cisco secure borderless network

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 1/77

Сеть без границЧто движет современной ИБ

Алексей Лукацкий

Бизнес-консультант по безопасности


Тенденции угроз, бизнеса, регуляторов и ИТ

Сеть без границ(Borderless Network)

Дополнительная информация

О чем пойдет речь?


Что движет безопасностью?


Различные типы вредоносного ПО

Рост числа троянских коней, browser helper objects (BHO) и шпионского ПО –основная угроза современного мира


В Австралии была зарегистрирована

новая сеть ботнет psyb0t, заражающая

червем роутеры и DSL-модемы.

Было заражено уже более 100 тыс.

устройств

В банкоматах Росбанка,

Петрокоммерц и Бин-банка

обнаружен троян, ворующий

информацию о кредитных

карточках

Новые объекты для заражения

http://www.itc.ua/node/36895


CNN: Десятки миллионов ПК инфицированы и входят в состав различных ботнетов

http://www.cnn.com/2006/TECH/internet/01/31/furst/

Symantec Internet Security Report – Июнь ‘05

10,000+ новых зомби добавляется каждый день

Рост DoS-атак с 119 до 927 в день —рост на 679%

Большой % DDoS-атак создаются ради вымогательства

Рост ботнетов

http://www.cnn.com/2006/TECH/internet/01/31/furst/


Большинство провайдеров второго уровня и контент-провайдеров (85%) фиксируют атаки преимущественно на скоростях 500 Мбит/сек – 1 Гбит/сек.

Многие респонденты говорят в среднем о 10-ти и более атаках в месяц, которые нарушают доступность сетей клиентов (среднее число атак в месяц - 40)

Атак, которые влияют непосредственно на инфраструктуру провайдеров, стало меньше – в среднем 1-2 в месяц

Источник: Arbor Networks Worldwide ISP Security Report

Размер и частота DoS-атак


10 000 0000 зараженных компьютеров за одну неделю

Червь Conficker


Рост числа вредоносного ПОучаствующего в построение ботнетов и краже данных

# уникальных сигнатур в 2006: 972K

# уникальных сигнатур в 2007: 5.5M

Уникальные сигнатуры вредоносного ПО

500% рост за 12 месяцев


Утечки данных через E-mail и Web


230,441,730

Source: www.privacyrights.org

ОБЩЕЕ число записей, содержащих персональные данные в утечках, зафиксированных в США начиная с января 2005.

http://www.privacyrights.org/


100%-й рост спама


Спам угроза?

Фишинг

Фарминг

Мошенничество

SPLOG (spam over blog)

SPIT (spam over IP-telephony)

SMS vishing

Spear phishing


Спам нового поколения

Рост интеллекта

Целенаправленный

Скрытые email и web

Новые вектораатак, включая SMSvishing

Активноеиспользованиесоциальногоинжиниринга


Новый тип фишинга

В кампании «Spear-phishing» (точечный фишинг) участвует всего несколько получателей писем, но это и позволяет быть более сфокусированными и получать «лучший» эффект


Угрозы

Угрозы носят заказной и криминальный характер

Угрозы и криминалитет становятся быстрее, умнее & неуловимее

Точечные (даже лучшие в своем классе) решения не справляются в одиночку с ростом угроз

