`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

МУК ЭКСПО 2019 - поток Security Hub

+22
голоса

Эта выставка-конференция ежегодно собирает около 1500 украинских и зарубежных ИТ-специалистов. В этот раз свои решения продемонстрировали более 50 компаний – лидеров ИТ-рынка, в их числе Cisco, Check Point, Dell, IBM, Microsoft, NetApp, Oracle, VMware.

МУК ЭКСПО 2019 - поток Security Hub

Конференция проходила в четырех потоках: Cloud Hub, Autodesk Hub, Tech Talks и Security Hub. Для освещения был выбран последний как наиболее актуальный.

Он открылся выступлением специалиста по кибербезопасности из Cisco Павла Родионова. В нем он сделал обзор кибератак и киберугроз в 2018—2019 гг. в коммерческом секторе, с которыми столкнулась команда по кибербезопасности Talos. Докладчик начал с замечания о том, как сегодня разрабатываются вредоносные программы.

По его словам, современный вредоносный код уже не создается как единая программа. На самом деле это достаточно сложные модульные системы, которые управляются большим количеством людей. Есть разработчики, есть распространители, есть провайдеры, которые предлагают вредоносный код как сервис.
Однако основной темой здесь было вредоносное ПО Emotet. Вначале программа разрабатывалась как банковский троянец. Она и сегодня существует в том числе и в этой ипостаси. Но сейчас – это глобальная сеть распространения различных вариантов вредоносного кода с многочисленными центрами управления. При этом используется несколько векторов распространения, включая и хорошо подготовленный целевой фишинг.

МУК ЭКСПО 2019 - поток Security Hub
Павел Родионов: «Многофакторная аутентификация резко снижает вероятность хищения учетных данных»

Cisco встречается с Emotet у большого количества своих заказчиков. В некоторых случаях программа ничего не делает, поскольку основная ее направленность – это банки.

Одним из наиболее распространенных векторов атак является электронная почта. Компрометация бизнес-почты – популярная методика, которая используется злоумышленниками. Они не пытаются взломать почтовые серверы, не пытаются внедрить какой-нибудь хитроумный код. Они используют особенности человеческого восприятия. Примечательно, что большинство атак с целью компрометации приходят с легальных почтовых сервисов.

Компрометация электронной почты в основном используется для того, чтобы похитить либо учетные данные, либо деньги. Злоумышленники, которые применяют электронную почту как вектор атаки, в большинстве случаев присоединяют абсолютно легитимные файлы. Это могут быть офисные документы, архивные файлы, в некоторых случаях скрипты.

Атаки через электронную почту усложняются, проходят через несколько стадий. Например, с помощью pdf-файла без вредоносного кода, но со ссылкой на другой ресурс, который во многих случаях является легитимным. Но с этого ресурса уже может загружаться либо вредоносный код, либо использоваться другие методы, скажем, архив и пароль к нему.

МУК ЭКСПО 2019 - поток Security Hub

Андреас Шобер: «Umbrella блокирует запросы к злонамеренным и нежелательным адресам еще до установления соединения»

Как можно защититься от большинства атак, связанных с электронной почтой? Не только с помощью технических средств. Более того, они стоят не на первом месте. Основное здесь – обучение сотрудников и  регулярные внутренние антифишинговые кампании. Для защиты от атак, связанных с кражей учетных данных, также не требуются чудеса. По возможности, нужно внедрять многофакторную аутентификацию. Она резко снижает вероятность хищения учетных данных. И не нужно пренебрегать регулярным обновлением ПО. Однако оно неэффективно при атаках нулевого дня. Но существуют определенные методы защиты и для уязвимостей нулевого дня. Это классические сигнатуры, которые закрывают более 90% атак, различные системы поведенческого анализа, системы разведки угроз, репутационного анализа и, наконец, различные системы аналитики, машинного обучения, в том числе и песочницы. Помогает также шифрование каналов связи и построение нескольких уровней защиты: антиспам, антивирус, репутационная фильтрация доменов, разделение и классификация входящей почты, фильтрация контента и т. п.  Все это, конечно, не является защитой на 100%, но позволяет значительно уменьшить площадь атак.

