Cisco Secure Borderless Network

Сеть без границ
Что движет современной
ИБ

Алексей Лукацкий
Бизнес-консультант по безопасности

Security Trends © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1/77

О чем пойдет речь?

Тенденции угроз, бизнеса,
регуляторов и ИТ

(Borderless Network)

Дополнительная информация


Что движет
безопасностью?


Различные типы вредоносного ПО
 Рост числа троянских коней, browser
helper objects (BHO) и шпионского ПО –
основная угроза современного мира


Новые объекты для заражения

В банкоматах Росбанка, В Австралии была зарегистрирована
Петрокоммерц и Бин-банка новая сеть ботнет psyb0t, заражающая
обнаружен троян, ворующий червем роутеры и DSL-модемы.
информацию о кредитных Было заражено уже более 100 тыс.
карточках устройств


Рост ботнетов
 10,000+ новых
зомби добавляется
каждый день
 Рост DoS-атак с 119
до 927 в день —
рост на 679%
 Большой % DDoS-
атак создаются ради
вымогательства
Symantec Internet Security
Report – Июнь ‘05

CNN: Десятки миллионов ПК инфицированы и входят в
состав различных ботнетов
http://www.cnn.com/2006/TECH/internet/01/31/furst/


Размер и частота DoS-атак

 Большинство провайдеров второго уровня и контент-провайдеров
(85%) фиксируют атаки преимущественно на скоростях 500 Мбит/сек
– 1 Гбит/сек.
 Многие респонденты говорят в среднем о 10-ти и более атаках в
месяц, которые нарушают доступность сетей клиентов (среднее
число атак в месяц - 40)
 Атак, которые влияют непосредственно на инфраструктуру
провайдеров, стало меньше – в среднем 1-2 в месяц

Источник: Arbor Networks Worldwide ISP Security Report

Червь Conficker

10 000 0000 зараженных компьютеров за одну неделю

Рост числа вредоносного ПО
участвующего в построение ботнетов и краже данных

Уникальные сигнатуры вредоносного ПО

# уникальных сигнатур в 2006: 972K
# уникальных сигнатур в 2007: 5.5M 500% рост за 12 месяцев


Утечки данных через E-mail и Web


230,441,730
ОБЩЕЕ число записей, содержащих персональные данные
в утечках, зафиксированных в США начиная с января 2005.

Source: www.privacyrights.org


100%-й рост спама


Спам  угроза?

 Фишинг
 Фарминг
 Мошенничество
 SPLOG (spam over blog)
 SPIT (spam over IP-
telephony)
 SMS vishing
 Spear phishing


Спам нового поколения
 Рост интеллекта
Целенаправленный
Скрытые email и web

 Новые вектора
атак, включая SMS
vishing
 Активное
использование
социального
инжиниринга


Новый тип фишинга
 В кампании «Spear-phishing» (точечный фишинг)
участвует всего несколько получателей писем, но
это и позволяет быть более сфокусированными и
получать «лучший» эффект


Угрозы
 Угрозы носят заказной и
криминальный характер
 Угрозы и криминалитет
становятся быстрее,
умнее & неуловимее
 Точечные (даже лучшие
в своем классе)
решения не
справляются в одиночку
с ростом угроз
 Заказчики не могут
защищать свои ресурсы
в режиме 24х7


ИТ и ИБ

Перевод CAPEX
Мобильность и
Соответствие
Взаимодействие
Виртуализация
в OPEX
пользователи

Мобильность и Взаимодействие Виртуализация Соответствие
пользователи
Security Trends © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17
17/77

Регуляторы в области ИБ

Газпром- ФСТЭК РЖД
серт

ФСО ФСБ

PCI
ЦБ ИБ Council

Минком-
СВР
связь

Рос-
Энерго-
МО стандарт
серт


Пример: нефтяные компании

ФСБ
Междуна-
ФЗ-152 родные
требования

КСИИ
НК Газпром


Пример: банки

СТО БР ИББС
1.0
Росинформ-
ФСБ
технологии

Национальная
ФЗ-152 платежная
система

PCI DSS
НК Фин-
Мониторинг


Сроки поджимают
Дата
 Невыполнение Нормативное
введения в
Дата начала
требование наказаний
многих действие