Заказчики не могут защищать свои ресурсы в режиме 24х7


Мобильность ипользователи

Мобильность и пользователи

ВзаимодействиеВиртуализацияСоответствиеПеревод CAPEXв OPEX

Взаимодействие СоответствиеВиртуализация

ИТ и ИБ


Регуляторы в области ИБ

ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБPCI

Council

Газпром-

серт

Энерго-

серт

РЖД

Рос-

стандарт


Пример: нефтяные компании

НККСИИ

ФЗ-152

ФСБ

Междуна-родные

требования

Газпром


Пример: банки

НКPCI DSS

ФЗ-152

ФСБ

СТО БР ИББС 1.0

Росинформ-технологии

Национальная платежная

система

Фин-Мониторинг


Сроки поджимают

Невыполнение многих нормативных актов влечет за собой наказание

Административное, уголовное или дисциплинарное

Удар по репутации, если об этом станет известно

Нормативное требование

Дата введения в действие

Дата начала наказаний

ФЗ-152 Январь 2007С момента вступления

Шестикнижие Февраль 2008 1 января 2011

СТО БР ИББС-1.0

Май (?) 2010 -

PCI DSS Январь 2005 1 октября 2010

ПП-957 Декабрь 2007С момента вступления

КСИИ (ФСТЭК) Май 2007 н/д

КТ (ФСТЭК) Декабрь 2006 -

СТР-К (ФСТЭК) Август 2002С момента вступления

(для госорганов)


Ужесточение нормативных требований

ФЗ «О персональных данных»

PCI DSS

СТО БР ИББС-1.0

Ключевые системы информационной инфраструктуры

ФЗ «О национальной платежной системе»

Электронные государственные услуги

И т.д.


Интересы бизнеса

Рост (доли рынка, маржинальности, доходности…)

Экспансия (новые рынки, новые целевые аудитории)

Рост продуктивности сотрудников

Соответствие требованиям

Инновации и новые бизнес-практики

Реинжиниринг бизнес-процессов

Взаимоотношения с клиентами (лояльность)

…


Сеть без границЭволюция подходаCisco


Традиционный периметр

Периметр

Филиал

Приложения и

данные

Офис

Политика

Хакеры ЗаказчикиПартнеры


Мобильность и взаимодействиерастворяют Интернет-периметр

Периметр

Филиал


данные

Офис

Политика

Хакеры Заказчики

Дом

Кафе

Аэропорт

Мобильный

пользователь Партнеры


Cloud Computing растворяетграницу ЦОД

Периметр

Филиал


данные

Офис

Политика

Хакеры

Дом

КафеЗаказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a ServiceX

as a ServiceSoftware

as a Service


Пользователи хотят вести бизнес без границ

Периметр

Филиал


данные

Офис

Политика

Хакеры

Дом

КафеЗаказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a ServiceX


as a Service


Bord

erle

ss

Data

Cente

r

3

Bord

erle

ss

Inte

rnet

2

Bord

erle

ss

End Z

ones

1

Концепция Cisco: cеть без границ

Политика

Периметр

Филиал


данные

Офис

Политика(Access Control, Acceptable Use, Malware, Data Security)4

Дом

ХакерыКафе

Заказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a ServiceX


as a Service


Один из сценариевУдаленный доступ


Работа происходит везде

В ДОРОГЕ (отели, аэропорты, бизнес-центры)

280 миллионов бизнес-поездок в год

Спад производительности >60–65%

ДОМА (teleworking)

137 миллионов надомных работников в 2003г.

40% надомных работников в США из крупных компаний и среднего бизнеса

НА РАБОТЕ(филиалы, отделения, партнеры)

E-business требует быстрых сетей

Филиал должен быть там где люди


Трансформация бизнеса

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2000 2005 2010

% работы, зависящей от

группового вклада

Работа в одиночку

В одно время в одном месте

В одно время в разных местах

В разное время в разных местах

Сотрудничество – драйвер роста

Взаимодействие с другими, но не лицом к лицу

Рост продуктивности невозможен без поддержки этой тенденции


Умная маршрутизация трафика оконечных устройств

Элемент 1: Borderless End Zone

Постоянное соединение

Всегда на связи,

определение места

Автоматическое

определение Head-End

IPsec , SSL VPN, DTLS

Расширенная

безопасность

Строгая аутентификация

Быстрая, надежная защита

Контроль политики

Широкое покрытие

Большинство ОС и

протоколов

Windows Mobile

Apple iPhone


Мобильный ИнтернетНовый большой виток вычислений

МобильныйИнтернет

Вычисления2000-х

Интернет+ПКВычисления

1990-х

ПКВычисления

1980-х

МиниВычисления

1960-х

МейнфреймВычиления

1950-х


Всеобщая мобилизация

Пользователи (особенно руководство) хотят получать доступ к корпоративным ресурсам даже с мобильных устройств

