Безопасность новых информационных технологий

1/38 © Cisco, 2010. Все права защищены.

Безопасность новых информационных технологий

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 2/79

Смена ожиданий бизнеса в отношении информационной безопасности

3 © Cisco, 2010. Все права защищены.


Вирус Шпионское

ПО

Malware

(трояны,

кейлоггеры,

скрипты)

Эксплоиты

Исследования

NSS LAB

показывают, что

даже лучшие

антивирусы и

Web-шлюзы не

эффективны

против

современных

угроз

Вредоносные

программы

воруют уже не

ссылки на

посещаемые

вами сайты, а

реквизиты

доступа к ним

Web и социальные

сети все чаще

становятся

рассадником

вредоносных

программ, а также

инструментом

разведки

злоумышленников

Вредоносные

программы

используют для

своих действий

неизвестные

уязвимости (0-Day,

0-Hour)


Массовое

заражение Полимор-

физм

Фокус на

конкретную

жертву

Передовые

и тайные

средства

(APT)

Злоумышленников

не интересует

известность и

слава – им важна

финансовая

выгода от

реализации угрозы

Современные угрозы

постоянно меняются,

чтобы средства

защиты их не

отследили –

изменение

поведения, адресов

серверов управления

Угрозы могут быть

разработаны

специально под вас –

они учитывают вашу

инфраструктуры и

встраиваются в нее, что

делает невозможным

применение

стандартных методов

анализа

Угрозы становятся

модульными,

самовосстанавлива-

ющимися и

устойчивыми к

отказам и

обнаружению

Cisco Confidential 6 © 2010 Cisco and/or its affiliates. All rights reserved.

Устойчивые, сложные, мутирующие

Каждый экземпляр атаки может отличаться от другого

Домены меняются ежедневно, даже ежечасно

Контент мутирует и маскируется под легальный трафик

80% спама исходит от инцифицированных клиентов

70% «зомби» используют динамические IP-адреса

Угрозы из легальных доменов растут на сотни процентов в год

Спам составляет более 180 миллиардов сообшений в день






• 51% пользователей имеет обычно 1-4 пароля ко всем своим учетным записям


Malware

40% потерь в производительности

в связи с использованием web для личных нужд во время работы

Риск нарушения законодательства когда запрещенный контент загружается

пользователями

Нарушения

правил

использования

Утечки данных



• Взломанные web-узлы отвечают за распространение более 87% всех Web-угроз сегодня

• Более 79% web-узлов с вредоносным кодом легитимные**

• 9 из 10 web-узлов уязвимы к атакам**

• Cross-site Scripting (XSS) и SQL Injections лидируют в числе разных методик взлома

-Cross-Site Scripting (7 их10 узлов)**

-SQL Injection (1 из 5)**

*Source: IronPort TOC

**Source: White Hat Security, Website Sec Statistics Report 10/2007 & PPT 8/2008


• Botnets настраиваются и внедряют malware в web-узлы с помощью SQL Injections используя уязвимости в web-приложениях

• Хакері используют SQL Injections для вставки JavaScript iFrames, которые перенаправляют пользователей на web-сайты, на которых хостится malware


DNS Poisoning

Взломанные сайты

* Source: Cisco Threat Operations Center

Социальная инженерия

Простое посещение сайта может инфицировать компьютер пользователя

Ответствены на 87% всех web-угроз*

Категория: Новости

Актуальный контент, содержащий общественный интерес

Социальная инженерия заставляет пользователей отключать защиту на десктопе

Категория: Правительство


• Ссылка размещается (или посылается от имени) на взломанной учетной записи социальной сети

• Эта ссылка отсылает вас на сайт с «потрясным» видео, которое просит установить вас последнюю версию Flash player или отсутствующий кодек

Cisco Confidential 18 © 2010 Cisco and/or its affiliates. All rights reserved.









Мотивация

Метод

Фокус

Средства

Результат

Тип

Цель

Агент

Известность

Дерзко

Все равно

Вручную

Подрыв

Уникальный код

Инфраструктура

Изнутри

Деньги

Незаметно

Мишень

Автомат

Катастрофа

Tool kit

Приложения

Третье лицо


Разработчики Посредники Атаки второй волны

Создание ботнетов

$$$ Финансовые потоки $$$

Черви

Шпионское ПО

Инструменты атак

Вирусы

Трояны

Вредоносное ПО

Атаки первой волны

Заражение

Прямая атака от хакера

Продажа информации

Рассылка Спама

Фишинг/ Сбор информации

DDoS

Атака на отдельные системы и

приложения

Результат

Мошенничество

Реклама

Мошеннические продажи

Накручивание кликов

Шпионаж

Слава

Месть

Вымогательство

Управление ботнетом:

Аренда, продажа

Кража информации

Фарминг, DNS Poisoning


• Партнерская сеть по продаже scareware

• Партнеры загружают scareware на зараженные компьютеры и получают комиссию 60% c продаж

• Объем продаж за десять дней $147K (154 825 установки и 2 772 продажи)

• $5M в год

Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2

Статистика продаж Bakasoftware за 10 дней


Веб-страницы создаются из объектов, которые находятся на разных источниках

Объекты – это изображения, html-код, JavaScript…

Trusted Web Site Client PC Web servers not affiliated

with the trusted web site

(e.g. ad servers)

Web Reputation Filters

Scan each object, not just

the initial request

Скомпрометированные узлы берут вредоносное содержимое из внешних источников

Безопасность – это просмотр каждого объекта в отдельности, а не только первоначального запроса.


1. Адресов в браузере: 1

2. HTTP запросов: 162

3. Изображений: 66 с 18 разных доменов

4. Скриптов: 87 с 7 доменов

5. Cookie: 118 с 15 доменов

6. Flash объектов: 8 c 4 доменов



• Эффективна ли защита рабочих станций основанная только на антивирусном ПО?

• Способен ли МСЭ проверять содержимое?

• Как технические средства помогут бороться с атаками с применением социальной инженерии?



1. Непрерывно повышайте свою осведомленность

2. Не гонитесь за новинками – решите «старые» задачи

3. Обучите персонал вопросам ИБ — и вовлеките их в сам процесс

4. Помните, что безопасность сегодня не ограничивается одним периметром / границей

5. Безопасность – это часть вашего бизнеса




Аутсорсинг Виртуализация Мобильность Web 2.0 Облака Социальные

сети


7 млрд новых беспроводных устройств к 2015 г.

50% предприятий-участников

опроса разрешают использовать личные

устройства для работы

40% заказчиков планируют внедрить

распределенные сетевые сервисы («облака»)

К 2013 г. объем рынка «облачных вычислений» составит 44,2 млрд

долларов США

―Энтузиасты совместной работы‖ в среднем

используют 22 средства для общения с коллегами

45% сотрудников нового поколения пользуются социальными сетями

Украденный ноутбук больницы: 14 000 историй болезни

Более 400 угроз для мобильных устройств,

к концу года – до 1000

становятся причинами появления новых угроз

Skype = возможность вторжения

Системы IM могут обходить механизмы защиты

Новые цели атак: виртуальные машины и гипервизор

Отсутствие контроля над внутренней виртуальной сетью

ведет к снижению эффективности политик безопасности


66% 45% 59% 45% 57%

Согласятся на

снижение

компенсации

(10%), если

смогут работать

из любой точки

мира

Готовы

поработать на

2-3 часа в день

больше, если

смогут сделать

это удаленно

Хотят

использовать

на работе

личные

устройства

ИТ-

специалистов

не готовы

обеспечить

бóльшую

мобильность

сотрудников

ИТ-специалистов

утверждают, что

основной задачей

при повышении

мобильности

сотрудников

является

обеспечение

безопасности


Software-as-a-

Service

Google Apps, Salesforce.com

Platform-as-a-

Service

MS Azure, Google App

Engine

Infrastructure-as-

a-Service

Amazon EC2, co-location


36

30

23

23

20

19

18

18

16

19

0 5 10 15 20 25 30 35 40

Вопросы цены

Безопасность и privacy

Нет нужных приложений

Вопросы интеграции

Сложное ценообразование

Зависимость от текущего …

Слабый каналы связи

Слабая кастомизация

Производительность

Другое

Почему вы не думаете об аутсорсинге?

Источник: Forrester Research


21% 64% 47% 20% 55%

Людей

принимают

«приглашения

дружбы» от

людей, которых

они не знают

Людей не думая

кликают по

ссылкам,

присылаемым

«друзьями»

Пользователей

Интернет уже

становились

жертвами

заражений

вредоносными

программами

Людей уже

сталкивалось с

кражей

идентификаци

онных данных

Людей были

подменены с

целью получения

персональных

данных


B • Проприетарные протоколы и закрытые разработки

• Длительный срок эксплуатации

• Проектирование без вопросов ИБ

Внутренние

• Требования ФСТЭК для КСИИ

• ФЗ-152 о ПДн

• NERC

• ISA SP99 и другие

Нормативные

• Доступность и надежность Smart Grid

• АСУ ТП

• Управление энергопотреблением

• ЦОД

• Home Energy

Внешние


«Заплаточный» подход к защите – нередко

в архитектуре безопасности используются

решения 20-30 поставщиков

Непонимание смены ландшафта угроз

Концентрация на требованиях регулятора в

ущерб реальной безопасности

Неучет и забывчивость в отношении новых

технологий и потребностей бизнеса



Противодействие вредоносным воздействиям

Защита ресурсов

Соответствие нормативным требованиям

Поддержание работы критически важных сервисов

Экономическая эффективность

Мониторинг пользователей, устройств, операций

ТРЕБУЕТСЯ АРХИТЕКТУРНЫЙ ПОДХОД


Безопасность сети

Контроль доступа

Защищенная мобильность

Защищенные «облака» и виртуализация

Безопасность контента

• МСЭ

• IPS

• VPN

• Управление

безопасностью

• Виртуальные

решения

• Модули

обеспечения ИБ

• Управление

политиками

• 802.1x

• NAC

• Оценка состояния

• Профилирование

устройств

• Сервисы

идентификации

• Конфиденциальность

• VPN

• Мобильный

защищенный клиент

• IPS для

беспроводных сетей

• Удаленный сотрудник

• Виртуальный офис

• Защита мобильности

• Защита

электронной почты

• Обеспечение


web-трафика

• «Облачные»

сервисы

обеспечения


контента

Глобальный анализ угроз: SIO


Глобальные сложные угрозы

Высокая сложность

Многовекторные атаки –

ни одна не похожа на

другую

Необнаруженное

вредоносное ПО

Отключается системы ИБ,

крадет данные, открывает

удаленный доступ к системе

Надежность защиты

ограничивается

сигнатурными методами

и поиском по локальным

данным

ПРОБЛЕМА

РИСК: РИСК: РИСК: РИСК ВЫСОКИЙ ВЫСОКИЙ СРЕДНИЙ

Поддельные сайты Microsoft Update

KOOBFACE «Сбор средств

на восстановление Гаити»


Глобальный мониторинг

Крупнейшая система

анализа угроз – защита от

многовекторных атак

Более 700K сенсоров 5 млрд

Web-запросов/день

35% мирового Email-трафика

Телеметрия угроз оконечным

устройствам

Анализ репутации,

спама, вредоносного ПО

и категорий URL,

классификация

приложений

РЕШЕНИЕ CISCO

ISP, партнеры,

сенсоры

IPS ASA WSA

SIO ГЛОБАЛЬНЫЙ ЦЕНТР Исследователи, аналитики, разработчики

ESA

Бюллетени

об устранении

угроз

Исследователи,

аналитики,

разработчики

ESA

Cisco AnyConnect


Внешние и внутренние угрозы

Внутренние угрозы Внешние угрозы

Ботнеты

Масштабирование

производительности и

своевременное

распространение

обновлений

Отсутствие глобальной

информации об угрозах и

контекстной информации

для обеспечения надежной

защиты

Слабая координация

действий систем

обеспечения ИБ и

сетевого оборудования

ПРОБЛЕМА

ВПО


Защита от угроз


КТО

ЧТО

ГДЕ

КОГДА

КАК Политика с учетом контекста

IPS

WSA

ASA

ESA

СЕТЬ

Полномасштабное

решение: ASA, IPS,

«облачные» сервисы

защиты web-трафика и

электронной почты

Политика с учетом

контекста точнее

соответствует бизнес-

потребностям в сфере ИБ

Простота

развертывания и

обеспечения защиты

распределенной среды


Мобильным сотрудникам

требуется доступ к

сетевым и «облачным»

сервисам

На разнообразных

пользовательских

устройствах используются

как пользовательские, так и

корпоративные профили

Кража/утеря устройств –

высочайший риск утери

корпоративных данных и

нарушения нормативных

требований

462 млн

ПРОБЛЕМА


Поддержка любых пользователей и любых устройств

Единственный в отрасли

унифицированный клиент;

постоянная защита

Поддержка широкого спектра

устройств: Windows XP/7,MAC

OSX, Linux, Apple iOS (iPhone и

iPad), Nokia Symbian, Webos,

Windows Mobile, Android* (скоро)

Защищенные подключения

Сквозное шифрование

(MACsec)

Использование ScanSafe


ASA WSA ISR Коммутаторы

доступа

Cisco AnyConnect

Внутренние, «облачные», социальные приложения

http://aws.amazon.com/


Доступ с любого устройства

Учет результатов

идентификации и ролевая

модель контроля доступа

Гостевой доступ

Обеспечение

выполнения политик: от

пользовательских

устройств до ЦОД

Защита

конфиденциальности

в рамках всей сети

ПРОБЛЕМА

ОФИС КАФЕ


Контроль доступа

Согласованная политика

на основании результатов

идентификации на всех

уровня – от устройства до

ЦОД – в соответствии с

бизнес-потребностями

Распространение сведений

о политиках и

интеллектуальных

механизмов по сети

Метки групп безопасности

позволяют обеспечить

масштабируемое

применение политик

с учетом контекста


Решения на основании состояния 1. Разрешение/блок в соответствии с политикой

2. Авторизованным устройствам назначаются

метки политики

3. Теги политики учитываются при работе в сети

VPN

ЦОД

Виртуальные машины в ЦОД

ОК

СТОП

КТО

ЧТО

ГДЕ

КОГДА

КАК ? ? ?

MACSec


Ограниченность числа

ИТ-специалистов и

специалистов по ИБ в

филиале, рост затрат

Использование SaaS-решений и

«облачных» систем приводит к

раздельному туннелированию

трафика — новые проблемы


Нормативные

требования

Удаленный сотрудник

Филиал

ПРОБЛЕМА

ЦОД

Центральный

офис SaaS

Интернет


VPN (IPSEc, GET VPN,

DMVPN, SSL), МСЭ, IPS,

клиент ScanSafe

Лучшие показатели ROI

(простота, согласованность,

интеграция), снижение затрат и

повышение производительности

при раздельном туннелировании

Оптимизация работы

приложений в WAN

WLAN/WAN

Ethernet-коммутатор

Интегрированный сервер

Все функции для защиты филиала

Лучшие показатели ROI

(реплицируемые)

Безопасность + оптимизация

работы приложений

$

+

ISR G2


Центральный

офис


Новые проблемы

безопасности,

отсутствие систем

мониторинга «облака»

Совершенно новые

технологии, отсутствие

согласованности

Высокие требования

к масштабированию

ПРОБЛЕМА


Высокопроизводи-

тельные устройства

обеспечения ИБ

для ЦОД

Унификация систем защиты

физических и виртуальных

сред; тонки настройки

основанной на зонах политики

с учетом контекста

Распространение политик

Безопасная работа с приложениями

Поддержка Vmotion

Защищенная сегментация VM

Защищенная сегментация «облака»


Nexus 1000v

Cisco ASA

Сенсоры IPS

ЗАЩИЩЕННЫЕ

ЧАСТНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ

ОБЩЕДОСТУПНЫЕ «ОБЛАКА»

Cisco Virtual Security Gateway

ЗАЩИЩЕННЫЕ

ГИБРИДНЫЕ «ОБЛАКА»



Необходимо защитить Все устройства: планшетные устройства, смартфоны

Новые системы для совместной работы и платформы социальных сетей

Данные, передающиеся в «облако»

Среды ЦОД и виртуализации настольных систем


Требуется НОВЫЙ подход к обеспечению безопасности


Большое количество регуляторов

Легитимный ввоз криптографии в соответствие

с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Собственные отраслевые стандарты

Ориентация на продукты отечественного

производства


ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI

Council

Газпром-

серт

Энерго-

серт

РЖД

Рос-

стандарт


ISO 15408:1999 («Общие критерии») в России

(ГОСТ Р ИСО/МЭК 15408) так и не заработал

Перевод СоДИТ ISO 15408:2009 – судьба

неизвестна ;-(

ПП-608 разрешает признание западных

сертификатов – не работает

ФЗ «О техническом регулировании» разрешает

оценку по западным стандартам – не работает

ПП-455 обязывает ориентироваться на

международные нормы – не работает


ПК127 ПК3 ТК362 КЦ

АРБ

РГ

ЦБ

«Безопасность

ИТ»

(представитель

ISO SC27 в

России)

«Защита

информации в

кредитно-

финансовых

учреждениях»

«Защита

информации»

при ФСТЭК

Консультации

банков по

вопросам ПДн

Разработка

рекомендаций по

ПДн и СТО БР

ИББС v4


ФСТЭК ФСБ МО СВР

Все, кроме

криптографии

СКЗИ

МСЭ

Антивирусы

IDS

BIOS

Сетевое

оборудование

Все для нужд

оборонного ведомства

Тайна, покрытая

мраком

Требования

открыты Требования закрыты (часто секретны). Даже лицензиаты

зачастую не имеют их, оперируя выписками из выписок

А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,

«АйТиСертифика» (ЕВРААС) и Ecomex

© Cisco, 2010. Все права защищены. 68/79 68

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ ―О национальной

платежной системе‖, ФЗ ―О служебной тайне‖, новые приказы ФСТЭК/ФСБ и т.д.)


