11 июня 2014 года в Москве менеджер компании Cisco по развитию бизнеса Алексей Лукацкий провел круглый стол для представителей СМИ, посвященный новому подходу компании к информационной безопасности.
По его словам, перед любой компанией стоят 3 основные задачи в области информационной безопасности (ИБ), которые предстоит решить. Первая – это активное изменение бизнес-моделей, как для руководства, так и для рядовых сотрудников компании.
Происходит это по причине активного внедрения облачных вычислений, появлению Всеобъемлющего Интернета и повсеместного распространения мобильности. В итоге это дает размытие классического понятия «периметра», который мы умели эффективно защищать, и в котором было несколько точек, через которые можно было выходить в Интернет.
Сегодня понятие «периметра» практически отсутствует, он проходит и через облака разного типа, и через мобильные устройства и через многое другое.
Компания Cisco давно уже сталкивается с этой ситуацией, поскольку 70 тысяч сотрудников, более 160 офисов по всему миру и самая активная работа с корпоративной сетью из произвольных мест. Поэтому мы не только предлагаем продукты для обеспечения информационной безопасности нашим заказчикам, но и стараемся решить свои собственные задачи безопасной работы.
Вторая проблема, которая стоит сегодня – это динамический ландшафт угроз. В феврале этого, 2014 г. Cisco опубликовала свой очередной отчет в области ИБ, в котором подводятся итоги ушедшего года и определяются прогнозы на год грядущий. Интересно, что каждые 4 секунды в мире появляется новая вредоносная программа. Средства защиты периметра сегодня должны реагировать на угрозы именно с такой скоростью, иначе говоря, иметь механизмы для подобной реакции. Еще одна проблема, связанная с этими угрозами состоит в том, что они становятся целенаправленными. Задача злоумышленника сегодня состоит не в том, чтобы охватить как можно больше жертв (как было несколько лет назад), а в том, чтобы как можно дольше оставаться незаметным. Злонамеренные программы пишутся направленно под конкретную компанию. Традиционные подходы в обнаружении таких угроз больше не срабатывают.
Известны случаи, когда подобные программы находились в компьютерах компании по 3-4 года, и за это время наружу утекло несколько терабайт данных. Средства защиты не могли их обнаружить, поскольку были разработаны для совершенно другого ландшафта угроз.
Третья задача, стоящая перед информационной безопасностью – это сложность и фрагментация средств защиты. Универсальных средств защиты нет, каждое из них разрабатывается против конкретных угроз. Возникает проблема управления этим «зоопарком» средств безопасности, и ситуация со временем будет только ухудшаться. Мы давно живем в ситуации, когда масса приложений расположены в облаке, а сотрудники пользуются ими со своих мобильных устройств, и это настоящий кошмар для тех, кто обеспечивает информационную безопасность. У компании Cisco по всему миру 430 облачных провайдеров, услугами которых она пользуется. Как защитить доступ к мобильным устройствам сотрудников?
Но и это еще не все. Впереди нас ждет Всеобъемлющий Интернет, что означает рост количества гаджетов, подключенных к Интернету – интеллектуальные очки, интеллектуальные часы и многое другое, в том числе кофеварки и игровые приставки. Ученые в Великобритании предложили способ подключения контактных линз к Интернету и даже обувных стелек и памперсов. К Интернету подключаются кардиостимуляторы, инсулиновые помпы и дозаторы таблеток. Пока по данным Cisco, к Интернету подключено 16-18 миллиардов устройств, через 4-5 лет это число вырастет до 50 миллиардов. А это не только новые возможности, но и новые угрозы. Пока нет разработанных средств защиты крошечных устройств, которые работают автоматически. Антивирус ведь на него не установишь, к тому же сегодня доля вирусов в общем объеме вредоносных программ не превышает одного процента. Основное количество угроз сегодня – это целевые, таргетированные под конкретные задачи угрозы.
Самое главное в этой ситуации – мы не знаем, что нас ждет завтра, поэтому и подходы к обеспечению безопасности должны меняться. Все чаще службы безопасности не знают, что произошло вторжение в их систему. В современных условиях компания Cisco не только производит продукты безопасности на продажу, но и старается защитить себя от угроз.
В прошлом году мы анонсировали новую модель безопасности, теперь не только используем ее самостоятельно, но и предлагаем клиентам. Мы не просто устанавливаем все возможные преграды на пути внешних угроз, но и смиряемся с мыслью, что некоторые угрозы могут проникнуть в систему компании. Сегодня никто не может гарантировать стопроцентной безопасности.
Наша модель обеспечения безопасности состоит из трех уровней – до проникновения, во время проникновения и после проникновения угрозы.
