Cisco ASA и IPS. Кроме того, представлен брандмауэр следующего поколения ASA CX. В области защищенного универсального доступа предлагается продукт под названием ISE (Identity Services Engine), который облегчает самостоятельное выделение ресурсов для пользовательских устройств и интегрирует корпоративные политики с решениями для управления мобильными устройствами. Это также архитектура сетевой безопасности TrustSec, создающую «доверенную сеть предприятия», которая включает в себя коммутаторы и маршрутизаторы Cisco, контроллеры унифицированной беспроводной сети, выполняющие функции аутентификации пользователей, распределения ролей, выполнения правил доступа и защиты конфиденциальности сетевого трафика. Ну и, конечно, поддержку нового течения BYOD, когда сотрудники могут со своих устройств безопасно подключаться к сети компании и работать так же, как если бы они работали с корпоративного ПК. Наконец, совершенно новый продукт для защиты облачных вычислений — Virtual Security Gateway, брандмауэр для виртуализированных сред, и Virtual ASA 1000v.

После пленарного доклада работа форума проходила в двух потоках. В первом рассматривались решения по обеспечению сетевой безопасности. О тенденциях развития BYOD в мире и Украине, процессах, необходимых для безопасного использования персональных устройств в корпоративной среде, и технических решениях, позволяющих обеспечить безопасность использование BYOD в организациях, рассказал системный инженер Владимир Илибман.

Презентацию семейства обновленных устройств Cisco ASA 5500x выполнил Руслан Иванов. Они обеспечивают четырехкратный рост производительности, аппаратное ускорение ключевых сервисов и обладают масштабируемой архитектурой, позволяющая расширять функциональность ASA простым активированием лицензии. Он же представил детали управляемого контекстом брандмауэра Cisco ASA CX. Новый продукт расширяет возможности Cisco ASA и позволяет контролировать свыше 1000 приложений и 75000 микроприложений, таких как Facebook, Skype, ВКонтакте, Youtube, iTunes, LinkedIn и т. п. Возможности ASA CX включают URL-фильтрацию, применение политик в зависимости от типа устройства доступа (ПК, iPad, смартфон, и т. п.), имени пользователя, местоположения его или устройства и т. д. Управлять ASA CX можно с помощью другого нового продукта — Cisco Prime Security Manager.

Основной тематикой выступлений во втором потоке была архитектура безопасности. Здесь интерес вызвал доклад менеджера по развитию бизнеса Алексея Лукацкого о том, как зарабатывают киберпреступники и почему с этим сложно бороться традиционными методами.

Еще несколько лет назад киберпреступники воспринимались как студенты, взламывающие сайты из-за желания как-то утвердиться и прослыть специалистом в ИТ. Сегодня картина радикально изменилась как с точки зрения используемых механизмов угроз, так и с точки зрения тактики их применения — от массовости и публичности к скрытности и фокусировании на конкретной организации, банке или его клиенте.

Это создает проблемы для специалистов, занимающихся безопасностью, — трудно обнаруживаемые атаки вынуждают использовать реактивные методы борьбы. Изменились также и мотивы атак — основным стало завладеть или заработать деньги. DDoS-атаки постепенно уходят с рынка, и их место занимают веб-эксплойты и банковские «троянцы». Разработка вредоносных программ превратилась в полноценный бизнес, этим стали заниматься группы профессионалов, с использованием хорошо продуманной технологии. Появились маркетинг, каналы сбыта, партнерские программы, программы повышения лояльности клиентов и другие атрибуты традиционного бизнеса.

Докладчик обратил внимание на то, что спам теряет характер только рекламной рассылки. Зачастую он служит платформой для внедрения других хакерских технологий, таких как фишинг или вредоносный код.

Михаил Кадер: «При внедрении средств защиты в виртуализированный ЦОД нужно обеспечить баланс между и эффективностью предоставления вычислительных ресурсов и требованиями безопасности»

Сегодня благодаря автоматизации и графическому интерфейсу сред разработки, созданием вредоносных программ могут заниматься неспециалисты. Используются облачные технологии для взлома паролей в хэш-таблицах, «пуленепробиваемый» хостинг в странах третьего мира, к примеру, в Лаосе или Камбодже. Бесплатный вредоносный код можно найти в Интернете. Однако можно заказать и эксклюзивную разработку, с которой бороться намного сложнее. Статистика российского МВД показывает, что разработка бот-сети с богатой обновляемой функциональностью для взлома банка обходится в несколько сотен тысяч долларов.

Для распространения вредоносных программ обычно выбираются массово посещаемые сайты. В России, по данным Лаборатории Касперского, это сайты ОАО РЖД (180 тыс. посетителей в день), ИД «Комсомольская правда» (600 тыс.), ИД «Свободная пресса» (около 300 тыс.) и т. п. Даже при наличии антивирусного ПО на компьютерах пользователей, уязвимость составляет около 15%. Основная причина — несвоевременное обновление пользовательского ПО.

Вирусы и «троянцы» распространяются посредством онлайновых игр, интернет-покупок ПО, рекламируются на сайтах. Обычный прием — блокировка компьютера, вывод сообщения о том, что он заражен, и предложение установить и запустить необходимый «антивирус». Предлагаются также фальшивые дефрагментаторы, системы персональной защиты и другое «полезное» ПО, а также услуги по разработке вредоносных программ.

