Новое решение Cisco по борьбе с внутренними угрозами

Компания Cisco анонсировала новое решение Cisco Cyber Threat Defense по борьбе с внутренними угрозами. Предназначение этого решения — бороться с тем, что уже проникло во внутреннюю сеть компании и наносит ей ущерб. Мы прекрасно понимаем, что информационная безопасность современного предприятия не может базироваться только на защите периметра. И периметр становится размытым и угрозы усложняются настолько, что нет гарантии, что они не проникнут даже через многоуровневую систему защиты, выстроенную на периметре и состоящую из межсетевых экранов, систем предотвращения вторжений, систем контентной фильтрации и т.д. Продолжить чтение этой записи

Реклама

Хакеры Anonymous планируют атаковать нефтегазовые компании России

Вас интересует ответ на вопрос, как реагировать на заявления хакеров из группы Anonymous, о планируемых на 20-е июня атаках на нефтегазовые компании в разных регионах, включая Россию и страны СНГ (http://www.ibtimes.com/anonymous-announces-oppetrol-attack-local-oil-gas-companies-video-1267817)?

Эксперты компании Cisco предполагают, что новая атака (если она будет осуществлена), будет похожа на то, что уже осуществлялось в сентябре прошлого года, когда множество финансовых организаций столкнулись с направленными хакерскими атаками «отказ в обслуживании» на свои активы. Соответственно можно предположить, что и предложенные ранее меры борьбы будут также эффективны. Cisco подготовила несколько рекомендаций по этому поводу. Их можно найти на нашем сайте Security Intelligence Operations:

— Cisco Event Response: Как реагировать на распределенные атаки «отказ в обслуживании» на финансовые организации — http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html

— Applied Mitigation Bulletin: Как обнаруживать и реагировать на распределенные атаки «отказ в обслуживании» — http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115

— Стратегии отражения распределенных атак «отказ в обслуживании» —  http://www.cisco.com/en/US/tech/tk59/technologies_white_paper09186a0080174a5b.shtml

—  Блог: координированные атаки против государственной и финансовой инфраструктуры США —  http://blogs.cisco.com/security/coordinated-attacks-against-the-u-s-government-and-banking-infrastructure/

Cisco занимает первое место на рынке средств защиты центров обработки данных

Месяц назад я написал заметку о защите центров обработки данных и виртуализированных сред. И вот доказательство того, что наши подходы действительно отражают не только текущие тенденции в области построения надежных и защищенных ЦОДов, но и удовлетворяют потребности заказчики, которые и признали решения Cisco лучшими среди прочих. В марте 2013-го года компания Infonetics Research опубликовала отчет «Data Center Security Strategies and Vendor Leadership Survey», в котором были опубликованы результаты опроса 104 крупных организации (с числом сотрудников выше 1000). Первый заданный вопрос касался имен трех самых-самых поставщиков решений по защите центров обработки данных для каждого из 10 основных критериев приобретения соответствующих решений. Лидирующие позиции по всем 10-ти критериям заняла компания Cisco. Среди других компаний, позиции которых отражены на графике, — VMware, McAfee, Juniper, HP TippingPoint и Trend Micro.

Лидирующие позиции Cisco в области защиты ЦОДов

Лидирующие позиции Cisco в области защиты ЦОДов

Среди других результатов данного отчета вопрос, касающийся планов респондентов по приобретению в этом и 2014-м году решений по безопасности ЦОДов. Cisco оказалась единственным производителем в тройке лидеров, чьи решения не только используются сейчас, но и число желающих их установить в 2014-м году будет только расти, в то время как у других игроков, встречавшихся в ответах респондентов, позитивного роста не наблюдается и число желающих использовать решения бывших лидеров рынка ЦОДов снижается.