Пользователи хотят выбирать мобильные устройства самостоятельно

Спектр выбираемых устройств очень широк

ОС: iPhone, Windows Mobile, Symbian, BlackBerry

Платформа: iPhone, Nokia, HTC, LG, Samsung, BlackBerry

Адекватных средств защиты для мобильных устройств не так много


Вы там, где офис офис там, где Вы?

Сидя в парке

Кейптаун, ЮАР

В кафе

Сидней, Австралия

В офисе

Сан Хосе, Калифорния

Всегда под защитой


ЦОД

CVO

IOS VPN

Предпочтительно AnyConnect

Мобильный пользователь

Штаб-квартира

CVO = Cisco Virtual Office

Доверенная сеть с

помощью CVO и ISR G2 до

дома и филиала

Конвергентная

VPN: IOS VPN

или Cisco ASA

(IPsec и SSL)

Решение Cisco Virtual OfficeОптимальный сценарий удаленного доступа

ISR G2

ASA

Интернет

2G/3G

Wi-FiWired


CCP NetFlow IP SLAРолевой доступ

Управление и контроль состояния

Защищенные сетевые решения

Защищенная голосовая связь

Нормативное соответствие

Защищенная мобильность

Непрерывное ведение бизнеса

Контроль доступак сети

Предотвращение вторжений

Интегрированное управление угрозами

Фильтрация контента 802.1x

Система защиты

основания сети

Гибкие функции

сравнения пакетов (FPM)

011111101010101011111101010101

Защищенные каналы связи

GET VPN DMVPN Easy VPN SSL VPN

Усовершенствован-ный межсетевой

экран

Хороший маршрутизатор хорошей компанииЧто еще нужно чтобы встретить старость ;-)

Cisco ISR G2


Компаниями Cisco Systems и С-Терра СиЭсПи разработан VPN-модуль NME-RVPN, поддерживающий российские криптоалгоритмы

Поддержка Cisco ISR 2800, 2900, 3800 и 3900

Поддержка всей линейки VPN-решений компании S-Terra CSP

Развитием данного модуля является решение NME-RVPN ViPNet, разработанное совместно с компанией Инфотекс

Поддержка сертифицированного ФСБ ПО ViPNet для организации VPN

Cisco и S-Terra CSP / ИнфоТеКС

http://www.infotecs.ru/

http://www.s-terra.com/


Компаниями Cisco Systems и Лабораторией Касперского создан модуль «антивирус + антиспам» для маршрутизаторов Cisco

Поддержка маршрутизаторовCisco ISR 1800, 1900, 2800, 2900,3800, 3900, а также 800 Series

Форм-фактор

AXP-NME

AXP-AIM

Cisco + Лаборатория Касперского


Всегда под защитой

Традиционная VPN

Защищенный Незащищенный

Cisco Borderless Network Security


Защита мобильных пользователейВыбор реализации: облако или на предприятии

News Email

Social Networking Enterprise SaaS

Cisco Web Security Appliance

Обмен информацией между ASA и WSA

Corporate AD

ASAAnyConnect

Как угодно+(Переход к AnyConnect)

Факт: Мобильные пользователи только 17% времени в Интернет проводят в

VPN. Как контролировать 83% оставшегося времени?