нормативных актов ФЗ-152 Январь 2007
С момента
вступления
влечет за собой
Шестикнижие Февраль 2008 1 января 2011
наказание
СТО БР ИББС-
Май (?) 2010
 Административное,
-
1.0

уголовное или PCI DSS Январь 2005 1 октября 2010

дисциплинарное С момента
ПП-957 Декабрь 2007
вступления
 Удар по репутации,
КСИИ (ФСТЭК) Май 2007 н/д
если об этом станет
известно КТ (ФСТЭК) Декабрь 2006 -

С момента
СТР-К (ФСТЭК) Август 2002 вступления
(для госорганов)


Ужесточение нормативных требований
 ФЗ «О персональных
данных»
 PCI DSS
 СТО БР ИББС-1.0
 Ключевые системы
информационной
инфраструктуры
 ФЗ «О национальной
платежной системе»
 Электронные
государственные услуги
 И т.д.

Интересы бизнеса

 Рост (доли рынка, маржинальности, доходности…)
 Экспансия (новые рынки, новые целевые аудитории)
 Рост продуктивности сотрудников
 Соответствие требованиям
 Инновации и новые бизнес-практики
 Реинжиниринг бизнес-процессов
 Взаимоотношения с клиентами (лояльность)
…


Эволюция подходаCisco


Традиционный периметр

Политика
Периметр
Приложения и
данные

Офис

Филиал

Хакеры Партнеры Заказчики


Мобильность и взаимодействие
растворяют Интернет-периметр

Политика
Периметр
данные

Офис

Филиал

Дом
Аэропорт

Мобильный Кафе
пользователь Хакеры Партнеры Заказчики


Cloud Computing растворяет
границу ЦОД

Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service

Офис

Филиал

Дом
Аэропорт



Пользователи хотят вести бизнес без
границ

Политика
Приложения и as a Service as a Service
Software X
as a Service

Офис

Филиал

Дом
Аэропорт



Концепция Cisco: cеть без границ
Политика
Политика 4 (Access Control, Acceptable Use, Malware, Data Security)

Data Center
Borderless
Software
as a Service as a Service
X
3
as a Service

Офис

Borderless
Internet
2

Филиал

End Zones
Borderless
Дом
Аэропорт
1


Один из сценариев
Удаленный доступ


Работа происходит везде

 В ДОРОГЕ
(отели, аэропорты, бизнес-центры)
280 миллионов бизнес-поездок в год
Спад производительности >60–65%
 ДОМА (teleworking)
137 миллионов надомных работников в 2003г.
40% надомных работников в США из крупных
компаний и среднего бизнеса
 НА РАБОТЕ
(филиалы, отделения, партнеры)
E-business требует быстрых сетей
Филиал должен быть там где люди


Трансформация бизнеса
100%
90% В разное время в разных местах
80% В одно время в разных местах
70%
60% В одно время в одном месте
50%
Работа в одиночку
40%
30% % работы, зависящей от
20% группового вклада
10%
0%
2000 2005 2010

 Сотрудничество – драйвер роста
 Взаимодействие с другими, но не лицом к лицу
 Рост продуктивности невозможен без поддержки этой
тенденции


Элемент 1: Borderless End Zone
Умная маршрутизация трафика оконечных устройств

Широкое покрытие Постоянное соединение Расширенная
безопасность
Большинство ОС и Всегда на связи,
протоколов определение места
Строгая аутентификация
Windows Mobile Автоматическое
Быстрая, надежная защита
определение Head-End
Apple iPhone
Контроль политики
IPsec , SSL VPN, DTLS