Как Cisco защищает современные центры обработки данных и виртуализированные среды

04 апреля 2013 мы провели специализированное мероприятие для наших заказчиков – участников клуба CiscoExpo Learning Club, посвященное вопросам защиты современных центров обработки данных (ЦОД). В рамках данного семинара мы подробно остановились на стратегии Cisco в области защиты ЦОДов, конкретных технических решениях и рекомендациях по построению и дизайну защищенного ЦОДа. Мы рассмотрели как высокопроизводительные решения для межсетевого экранирования и предотвращения вторжений Cisco ASA 5585-X и Cisco IPS 4500, так и специализированные межсетевые экраны для виртуализированных сред Cisco Virtual Security Gateway и Cisco ASA 1000V Cloud Firewall. Мы рассмотрели примеры использования Cisco ISE для контроля доступа к ресурсам ЦОД, включая и виртуальные машины, а также непростой вопрос с сегментацией внутри ЦОД (в т.ч. и с помощью Cisco Fabric Interconnect). И конечно мы не могли обойти вниманием вопросы взаимодействия виртуальных рабочих мест (VDI) с ЦОДов в контексте информационной безопасности. Все материалы с этого семинара, а также запись Webex вы можете найти на сайте CiscoExpo Learning Club.

Также хотим сообщить вам, что в конце марта мы подготовили и опубликовали целый набор русскоязычных документов по защите центров обработки данных:

  • Три необходимых компонента для обеспечения безопасности при осуществлении преобразования ЦОД (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности корпоративной сети в среде Web 2.0 и при использовании социальных сетей (на SlideShare и на сайте Cisco)
  • Безопасная сегментация в унифицированной архитектуре центров обработки данных Cisco (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности для виртуальных серверов и приложений (на SlideShare и на сайте Cisco)
  • Решения Cisco Secure Data Center для защиты виртуальных и частных облачных сред. Ответы на часто задаваемые вопросы (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного центра обработки данных. Краткий обзор (на сайте Cisco)

Если после изучения указанных материалов у вас останутся какие-либо вопросы по теме защиты центров обработки данных, виртуализированных сред, облачных вычислений, то вы можете задать все свои вопросы по адресу: security-request@cisco.com.

Ввоз и использование оборудования Cisco с функциями шифрования

В середине февраля мы в очередной раз с успехом провели вебинар об особенностях ввоза и использования оборудования Cisco с функциями шифрования. В нем приняло участие 400+ человек, которых интересовала эта непростая тема. Презентация с данного семинара теперь доступна для всех желающих (запись Webex также доступна):

По итогам сессии вопросов и ответов мы обновили документ с часто задаваемыми вопросами по данной тематике:

Дополнительно мы также выложили и другие обсуждаемые в рамках вебинара материалы:

  • Информационное письмо в ЦЛСЗ ФСБ
  • Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
  • Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для собственного использования)
  • Разъяснение о процедуре изменения криптографических характеристик имеющего оборудования
  • Различия в лицензионных требованиях по видам деятельности с шифровальными средствами

Злоумышленники меняют свое поведение. А Вы?

Совсем недавно мы выпустили наш ежегодный отчет по безопасности Cisco Annual Security Report 2013 и отчет по использованию сетевых технологию и поведению пользователей в Интернет Cisco Connected World Technology Report. Они зафиксировали ряд интереснейших перемен, произошедших как в поведении пользователей Интернет, так и в поведении злоумышленников. Они лишний раз подтверждают те выводы, которые специалисты компании Cisco по информационной безопасности сделали достаточно давно:

  1. Поведение пользователей не является статичным и постоянно изменяется. Меняются привычки, мотивация, подходы, принципы, по которым пользователи «живут» в Интернет. И это не может не сказываться на том, как мы должны защищать пользователей от Интернет-напастей или, как минимум, как учитывать изменившееся поведение в деятельности корпоративных или ведомственных служб ИБ. Например, 91% пользователей считает, что время приватности в Интернет проходит. Сейчас еще сложно осознать, к каким последствиям приведет данный факт, зафиксированный в отчете Cisco.
  2. Меняется не только поведение пользователей, но и методы, используемые злоумышленниками. По сути, эти методы представляют собой обычную бизнес-модель, по которой живет любая коммерческая компания (только со знаком минус). Киберпреступники изучают своего «потребителя», налаживают различные каналы сбыта своей вредоносной продукции, создают партнерские сети, предлагают различные сезонные скидки покупателям вирусов или иных инструментов совершения киберпреступлений, отслеживают структуру своих издержек и стараются делать свой бизнес очень прибыльным, имеют службы поддержки продаваемых вредоносных программ и т.п. Это значит, что хакеры давно вышли из категории одиночек, старающихся заявить о себе во всеуслышанье. У них иные задачи, иные цели, иные подходы. А значит должны меняться и способы нейтрализации этих угроз.
  3. Безопасность сегодня не может быть зависящей от одной, пусть и самой лучшей системы защиты, — необходим целый комплекс защитных механизмов и организационных мер, направленных на выявление, нейтрализацию угроз и предотвращение их повторов в будущем. Как никогда важен архитектурный подход в области защиты корпоративных или ведомственных сетей, позволяющий перекрывать различные каналы проникновения вредоносных программ внутрь защищаемого виртуального пространства. Именно поэтому мы давно пропагандируем не точечную защиту, а систему эшелонированной обороны, состоящей из множества взаимоувязанных элементов. Сначала эта архитектура концепция Cisco Self-Defending Network, теперь она носит название Cisco SecureX.
  4. В современном мире ни одна система защиты не будет эффективной длительное время без постоянной подпитки знаниями о новых способах совершения киберпреступлений. И такое обновление средств защиты должно происходить не раз в неделю, не раз в день, и даже не раз в час. Мир угроз меняется так стремительно, что и средства обеспечения сетевой безопасности должны адаптироваться к новым атакам не менее оперативно. А для этого просто необходимо иметь собственный центр исследований и анализа в области информационной безопасности. У Cisco такой центр есть и носит он название Cisco Security Intelligence Operations (SIO).

Более подробно изучить выводы, сделанные специалистами Cisco вы можете в подготовленной нами презентации, а также в проведенном 7-го февраля вебинаре, запись которого также доступна через систему Webex.

Сами отчеты можно скачать на сайте Cisco — Cisco Annual Security Report и Cisco Connected World Technology Report.

Мы запускаем портал Cisco ASA CX

Когда речь заходит о том, какие функции по контролю трафика есть у традиционного межсетевого экрана, то ответ обычно не заставляет себя ждать. Межсетевой экран может фильтровать трафик практически по всем полям заголовка IP-пакета (адрес отправителя и получателя, порт отправителя и получателя, протокол и т.д.). Именно с этого начиналась история межсетевых экранов и именно поэтому они стали называться пакетными фильтрами. Второе поколение межсетевых экраном стало использовать гораздо большее число параметров для контроля. От достаточно традиционных — время, направление движение трафика, состояние сессии, до редких, но не менее важных — имя пользователя, тип устройства, осуществляющего доступ, операционная система этого устройства, принадлежность устройства компании или частному лицу и т.д. Именно так могут быть построены правила разграничения доступа для Cisco ASA 5500-X.

Политика разграничения доступа на Cisco ASA 5500-X

Но вот на рынке стали появляться прикладные межсетевые экраны (application firewall) или межсетевые экраны следующего поколения (next generation firewall), ориентированные на контроль приложений. Обычная настройка правил по адресам и портам в данном случае не подходит, т.к. на одном порту (например, TCP/80 или TCP/8080) может находиться множество различных приложений, одни из которых могут быть разрешены, а другие запрещены корпоративной или ведомственной политикой безопасности. Именно задачу глубого и гибкого контроля приложений решает прикладной межсетевой экран Cisco ASA CX и разработанная для управления им система Cisco Prime Security Manager (PRSM).

Политика контроля доступа Cisco ASA CX

С помощью PRSM мы можем не только разрешить или запретить работу того или иного приложения, но и построить политику разграничения с учетом конкретных действий и операций внутри приложения. Например, можно разрешить переписку с помощью какой-либо системы мгновенных сообщений, но запретить передачу через нее файлов. Можно разрешить заход на сайт Facebook, но запретить использование каких-либо микроприложений, разработанных, например, для Facebook, и т.п.

Однако, как только мы начинаем говорить о прикладном межсетевом экране, сразу возникает вопрос о поддерживаемых им приложениях. На сегодняшний день Cisco ASA CX поддерживает свыше 1100 таких приложений — Facebook, LinkedIn, Skype, BitTorrent, eDonkey, iCloud, Dropbox, pcAnywhere, Yandex, Winamp Remote, Google Drive, Scribd, MS Windows Azure, Salesforce CRM, Oracle e-Business Suiteа, MS Lync, Tor и т.д., а также свыше 75000 микроприложений. Перечислять их все не хватит целого экрана, а выпускать документ с полным списком — задача также неблагодарная — этот список обновляется ежемесячно. Поэтому сегодня мы запустили новый публичный портал, который содержит список всех приложений, поддерживаемых Cisco ASA CX. Этот портал доступен по адресу: http://asacx-cisco.com/.

