Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

26 января 2016 года в Самаре состоялся семинар компании Cisco по информационной безопасности.

Открыл мероприятие менеджер по развитию бизнеса Cisco в регионах Волга и ЮГ Аркадий Пыслару.

Проводил семинар один из лучших специалистов в этой области (и один из лучших докладчиков) заслуженный инженер-консультант Cisco Михаил Кадер.

Михаил сразу предупредил, что темы докладов – это только канва, а дальше – не то, чтобы «как пойдёт», но вопросы по ходу выступления и дискуссии только приветствуются. Так оно и проходило: мы были не пассивными слушателями, а участниками.

В выступлении все угрозы были условно разделены на два типа: когда бьют по площадям и когда нацеливаются на конкретную жертву. По площадям – это, как правило, блокировка компьютера и последующее вымогательство. Особенно эффективно это работает при шифровании данных: ОС, в конце концов, можно переустановить, а вот данные уже не вернуть, поэтому пользователи и готовы платить вымогателям. Как правило, это от $300 до $500: такую сумму большинство ещё может выложить, поэтому её и называют преступники. Эта тема подробно не обсуждалась, возможно, ввиду очевидности решения: использовать средства защиты, делать страховые копии и не лазить по помойкам. Честно говоря, мы в своей семье обходимся только тем, что встроено в Windows 10. Тем более что современные антивирусы способны остановить не более 60% атак, то есть панацеей их никак нельзя назвать.

Направленные угрозы сложнее и тоньше. Чаще всего злоумышленники не хотят выдавать своё проникновение, потому что их цель не нарушить работоспособность системы, а внедриться в неё и добывать конфиденциальную информацию. А DDoS-атаки осуществляются не для того, чтобы положить сервер, а чтобы под их прикрытием забраться в него и остаться там. Кстати, самая сильная из зарегистрированных DDoS-атак была 196 Гбит/с. Собственно, часто для того и заражаются клиентские машины, чтобы использовать их в качестве «солдат» для атак.

Относительно новые объекты атак – это то, что на русском не совсем удачно называется «интернет вещей» (IoT). Его подразделяют на две основные категории: умные производства (АСУ ТП) и умные дома. Повышенный интерес к информационной безопасности IoT очевиден: если нарушение функционирования чисто информационной среды вызовет в худшем случае простой в работе (касса не продаст билет, поисковик не ответит на запрос), то нарушение в работе физических объектов могут вызвать аварию, масштаб которой будет зависеть от масштаба самого объекта: взорвётся ли газовый котёл в коттедже или атомная электростанция. А обратной дороги нет: пользователь хочет дистанционно контролировать свой дом и управлять им. Что касается бизнеса, то последствия от перехвата злоумышленниками системы управления полётами весьма эффектно были показаны ещё в фильме «Крепкий орешек 2» – а в 1990 году степень автоматизации был совсем не такой, как сейчас.

Ещё одна «напасть» – социальные сети. Молодёжь, в том числе и талантливая, привыкла в них общаться и другой жизни уже не представляет. Запретить – потеряешь перспективных сотрудников, а разрешить – получить ещё один канал для проникновения зловредов.

Михаил отметил, что нельзя просто установить какой-то софт, безопасностью сети необходимо управлять. Если мы чем-то не управляем, значит, мы ничего об этом и не знаем.

Уже давно исчезло такое понятие как периметр сети предприятия. Сеть перестала быть локальной, сотрудники и партнёры заходят в неё из разных мест разными способами и с разных устройств. Поэтому на сегодняшний день одним из главных средств корпоративной безопасности стал продукт Cisco Identity Services Engine (ISE). Cisco ISE позволяет отследить кто, когда, с какого устройства, откуда географически вошёл в систему и предоставить клиенту соответствующие права доступа. Можно увидеть аномальные входы: например, сотрудник с нормированным рабочим днём вошёл во внеурочное время. Также регулируется уровень секретности: к некоторым данным доступ можно получить, только находясь в локальной сети офиса и только с компьютера. В конце концов, где гарантия, что главного бухгалтера не захватили пираты и он, находясь на отдыхе, не входит в систему под дулом пистолета?

Стопроцентной защиты Cisco ISE, как и все другие средства, не обеспечит, но значительную долю угроз отсечёт. Главное же, что Cisco ISE повышает эффективность работы сотрудников: теперь ко многим ресурсам компании они могут получать доступ из дома, находясь в отпуске или командировке, причём без ущерба для безопасности.

Если Cisco ISE представляет собой в значительной степени организационные меры (те же роли – контекста поболе), то платформа FirePOWER мониторит трафик в реальном времени и реагирует на возникающие угрозы. Платформа FirePOWER инсталлируется на устройства Cisco ASA, и дальнейшая работа будет определяться производительностью устройства.