Затем докладчик привел примеры ряда оригинальных атак. Одна из них - VPNFilter уникальна тем, что была направлена не на пользовательские машины, а на сетевое оборудование. Использовались известные уязвимости в сетевом оборудовании ряда производителей. VPNFilter был обнаружен командой Talos. Еще один пример – атака на NASA. Было похищено большое количество данных о миссии на Марс, а для атаки использовался компьютер Raspberry Pi, который был кем-то установлен в сети NASA.

Для уменьшения количества уязвимостей в сети и в инфраструктуре  можно использовать ряд рекомендаций от Cisco. В частности, нельзя ограничиваться только защитой периметра. Нужно знать, что делать, когда злоумышленник находится внутри сети. В таких случаях нужно использовать мониторинг трафика, для которого компания предлагает технологию Cisco NetFlow, которая поддерживается практически на всех ее устройствах. В случае ее отсутствия у компаний, нужно разворачивать решения, где можно снять копию трафика. Перед выбором мест для установок брандмауэров необходимо провести сегментацию сети.

Для построения эффективной защиты нужна видимость сети, поскольку нельзя защитить то, чего не видишь. Ее можно получить от различных источников. Нужно, если необходимо, пересмотреть стратегию защиты. Нужно переходить от защиты только периметра к сбалансированной защите. Нужно подумать и о том, чтобы развернуть систему обнаружения атак, системы поведенческого анализа, системы разведки угроз и мониторинг трафика, в том числе и беспроводного. Нужно выстроить системы для раннего предупреждения об атаках. И, наконец, регулярно обучаться.

Сочетание тенденции децентрализации сети и проблем безопасности ведет лидеров рынка к консолидированным облачным решениям, которые обеспечивают широкий набор средств защиты для пользователей и упрощают их среду, одновременно снижая затраты на пропускную способность и потребности в ресурсах. О решении Cisco для защиты от угроз распределенных сетей Secure Internet Gateway (SIG) рассказал специалист по кибербезопасности Андреас Шобер (Andreas Schober).

Пакет Essentials Umbrella Secure Internet Gateway предлагает широкий набор функций безопасности, которые до сих пор требовали отдельного брандмауэра, безопасного веб-шлюза, безопасности на уровне DNS, анализа угроз и брокера безопасности облачного доступа (CASB). Включая все это с единой платформы и панели мониторинга, Umbrella значительно сокращает время, деньги и ресурсы, ранее необходимые для задач развертывания, настройки и интеграции. Пакет может быть интегрирован с реализацией SD-WAN у клиентов, чтобы обеспечить уникальное сочетание производительности, безопасности и гибкости.

Первой линией защиты от угроз здесь является уровень DNS. Обеспечивая безопасность на уровнях DNS и IP, Umbrella блокирует запросы к злонамеренным и нежелательным адресам еще до установления соединения, предотвращая таким образом угрозы через любой порт или протокол до того, как они достигнут сети или конечных точек. Этот облачный сервис, в частности, обеспечивает видимость, необходимую для защиты доступа в Интернет на всех сетевых устройствах, в офисах и в роуминге; регистрирует и классифицирует действия DNS по типу угроз безопасности или веб-контенту и предпринятым действиям - независимо от того, была ли она заблокирована или разрешена, а также сохраняет журналы всех действий столько времени, сколько необходимо, для последующего изучения. Сервис может быть быстро внедрен для охвата тысяч мест и пользователей за считанные минуты.

Следующим компонентом является облачный веб-шлюз безопасности Secure Web Gateway (полный прокси). Облачный полный прокси-сервер может регистрировать и проверять весь веб-трафик компании для большей прозрачности, контроля и защиты. Он включает в себя, в частности, такие функции, как проверку в режиме реального времени входящих файлов на наличие вредоносных программ и других угроз с использованием механизма Cisco AMP и сторонних ресурсов; усовершенствованную изоляцию файлов с помощью песочницы, предоставляемую Cisco Threat Grid; подробные отчеты с полными URL-адресами, идентификатором пользователя и сети, разрешением или блокировкой действий и внешний IP-адрес. SWG позволяет блокировать определенные пользовательские действия в некоторых приложениях, например, загрузки файлов в Box и Dropbox, вложения в GMail и публикацию / разделение постов в Facebook и Twitter.