Функциональные возможности портала:

  • Отображение актуального списка поддерживаемых приложений (обновляется один раз в месяц)
  • Отображение описаний приложений и их возможностей
  • Поиск приложений и поддержка фильтров по категориям
  • Отображение списка приложений, поддержка которых была добавлена за последние 1, 2 или 3 месяца
  • Получение более подробных сведений о новых приложениях с помощью раздела “Featured search keywords” (наиболее популярные ключевые слова).

Также мы подготовили и ряд новых русскоязычных материалов по Cisco ASA CX — white paper «Cisco ASA CX обеспечивает безопасность с учетом контекса» и независимое исследование по данному решению от компании Lippis Consulting. Также по-прежнему доступны обзорная презентация и листовка по Cisco ASA CX, которые мы готовили в прошлом году.

Охота за «Красным Октябрем»

Речь пойдет не о культовом фильме с Шоном Коннери в главной роли, а о последнем примере применения кибероружия в разведывательных целях, который был обнаружен Лабораторией Касперского и который был анонсирован ее специалистами в понедельник. Я уже успел даже прокомментировать этот ролик на телевидении, но моя заметка не о природе этого вредоносного кода, не о его авторах и даже не о том, как он работает. Речь пойдет о том, как с ним бороться.

По мнению экспертов Лаборатории Касперского расширяемая и многофункциональная платформа, используемая для кражи конфиденциальной и секретной информации, использует 4 известные уязвимости:

  • CVE-2009-3129 — Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
  • CVE-2010-3333 — Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
  • CVE-2012-0158 — Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
  • CVE-2011-3544 — Oracle Java Applet Rhino Script Engine arbitrary code execution vulnerability.

Аналитики нашего исследовательского центра Cisco Security Intelligence Operations (SIO) разработали целый набор защитных мероприятий, которые могут быть реализованы с помощью различных решений Cisco в области информационной безопасности. Для первых двух уязвимостей известных еще с 2009-го и 2010-го годов мы выпустили бюллетени об уязвимостях:

соответствующие рекомендации по отражению указанных угроз:

а также 4 сигнатуры для решений Cisco от обнаружению и предотвращению вторжений Cisco IPS — 22083-0, 21920-0, 31239-1 и 31239-0.

Для борьбы с новой уязвимостью, позволяющей удаленное выполнение кода и описанной в бюллетене Microsoft MS12-027: Vulnerability in Windows Common Controls Could Allow Remote Code Execution мы также провели целый ряд исследований, результатом которых стал выпуск соответствующих бюллетений, рекомендация и сигнатур:

При этом в последнем случае идентифицировать данную угрозу и бороться с ней можно не только с помощью Cisco IPS, но и с помощью сертифицированных в ФСТЭК маршрутизаторов Cisco IOS с Netflow, сертифицированных в ФСТЭК межсетевых экранов Cisco ASA, Cisco ASA SM и Cisco FWSM для Catalyst 6500, а также с помощью Cisco ACE. Последняя уязвимость в реализации Java, используемая в одном из командных серверов «Красного Октября», также описана нами в соответствующем бюллетене. Все эти рекомендации и сигнатуры уже доступны для пользователей Cisco и могут быть загружены с нашего портала по информационной безопасности Cisco SIO.

Указанные ресурсы для борьбы с «Красным Октябрем» — это только один пример активности экспертов Cisco SIO, в круглосуточном режиме работающих для защиты информационных систем и сетей наших заказчиков. На уже упомянутом выше портале вы сможете регулярно получать информацию следующего характера:

  • Event Responses (реакция на событие) обеспечивает информацию о событиях ИБ, которые могут иметь потенциально серьезные последствия для устройств, приложений и сетей заказчиков.
  • Applied Mitigation Bulletins (бюллетень о проявлении уязвимостей в продуктах Cisco) обеспечивает описание технологий для обнаружения и отражения уязвимостей в продуктах Cisco.
  • IPS Signatures (сигнатуры IPS) создаются для обнаружения и блокирования угроз ИБ с помощью Cisco IPS.
  • IntelliShield Alerts (бюллетень IntelliShield) включает вендорнезависимое «раннее предупреждение» об угрозе, ее анализ и разбор потенциальных последствий.