Мобильный Интернет
Новый большой виток вычислений

Мобильный
Мейнфрейм Мини ПК Интернет+ПК Интернет
Вычиления Вычисления Вычисления Вычисления Вычисления
1950-х 1960-х 1980-х 1990-х 2000-х


Всеобщая мобилизация

 Пользователи (особенно руководство)
хотят получать доступ к корпоративным
ресурсам даже с мобильных устройств
 Пользователи хотят выбирать
мобильные устройства самостоятельно
 Спектр выбираемых устройств очень
широк
ОС: iPhone, Windows Mobile, Symbian,
BlackBerry
Платформа: iPhone, Nokia, HTC, LG,
Samsung, BlackBerry

 Адекватных средств защиты для
мобильных устройств не так много

Вы там, где офис  офис там, где Вы?
Всегда под защитой

В офисе Сидя в парке В кафе

Кейптаун, ЮАР Сидней, Австралия

Сан Хосе, Калифорния


Решение Cisco Virtual Office
Оптимальный сценарий удаленного доступа

Мобильный
пользователь
Доверенная сеть с
помощью CVO и ISR G2 до
дома и филиала
Предпочтительно
AnyConnect

ISR G2
CVO 2G/3G

Интернет
Wi-Fi
Wired

Конвергентная Штаб-
квартира
VPN: IOS VPN
ASA
или Cisco ASA IOS VPN
(IPsec и SSL)
CVO = Cisco Virtual Office
ЦОД


Хороший маршрутизатор хорошей
компании
Что еще нужно чтобы встретить старость ;-)
Cisco ISR G2

Защищенные сетевые решения

Непрерывное Защищенная Защищенная Нормативное
ведение бизнеса голосовая связь мобильность соответствие

Интегрированное управление угрозами

011111101010101

Усовершенствован- Фильтрация Предотвращение Гибкие Контроль Система
ный межсетевой контента вторжений функции доступа 802.1x защиты
экран сравнения к сети основания сети
пакетов (FPM)

Защищенные каналы связи Управление и контроль состояния

Ролевой
GET VPN DMVPN Easy VPN SSL VPN CCP доступ NetFlow IP SLA


Cisco и S-Terra CSP / ИнфоТеКС

 Компаниями Cisco Systems и С-
Терра СиЭсПи разработан VPN- http://www.s-terra.com/
модуль NME-RVPN,
поддерживающий российские
криптоалгоритмы
Поддержка Cisco ISR 2800, 2900,
3800 и 3900
Поддержка всей линейки VPN-
решений компании S-Terra CSP
 Развитием данного модуля является
решение NME-RVPN ViPNet,
разработанное совместно с
компанией Инфотекс
Поддержка сертифицированного
http://www.infotecs.ru/
ФСБ ПО ViPNet для организации VPN


Cisco + Лаборатория Касперского

 Компаниями Cisco Systems и
Лабораторией Касперского
создан модуль «антивирус +
антиспам» для
маршрутизаторов Cisco
Поддержка маршрутизаторов
Cisco ISR 1800, 1900, 2800, 2900,
3800, 3900, а также 800 Series
 Форм-фактор
AXP-NME
AXP-AIM


Всегда под защитой

Традиционная VPN
Cisco Borderless Network Security

Защищенный Незащищенный


Защита мобильных пользователей
Выбор реализации: облако или на предприятии

Как угодно+
(Переход к AnyConnect)

Факт: Мобильные пользователи только News Email
17% времени в Интернет проводят в
VPN. Как контролировать 83%
оставшегося времени?

Обмен информацией
между ASA и WSA

AnyConnect ASA
Cisco Web Security
Appliance
Social Networking Enterprise SaaS

Corporate AD


Облачная безопасность Cisco
Совместное
решение

 Защита ПК  Специальная платформа
 «Движки» контроля  Глобальное представление
 Интеграция в сеть  Хостинг
 Identity  Защита от новых угроз
 Защита от угроз  Ориентация на SP

Усиление стратегии Cisco в
области безопасности

Надежная защита Расширенное Гибридное SaaS «Умные» политики
сканирование


Ядро ScanSafe

 1 млрд. Web-запросов
в день
28М уникальных
JavaScript в день
560К уникальных
PDF в день
244 уникальных
ShockWave в день
 2 антивирусных
движка (Symantec+ЛК)
 False Positive False
Negative rate <
0,0004%
 Гарантированная
доступность – 99,999%


Безопасность любого подключения

Модули обеспечения безопасности

Контроль Допустимое Защита Защита от
доступа использование данных угроз
Управление Фильтрация контента, Защита информации Противодействие
сервисами и управление контентом и доступа ВПО и атакам
приложениями

Платформы

"Облако"
SaaS-
ПО VM Устройства инфраструктура Гибридная Управляемая
на базе "облака"
Образы VM на Выделенные Сочетание решений На объекте,
объекте заказчика устройства на на объекте и в полностью
объекте заказчика "облаке" управляемая


Расширенный анализ трафика

Криптоанализ Анализ Анализ
контекста сигнатур
Лексический Анализ
анализ приложений

Единые механизмы анализа для разного трафика

Web-трафик Сетевой Email-
Security Trends © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential
трафик трафик 46/77

Понимание контекста

Identity Human Приложения
Job Sites
Resource

Instant No File
Message Transfer

Email Карантин

Streaming
Устройство Media
100 kbps/User
Место
P2P Все

Объект Приоритет

HTTP – это новый TCP

File Transfer
Protocol
Instant Messaging
Peer to Peer

Понимание Web-трафика
48/77

Расширенный анализ контента

Номер паспорта
или ИНН
Определение
имени

Обнаружение
совпадение Обнаружено
совпадение

Совпадение уникальных правил

49/77

Элемент 3: Виртуализация, ЦОД и ИБ
Подключение физических Встроенная
Защищенная устройств к VM через
3 безопасность в свитчи
1 физическая 2 специальные виртуализации
инфраструктура архитектуры

Web App Database Web App Database Web App Database
Server Server Server Server Server Server Server Server Server

Hypervisor Hypervisor

Service Chaining

VIRTUAL SECURITY
Virtual Contexts Virtual Contexts

Физическое устройство Физическое устройство


Элемент 4: Полный, но прозрачный
контроль на основе политик

Кто? Что? Когда? Откуда? Как?
Политики
1 доступа

Динамические
2 политики

Политики на
3 периметре, на
устройствах, на
XaaS


Вопросы доступа в современных сетях
Политика доступа

Авторизованный Гостевой доступ Неуправляемые
доступ  Могу я дать гостям устройства
 Кто в моей сети? доступ только к  Как отслеживать
Интернет? неуправляемые
 Могу я управлять рисками
 Как управлять устройства?
ПК в своей сети?
гостевым доступом?  Как определить что они
 Общие правила доступа
 Они могут работать делают?
когда я в сети, дома или в
дороге? через Wi-Fi или Wired?  Могу я контролировать
 Как мониторить их доступ?
 ПК соответствуют
политике? активности гостей?


Аутентификация и авторизация
Other Conditions

Информация о Авторизация
Другие условия
пользователях (контроль доступа)

Время и дата Полный доступ
Группа:
Сотрудник
Ограничения доступа

Гость/Internet

Группа:
Контрактник
+ Карантин

Статус Место Запрет доступа

Группа:
Гость
Контроль и
Тип доступа отчетность


Есть и другие
сценарии
Архитектурный подход


«Технологические» проблемы…

 Отсутствие стандартизации и
унификации технологий,
продуктов, методов и подходов
Рост операционных затрат
Сложность поддержки и интеграции

 Повтор и избыточность
Не путать с резервированием
Нехватка ресурсо-затрат

 Упущения неочевидных вещей
 Отсутствие планов развития
Нехватка гибкости и адаптивности к новым требования