Все это реализуется на уровне сети, на уровне мобильных устройств, на уровне облачной инфраструктуры. Защита должна быть комплексной.
Но при этом возникают проблемы, связанные со сложностью такой системы, поскольку используется целый набор продуктов и технологий, которые к тому же реализуются на разных уровнях инфраструктуры.
На этапе «до появления угрозы» работают технологии идентификации, аутентификации и контроля доступа. На этапе появления угрозы используются технологии контентного анализа и предотвращения вторжений. На этапе «после» используются технологии выявления аномальной активности, а также новое решение, появившееся после приобретения компании Sourcefire – Advanced Malware Protection (AMT).
Кстати, когда говорится слово Firewall, надо понимать, что для обеспечения безопасности в компании Cisco используются 8 различных сетевых экранов.
Какие же три основных направления сегодня выделены при обеспечении единой системы безопасности в Cisco?
Первое – обеспечение максимальной видимости для ситуации в сети, потому что, не видя чего-то, мы не можем с этим бороться.
Второе – фокус на угрозы. Сегодня важно обнаруживать угрозы раньше, чем они появляются. Приходится разрабатывать методы борьбы с угрозами, которые еще не появились.
Третье – унификация платформы. Продуктов много, но все они построены по единым принципам, поэтому можно построить систему единого управления ими.
Обеспечить видимость вполне возможно, поскольку Cisco 30 лет занимается сетевыми решениями и прекрасно понимает, что происходит в сети. Этим знанием оснащаются все продукты безопасности Cisco. Сегодня уже нельзя делать защиту статической, она должны быть динамической с постоянным определением происходящих событий. Такой подход позволяет выстроить очень гибкую и специфическую для каждой компании политику обеспечения безопасности.
Одно дело, когда финансовый директор подключается к своему серверу с рабочего места, и совсем другое, когда он делает это в отпуске со своего планшета. Приходится обеспечивать безопасность доступа в обоих случаях. Эту задачу решают так называемые контекстные механизмы Cisco. Перед тем, как дать доступ «кому-то» «куда-то», надо четко определить все детали процесса. Уровень доступа может различаться в рабочие и нерабочие часы. Он может быть различным и для разных типов сетей.
К сожалению, стопроцентной безопасности сегодня обеспечить просто невозможно, поэтому необходимо в реальном времени вести запись обо всех событиях, происходящих в сети, и потом анализировать их более подробно без участия человека. Таким образом можно будет выявить пропущенные нарушения безопасности и определить их масштаб. Это – технология ретроспективного анализа безопасности, которая появилась в Cisco с приобретением компании SourceFire. С ее помощью выявляются узлы вторжения угроз и пути их распространения по сети.
Третья задача – унификация платформы. Ее предстоит унифицировать по трем направлениям. Первое – это сетевая безопасность, которая позволяет унифицировать подходы к выявлению угроз на уровне сети. Второе – это контроль стационарных и мобильных устройств. Третье – это облачная платформа, особенно при обращении компании к публичному облаку. В этом случае мы должны иметь возможность установить в облаке все наши традиционные средства обеспечения безопасности.
Важно подчеркнуть, что сегодня все наши средства обеспечения безопасности реализуются, как в виде аппаратного решения, так и виде программных и виртуальных решений. Заказчик сам определяет, в какой точке он хочет их установить. Разница – в форме исполнения, функциональность – одинакова.
В современном мире облачных, мобильных, социальных технологий и Всеобъемлющего Интернета заказчики, защищая свои важнейшие активы – данные, все время сталкиваются с новыми проблемами информационной безопасности. В связи с этим компания Cisco анонсировала услугу Managed Threat Defense – управляемое решение для информационной безопасности, которое использует средства прогнозной аналитики в режиме реального времени для обнаружения атак и защиты от усовершенствованного вредоносного кода в расширенных сетях клиентов.
В выпущенном в январе этого года ежегодном отчете Cisco по информационной безопасности упоминались результаты обследования сетей 30 крупнейших международных компаний. Во всех них был обнаружен трафик на сайты с вредоносным кодом. По мере того, как киберугрозы становятся все более изощренными, их нейтрализация в режиме реального времени становится все труднее. Во многих случаях проходят годы, прежде чем организации узнают о компрометации своих сетей. Проблема усугубляется еще и тем, что поиск хороших специалистов для эффективного обеспечения безопасности – задача не из простых. По оценке Cisco, в этом году в мире будет не хватать более 1 млн специалистов по информационной безопасности. Привлечение внештатных специалистов по ИБ поможет снизить издержки и позволит штатным сотрудникам сосредоточиться на решении других задач бизнеса.