Безопасность от Cisco: чем запомнился 2012-й год

Год 2012-й с точки зрения информационной безопасности стал для компании Cisco очень успешным. В первую очередь мы анонсировали и представили заказчикам и партнерам целый ряд абсолютно новых продуктов, а также выпустили обновленные версии наших ключевых продуктов. Среди новинок хочется отметить:

  • Cisco ASA 5500-X. Новая аппаратная платформа «среднего класса» (в дополнение к «старшей» Cisco ASA 5585-X) расширила возможности наших заказчиков по защите своих корпоративных и государственных информационных ресурсов от сетевых нападений различного характера. Новые модели Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X и 5555-X не только в 4 раза производительнее предыдущих моделей среднего класса (Cisco ASA 5510, 5520, 5540 и 5550), но и построены на базе совершенно иной архитектуры, которая оптимизирована для работы с многоядерными процессорами. Другое ключевое отличие новой аппаратной платформы – возможность расширения защитных возможностей за счет поддержки различных сервисов безопасности (например, IPS) без установки дополнительных плат расширения.
  • Cisco IPS 4300 и Cisco IPS 4500. Помимо замены аппаратной платформы для многофункциональных защитных устройств Cisco ASA мы предложили заказчикам и 4 новых модели Cisco IPS — «среднего» класса Cisco IPS 4345 и 4360 и «старшего» класса — Cisco IPS 4510 и 4520.
  • Cisco IPS for SCADA. Угроза для индустриальных систем становится все серьезнее и компания Cisco не может оставаться в стороне от этой проблемы. Помимо специализрованных рекомендаций по построению устойчивых к атакам дизайнов индустриальных сетей в начале 2012 года компания Cisco выпустила специализированную систему предотвращения вторжений, ориентированную на обнаружение и отражение атак, ориентированных на различные компоненты современных технологических сетей — SCADA, PLC, HMI и т.д.
  • Cisco ASA CX. Последнее время угрозы стали «подниматься» с сетевого уровня на прикладной, скрываясь в хитросплетениях протоколов, по которым работаю современные Web-приложения — Facebook, Skype, ICQ, ВКонтакте, Youtube, iTunes, LinkedIn и т.д. Частично задачу нейтрализации прикладных угроз могут взять на себя Cisco ASA 5500-X и Cisco IPS, но заказчики просили нас разработать специализированное решение, которое многие аналитики сейчас называют межсетевым экраном следующего поколения (Next generation firewall) или прикладным межсетевым экраном (application firewall).  И такое решение было нами разработано — оно получило название Cisco ASA CX. Новый продукт расширяет возможности Cisco ASA и позволяет контролировать свыше 1000 приложений и 75000 микроприложений, которыми активно пользуются наши заказчики. C помощью Cisco ASA CX заказчики могут гибко контролировать работу этих приложений, например, разрешив общение через Интернет-пейджер, но запретив передачу через них файлов. И это только одна из возможностей ASA CX. К другим относятся – URL-фильтрация, применение политик в зависимости от типа устройства доступа (ПК, iPad, смартфон, принтер и т.п.), от имени пользователя, местоположения пользователя или устройства и т.д. Сначала это был аппаратный модуль для Cisco ASA 5585-X, а на днях мы выпустили ASA CX в виде программного сервиса (виртуального блейда), работающего и на остальных моделях Cisco ASA 5500-X.
  • Cisco Prime Security Manager (PRSM). Для управления Cisco ASA CX нами была разработана и предложена система управления Cisco Prime Security Manager.
  • Cisco ASA 1000V. Анонсированный в августе 2011 года межсетевой экран для виртуализированных и облачных сред Cisco ASA 1000V Cloud Firewall, стал доступен к заказу летом 2012-го года. Этот продукт лишний раз доказывает, что взятое компанией Cisco направление в области защиты центров обработки данных, будет и дальше оставаться в фокусе нашего внимания.