МУК ЭКСПО 2019 - поток Security Hub

Бернхард Кайзерер: «С помощью CESA клиенты могут понимать поведение конечных точек и отвечать на критические вопросы безопасности» 

Еще один важный компонент - облачный брандмауэр Umbrella. С его помощью регистрируется вся активность, а нежелательный трафик блокируется с использованием IP-адреса, порта и правил протокола. Для пересылки трафика нужно просто настроить туннель IPsec с любого сетевого устройства. Управление осуществляется с помощью панели мониторинга Umbrella, и по мере создания новых туннелей политики безопасности могут автоматически применяться для простой настройки и последовательного применения в среде компании.

Облачный брандмауэр Umbrella обеспечивает, в частности, такие функции, как видимость и контроль интернет-трафика через все порты и протоколы; поддержку туннеля IPsec для безопасной маршрутизации трафика в облачную инфраструктуру и автоматизированные журналы отчетности. Политики IP, портов и протоколов могут настраиваться в панели инструментов Umbrella.

Для эффективной защиты конечных точек нужна их глубокая видимость. Эту задачу решает система Cisco Endpoint Security Analytics (CESA), построенная на основе Splunk. Ее представил системный инженер по кибербезопасности Бернхард Кайзерер (Bernhard Kaiserer).

С помощью CESA клиенты могут понимать поведение конечных точек и отвечать на критические вопросы безопасности, используя данные телеметрии устройства, которые они не могут получить от любого другого агента безопасности, когда они находятся в сети или вне ее. CESA может быть развернута в качестве отдельной аналитической платформы Network Visibility Module (NVM) или добавлена в существующее развертывание Splunk. Продукт предназначен для анализа данных AnyConnect NVM, представления их пользователям для мониторинга. Теперь они могут понимать поведение конечных точек и отвечать на критические вопросы безопасности, используя телеметрические данные устройства. CESA сканирует журналы, метрики и другие данные и преобразует их в удобочитаемую форму. 

МУК ЭКСПО 2019 - поток Security Hub

Игорь Дьячков: «FortiManager является единым инструментом для управления сетью SD-WAN»

Модуль видимости сети AnyConnect - это единственная технология для мобильных устройств, которая создает данные IPFIX (экспорт информации потока IP) и предоставляет богатые данные о поведении пользователей, поэтому они могут увидеть, угрожают ли конечные точки их сотрудников безопасности вашей компании. Поведенческие данные, создаваемые NVM, дополняют агенты защиты от вредоносных программ, которые в основном фокусируются на анализе файлов, такие как Cisco Advanced Malware Protection (AMP) для конечных точек. Затем принимается телеметрия NVM и анализируется в CESA для рассмотрения случаев угрозы безопасности конечным точкам.

Технология SD-WAN получает все большее признание у корпораций. О решении от Fortinet рассказал менеджер по работе с ключевыми клиентами компании Игорь Дьячков.

Концепция SD-WAN пришла на смену традиционным подходам к построению корпоративных сетей. Она позволяет улучшить управляемость и снизить стоимость разворачивания сетей. SD-WAN характеризуется тем, что на программном уровне, зачастую автоматически, конечные устройства и центральные контроллеры сами выбирают, по какому каналу передавать тот или иной трафик от тех или иных приложений.

Распространенной в построении сетей является практика, при которой весь трафик и выход в Интернет для филиалов организуется через центральный офис. Какие здесь недостатки? Прежде всего повышаются требования к пропускной способности каналов, что вызывает необходимость постоянно ее увеличивать. Кроме того, не удается понизить стоимость эксплуатации такой сети. Поэтому многие построили параллельные каналы для работы с некритичным к задержкам и дрожаниям трафиком. Однако качество современных традиционных каналов стало таким, что по ним можно направлять оба типа трафиков.