500+ ФСБ НДВ 28 96

Сертификатов

ФСТЭК на

продукцию Cisco

Сертифицировала

решения Cisco

(совместно с С-

Терра СиЭсПи)

Отсутствуют в

ряде

продуктовых

линеек Cisco

Линеек

продукции

Cisco прошли

сертификацию

по схеме

«серийное

производство»

Продуктовых

линеек Cisco

сертифицированы

во ФСТЭК


Единичный экземпляр

Партия Серия

Основная схема для

западных вендоров

Оценивается конкретный

экземпляр (образец)

Число экземпляров – 1-2


западных вендоров

Оценивается

репрезентативная выборка

образцов

Число экземпляров – 50-

200


российских вендоров

Оценивается образец +

инспекционный контроль за

стабильностью характеристик

сертифицированной

продукции

Число экземпляров -

неограничено


Россия

Партнер #1

ПАРТНЕРЫ

СISCO

Партнер #2

Партнер #3

Kraftway Corporation PLC

&

AMT

ФСТЭК

Оборудование с

сертификатами

ФСТЭК

Оборудование без

сертификации по

требованиям

ФСТЭК Дистрибуторы

Cisco Systems,

Inc

Партнер #N

производство по

требованиям ФСТЭК

сертификационный

пакет ФСТЭК

Производство за

пределами России


Ввоз и использование шифровальных

средств – это два разных

законодательства

Разделение ввозимой

криптографии по длинам ключей и

сферам применения (с 01.01.2010)

Нотификации vs. ввоза по лицензии

Минпромторга (после получения разрешения ФСБ)

Cisco не только ввозит свое оборудование легально, но и

планирует запустить производство оборудования в России


Позиция регулятора (ФСБ) –

использование VPN-решений на

базе отечественных

криптоалгоритмов

Встраивания криптоядра

достаточно для прикладных систем и недостаточно для

VPN-продуктов (разъяснение ФСБ)

Важно знать, что написано в

формуляре на СКЗИ – часто явно

требуется сертификация в

ФСБ

Cisco и С-Терра СиЭсПи имеют сертификат ФСБ на целостное решение для Cisco ISR G2 и

Cisco UCS C-200


• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco

• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года

Сертификат по классу КС2 на оба решения

Решение для удаленных офисов

• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)

Решение для ЦОД и штаб-квартир

• На базе UCS C-200


Безопасность в России и во всем мире –

две большие разницы

ИТ-безопасность и информационная

безопасность – не одно и тоже

Нужно осознавать все риски

Необходимо искать компромисс

Не закрывайтесь – контактируйте с

CISO, регуляторами, ассоциациями…


Антивирусный модуль от Лаборатории Касперского в Cisco ISR G2

Интеграция с MaxPatrol от Positive Technologies

Интеграция с Traffic Monitor от Infowatch

Интеграция с Дозор-Джет от Инфосистемы Джет

Антивирусный движок от Лаборатории Касперского в сервисе облачной безопасности ScanSafe

Интеграция с VPN-решениями С-Терра СиЭсПи

Поддержка Dr.Web, Лаборатории Касперского в решениях Cisco NAC Appliance

1

2

3

4

5

6

7


Лидер мирового рынка сетевой безопасности. Обширное портфолио продуктов и услуг. Тесная интеграция с сетевой инфраструктурой. Архитектурный подход

Поддержка и защита самых современных ИТ. Контроль качества. Исследования в области ИБ. Обучение и сертификация специалистов. Собственное издательство Сертификация на соответствие российским требованиям по безопасности. Сертифицированная криптография. Сертификация производства. Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ Финансирование проектов по ИБ. Легитимный ввоз оборудования. Круглосуточная поддержка на русском языке. Склады запчастей по всей России. 1000+ партнеров

1

2

3

4

5


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

[email protected]

Documents

Безопасность новых информационных технологий