За выпуском новых продуктов мы не забывали выпускать и крупные обновления. Среди них можно назвать Identity Service Engine (ISE) 1.1 / TrustSec 2.1, ASA 9.0, Cisco Security Manager 4.3, AnyConnect 3.1. Особо хотелось бы отметить новую версию Cisco ASA 9.0, которая включила в себя срезу несколько новых важных функций:

  • кластеризация, позволяющая добиться совокупной производительности в 320 Гбит/сек
  • интеграция с Cisco ISE/TrustSec
  • интеграция с Cisco Cloud Web Security (новое название для сервисов облачной безопасности Cisco ScanSafe)
  • функционирование в смешанном режиме IPv4/IPv6
  • расширенная поддержка инфраструктуры Citrix Xen
  • новые функций Clientless VPN и мультиконтекстной возможности Cisco ASA.

Такое количество новинок позволило Cisco подтвердить свои лидирующие позиции в 4-х «магических квадратах» по версии Gartner (Secure Web Gateway, Secure Email Gateway, Network Access Control и SSL VPN), а также укрепить в 4 сегментах (Secure Access, Firewall, IPS и Email Gateway) по версии аналитических компаний Infonetics и Synergy. В России компания Cisco также является лидером на рынке средств сетевой безопасности. Это подтвердило и исследование компании IDC, согласно которому в 2011 году доля Cisco на рынке аппаратных решений обеспечения информационной безопасности составила 27,1%, почти вдвое превысив соответствующий показатель ближайшего конкурента. Учитывая динамику продаж можно предположить, что и в 2012-м году мы сохраним наши лидирующие позиции, еще больше увеличив отрыв от других игроков рынка.

Продолжалась работы и в части сертификации решений Cisco по российским требованиям в области информационной безопасности. Было получено свыше 50 новых сертификатов, но особо нам бы хотелось отметить сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco CGS 2500 по схеме «серия» по требованиям руководящего документа ФСТЭК «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищенности. Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco  вытекает из объявленной почти два года готовности руководства Cisco содействовать созданию в Российской Федерации энергетической  суперинфраструктуры (по-английски – Smart Grid), объединяющей новаторские энергетические и информационно-коммуникационные технологии.

В заключение краткого обзора того, что было сделано компанией Cisco в области информационной безопасности, хотелось бы поделиться и новостями нашего технологического партнера — компании С-Терра СиЭсПи, совместно с которой мы разрабатываем высокопроизводительные системы криптографической защиты информации (VPN-решения), удовлетворяющие требованиям российских нормативных актов в области информационной безопасности. Интересных событий два. Во-первых, разработка и тестирование нового высокопроизводительного решения на базе Cisco UCS, позволяющего шифровать поток данных на втором уровне с агрегированнoй производительностью 10 Гбит/с. Вторая новость заключается в получении положительного заключения ФСБ о соответствии CSP VPN Gate требованиям к СКЗИ по классу КС3.

Все эти новости лишний раз подтверждают не только то, что 2012 год был очень успешным для компании Cisco с точки зрения информационной безопасности и ознаменовался очень важными и интересными анонсами и новинками, но и то, что компания Cisco продолжает оставаться лидером мирового и российского рынка сетевой безопасности. И в 2013-м году мы продолжим удерживать свои лидирующие позиции, предлагая нашим заказчикам и партнерам лучшие решения для обнаружения и отражения различных угроз.

Сравнение производительности межсетевых экранов Cisco, Check Point и Fortinet

В феврале я уже писал о том, что компания Cisco выпустила 5 новых моделей Cisco ASA 5500-X, отличающихся от предыдущего модельного ряда не только абсолютно новой архитектурой, но и повышенной в 4 раза производительностью.  И чтобы подтвердить такой рост, компания Cisco привлекла компанию Miercom к оценке производительности многофункциональных устройств обеспечения безопасности серии ASA 5500-X в сравнении с их аналогами. Были опробованы три сопоставимых сценария сравнения изделий компаний Check Point и Fortinet с их аналогами серии ASA 5500-X. Модель ASA 5515‑X сравнивалась с Check Point 4210, ASA 5525‑X — с FortiGate 310B, а ASA 5555‑X — с устройствами Check Point 4807. Выбор этих продуктов объясняется их сходством по целевому назначению, что обеспечивает корректность сравнения. Результаты сравнения, а также методика тестирования, приведены в отчете, который может быть свободно загружен по ссылке.