Следующий логично напрашивающийся вопрос, зачем направлять трафик филиалов в центральный офис? Ответ – для того, чтобы его защитить. Однако эту проблему можно решить с помощью защищенной сети SD-WAN. Ее можно построить на основе устройства FortiGate.
Докладчик отметил, что все устройства FortiGate, от начального уровня до высокого, поддерживают SD-WAN. Примечательно, что начиная с модели FG 100e, вся обработка трафика выполняется не на уровне ЦП, а с помощью ASIC.

Для управления сетью служит единый инструмент FortiManager. Он имеет простой интерфейс, и, по оценке специалистов Fortinet, неподготовленный администратор может овладеть им за один день.
В свое время принятию облаков во многом препятствовали сомнения в их безопасности. Однако ситуация в этой области меняется, и сегодня безопасность облаком зачастую более высокая, чем локальной инфраструктуры заказчиков. О защите облачных инфраструктур IaaS и SaaS рассказала инженер по безопасности направления Check Point Ольга Куц из компании МУК.

Сегодня в большинстве случаев защита является реактивной, и хакеры идут на шаг впереди своих жертв. Методы атак меняются, и это уже угрозы пятого поколения: это целевые атаки, направленные на конкретные организации и конкретных пользователей.

Традиционная защита от таких атак уже не эффективна. Одной из причин является размытость периметра организаций. Все больше компаний мигрирует в облако. Необходима защита облачных ресурсов и данных. При этом нужно сохранить удобство управления гетерогенных облаков.

Для обеспечения безопасности инфраструктуры заказчиков в облаке Check Point предлагает решение семейства CloudGard как для частных, так и для публичных облаков.

Так, для защиты частных облаков предназначено семейство Private Cloud. Частные облака лежат в основе программно-определяемых ЦОД (SDDC). Там находятся те же физические серверы с межсоединениями типа точка—точка, то есть, они образуют ячеистую сеть. Ее можно виртуализовать с помощью оверлейной сети. Именно на таких сетях и разворачиваются сервисы. CloudGard Private включает тот же набор функций, который есть у аппаратной версии, начиная от традиционного брандмауэра, систем IDS/IPS и заканчивая защитой от угроз нулевого дня.

МУК ЭКСПО 2019 - поток Security Hub

Ольга Куц: «Безопасность в облаке – это совместная ответственность облачного провайдера и клиента»

При построении SDDC необходимо учитывать ряд ключевых методов обеспечения безопасности. Первый – это микросегментация и изоляция, которые защищают трафик внутри SDDC. Вторым является оркестрация и автоматизация управления ресурсами в облаке. Важны также видимость и анализ происходящий событий в SDDC.

В целом, Check Point CloudGard Private обеспечивает надлежащий уровень безопасности, автоматизацию, динамичность и унификацию управления.

Не нужно забывать, что безопасность в облаке – это совместная ответственность облачного провайдера и клиента. Провайдер отвечает за безопасность своих компонентов, но безопасность в IaaS пользовательских данных, приложений, сетевого трафика и ОС должен обеспечивать заказчик. Решение Check Point CloudGard IaaS может быть развернуто и в публичных облаках без ущерба функциональности.

Другое решение, Check Point CloudGard Public предназначено для защиты публичных облаков, таких как Amazon, Azure, GigaCloud. Для защиты облачных сервисов также необходимы средства типа SaaS. Check Point CloudGuard SaaS предотвращает целевые атаки на SaaS-приложения и базированную в облаке электронную почту, защищая корпоративные данные.

В заключение докладчик отметила, что решения Check Point полностью интегрируются с продуктами лидеров рынка.

В рамках выставки работала специализированная конференция MUK Cloud Hub, которая была посвящена новейшим продуктам и решениям в сфере облачных технологий. Доклады здесь охватывали такие темы, как современные бизнес-коммуникации, информационная безопасность облачных сервисов, данные, бизнес-аналитика и ИИ.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+22
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT