15 октября 2014 года компания Cisco провела в Самаре семинар по информационной безопасности. Согласно расписанию, семинар должен был проходить с 9:00 до 17:30, и вести его должен был один человек. Не то, чтобы я не верил в возможности заслуженного инженера Cisco Михаила Кадера, но было даже любопытно: как можно целый день говорить о безопасности так, чтобы это было интересно аудитории? Забегая вперёд, скажу, что материала не только хватило на целый день, но у меня ещё остались вопросы для интервью, которое Михаил любезно дал после окончания семинара. Соответственно, у него и на интервью хватило сил .
Необходимость в использовании средств безопасности определяется существованием опасности, поэтому начал Михаил с того, от чего следует защищаться. Здесь есть концептуальная сложность: если все другие возможности продуктов (быстродействие, время отклика, качество воспроизведения) пользователь может проверить на собственном опыте в реальных ситуациях, то с безопасностью совсем наоборот. Средства безопасности в идеале должны работать так, чтобы их никто не замечал, и можно только гадать (ну, пусть строить гипотезы), что было бы без них. Поэтому доклады по безопасности часто начинаются со страшилок, имеющих настолько ярко выраженный маркетинговый характер, что остальное уже воспринимается через задачу – продать.
Г-н Кадер сумел всего этого успешно избежать, поскольку весь семинар говорил о чисто технических вещах, имеющих универсальное значение, вне зависимости от того, какими именно конкретными продуктами будут решены те или иные проблемы.
Прежде всего, это изменение бизнес-моделей. Если раньше были компьютеры, находящиеся в локальной сети с фиксированным периметром, то сегодня мы видим разнообразные устройства, подключенные различными способами к разным ресурсам. Из этого в значительной мере следует динамический характер угроз, а также их сложность и фрагментированность. Ещё одно важное изменение: конечным объектом угроз становятся не устройства, а пользователи.
Некоторое время назад появился новый термин – всеобъемлющий интернет, в котором живут пользователи. То есть границы сетей исчезли, а требования к безопасности только выросли, поскольку выросла ИТ-зависимость.
Экстраполяция, конечно, не всегда бывает верной, но это не повод, чтобы от неё отказываться.
Также интересен график скорости взлома и устранения проблем, показывающий, что время действительно не на нашей стороне, и, как обычно – проще предотвратить, чем ликвидировать последствия.
Появился ещё один, совсем отдельный вид угрозы для деятельности организации – это проверки выполнения им государственных регламентов по безопасности. Как эта угроза связана с остальными – этот вопрос я оставил для интервью, поэтому не будем его здесь детально рассматривать.
Новая модель безопасности Cisco предусматривает как предотвращение нападения, так и борьбу с тем, что не удалось предотвратить, и, при необходимости, последующее залечивание ран. Поскольку все современные угрозы передаются по сети, а Cisco является крупнейшим поставщиком сетевых решений, то нет ничего удивительного в том, что и о защите передачи данных на разных участках сети Cisco знает больше других. Кроме того, очень важно отследить весь путь прохождения угрозы по сети, чтобы решить, где и как лучше всего её ликвидировать. Перечень одних только направлений, по которым Cisco разрабатывает свои решения безопасности, впечатляет.
Следует отметить, что в стратегии Cisco всегда присутствовал анализ всего лучшего, что существует на рынке с последующей покупкой и интеграцией . В разное время были приобретены компания Meraki, Sourcefire, и сегодня их продукты пополнили список решений Cisco.
В целом архитектура безопасности Cisco выглядит довольно сложно, но вполне адекватно характеру современных угроз, а главное – она соответствует архитектуре сетевого взаимодействия и полностью покрывает собственно сетевые решения не только компании Cisco, но и остальных вендоров.
Мозгом всей этой архитектуры является Cisco Security Intelligence Operation.
Это, по сути, координационный центр и огромная база знаний о текущем состоянии интернета и всех угрозах, которые там существуют.
Доля Cisco в решениях по информационной безопасности в России по разным источникам составляет от 22% до 27%, и работа ведётся по многим направлениям.
Некоторые сомнения вызывает, пожалуй, только проверка на отсутствие недокументированных возможностей. Любая ошибка, любая возможность взлома системы мало того, что не документирована производителем – он и сам о ней не знает. Знал бы, так исправил. Однако уязвимости или просто несовершенства системы, позволяющие злоумышленнику делать то, чего бы ни хотели её создатели, присутствуют в любом продукте. Говорить же об умышленно оставленных дырах ещё глупее, поскольку, если саму по себе недокументированную возможность ещё получится найти, то доказательства её умышленного происхождения уж точно не примет ни один суд. Но раз отсутствия того, что всегда присутствует, требует законодательство (привет бывшему нулевому промилле), то приходится и это писать. Ну, если сами же участвовали в разработке нормативных актов.
В следующем докладе Михаил подробно рассмотрел межсетевые экраны. Cisco продаёт большую номенклатуру МСЭ: как с аппаратными составляющими, так и без них. Понятное дело, что специализированное «железо» работает эффективнее универсального, однако и цена его выше.
Традиционно МСЭ фокусировались на приложениях, и при этом упускали из виду другие угрозы. Покупка компании Sourcefire и интеграция её решений добавило МСЭ интеллекта и эрудиции, теперь они уже не просто контролируют трафик, но учитывают массу параметров: кто, когда и из какого географического пункта отправил информацию. Например, если URL уже занесён в чёрный список, то незачем дожидаться очередной пакости, лучше сразу заблокировать передачу данных.