Управляемая услуга Cisco для защиты от угроз представляет собой локально развертываемое решение, включающее аппаратно-программное обеспечение и средства аналитики для мониторинга сети, сбора данных и анализа угроз. В созданной компанией Cisco глобальной сети центров мониторинга и управления безопасностью (Security Operations Center, SOC) специалисты наблюдают за работой этого решения, предоставляют анализ по итогам реагирования на инциденты, выполняют процедуры эскалации, а также дают рекомендации по восстановлению работы.
Кроме того, Managed Threat Defense Service выполняет следующие функции:
- защищает от неизвестных атак, пропущенных антивирусным ПО, собирая потоковую телеметрическую информацию в режиме реального времени;
- с помощью системы Hadoop 2.0 задействует прогнозную аналитику, позволяющую обнаруживать паттерны, аномальные для уникального профиля сети каждого заказчика, и выявлять подозрительное поведение;
- определяет известные атаки и уязвимости, используя сигнатурный анализ и информацию об угрозах, получаемую как из общедоступных, так и из проприетарных баз данных Cisco по анализу угроз;
- обеспечивает отслеживание инцидентов и предоставление отчетов для абонентов этой услуги. Такой подход позволяет снизить операционные расходы, а также пользоваться постоянно развиваемыми возможностями Cisco в виде технологий, процессов и специалистов по информационной безопасности. К таким возможностям относятся, например, такие инновационные технологии безопасности Cisco, как:
o система Advanced Malware Protection для обнаружения вредоносного кода и исключения ненужных предупреждений,
o аппаратная платформа Sourcefire FirePOWER для обнаружения угроз,
o облачное предложение Cisco Cloud Web Security для фильтрации веб-трафика и трафика электронной почты.
Отвечая на запросы заказчиков на борьбу с атаками нулевого дня и целенаправленными атаками, компания Cisco расширила возможности системы Advanced Malware Protection (AMP) и решений для защиты центров обработки данных. Эти инновации, анонсированные 21 мая на ежегодной конференции CiscoLive!, охватывают весь набор продуктов Cisco для информационной безопасности, обеспечивая защиту от угроз в течение всего жизненного цикла атаки.
Обновления системы Cisco® Advanced Malware Protection делают ее первым решением, которое коррелирует данные индикаторов компрометации (IoC) между сетью и конечной точкой с помощью интегрированных средств защиты и общей системы аналитики. Это, в свою очередь, обеспечивает непрерывную и повсеместную защиту от самых современных угроз. Система AMP теперь поддерживает также Mac OSX и включает в себя отдельное устройство для частного облака — локальное решение для непрерывного анализа.
Помимо этого, Cisco усиливает защиту центров обработки данных и облачных систем благодаря усовершенствованиям лидирующего на рынке семейства межсетевых экранов ASA. Эти усовершенствования обеспечивают превосходную производительность, масштабируемость и гибкость, а также поддерживают новейшие решения для сред программно-определяемых сетей (SDN) и инфраструктур, ориентированных на приложения (Application Centric Infrastructure, ACI).
В одном из последних отчетов Security Value Map компании NSS Labs система AMP названа одним из лучших решений для обнаружения угроз, превосходящим конкурирующие продукты по показателям безопасности и экономичности. В отличие от других решений, которые просто обнаруживают вредоносный код на определенный момент времени, система AMP обеспечивает жесткое и непрерывное обнаружение и устранение угроз в расширенной сети, включая конечные точки, мобильные устройства, виртуальные системы, а также веб-шлюзы и шлюзы электронной почты.
Новые возможности в наборе продуктов AMP:
- AMP for Endpoints -- Delivering advanced analytics and correlation enhancements, AMP accelerates investigation of Indications of Compromise and file behavior, and prioritizes the top areas of a compromise that require the greatest attention. система AMP для конечных точек. Используя усовершенствованные средства аналитики и корреляции информации, система AMP ускоряет расследование индикаторов компрометации и поведения файлов, а также назначает приоритеты аспектам компрометации, требующим особого внимания. Новая функция гибкого поиска позволяет пользователям быстро сужать область атаки, а функция удаленного анализа файлов улучшает возможности ретроспективной защиты благодаря извлечению и хранению файлов для последующей оценки и анализа. Cisco также реализует поддержку AMP для конечных точек на базе операционной системы Mac OS X, помогая организациям защитить свои разнородные среды целиком.
