Embed Size (px)
Citation preview
Юрий Черкас,
руководитель направления
инфраструктурных ИБ-решений
Центра информационной
безопасности
компании «Инфосистемы Джет»
Информационная безопасность
эпохи перемен.
Как сделать правильный выбор?
© 2014 Инфосистемы Джет Больше чем безопасность
Что день грядущий нам готовит…
2
«Изучайте
прошлое, если
хотите
предсказать
будущее». Конфуций
551 – 479 г. до н.э.
© 2014 Инфосистемы Джет Больше чем безопасность
А в чем же перемены?
3
Анализируем отчеты:
• Cisco 2014 Annual Security Report
• IBM X-Force 2013 Mid-Year Trend and Risk Report
• Symantec 2014 Internet Security Threat Report
• PaloAlto Networks Application Usage and Threat Report
• Trend Micro Security Predictions for 2014 and Beyond
• Arbor Networks Worldwide Infrastructure Security Report
© 2014 Инфосистемы Джет Больше чем безопасность
Изучаем прошлое
«Серые пятна» – это неклассифицированные
инциденты, причины которых установить не удалось
4
Источник: IBM X-Force Research and Development
© 2014 Инфосистемы Джет Больше чем безопасность
2013 H1 Sampling of Security Incidents
«Серые пятна» – неизвестные типы атак
5
Источник: IBM X-Force Research and Development
© 2014 Инфосистемы Джет Больше чем безопасность
Без комментариев…
Известные DDoS-атаки марта 2014
17 марта
• Альфа Банк ("Альфа-Клик", "Альфа-Бизнес Онлайн" и сайт)
• ВТБ 24
14 марта
• сайт Президента России
• сайт Банка России
13 марта
• ВГТРК
• Первый канал
7 марта
• Российская газета
и другие:
• Russia Today
• Life News
• Известия
6
И это только март!!!
И это только публичные атаки!!!
© 2014 Инфосистемы Джет Больше чем безопасность
Хит-парад
7
Типы атак Cisco Trend Micro Symantec IBM
Направленные (таргетированные) атаки
через интернет
Использование уязвимостей
приложений (отсутствие поддержки и
патчей, 0day и др.)
Атаки через соцсети и мобильные
устройства
Использование бот-сетей, DoS- и DDoS-
атаки
Спам и фишинг
© 2014 Инфосистемы Джет Больше чем безопасность
Несколько примеров
• 91% всех зараженных веб-страниц содержат Java;
76% компаний, пользующихся услугами Cisco Web
Security, работают с Java 6 – устаревшей и
неподдерживаемой версией
• 0day уязвимости и непропатченные сайты
способствуют популяризации атак типа
Watering Hole:
• 1 из 8 сайтов имеет критические уязвимости
• 20% пользователей используют Windows XP
• Рост числа атак на защищенные web-сервисы
(https) – 17%
8
© 2014 Инфосистемы Джет Больше чем безопасность
Куда мы движемся?
Будущее
зависит от того,
что мы делаем в
настоящем.
Махатма Ганди 1869 – 1948
9
© 2014 Инфосистемы Джет Больше чем безопасность
Что интересно сегодня?
Тренды начала 2014 года
2–3 входящих запроса в неделю:
10
защита доступа и
приложений
Web Gateway и
защита от 0day атак
контроль
администраторов
защита от DDoS
защита сети
нового поколения
© 2014 Инфосистемы Джет Больше чем безопасность
1 рубеж:
защита от DDoS-атак
11
Data center ISP1
ISP2
Система очистки
Утилизация канала
выше порогового
!!!
Cloud
Signaling
Оператор
задействует
систему очистки
© 2014 Инфосистемы Джет Больше чем безопасность
2 рубеж:
защита от сетевых «грубых» атак
12
Data center ISP1
ISP2
Система очистки
Защита на уровне
приложений
Оператор
«чистит» трафик
© 2014 Инфосистемы Джет Больше чем безопасность
2. Web-приложения на острие атаки
• основной угрозой являются ошибки буферизации –
21% категорий угроз из списка стандартных
уязвимостей (Common Weakness Enumeration,
CWE);
• 77% web-сайтов имеют эксплуатируемые
уязвимости;
• более чем в 50% пентестов мы находим ошибки на
уровне логики сайтов;
• HTTP GET/POST flood (в том числе с
использованием Slowloris) остаются наиболее
распространёнными типами атак.
