Upload
alexey-lukatsky
View
9.077
Download
3
Embed Size (px)
Citation preview
1/43 © Cisco, 2010. Все права защищены.
Новые тенденции и новые технологии на рынке ИБ
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 2/43
Мировой рынок МСЭ меньше рынка йогуртов в США
Приход новых игроков
Boeing, Raytheon, Lockheed, SAIC, Northrop Grumman, BAE, EADS, HP (EDS)
Кибероружие
Логическая бомба в АСУ ТП Газпрома (1982), вирус AF/91 (1991), «Лунный лабиринт» (1998), «Титановый дождь» (2003), Suter (2007), «Автора» (2009), Stuxnet (2010)
Кибербезопасность
Создание кибервойск
Разработка стратегий ведения и отражения кибервойн
Новые технологии
Проведение исследование, аналогичных военным, и использование полученных технологий для в разработке
© Cisco, 2010. Все права защищены. 3/43
• Недокументированные возможности Intel 80x86, 286, 386, 486, Pentium…, AMD, Cyrix и т.д. (1995)
• Чипсеты Intel из Китая (2007)
• Руткит в Broadcom NetExtreme (2010)
• Закрытый модуль BMC, зашитый в BIOS- код Management Agent (2011)
© Cisco, 2010. Все права защищены. 4/43 ИНФРАСТРУКТУРА
Угрозы Новые
технологии
Требования
регуляторов
Россия коренным образом отличается от всего мира в
области информационной безопасности!!!
© Cisco, 2010. Все права защищены. 5/43
• Современные киберпреступники эмулируют удачные бизнес-модели
• Проведение исследований рынка
• Приобретение лучших технологий вместо разработки собственных
• Борьба за лояльность заказчиков
• Предложение различных продуктов и сервисов
• Партнерские программы
• Профессиональный сервис
© Cisco, 2010. Все права защищены. 6/43
• Высокообразованные специалисты взаимодействуют между собой для создания новых вредоносных программ
• Для управления большими проектами используются специализированные средства разработки ПО, контроля версий и взаимодействия разработчиков
• Разработчики вредоносных программ ничем не отличаются от таких же в ИТ-индустрии
• Обмен информацией и талантами при совместной работе дает гораздо больший эффект, чем работа в одиночку
• Большие заработки не оставляют надежды на самостоятельное прекращение этого бизнеса
© Cisco, 2010. Все права защищены. 7/43
Цель
Расширение спектра
целевых угроз Атаки на новые
технологии
Рост экосистемы
киберпреступности
# !
%
© Cisco, 2010. Все права защищены. 8/43
Вирус Шпионское
ПО
Malware
(трояны,
кейлоггеры,
скрипты)
Эксплоиты
Исследования
NSS LAB
показывают, что
даже лучшие
антивирусы и
Web-шлюзы не
эффективны
против
современных
угроз
Вредоносные
программы
воруют уже не
ссылки на
посещаемые
вами сайты, а
реквизиты
доступа к ним
Web и социальные
сети все чаще
становятся
рассадником
вредоносных
программ, а также
инструментом
разведки
злоумышленников
Вредоносные
программы
используют для
своих действий
неизвестные
уязвимости (0-Day,
0-Hour)
© Cisco, 2010. Все права защищены. 9/43
Массовое
заражение Полимор-
физм
Фокус на
конкретную
жертву
Передовые
и тайные
средства
(APT)
Злоумышленников
не интересует
известность и
слава – им важна
финансовая
выгода от
реализации угрозы
Современные угрозы
постоянно меняются,
чтобы средства
защиты их не
отследили –
изменение
поведения, адресов
серверов управления