…приводят к глобальным проблемам…

 Финансирование по остаточному Дизайн и архитектура
принципу • 1Х

 Неудовлетворенность Внедрение
пользователей, снижение их • 5Х
продуктивности и рост цены их
поддержки Тесты интеграции
• 10Х
 Потенциальные наезды со стороны
регуляторов
Бета-тестирование
 Неэффективность ИБ в виду • 15Х

забывчивости в отношении
некоторых направлений бизнеса Боевой запуск
• 30Х
 Несогласованность отделов

Принципы построения защищенной
сети

Принципы ИТ Принципы ИБ

• Модульность / • Безопасность как
поэтапность свойство, а не опция
• Снижение TCO • Цель – любое
• Стандартизация / устройство, сегмент,
унификация приложение
• Гибкость • Эшелонированная
• Надежность оборона
• Поддержка новых • Независимость модулей
проектов • Двойной контроль
• Адаптивность / • Интеграция в
автоматизация инфраструктуру
• Масштабируемость • Соответствие
требованиям

Фрагмент дизайна – Интернет-периметр
Агрегация Уровень Блок Модуль
функций

Отказоустойчивость
и резервирование

Разделение
функций

Лучшие в отрасли

Архитектура защищенной сети
Центр управления сетью Филиал /
отделение

WAN
Офисная
сеть Si

WAN
Партнер

Si

Ядро Internet

Si Si
Si

Cisco Virtual Office

ЦОД
Internet

E-Commerce
Si

Si
Удаленный
пользователь
Si

Si

SensorBase

SAFE в современной сети
Устройства ИБ
 VPNs  Firewall  Admission Control
Решения  Monitoring  Email Filtering  Intrusion Prevention
Сетевые
по ИБ устройства
 PCI  Routers
 DLP Policy and  Servers
 Threat  Switches
Control Device
Manageme
Identify Harden

Видимость
Monitor
nt Isolate
Контроль
Correlate Enforce

Data WAN Internet E-comm- Cisco Virtual Partner
Campus Branch
Center Edge Edge erce Teleworker User Sites

Secured Mobility, Unified Communications, Network Virtualization

Network Foundation Protection

Security Trends © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Сервисы 60/77

Вертикальные архитектуры
Решение Cisco для СТО БР ИББС-1.0

Допофис / отделение Периметр Платежный Блок управления
ATM сегмент
Мобильный POS-терминал Интернет
POS ACS CSM

NAC
Киоск NCM

CS-MARS
7200 ASA
WAP ASA
Internet
Catalyst
ISR
6500 WAP 6500
Switch FWSM
ASA
ПК
банковского
WAP Сервер
работника процессинга

Беспроводное Интернет- Главный
устройство
банк офис ЦОД Процессинг

Примечание! Отображена реализация не всех элементов

Решение Cisco для PCI DSS

Удаленная площадка Периметр Главный Блок управления
Мобильный
POS Cash Register Интернет офис ACS
POS (PCI 1,3,5,6,7) POS сервер (PCI 2, 10,12) CSM
(PCI 10,12)
(PCI 1,3,5,6,7) NAC
CSA MC
(PCI 10,12)
ASA
CS-MARS
7200 ASA
WAP (PCI 10)
(PCI 1,4)
Internet
Catalyst
ISR
(PCI 4) 6500 WAP 6500
Switch FWSM
ASA
ПК (PCI 1,4) Credit Card
магазинного WAP Storage
работника
(PCI 1,3,5,6,7) (PCI 1,3,5,6,7)
Беспроводное
устройство E-commerce
(PCI 1,3,5,6,7) ЦОД

Примечание! Отображена реализация не всех требований

Решение Cisco для АСУ ТП (SCADA)
Уровень 4 Уровень 5
Si

Internet/
Корпоративная Intranet/
Si
ЛВС ТФОП/WAN

DMZ

LAN/WAN

Уровень 3 Уровень 2

Уровень 1

Уровень 0

Security Trends © 2006 Cisco Systems, Inc. All rights reserved.
2007 Cisco Cisco Public
Confidential 63
63/77

Соответствие
решений Cisco
требованиям по
безопасности


Блиц-анализ технических требований

•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ

Общие
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам

•Защита специфичных процессов (биллинг, АБС, PCI…)
Специфичные •Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)


Что Cisco может обеспечить?