FirePOWER сегодня – это:

  • самый популярный межсетевой экран с функцией контроля соединений;
  • система гранулярного мониторинга и контроля приложений;
  • система предотвращения вторжений;
  • фильтрация URL-адресов на основе репутации и классификации;
  • система Advanced Malware Protection с функцией ретроспективной защиты;
  • система управления уязвимостями и SIEM.

FirePOWER может интегрироваться с другими приложениями, например, с MaxPatrol от российской компании Positive Technologies. Гранулярность (избирательность) мониторинга хорошо проявляется при контроле над использованием социальных сетей. Например, можно разрешить пользователю читать и писать комментарии, но запретить скачивать оттуда что-либо, смотреть видео и вставлять в свои комментарии картинки.

Два продукта, ради которых Cisco покупала компанию IronPort: Cisco Web Security Appliance и Cisco Email Security Appliances. Как следует из названий, защищают от проникновения зловредов из интернета и из электронной почты. Интегрируется с российской системой InfoWath. Есть аппаратные и программные версии. Интересно, что лицензию на WSA компания Cisco даёт «под честное слово» – заказчик сам называет количество пользователей. Пока эта модель не подводила.

В настоящее время существуют две связанных между собой тенденции: переход с аппаратных версий на программные и переход с «пожизненных» лицензий на подписки.

Решение Cisco TrustSec защищает каналы передачи данных в коммутируемых средах с помощью стандарта шифрования IEEE 802.1AE и делает это на уровне порта коммутатора. Решение TrustSec также обеспечивает дополнительные сетевые сервисы на основе ролей, включая поддержку Медиасети Cisco и качество обслуживания для важных бизнес-приложений, связанных с конкретными ролями пользователей. В этом оно несколько похоже на FirePOWER, но это обычная история: Cisco активно покупает другие компании с их решениями, интегрирует, потом опять покупает… В результате общий объём интегрированных решений растёт, но всегда остаётся и то, что пока «недоинтегрировано».

Cysco AnyConnect – решение для защищённого удалённого доступа с мобильных устройств к корпоративным ресурсам и связи между филиалами.

Приобретение в 2015 году компании OpenDNS и интеграция её решений с AMP Thread Grid позволило воздвигнуть ещё один барьер на пути угроз. Посредством специального API-интерфейса глобальные возможности OpenDNS согласовываются с функциями AMP Threat Grid, обеспечивающими динамический анализ вредоносного кода и интеллектуальную обработку угроз.

Завершился семинар докладом «Финансовое обоснование решений по информационной безопасности».

Это о том, как объяснить руководителю, зачем оно надо и что оно даёт. Потому что организация информационной безопасности – это, конечно, затраты, такие же, как и стальная дверь и удобный надёжный замок. Но ведь всё можно перевернуть и показать, сколько убытков принесло бы отсутствие систем безопасности и сколько денег сберегли эти системы. И, разумеется, это правда. Потому что без развитых систем безопасности предприятия не могли бы себе позволить многие эффективные решения: BYOD, работу сотрудников из дома, в командировках. Хотя бы просто подсчитать время, затрачиваемое на дорогу и предположить, что часть этого времени сотрудник поработал бы дома в дополнение к 8-часовому рабочему дню. А ведь, если сотрудники не работают в офисе, значит, офис может занимать меньше площади – а это уже прямая экономия на арендной плате. В современных офисах у сотрудников часто нет постоянного рабочего места «со всеми удобствами» – чтобы коллеги или гости могли присесть рядом и что-то обсудить. Есть стандартный закуток (кубикл), где сотрудник может поработать на компьютере и переговорные комнаты – количество и того и другого при удалённой работе можно безболезненно сократить. Cisco, пойдя на такой шаг, выдала всем сотрудникам терминал видеоконференцсвязи, через который они из дома могли общаться с коллегами и партнёрами.

Ещё одна очевидная выгода от ИБ – защита от спама. Это и экономия времени на удалении ненужных писем, и отсутствие риска пропустить нужное и важное письмо. Наконец, это предотвращение заражения компьютера, что влечёт за собой лечение, а то и переустановку системы.

Управление из дома производственными процессами – это пока из области фантастики, но и здесь главная проблема в безопасности. Если когда-нибудь удастся добиться приемлемого уровня защищённости – почему бы и нет?

----

Львовские имена

Львовские имена. Статья Владислава Боярова. 22.08.2023 г.

Галопом по вычислительным Европам. Часть 6. Спецпроцессоры.

Галопом по вычислительным Европам. Часть 6. Спецпроцессоры. Часть 5. Память. Статья Ильи Вайцмана. 15.03.2023 г.

«Домашний компьютер». Конкурс в Самаре.

«Домашний компьютер». Конкурс в Самаре.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть третья, объединительная

Кому кризис, а кому окно возможностей

Кому кризис, а кому окно возможностей. Статья Владислава Боярова. 17.07.2023 г.