Угрозы могут быть
разработаны
специально под вас –
они учитывают вашу
инфраструктуры и
встраиваются в нее, что
делает невозможным
применение
стандартных методов
анализа
Угрозы становятся
модульными,
самовосстанавлива-
ющимися и
устойчивыми к
отказам и
обнаружению
© Cisco, 2010. Все права защищены. 10/43
Мотивация
Метод
Фокус
Средства
Результат
Тип
Цель
Агент
Известность
Дерзко
Все равно
Вручную
Подрыв
Уникальный код
Инфраструктура
Изнутри
Деньги
Незаметно
Мишень
Автомат
Катастрофа
Tool kit
Приложения
Третье лицо
© Cisco, 2010. Все права защищены. 11/43
Глобальные сложные угрозы
Высокая сложность
Многовекторные атаки –
ни одна не похожа на
другую
Необнаруженное
вредоносное ПО
Отключается системы ИБ,
крадет данные, открывает
удаленный доступ к системе
Надежность защиты
ограничивается
сигнатурными методами
и поиском по локальным
данным
ПРОБЛЕМА
РИСК: РИСК: РИСК: РИСК ВЫСОКИЙ ВЫСОКИЙ СРЕДНИЙ
Поддельные сайты Microsoft Update
KOOBFACE «Сбор средств
на восстановление Гаити»
© Cisco, 2010. Все права защищены. 12/43
Внешние и внутренние угрозы
Внутренние угрозы Внешние угрозы
Ботнеты
Масштабирование
производительности и
своевременное
распространение
обновлений
Отсутствие глобальной
информации об угрозах и
контекстной информации
для обеспечения надежной
защиты
Слабая координация
действий систем
обеспечения ИБ и
сетевого оборудования
ПРОБЛЕМА
ВПО
© Cisco, 2010. Все права защищены. 13/43
Но не UTM
РЕШЕНИЕ
КТО
ЧТО
ГДЕ
КОГДА
КАК Политика с учетом контекста
IPS
Web
МСЭ
СЕТЬ
Полномасштабное
решение: МСЭ, IPS,
«облачные» сервисы
защиты web-трафика и
электронной почты
Политика с учетом
контекста точнее
соответствует бизнес-
потребностям в сфере ИБ
Простота
развертывания и
обеспечения защиты
распределенной среды
© Cisco, 2010. Все права защищены. 14/43
Понимание контекста
Классический МСЭ
Устройство Интегрированное решение Виртуализация
Широкий спектр платформ
© Cisco, 2010. Все права защищены. 15/43
Контекстно-ориентированный МСЭ
Понимание контекста
Классический МСЭ
Устройство Интегрированное решение Виртуализация
Широкий спектр платформ
© Cisco, 2010. Все права защищены. 16/43
ЧТО
75,000+ MicroApps
MicroApp Engine
Глубокий анализ трафика
приложений
Поведение
приложений
Контроль действий
пользователя внутри
приложений
Покрытие… … классификация всего
трафика
1,000+ приложений
© Cisco, 2010. Все права защищены. 17/43
ГДЕ/ОТКУДА
ОФИС
ОТЕЛЬ
© Cisco, 2010. Все права защищены. 18/43
• Информация с огромного количества оконечных устройств
Устройство Состояние
AV
Registry Files
Версия ОС
КАК
© Cisco, 2010. Все права защищены. 19/43
Требование
разнообразия устройств
Смешение частного и
служебного
Нужен доступ к
критичных ресурсам
© Cisco, 2010. Все права защищены. 20/43
Мобильным сотрудникам
требуется доступ к
сетевым и «облачным»
сервисам
На разнообразных
пользовательских
устройствах используются
как пользовательские, так и
корпоративные профили
Кража/утеря устройств –
высочайший риск утери
корпоративных данных и
нарушения нормативных
требований
462 млн
ПРОБЛЕМА
© Cisco, 2010. Все права защищены. 21/43
Инвентаризация
Инициализация
устройства
Безопасность данных
на устройстве
Безопасность приложен.