 Все (почти) технические требования мы можем
выполнить
Вплоть до мандатного разграничения доступа

PCI СТО БР
ПДн СТР-К КСИИ
DSS ИББС

На базе одних и тех же решений!


Соответствие требованиям по ИБ
450+ сертификатов ФСТЭК

Сертификация по РД, ТУ, ГОСТ Р
ИСО 15408, Минкомсвязь

Сертификация одиночных
образцов, партий и производства

Тесное взаимодействие с ФСБ по
линии шифрования

Сертификация по НДВ (закладки)

Соответствие требованиям по ПДн,
КСИИ, СТР-К, СТО БР ИББС, ISO
2700x, COBIT, ITIL, PCI DSS


Сертификация производства

 МСЭ
Cisco Pix 501, 506, 515, 525, 535
Cisco FWSM
Cisco ISR 1800, 2800, 3800
Cisco ISR 1700, 2600, 3600, 3700
Cisco 7200, 7300, 7500, 7600 Router
 Многофункциональные средства защиты
Cisco ASA 5510, 5520, 5540
Cisco ASA 5505
 Коммутаторы
Catalyst 2960
Catalyst 2970, 3550, 3560, 45xx, 65xx
 IPS
Cisco IPS 4200

Что еще сертифицировано?

 Cisco Security Agent
 Cisco IDSM
 Catalyst 2950, 3560, 3750, 40xx, 60xx
 Cisco GSR
 Cisco MARS
 Cisco Security Manager

 Список всех сертифицированных продуктов можно
найти на портале my.cisco.ru или сайте www.cisco.ru

Security Trends © 2006 Cisco Systems, Inc. All rights reserved. rights reserved.
© 2005 Cisco Systems, Inc. All Cisco Confidential 69/77

Заключение


Повестка дня CISO сегодня

 Учет регулятивных требований (баланс рисков
выполнения/невыполнения)
 Выбор стратегии защиты широкого спектра
мобильных устройств и удаленного доступа
 Фокус смещается на прикладной уровень
 Анализ рисков «облачных вычислений»
 Разработка и подписание Security SLA
 Контроль исполнения Security SLA
 Vendor Relations Management
 Бизнес-обоснование

Лидер в области безопасности

NEW PHOTO

сеть – это платформа для
реализации поставленных
= бизнес-целей защищенным
39% мирового рынка ИБ,
образом в соответствие с
21% российского рынка ИБ требованиями регуляторов

Дополнительная
информация


Новые документы

 Каталог продуктов по ИБ (8-е издание)
 WP «Решения Cisco для защиты персональных
данных»
 WP «Решения Cisco для СТО БР ИББС-1.0-2008»
 WP «Стратегия и архитектура Cisco в области ИБ»
 WP «Информационная безопасность в условиях
кризиса. Рекомендации Cisco»
 FAQ по использованию шифрования в продукции
Cisco
 И многое другое на my.cisco.ru


Онлайн-ресурсы Cisco по ИБ

 Cisco Security Center
http://www.cisco.com/security
 PCI Compliance Advisor
http://www.pcicomplianceadvisor.com/
 Security Business Advisor
http://www.securitybusinessadvisor.com/
 Security Solution Designer
http://www.ciscowebtools.com/designer/
 Cisco SenderBase
http://www.senderbase.org/


Вопросы?

Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 (495) 961-1410


Cisco Secure Borderless Network

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Cisco Secure Borderless Network

Ähnlich wie Cisco Secure Borderless Network (20)

Mehr von Aleksey Lukatskiy

Mehr von Aleksey Lukatskiy (20)

Cisco Secure Borderless Network