- AMP Private Cloud Appliance -- For customers with high privacy requirements that restrict using a public cloud, the new on-premises AMP Private Cloud Appliance delivers comprehensive advanced malware protection using big data analytics, continuous analysis, and security intelligence stored locally. Устройство AMP для частных облаков. Заказчики со строгими требованиями к конфиденциальности, ограничивающими использование публичного облака, могут использовать новое локальное устройство AMP для частных облаков, позволяющее обеспечить комплексную защиту от современных угроз с помощью анализа больших данных, непрерывного анализа и локально хранимых средств анализа безопасности.
- AMP for Networks – High performance networks and requirements to accelerate time-to-detection are driving the need for optimized advanced malware protection on the network. Система AMP для сетей. Внедрение высокопроизводительных сетей и требования к сокращению времени обнаружения угрозы вынуждают компании прибегать к оптимизации решений защиты сети от вредоносного кода. С помощью новых механизмов обработки индикаторов компрометации из различных источников можно коррелировать события из разных решений и назначать им приоритеты, улучшая тем самым возможности анализа, а функция автоматического динамического анализа использует изолированную облачную среду для оценки файлов неизвестного характера в целях обеспечения более надежной защиты от неизвестных угроз. Пользователи также могут создавать настраиваемые профили обнаружения, чтобы немедленно блокировать файлы. Новая функция записи файла позволяет группам сохранять и извлекать файлы для дальнейшего анализа.
- New AMP FirePOWER Appliances -- For customers who need enhanced processing and storage, Cisco is now delivering two new dedicated AMP for Networks appliances: the FirePOWER AMP8150 with up to 2 Gbps of performance and the FirePOWER AMP7150 with up to 500 Mbps of performance. Новые устройства AMP FirePOWER. Заказчики, нуждающиеся в улучшенных возможностях обработки и хранения данных, могут воспользоваться двумя новыми устройствами Cisco AMP для сетей:
- FirePOWER AMP8150 со скоростью до 2 Гбит/с;
- FirePOWER AMP7150 со скоростью до 500 Мбит/с.
Улучшая защиту центров обработки данных и облачных систем для поддержки современных сред программно-определяемых сетей (SDN) инфраструктур, ориентированных на приложения (ACI), виртуальные устройства ASAv и обновленные межсетевые экраны ASA 5585-X Cisco обеспечивают также превосходную производительность, масштабируемость и гибкость. Эти продукты созданы для надежной защиты без снижения производительности центра обработки данных. Решения ASA, настраиваемые в считанные часы или даже минуты, обеспечивают гибкую масштабируемость, устраняют узкие места системы безопасности и встраивают средства защиты не только в периметр, но и в инфраструктуру интеллектуального центра обработки данных. Cisco также выпускает новую версию проверенной типовой архитектуры Cisco (CVD) для безопасного центра обработки данных, которая существенно упрощает надежное развертывание новых решений.
- New ASAv – A virtual appliance seamlessly integrating into the data center architecture, the ASAv helps ensure that security is never more than one hop away from critical applications featuring dynamic, on‐demand scalability within virtual environments, with ACI integration, without hypervisor or vSwitch limitations. Новое виртуальное устройство ASAv легко встраивается в архитектуру ЦОД, обеспечивая гарантированную защиту критичных приложений не далее одного перехода от них благодаря динамическому масштабированию по запросу в виртуальных средах и интеграции с инфраструктурой, ориентированной на приложения, без ограничений гипервизора или vSwitch. Кроме того, по сравнению с конкурентами виртуальное устройство ASAv обеспечивает самую высокую производительность в пересчете на пропускную способность и количество соединений в секунду.
- Enhanced ASA 5585-X Firewall -- Extremely high performance for traditional, SDN and ACI data center environments, along with superior scalability across both connections per second AND total connections, delivering up to 640 Gbps in a 16- node clustered configuration. Улучшенный межсетевой экран ASA 5585-X обеспечивает невероятно высокую производительность для традиционных сред, программно-определяемых сетей и инфраструктур, ориентированных на приложения, с превосходной масштабируемостью применительно как к количеству соединений в секунду, так и к общему количеству соединений (до 640 Гбит/с в конфигурации кластера с 16 узлами). Все это делает ASA 5585-X одним из самых быстрых аппаратных межсетевых экранов на рынке. Оно также предоставляет уникальные гибкие возможности развертывания, интегрируя виртуальную и физическую инфраструктуру безопасности в одном домене политик и управления.
- Проверенная типовая архитектура Cisco для безопасности ЦОД содержит передовые практики для планирования, проектирования, внедрения и использования полностью интегрированной архитектуры ЦОД с высоким уровнем безопасности, объединяя решения Cisco, Sourcefire и партнеров Cisco. Эта архитектура помогает пользователям расширить видимость и контроль в физических, виртуальных и облачных средах.