Управление затратами
Полная или частичная
очистка удаленного
устройства
MDM продукты Контроль доступа и защита от сетевых угроз
Политики Защитный клиент МСЭ Облако Web Sec
Аутентификация
пользователей и
устройств
Оценка состояния
Применение
политики доступа
Безопасный
удаленный доступ
Защита от угроз
Политика
использования
Web
Защита от утечек
информации
© Cisco, 2010. Все права защищены. 22/43
IP-камера
Корпоративный ресурс
MAC: F5 AB 8B 65 00 D4 Ноутбук
Корпоративный ресурс
Лаборатория
11 утра
Мария Сидорова
Сотрудник HR
Проводной доступ
11-00
Принтер
Некорпоративный актив
MAC: B2 CF 81 A4 02 D7
IP телефон G/W
Корпоративный актив
Финансовый департамент
11:00 вечера
Сергей Балазов
контрактник
IT
Проводное подключение
10 утра
Анна Петрова
сотрудник
CEO
Удаленный доступ
10 вечера
Катя Жуковская
сотрудник
R&D
WiFi
14:00 дня Антон Алмазов
консультант
Центральный офис
Удаленный доступ
6:00 вечера
Виктория Катернюк
Сотрудник
Проводной доступ
15-00
Конфиденциальные ресурсы Сеть, устройства и Приложения
Множество методов доступа Разные устройства, разные места
Все необходимо контролировать
Пользователи и устройства Сотрудники, Контрактники, Телефоны, Принтеры…
© Cisco, 2010. Все права защищены. 23/43
КОГДА ЧТО
ГДЕ
КАК КТО
Идентификация
Атрибуты
политики
безопасности
Модуль централизованных политик
Политики,
относящиеся к бизнесу
Пользователи и
устройства
Динамическая политика и реализация
УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ
МОНИТОРИНГ И
ОТЧЕТНОСТЬ
РЕАЛИЗАЦИЯ ПОЛИТИК
БЕЗОПАСНОСТИ
© Cisco, 2010. Все права защищены. 24/43
Родные приложения
для BYOD • Данные на устройстве
• Высокая
производительность
•“Родной” интерфейс
Браузер •Данные на устройстве
•Портирование на разные
платформы
•Интерфейс браузера
Виртульные сервисы •Нет локальных данных
•Самая высокая
безопасность
•Ощущения зависят от
скорости канала связи
Инсталлир. приложения
Корпоративные сервисы
Корпоративные сервисы
Корпоративные сервисы
Веб-браузер
HTML интерфейс
Клиент VDI Инфраструктура VDI
Data Center
Data Center
Data Center
© Cisco, 2010. Все права защищены. 25/43
Cisco UCS
CUPC MS Office Video
Desktop Virtualization Software
Виртуальный ЦОД
WAAS
ISR
VSG
Nexus
Филиал ЦОД
Cisco
WAN
Microsoft OS
Сеть с поддержкой технологий
виртуализации
МСЭ
Broker
Единый подход к вопросам безопасности, управления и автоматизации
Экосистема тонких
клиентов
Рабочие
Устройства Клиент
VXI
Бизнес-планшеты
Виртуальное рабочее
пространство
Hypervisor FC
Virtual CUCM
Virtual QUAD
vWAAS
ACE
Тонкие клиенты
© Cisco, 2010. Все права защищены. 26/43
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики Партнеры
© Cisco, 2010. Все права защищены. 27/43
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильный
пользователь Партнеры
© Cisco, 2010. Все права защищены. 28/43
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service X
as a Service Software
as a Service
© Cisco, 2010. Все права защищены. 29/43
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service X
as a Service Software
as a Service
© Cisco, 2010. Все права защищены. 30/43
• В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно
IaaS
Провайдер
Заказчик
VMs/Containers
ОС/Приложения
Данные
PaaS
Приложения
Провайдер
Заказчик Данные
SaaS
Провайдер
© Cisco, 2010. Все права защищены. 31/43 3
1
Identity Federation
SAML
Решение
1. Federated
Identity
2. OAuth для
интеграции с
backend API
© Cisco, 2010. Все права защищены. 32/43
Ошибки в настройке Изоляция данных
Server
Team Security
Team
Network
Team Физический сервер
Sensitive Non-Sensitive
Сегментация
Физический сервер
Видимость трафика
© Cisco, 2010. Все права защищены. 33/43
Группа портов
Администрирование