13
Актуальность:
© 2014 Инфосистемы Джет Больше чем безопасность
Защищаем web-приложения
14
Тестирование
на «живом»
трафике
«Обучение»
WAF
Пентест Находим
уязвимости
Повторный
пентест
Уточняем
требования и
инициируем проект
Формируем
политики
Демонстрируем
эффективность
Формируем
требования
© 2014 Инфосистемы Джет Больше чем безопасность
3. Защищаем сеть по-новому
15
Источник: http://researchcenter.paloaltonetworks.com/
Web
Browsing
SSL
YouTube
Base
Custom TCP
BitTorrent
MS DS SMB
68% пользовательских и бизнес-приложений для работы используют
порты 80 и 443 или динамические порты, в том числе потоковое видео
(13% пропускной способности)
© 2014 Инфосистемы Джет Больше чем безопасность
Актуальность
Любая организация использует в своей
инфраструктуре FW и IPS
Наблюдается тенденция перехода на более
высокоскоростные каналы
Реалии требуют расширения функционала:
контроля пользователей, а не IP-адресов;
контроля приложений, а не портов;
анализа трафика на 7 уровне;
16
TCP
UDP IP
© 2014 Инфосистемы Джет Больше чем безопасность
Выбираем решение
Основные шаги
1. Сужаем область выбора решений:
● формулируем конечную цель и задачи проекта;
● определяемся с требуемым функционалом;
● учитываем критерий цена/качество;
● могут помочь отчеты Gartner, NSS Labs, Forrester и других
уважаемых исследовательских организаций.
2. Проводим пилотное тестирование:
● важно тестировать на «живом» трафике;
● важна интеграция с AD.
3. Инициируем проект.
17
© 2014 Инфосистемы Джет Больше чем безопасность
4. Контролируем администраторов
Эдвард Сноуден
В КОММЕНТАРИЯХ НЕ
НУЖДАЕТСЯ…
1 августа 2013 г. получил
временное убежище в РФ. С
этого времени проживает в
России за пределами Москвы.
Его точное местонахождение не
разглашается по соображениям
безопасности.
18
© 2014 Инфосистемы Джет Больше чем безопасность
Российские примеры
«…23 августа 2013 года во время проведения
регламентных технических работ произошел
технический сбой, в результате которого 90%
функционала системы СМЭВ было недоступно в
течение 15,5 часов …»
19
© 2014 Инфосистемы Джет Больше чем безопасность
Основной функционал
Контроль доступа привилегированных
пользователей
Управление паролями
Запись сессий
Контроль сессий в реальном времени
Разрыв сессий по настройкам политик или по
команде
Уведомление о нарушении политик
Анализ активности пользователей
20
© 2014 Инфосистемы Джет Больше чем безопасность
Основные отличия
• Агентская/безагентская архитектура
• Перечень поддерживаемых протоколов
• Прозрачный/портальный режим
• Сложность установки и эксплуатации
Выбор решения
21
Заполнение
анкеты/
уточнение
требований
Стендирование/
пилотирование
Инициация
проекта
© 2014 Инфосистемы Джет Больше чем безопасность
5. Второе пришествие Web Gateway
22
Forefront Threat Management Gateway 2010
Microsoft will continue to provide maintenance and
support for Forefront Threat Management Gateway (TMG)
2010 through April 14, 2015.
From June 30, 2015, SafeNet will not provide
support/service/updates for the eSafe Content Security
Product line. Until this date, SafeNet will
provide customers, security updates, bug fixes, work
arounds, or patches for critical bugs
© 2014 Инфосистемы Джет Больше чем безопасность
Выбираем Web Proxy
23
Основные шаги
1. Определяем критерии.
● Требования к функционалу:
основной/расширенный;
в составе UTM/специализированное решение;
наличие интеграции с «песочницей».
● Количество мест установки и требования к
централизованному управлению.
● Количество пользователей.
● Стоимость вариантов решений (на 3-5 лет!!!).
2. Проводим тестирование:
● выбираем группу пользователей;
● уточняем реальное количество сессий.
3. Инициируем проект.
© 2014 Инфосистемы Джет Больше чем безопасность
Breach Detection Systems или Sandbox
Основные игроки сегодня:
• McAfee;
• Sourcefire;
• Palo Alto Networks (WildFire);
• FireEye;
• TrendMicro.
24
Результаты пилота могут быть
более чем интересны!
© 2014 Инфосистемы Джет Больше чем безопасность
Вместе мы – сила!
Мы развиваемся благодаря Вам:
чем сложнее Ваши задачи, тем выше наша
компетенция;
мы аккумулируем знания и делимся ими с Вами;
только вместе с Вами мы можем разрабатывать
новые и неординарные ИБ-решения.
25
Вместе вперед!
Ждем на стендах!
Юрий Черкас руководитель направления
инфраструктурных ИБ-решений
Центра информационной безопасности
компании «Инфосистемы Джет»