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Совместноерешение

Облачная безопасность Cisco

Защита ПК

«Движки» контроля

Интеграция в сеть

Identity

Защита от угроз

Специальная платформа

Глобальное представление

Хостинг

Защита от новых угроз

Ориентация на SP

Усиление стратегии Cisco в области безопасности

Надежная защита Расширенноесканирование

Гибридное SaaS «Умные» политики


Ядро ScanSafe

1 млрд. Web-запросов в день

28М уникальных JavaScript в день

560К уникальных PDF в день

244 уникальных ShockWave в день

2 антивирусных движка (Symantec+ЛК)

False Positive \ False Negative rate < 0,0004%

Гарантированная доступность – 99,999%


КонтрольдоступаУправлениесервисами и

приложениями

ДопустимоеиспользованиеФильтрация контента, управление контентом

Защитаданных

Защита информации и доступа

Защита от угроз

Противодействие ВПО и атакам

Модули обеспечения безопасности

Платформы

Управляемая

На объекте, полностью

управляемая

"Облако"SaaS-

инфраструктура на базе "облака"

ГибриднаяСочетание решений

на объекте и в "облаке"

ПО VM

Образы VM на объекте заказчика

Устройства

Выделенные устройства на

объекте заказчика

Безопасность любого подключения


Расширенный анализ трафика

Анализ приложений

Анализ сигнатур

Криптоанализ

Лексический анализ

Анализ контекста

Единые механизмы анализа для разного трафика

Web-трафик Email-трафик

Сетевой трафик


Identity ПриложенияJob Sites

Instant Message

P2P

Streaming Media

Human Resource

No FileTransfer

Все

100 kbps/User

Email Карантин

Устройство Место

Объект Приоритет

Понимание контекста


HTTP – это новый TCP

Instant Messaging

Peer to Peer

File Transfer

Protocol

Понимание Web-трафика48


Расширенный анализ контента

49

Номер паспорта

или ИНН

Обнаружено

совпадение

Совпадение уникальных правил

Обнаружение

совпадение

Определение

имени


App

Server

Database

Server

Web

Server

Физическое устройство

Virtual Contexts

App

Server

Database

Server

Web

Server

Hypervisor

Физическое устройство

Virtual ContextsVIRTUAL SECURITY

App

Server

Database

Server

Web

Server

Hypervisor

Подключение физических устройств к VM через специальные архитектуры

2Защищенная физическая инфраструктура

1Встроенная безопасность в свитчи виртуализации

3

Service Chaining

Элемент 3: Виртуализация, ЦОД и ИБ


Кто? Что? Когда? Откуда? Как?

3Политики на периметре, на устройствах, на XaaS

2Динамические политики

1Политики доступа

Элемент 4: Полный, но прозрачный контроль на основе политик


Вопросы доступа в современных сетях

Авторизованный доступ

Кто в моей сети?

Могу я управлять рисками ПК в своей сети?

Общие правила доступа когда я в сети, дома или в дороге?

ПК соответствуют политике?

Гостевой доступ

Могу я дать гостям доступ только к Интернет?

Как управлять гостевым доступом?

Они могут работать через Wi-Fi или Wired?

Как мониторитьактивности гостей?

Неуправляемые устройства

Как отслеживать неуправляемые устройства?

Как определить что они делают?

Могу я контролировать их доступ?

Политика доступа


Авторизация (контроль доступа)

Другие условияИнформация о пользователях

Other Conditions

+Группа:

Контрактник

Группа:

Сотрудник

Группа:

Гость

Аутентификация и авторизация

Полный доступ

Ограничения доступа

Гость/Internet

Запрет доступа

Карантин

Время и дата

Тип доступа

МестоСтатус

Контроль иотчетность


Есть и другие сценарииАрхитектурный подход


«Технологические» проблемы…

Отсутствие стандартизации и унификации технологий, продуктов, методов и подходов

Рост операционных затрат

Сложность поддержки и интеграции

Повтор и избыточность

Не путать с резервированием

Нехватка ресурсо-затрат

Упущения неочевидных вещей

Отсутствие планов развития

Нехватка гибкости и адаптивности к новым требования


…приводят к глобальным проблемам…

Финансирование по остаточному принципу

Неудовлетворенность пользователей, снижение их продуктивности и рост цены их поддержки

