Новые тенденции и новые технологии на рынке ИБ

1/43 © Cisco, 2010. Все права защищены.

Новые тенденции и новые технологии на рынке ИБ

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 2/43

Мировой рынок МСЭ меньше рынка йогуртов в США

Приход новых игроков

Boeing, Raytheon, Lockheed, SAIC, Northrop Grumman, BAE, EADS, HP (EDS)

Кибероружие

Логическая бомба в АСУ ТП Газпрома (1982), вирус AF/91 (1991), «Лунный лабиринт» (1998), «Титановый дождь» (2003), Suter (2007), «Автора» (2009), Stuxnet (2010)

Кибербезопасность

Создание кибервойск

Разработка стратегий ведения и отражения кибервойн

Новые технологии

Проведение исследование, аналогичных военным, и использование полученных технологий для в разработке


• Недокументированные возможности Intel 80x86, 286, 386, 486, Pentium…, AMD, Cyrix и т.д. (1995)

• Чипсеты Intel из Китая (2007)

• Руткит в Broadcom NetExtreme (2010)

• Закрытый модуль BMC, зашитый в BIOS- код Management Agent (2011)

© Cisco, 2010. Все права защищены. 4/43 ИНФРАСТРУКТУРА

Угрозы Новые

технологии

Требования

регуляторов

Россия коренным образом отличается от всего мира в

области информационной безопасности!!!


• Современные киберпреступники эмулируют удачные бизнес-модели

• Проведение исследований рынка

• Приобретение лучших технологий вместо разработки собственных

• Борьба за лояльность заказчиков

• Предложение различных продуктов и сервисов

• Партнерские программы

• Профессиональный сервис


• Высокообразованные специалисты взаимодействуют между собой для создания новых вредоносных программ

• Для управления большими проектами используются специализированные средства разработки ПО, контроля версий и взаимодействия разработчиков

• Разработчики вредоносных программ ничем не отличаются от таких же в ИТ-индустрии

• Обмен информацией и талантами при совместной работе дает гораздо больший эффект, чем работа в одиночку

• Большие заработки не оставляют надежды на самостоятельное прекращение этого бизнеса


Цель

Расширение спектра

целевых угроз Атаки на новые

технологии

Рост экосистемы

киберпреступности

# !

%


Вирус Шпионское

ПО

Malware

(трояны,

кейлоггеры,

скрипты)

Эксплоиты

Исследования

NSS LAB

показывают, что

даже лучшие

антивирусы и

Web-шлюзы не

эффективны

против

современных

угроз

Вредоносные

программы

воруют уже не

ссылки на

посещаемые

вами сайты, а

реквизиты

доступа к ним

Web и социальные

сети все чаще

становятся

рассадником

вредоносных

программ, а также

инструментом

разведки

злоумышленников

Вредоносные

программы

используют для

своих действий

неизвестные

уязвимости (0-Day,

0-Hour)


Массовое

заражение Полимор-

физм

Фокус на

конкретную

жертву

Передовые

и тайные

средства

(APT)

Злоумышленников

не интересует

известность и

слава – им важна

финансовая

выгода от

реализации угрозы

Современные угрозы

постоянно меняются,

чтобы средства

защиты их не

отследили –

изменение

поведения, адресов

серверов управления

Угрозы могут быть

разработаны

специально под вас –

они учитывают вашу

инфраструктуры и

встраиваются в нее, что

делает невозможным

применение

стандартных методов

анализа

Угрозы становятся

модульными,

самовосстанавлива-

ющимися и

устойчивыми к

отказам и

обнаружению


Мотивация

Метод

Фокус

Средства

Результат

Тип

Цель

Агент

Известность

Дерзко

Все равно

Вручную

Подрыв

Уникальный код

Инфраструктура

Изнутри

Деньги

Незаметно

Мишень

Автомат

Катастрофа

Tool kit

Приложения

Третье лицо


Глобальные сложные угрозы

Высокая сложность

Многовекторные атаки –

ни одна не похожа на

другую

Необнаруженное

вредоносное ПО

Отключается системы ИБ,

крадет данные, открывает

удаленный доступ к системе

Надежность защиты

ограничивается

сигнатурными методами

и поиском по локальным

данным

ПРОБЛЕМА

РИСК: РИСК: РИСК: РИСК ВЫСОКИЙ ВЫСОКИЙ СРЕДНИЙ

Поддельные сайты Microsoft Update

KOOBFACE «Сбор средств

на восстановление Гаити»


Внешние и внутренние угрозы

Внутренние угрозы Внешние угрозы

Ботнеты

Масштабирование

производительности и

своевременное

распространение

обновлений

Отсутствие глобальной

информации об угрозах и

контекстной информации

для обеспечения надежной

защиты

Слабая координация

действий систем

обеспечения ИБ и

сетевого оборудования

ПРОБЛЕМА

ВПО


Но не UTM

РЕШЕНИЕ

КТО

ЧТО

ГДЕ

КОГДА

КАК Политика с учетом контекста

IPS

Web

МСЭ

Email

СЕТЬ

Полномасштабное

решение: МСЭ, IPS,

«облачные» сервисы

защиты web-трафика и

электронной почты

Политика с учетом

контекста точнее

соответствует бизнес-

потребностям в сфере ИБ

Простота

развертывания и

обеспечения защиты

распределенной среды


Понимание контекста

Классический МСЭ

Устройство Интегрированное решение Виртуализация

Широкий спектр платформ


Контекстно-ориентированный МСЭ

Понимание контекста

Классический МСЭ

Устройство Интегрированное решение Виртуализация

Широкий спектр платформ


ЧТО

75,000+ MicroApps

MicroApp Engine

Глубокий анализ трафика

приложений

Поведение


Контроль действий

пользователя внутри


Покрытие… … классификация всего

трафика

1,000+ приложений


ГДЕ/ОТКУДА

ОФИС

ОТЕЛЬ


• Информация с огромного количества оконечных устройств

Устройство Состояние

AV

Registry Files

Версия ОС

КАК


Требование

разнообразия устройств

Смешение частного и

служебного

Нужен доступ к

критичных ресурсам


Мобильным сотрудникам

требуется доступ к

сетевым и «облачным»

сервисам

На разнообразных

пользовательских

устройствах используются

как пользовательские, так и

корпоративные профили

Кража/утеря устройств –

высочайший риск утери

корпоративных данных и

нарушения нормативных

требований

462 млн

ПРОБЛЕМА


Инвентаризация

Инициализация

устройства

Безопасность данных

на устройстве

Безопасность приложен.

Управление затратами

Полная или частичная

очистка удаленного


MDM продукты Контроль доступа и защита от сетевых угроз

Политики Защитный клиент МСЭ Облако Web Sec

Аутентификация

пользователей и

устройств

Оценка состояния

Применение

политики доступа

Безопасный

удаленный доступ

Защита от угроз

Политика

использования

Web

Защита от утечек

информации


IP-камера

Корпоративный ресурс

MAC: F5 AB 8B 65 00 D4 Ноутбук

Корпоративный ресурс

Лаборатория

11 утра

Мария Сидорова

Сотрудник HR

Проводной доступ

11-00

Принтер

Некорпоративный актив

MAC: B2 CF 81 A4 02 D7

IP телефон G/W

Корпоративный актив

Финансовый департамент

11:00 вечера

Сергей Балазов

контрактник

IT

Проводное подключение

10 утра

Анна Петрова

сотрудник

CEO

Удаленный доступ

10 вечера

Катя Жуковская

сотрудник

R&D

WiFi

14:00 дня Антон Алмазов

консультант

Центральный офис

Удаленный доступ

6:00 вечера

Виктория Катернюк

Сотрудник

Проводной доступ

15-00

Конфиденциальные ресурсы Сеть, устройства и Приложения

Множество методов доступа Разные устройства, разные места

Все необходимо контролировать

Пользователи и устройства Сотрудники, Контрактники, Телефоны, Принтеры…


КОГДА ЧТО

ГДЕ

КАК КТО

Идентификация

Атрибуты

политики

безопасности

Модуль централизованных политик

Политики,

относящиеся к бизнесу

Пользователи и


Динамическая политика и реализация

УПРАВЛЕНИЕ

ПРИЛОЖЕНИЯМИ

МОНИТОРИНГ И

ОТЧЕТНОСТЬ

РЕАЛИЗАЦИЯ ПОЛИТИК

БЕЗОПАСНОСТИ


Родные приложения

для BYOD • Данные на устройстве

• Высокая

производительность

•“Родной” интерфейс

Браузер •Данные на устройстве

•Портирование на разные

платформы

•Интерфейс браузера

Виртульные сервисы •Нет локальных данных

•Самая высокая

безопасность

•Ощущения зависят от

скорости канала связи

Инсталлир. приложения

Корпоративные сервисы



Веб-браузер

HTML интерфейс

Клиент VDI Инфраструктура VDI

Data Center

Data Center

Data Center


Cisco UCS

CUPC MS Office Video

Desktop Virtualization Software

Виртуальный ЦОД

WAAS

ISR

VSG

Nexus

Филиал ЦОД

Cisco

WAN

Microsoft OS

Сеть с поддержкой технологий

виртуализации

МСЭ

Broker

Единый подход к вопросам безопасности, управления и автоматизации

Экосистема тонких

клиентов

Рабочие

Устройства Клиент

VXI

Бизнес-планшеты

Виртуальное рабочее

пространство

Hypervisor FC

Virtual CUCM

Virtual QUAD

vWAAS

ACE

Тонкие клиенты

http://images.google.com/imgres?imgurl=http://www.buholzer.ch/img/logos/igel_logo.gif&imgrefurl=http://www.buholzer.ch/pages/produkte/Produkte.html&h=60&w=92&sz=2&hl=en&start=3&um=1&tbnid=Ff6-w3ZHfT6jRM:&tbnh=52&tbnw=79&prev=/images?q=igel+logo&svnum=10&um=1&hl=en&rlz=1T4GFRC_enUS211US212