FirePOWER умеет распознавать российские приложения, что также можно использовать в правилах политики безопасности и включить в них уведомления служб (кадровой и/или ИТ) при попытке пользователя запустить «Одноклассников» или Skype. Можно делать и более тонкие настройки: например, разрешить разговоры по Skype, но блокировать передачу файлов.
И это только малая часть того, что оценивают межсетевые экраны. Например, появилось понятие репутации объекта – всё, как в обычной жизни. Образно говоря, из пограничников, которые проверяют документы, они превратились в аналитиков, оценивающих историю и многочисленные параметры путешественников. А почему вот эти 10 человек одинаково одеты, если они не команда и разгуливают по отдельности? А почему уже пятнадцатый человек подряд из одного города? То есть всё (или очень многое), что выходит за пределы обычного будет замечено и доведено до сведения кого следует. Если же прописаны процедуры действий в нелогичных и «странных» ситуациях – будут и сами действия.
Сама норма тоже определяется на основе статистики, при этом администратор может прописать и свои представления о норме.
Конечно, проводится и идентификация сигнатур, но это уже совсем классика, про которою можно только упомянуть.
Если коротко, то сила МСЭ нового поколения в комплексности анализа: результат даёт именно сопоставление множества различных параметров.
Отдельный доклад был посвящён обнаружению аномальной активности в сети.
Проблема в том, что трафик идёт не по единственному маршруту наружу или внутрь, да и сами понятия о том, что снаружи и что внутри, претерпели значительные изменения. Там где нет особых аппаратных устройств, учёт трафика осуществляется с помощью специального протокола Netflow, разработанного компанией Cisco и являющимся на сегодня фактическим стандартом.
Однако важна не просто констатация изменения трафика, нужен ещё и контекст.
В результате его добавления реализована возможность обнаружения целенаправленных угроз, активности ботнетов, проведения разведки, распространения Malware, утечек данных. В принципе, это всё та же идея: максимум информации о поведении сети для адекватного реагирования. В том числе такая относительно новая возможность, как обнаружение атак, не имеющих сигнатур. И, пожалуй, кульминация: объединение управления безопасностью и сетью, точнее, интеграция управления безопасностью в общее управление работой сети.
Консолидация и виртуализация ресурсов ЦОДов также привела к необходимости изменений средств безопасности.
При этом ЦОД, как и остальные сегменты сети, нельзя рассматривать в отрыве от его клиентов. Любую систему всегда важно сегментировать, поделить на герметичные отсеки так, чтобы одна пробоина не утопила всё судно. Дело осложняется тем, что различные приложения могут работать совместно в одной серверной корзине и передавать данные друг другу, не выходя за её пределы. А дальше будет ещё «хуже», и к этому надо быть готовым.
Сегодня трафик между ЦОДами составляет всего 7% - остальное, это трафик, условно называемый «восток-запад» (76%) и «север-юг» (17%).
Абсолютная величина трафика постоянно растёт. На это накладывается требование непрерывности работы, поэтому кластер Cisco ASA версии 9.0 имеет пропускную способность 640 Гбит/с и возможность обновления ПО без остановки сервиса.
Очевидно, что бороться с атакой одной виртуальной машины на другую, можно только в виртуальной среде, и, подобно тому, как для борьбы с бомбардировщиками появились истребители, созданы и специальные виртуальные защитные средства и методы.
Cisco eMail & Web security. Тот же многофакторный анализ, только применительно к отправителю писем.
В том числе репутация отправителя, подтверждённая третьей стороной. База знаний копируется на локальное устройство и обновляется каждые 3-5 минут без остановки сервиса. Проверка многоуровневая, по различным критериям с использованием разных алгоритмов.
Отдельно – анализ исходящей почты.
Примерно те же правила и для веб-страниц: репутация, происхождение, география, проверка содержимого. Для мобильных пользователей трафик перенаправляется на ближайший прокси-сервер, там проверяется. И уже потом попадает на клиентское устройство.
Принадлежащие сотрудникам клиентские устройства, с которых они подключаются к корпоративным ресурсам и выполняют производственные задачи, удостоились особо подробного рассмотрения. Вся эта история началась с того, что сотрудники без разрешения ИТ-службы начали использовать свои устройства на работе. Но самое плохое для ИТ-службы началось, когда собственные смартфоны захотели использовать топ-менеджеры, отказать которым было сложно. Творчески применив известный принцип о том, что если не можешь противостоять, нужно возглавить, ИТ-службы компаний провозгласили себя двигателями прогресса (что так и есть), а использование личных устройств – ими же придуманной концепции BYOD.
Однако повышенная уязвимость планшетов и смартфонов никуда не делась, и поэтому пришлось придумывать новые правила: разрешать доступ с этих устройств не ко всему, что доступно с корпоративных ноутбуков.
Эти правила были интегрированы в общие политики безопасности, и сегодня система обязательно проверяет, с какого устройства пользователь приходит в корпоративную сеть. Основным компонентом защиты сетей без границ сегодня является Cisco Trustsec.
Система содержит исчерпывающий список устройств, которые могут находиться в сети. Кроме того, весь трафик маркируется, и в дальнейшем обрабатывается в зависимости от маркировки.
В результате получается вот такая картина
Не удивительно, что такие возможности позволяют компании Cisco выполнять все требования безопасности российских регуляторов. А требований немало, их формулируют многие ведомства, и сегодня в российском законодательстве существует 65 видов тайн. Конечно, много вопросов по персональным данным, но здесь, похоже, ответов не знает никто. Однако Cisco умеет не только реально защищать данные, но и поможет аргументировано доказать контролирующим организациям, что данные надёжно защищены.