Потенциальные наезды со стороны регуляторов

Неэффективность ИБ в виду забывчивости в отношении некоторых направлений бизнеса

Несогласованность отделов

Дизайн и архитектура

• 1Х

Внедрение

• 5Х

Тесты интеграции

• 10Х

Бета-тестирование

• 15Х

Боевой запуск

• 30Х


Принципы построения защищенной сети

Принципы ИТ

• Модульность /поэтапность

• Снижение TCO

• Стандартизация / унификация

• Гибкость

• Надежность

• Поддержка новых проектов

• Адаптивность / автоматизация

• Масштабируемость

Принципы ИБ

• Безопасность как свойство, а не опция

• Цель – любое устройство, сегмент, приложение

• Эшелонированная оборона

• Независимость модулей

• Двойной контроль

• Интеграция в инфраструктуру

• Соответствие требованиям


Фрагмент дизайна – Интернет-периметрУровень БлокАгрегация

функций

Отказоустойчивость и резервирование

Разделениефункций

Лучшие в отрасли

Модуль


ПартнерWAN

WAN

Internet

Internet

E-Commerce

Ядро

Офисная сеть

ЦОД

Центр управления сетью

Cisco Virtual Office

Удаленный пользователь

Филиал / отделение

SiSi

SiSi SiSi

SiSi

SiSi

SiSi

SiSi

SiSi

SiSi

Архитектура защищенной сети

SensorBase


SAFE в современной сети

Data

CenterCampus

WAN

EdgeBranch

Internet

Edge

E-comm-

erce

Cisco

Teleworker

Virtual

User

Partner

Sites

Сервисы

Policy and

Device

Manageme

nt

Решения по ИБ PCI

DLP

Threat Control

Сетевые устройства Routers

Servers

Switches

Identify

Monitor

Correlate

Harden

Isolate

Enforce

Видимость Контроль

Secured Mobility, Unified Communications, Network Virtualization

Network Foundation Protection

Устройства ИБ VPNs

Monitoring

Admission Control

Intrusion Prevention

Firewall

Email Filtering


Вертикальные архитектурыРешение Cisco для СТО БР ИББС-1.0

Примечание! Отображена реализация не всех элементов

Сервер

процессинга

Допофис / отделение Периметр Интернет

ISRCatalyst

ASA

6500FWSM

CS-MARS

NAC

Главныйофис

6500 Switch

WAP

Интернет-банк

ASA

7200

NCM

WAP

POS-терминалМобильный

POS

Киоск

ПК

банковского

работника

Блок управления

ЦОД

ACS

WAP

Internet

Беспроводноеустройство

CSM

ASA

Процессинг

ПлатежныйсегментATM


Вертикальные архитектурыРешение Cisco для PCI DSS

Примечание! Отображена реализация не всех требований

Credit Card

Storage

(PCI 1,3,5,6,7)

Удаленная площадка Периметр Интернет

ISR(PCI 4)

Catalyst

ASA(PCI 1,4)

6500FWSM

CS-MARS(PCI 10)

NAC

Главныйофис

6500 Switch

WAP

E-commerce (PCI 1,3,5,6,7)

ASA(PCI 1,4)

7200

CSA MC(PCI 10,12)

WAP

POS Cash Register

(PCI 1,3,5,6,7)Мобильный

POS POS сервер

(PCI 1,3,5,6,7)

ПК

магазинного

работника

(PCI 1,3,5,6,7)

Блок управления

ЦОД

ACS(PCI 2, 10,12)

WAP

Internet

Беспроводноеустройство

CSM(PCI 10,12)

ASA

http://cgl.microsoft.com/clipgallerylive/packages/j008/j0082705.cil


Вертикальные архитектурыРешение Cisco для АСУ ТП (SCADA)

Уровень 5SiSiSiSiSiSi

SiSiSiSiSiSiКорпоративная

ЛВС

LAN/WAN

Internet/

Intranet/

ТФОП/WAN

Уровень 2

Уровень 0

Уровень 1

Уровень 3

Уровень 4

DMZ

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63


Соответствие решений Cisco требованиям по безопасности


Блиц-анализ технических требований

•Разграничение доступа (+ управление потоками)