Периметр

Филиал

Приложения и

данные

Офис

Политика

Хакеры Заказчики Партнеры


Периметр

Филиал


данные

Офис

Политика

Хакеры Заказчики

Дом

Кафе

Аэропорт

Мобильный

пользователь Партнеры


Периметр

Филиал


данные

Офис

Политика

Хакеры

Дом

Кафе Заказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a Service X

as a Service Software

as a Service


Периметр

Филиал


данные

Офис

Политика

Хакеры

Дом

Кафе Заказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a Service X

as a Service Software

as a Service


• В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно

IaaS

Провайдер

Заказчик

VMs/Containers

ОС/Приложения

Данные

PaaS


Провайдер

Заказчик Данные

SaaS

Провайдер

© Cisco, 2010. Все права защищены. 31/43 3

1

Identity Federation

SAML

Решение

1. Federated

Identity

2. OAuth для

интеграции с

backend API


Ошибки в настройке Изоляция данных

Server

Team Security

Team

Network

Team Физический сервер

Sensitive Non-Sensitive

Сегментация

Физический сервер

Видимость трафика


Группа портов

Администрирование

серверов

Сетевое администрирование

Администрирование

Безопасности

1. VMware и аналоги позволяют

перемещать виртуальные машины

между физическими серверами

Политика безопасности должна

соответствовать этому процессу

2. Администраторам необходима

возможность обзора и применения

политики безопасности к локально

коммутируемому трафику

3. Администраторам необходимо

поддерживать разделение

обязанностей, одновременно

обеспечивая бесперебойную

эксплуатацию

4. Правильная модель угроз позволяет

уйти от применения только

сертифицированных средств защиты


Рост трафика на ПК Драматический рост

трафика в ЦОД

Взаимодействие видео

и социальных сетей

# !

%

Business Pipeline

Социальные сети

Web-почта


Hotmail


Двусторонняя связь

Только голос

Телефон

Проводная связь

Внутри предприятия

По расписанию

Конференция

Мультимедиа

Мобильный, IP Phone

Беспроводная связь

Дома, везде

По требованию

Один к одному Социальные сети



Microsoft Office

Communicator

Cisco WebEx

Видеотелефония

Web-камеры Видеосвязь

на ПК Видеосвязь

SD и HD качества


Контроль доступа

Отражение угроз

Сетевая политика

Защита сервисов

Шифрование видео & голоса

Контроль звонков Инфраструктура Endpoints Приложения

• SIP, SCCP, MGCP, H.323

• Контроль и инспекция

• Понимание потока и

заголовка звонка

• Защита от DoS-атак

• TLS Proxy для

зашифрованной

сигнализации

• NAT/PAT

• Предотвращение

сервисов для UC

• Сигнатуры для атак на

UC

• VPN для голоса/видео

(V3PN)

• Предотвращение атак

«переполнение

буфера»

• Инспекция

SIP/SCCP/CTIQBE/TAP/JT

API

• Контроль доступа и

инспекция для - Cisco

Unity, Meetingplace,

Presence, Cisco

Telepresence, IM over SIP,

Microsoft

• Таймауты для

аудио/видео-соединений

• Инспекция RTP/RTCP

• SIP и SCCP Video

Endpoints – IP phones, VT

Advantage, Cisco Unified

Personal Communicator

• Политики -

разрешить/запретить

звонки с

незарегистрированных

телефонов, абонентов,

whitelist, blacklist


• Интерес злоумышленников к критическим инфраструктурам и требования регуляторов требует нового взгляда на защиту АСУ ТП

• Stuxnet, Duqu, Flame – это только начало

• Потребуются специализированные подходы и средства защиты АСУ ТП


Не пустить плохих

Пустить хороших

Соответствовать

Учесть BYOD

Разрешить виртуализацию

Быть готовым к облакам

Политика

Организационно – КТО?

Операционно – КАК?

Технологически – ЧТО?

Access

Identity

Compliance

Endpoint

Intrusion

Management

Wired

Wireless

VPN

In the Network

On the Network

On the Device

Compliance Ops.

Network Ops.

Application Team

Endpoint Team

Security Ops.

HR

Контроль доступа

Identity Mgmt

Соответствие

Endpoint

Вторжения

Управления

Проводное

Беспроводное

VPN

В сети

Поверх сети

На устройстве

Application Team

Security Ops.

HR

Endpoint Team

Network Ops.

Compliance Ops.


Политика

Кто Что Как Где/откуда Когда

Анализ

угроз

Dynamic Updates Operations Center SensorBase

Внедрение на

уровне сети

Интегрированная

инфраструктура

Высокоскоростная

навесная защита

Облачные

вычисления


• Персональные данные

Новые Постановления Правительства

Новые документы ФСТЭК и ФСБ

Пакет рекомендаций РКН

• Национальная платежная система

ПП-584 и документы Банка России

• Требования по УЦ и ЭП

Частично уже есть

• Ужесточение ситуации по лицензированию ФСБ

• Социальные сети и контроль Интернет

• Безопасность критически важных объектов

• Изменения в КоАП и УК РФ

Спасибо

за внимание!

[email protected]

Praemonitus praemunitus!

Technology

Новые тенденции и новые технологии на рынке ИБ