серверов
Сетевое администрирование
Администрирование
Безопасности
1. VMware и аналоги позволяют
перемещать виртуальные машины
между физическими серверами
Политика безопасности должна
соответствовать этому процессу
2. Администраторам необходима
возможность обзора и применения
политики безопасности к локально
коммутируемому трафику
3. Администраторам необходимо
поддерживать разделение
обязанностей, одновременно
обеспечивая бесперебойную
эксплуатацию
4. Правильная модель угроз позволяет
уйти от применения только
сертифицированных средств защиты
© Cisco, 2010. Все права защищены. 34/43
Рост трафика на ПК Драматический рост
трафика в ЦОД
Взаимодействие видео
и социальных сетей
# !
%
Business Pipeline
Социальные сети
Web-почта
Приложения
Hotmail
© Cisco, 2010. Все права защищены. 35/43
Двусторонняя связь
Только голос
Телефон
Проводная связь
Внутри предприятия
По расписанию
Конференция
Мультимедиа
Мобильный, IP Phone
Беспроводная связь
Дома, везде
По требованию
Один к одному Социальные сети
© Cisco, 2010. Все права защищены. 36/43
© Cisco, 2010. Все права защищены. 37/43
Microsoft Office
Communicator
Cisco WebEx
Видеотелефония
Web-камеры Видеосвязь
на ПК Видеосвязь
SD и HD качества
© Cisco, 2010. Все права защищены. 38/43
Контроль доступа
Отражение угроз
Сетевая политика
Защита сервисов
Шифрование видео & голоса
Контроль звонков Инфраструктура Endpoints Приложения
• SIP, SCCP, MGCP, H.323
• Контроль и инспекция
• Понимание потока и
заголовка звонка
• Защита от DoS-атак
• TLS Proxy для
зашифрованной
сигнализации
• NAT/PAT
• Предотвращение
сервисов для UC
• Сигнатуры для атак на
UC
• VPN для голоса/видео
(V3PN)
• Предотвращение атак
«переполнение
буфера»
• Инспекция
SIP/SCCP/CTIQBE/TAP/JT
API
• Контроль доступа и
инспекция для - Cisco
Unity, Meetingplace,
Presence, Cisco
Telepresence, IM over SIP,
Microsoft
• Таймауты для
аудио/видео-соединений
• Инспекция RTP/RTCP
• SIP и SCCP Video
Endpoints – IP phones, VT
Advantage, Cisco Unified
Personal Communicator
• Политики -
разрешить/запретить
звонки с
незарегистрированных
телефонов, абонентов,
whitelist, blacklist
© Cisco, 2010. Все права защищены. 39/43
• Интерес злоумышленников к критическим инфраструктурам и требования регуляторов требует нового взгляда на защиту АСУ ТП
• Stuxnet, Duqu, Flame – это только начало
• Потребуются специализированные подходы и средства защиты АСУ ТП
© Cisco, 2010. Все права защищены. 40/43
Не пустить плохих
Пустить хороших
Соответствовать
Учесть BYOD
Разрешить виртуализацию
Быть готовым к облакам
Политика
Организационно – КТО?
Операционно – КАК?
Технологически – ЧТО?
Access
Identity
Compliance
Endpoint
Intrusion
Management
Wired
Wireless
VPN
In the Network
On the Network
On the Device
Compliance Ops.
Network Ops.
Application Team
Endpoint Team
Security Ops.
HR
Контроль доступа
Identity Mgmt
Соответствие
Endpoint
Вторжения
Управления
Проводное
Беспроводное
VPN
В сети
Поверх сети
На устройстве
Application Team
Security Ops.
HR
Endpoint Team
Network Ops.
Compliance Ops.
© Cisco, 2010. Все права защищены. 41/43
Политика
Кто Что Как Где/откуда Когда
Анализ
угроз
Dynamic Updates Operations Center SensorBase
Внедрение на
уровне сети
Интегрированная
инфраструктура
Высокоскоростная
навесная защита
Облачные
вычисления
© Cisco, 2010. Все права защищены. 42/43
• Персональные данные
Новые Постановления Правительства
Новые документы ФСТЭК и ФСБ
Пакет рекомендаций РКН
• Национальная платежная система
ПП-584 и документы Банка России
• Требования по УЦ и ЭП
Частично уже есть
• Ужесточение ситуации по лицензированию ФСБ
• Социальные сети и контроль Интернет
• Безопасность критически важных объектов
• Изменения в КоАП и УК РФ