Самой смешной «наживкой» является так называемый нигерийский спам. К примеру, приходит сообщение на ломаном английском о том, что вдова председателя нигерийского банка получила доступ к его счету на 30 млн. долл., и она (по каким-то непонятным причинам) предлагает кому-нибудь, скажем, из России или Украины поучаствовать в съеме этих денег и получить за это половину. Для этого нужно всего-навсего перевести на указанный счет 10-15 тыс. долл. Верится с трудом, однако находятся «отзывчивые» люди. Иногда от «друга» приходит сообщение, что он поиздержался в Лондоне и просит перевести ему какую-то сумму. Правда, есть и более сложные схемы.

Вершиной пирамиды киберпреступности сегодня является банковские «троянцы» Zeus или Carberp. Это гибкий обновляемый и настраиваемый код с множеством параметров, мощная система управления на базе веб-технологий.

Киберпреступность стала зрелым бизнесом со всеми присущими ему атрибутами, и старые методы борьбы с ней становятся непригодными. Методы, которые используют киберпреступники постоянно меняются, поэтому и методы защиты также должны постоянно меняться.

Темой выступления заслуженного системного инженера Михаила Кадера была архитектура безопасности ЦОД и виртуализированных сред. Как отметил выступающий, идея виртуализации очень хороша с точки зрения эффективного использования вычислительных ресурсов, но она не очень хорошо сочетается с традиционными методами обеспечения информационной безопасности. Прежде всего, виртуализированные среды защищены от ошибок персонала ничуть не больше, чем физические. Кроме того, если раньше при работе с физическими ресурсами в случае возникновения каких-либо проблем имелась возможность легко проконтролировать ситуацию, понять и локализовать проблему, то в виртуализированном ЦОД это сделать гораздо труднее.

При внедрении аппаратных и программных средств защиты в виртуализированный ЦОД нужно обеспечить баланс между удобством и эффективностью предоставления вычислительных ресурсов и сервисов и требованиями по безопасности, зависящими от обрабатываемых данных. Таким образом, разворачивая виртуализированный ЦОД, необходимо иметь возможности применить ранее наработанные концепции безопасности. Для этого, к примеру, коммутатор Nexus 7000 позволяет создать набор виртуальных коммутаторов, для каждого из которых имеется возможность контролировать трафик и управлять правилами доступа к необходимым данным. В рамках же всего ЦОД можно построить сквозной виртуализированный коммутатор, который называется Nexus 1000v. Он позволяет заменить физические порты на логические, которые могут быть ассоциированы с конкретными ресурсами или приложениями, и дальше эмулировать физическую среду на виртуализированной.

Для управления безопасностью Cisco предлагает несколько продуктов, однако прежде всего, это Virtual Security Gateway (VSG). Его можно рассматривать как брандмауэр базового уровня, который способен выполнять фильтрацию трафика между виртуальными машинами (ВМ) и пользователями по разным параметрам. Он позволяет создать профили безопасности, и ассоциировать их с соответствующими профилями виртуальных портов.

При разработке архитектуры безопасности виртуализированных ЦОД нужно принимать во внимание существование двух видов трафика. Первый — между клиентами и ВМ, и второй — между самими ВМ. Также может возникать трафик между зонами внутри виртуализированного ЦОД. Таким образом, на границе виртуализированного ЦОД необходимо применять классические средства защиты, такие как ASA 5585. Для контроля доступа между ВМ внутри одной зоны можно применять VSG, а при взаимодействии ВМ, находящихся в разных зонах, более подходят внешние брандмауэры.

Далее докладчик представил набор продуктов, которые предлагает Cisco для защиты виртуализированных сред, и рассмотрел полнофункциональный защищенный этими продуктами и протестированный дизайн современного ЦОД.

В рамках форума для журналистов был организован круглый стол, на котором обсуждался рост использования мобильных устройств в корпоративном бизнесе (BYOD). Как отметил Алексей Лукацкий, эта тенденция обусловлена тем, что сотрудники хотят иметь возможность работать вне офиса, не будучи привязанным к рабочему столу, рабочему телефону, персональному компьютеру и переговорным; они хотят создавать собственное рабочее пространство в любом месте, в любое время и с помощью любого устройства, хотят, чтобы рабочее место следовало за ними к заказчикам и партнерам. Все, что для этого нужно — это безопасное подключение к корпоративной сети с любого устройства. Традиционная архитектура уже не справляется с требованиями сегодняшнего дня.

Концепция BYOD объединяет потребности бизнеса и желания сотрудников. Однако здесь возникают определенные риски. Это, в частности, трудности с управлением и защитой персональных устройств, опасность заражения вредоносным ПО, раскрытие данных на украденных или потерянных устройствах, нарушение правил контроля доступом и т. п. Здесь Cisco предлагает решения для безопасной реализации концепции BYOD.

Обсуждение темы продолжил системный инженер Cisco Владимир Илибман. По его словам, очень многие сотрудники различных компаний в Украине используют для доступа к информации собственные устройства. В частности, большинство из опрошенных участников форума считают, что при принятии соответствующих мер, безопасность корпоративной информации не пострадает.

Конечно, внедрение персональных устройств требует пересмотра методов обеспечения безопасности в организациях. Однако в итоге, это обеспечит не только повышение эффективности труда, но и позволит снизить затраты на приобретение техники.

В заключение участникам круглого стола были продемонстрированы возможности совместной работы и доступа к корпоративным данным с помощью персональных устройств.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365