•Идентификация / аутентификация

•Межсетевое взаимодействие

•Регистрация действий

•Учет и маркировка носителей (+ очистка памяти)

•Документальное сопровождение

•Физический доступ

•Контроль целостности

•Тестирование безопасности

•Сигнализация и реагирование

•Контроль целостности

•Защита каналов связи

•Обнаружение вторжений

•Антивирусная защита

•BCP

•Защита от утечки по техническим каналам

Общие

•Защита специфичных процессов (биллинг, АБС, PCI…)

•Защита приложений (Web, СУБД…)

•Нестандартные механизмы (ловушки, стеганография)Специфичные


Что Cisco может обеспечить?

Все (почти) технические требования мы можем выполнить

Вплоть до мандатного разграничения доступа

ПДн СТР-К КСИИPCI DSS

СТО БРИББС

На базе одних и тех же решений!


450+ сертификатов ФСТЭК

Сертификация одиночных образцов, партий и производства

Тесное взаимодействие с ФСБ по линии шифрования

Соответствие требованиям по ПДн, КСИИ, СТР-К, СТО БР ИББС, ISO 2700x, COBIT, ITIL, PCI DSS

Сертификация по НДВ (закладки)

Соответствие требованиям по ИБ

Сертификация по РД, ТУ, ГОСТ Р ИСО 15408, Минкомсвязь


Сертификация производства

МСЭ

Cisco Pix 501, 506, 515, 525, 535

Cisco FWSM

Cisco ISR 1800, 2800, 3800

Cisco ISR 1700, 2600, 3600, 3700

Cisco 7200, 7300, 7500, 7600 Router

Многофункциональные средства защиты

Cisco ASA 5510, 5520, 5540

Cisco ASA 5505

Коммутаторы

Catalyst 2960

Catalyst 2970, 3550, 3560, 45xx, 65xx

IPS

Cisco IPS 4200


Что еще сертифицировано?

Cisco Security Agent

Cisco IDSM

Catalyst 2950, 3560, 3750, 40xx, 60xx

Cisco GSR

Cisco MARS

Cisco Security Manager

Список всех сертифицированных продуктов можно найти на портале my.cisco.ru или сайте www.cisco.ru

© 2005 Cisco Systems, Inc. All rights reserved.


Заключение


Повестка дня CISO сегодня

Учет регулятивных требований (баланс рисков выполнения/невыполнения)

Выбор стратегии защиты широкого спектра мобильных устройств и удаленного доступа

Фокус смещается на прикладной уровень

Анализ рисков «облачных вычислений»

Разработка и подписание Security SLA

Контроль исполнения Security SLA

Vendor Relations Management

Бизнес-обоснование


сеть – это платформа для реализации поставленных бизнес-целей защищенным образом в соответствие с требованиями регуляторов

=

NEW PHOTO

Лидер в области безопасности

39% мирового рынка ИБ,

21% российского рынка ИБ


Дополнительная информация


Новые документы

Каталог продуктов по ИБ (8-е издание)

WP «Решения Cisco для защиты персональных данных»

WP «Решения Cisco для СТО БР ИББС-1.0-2008»

WP «Стратегия и архитектура Cisco в области ИБ»

WP «Информационная безопасность в условиях кризиса. Рекомендации Cisco»

FAQ по использованию шифрования в продукции Cisco

И многое другое на my.cisco.ru


Онлайн-ресурсы Cisco по ИБ

Cisco Security Center

http://www.cisco.com/security

PCI Compliance Advisor

http://www.pcicomplianceadvisor.com/

Security Business Advisor

http://www.securitybusinessadvisor.com/

Security Solution Designer

http://www.ciscowebtools.com/designer/

Cisco SenderBase

http://www.senderbase.org/


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 (495) 961-1410

cisco secure borderless network

Technology