На основе лабораторных тестов многофункциональных устройств обеспечения безопасности Cisco ASA 5515‑X, 5525-X и 5555-X компания Miercom подтверждает, что их производительность выше, чем у их аналогов Check Point 4210, FortiGate 310B и Check Point 4807.

Новый шаг Cisco в деле защиты критически важных объектов России

Согласно статистике нашего партнера, компании Positive Technologies, число уязвимостей для систем управления технологическими процессами растет из года в год. И уязвимости эти встречаются в продукции различных компаний — Siemens, ABB, Schneider Electric, Rockwell, Emerson, GE, Iconics и т.п. И все это непростые офисные системы, а сложные продукты, управляющие критически важными объектами, ущерб от атаки на которые может измеряться не только сотнями миллионов рублей, но и человеческими жизнями.

Более половины таких уязвимостей носит либо серьезный, либо критический характер. А значит эксплуатация этих дыр может привести к очень серьезным последствиям для владельца уязвимой АСУ ТП.

И для многих их этих уязвимостей уже появились свои эксплоиты, позволяющие не просто говорить об уязвимости, а реально их использовать.

Уделяя этой проблеме немало внимая, Cisco в прошлом году оснастила свою систему предотвращения вторжений Cisco IPS отдельным модулем нейтрализации атак на АСУ ТП ведущих мировых игроков этого рынка. И вот новая победа, уже на локальном рынке. Маршрутизатор Cisco CGR 2010 и коммутатор Cisco CGS 2500 получили сертификаты ФСТЭК России, как соответствующие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищенности.

Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco  вытекает из объявленной почти два года готовности руководства Cisco содействовать созданию в Российской Федерации энергетической  суперинфраструктуры (по-английски – Smart Grid), объединяющей новаторские энергетические и информационно-коммуникационные технологии. И вот первое подтверждение выбранного курса.

Маршрутизаторы Cisco CGR 2010 и коммутаторы Cisco CGS 2500 применяются для построения современных сетей электроэнергетики, помогая коммунальным службам надежнее и эффективнее доставлять электроэнергию от генерирующих мощностей в жилые здания и промышленные предприятия. С помощью данных устройств можно создать безопасную коммуникационную инфраструктуру для записи и анализа (в режиме, близком к реальному времени) информации, поступающей от множества «умных» электронных устройств, установленных на территории подстанции. Это поможет коммунальным службам лучше управлять передачей электроэнергии и распределяющими мощностями, а также повысить надежность доставки электроэнергии за счет оперативного обнаружения, изоляции, диагностики, а иногда и автоматического устранения неисправностей. Кроме того, решения Cisco облегчают подключение сетей электропередач к новым возобновляемым источникам энергии.

Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco CGS 2500 проводилась ЗАО «Документальные системы» по схеме «серия».  Благодаря этому в дальнейшем у покупателей данного оборудования сократятся временные и финансовые  издержки на получение документов, разрешающих его использование для защиты конфиденциальной информации.

Подробнее о решениях Cisco по направлению Smart Grid…

Подробнее о решениях Cisco по безопасности Smart Grid…

Новая серия систем предотвращения вторжений Cisco IPS 4500

Не успели мы в марте анонсировать системы предотвращения вторжений Cisco IPS 4300 (бюллетень), а затем и системы предотвращения вторжений для систем управления технологическими процессами (АСУ ТП), как новый анонс — новая линейка средств по отражению атак — Cisco IPS 4500. Эта мультигигабитная система нейтрализации вторжений ориентирована на защиту центров обработки данных, предъявляющих особые требования к системам защиты — высокую производительность, надежность, поддержку специфических протоколов, в т.ч. и прикладных.

Cisco IPS 4500

Cisco IPS 4500 представлена двумя моделями — Cisco IPS4510 и 4520, отличающихся производительностью (5 и 10 Гбит/сек соответственно), а также максимальным числом соединений (3.800.000 и 8.400.000 соответственно). Каждая модель оснащена 6-тью портами 10/100/1000 Мбит/сек и 4-мя портами на 1 или 10 Гбит/сек.  На следующих иллюстрациях показаны основные отличия этих двух моделей.

Программное обеспечение Cisco IPS 4500 не отличается от всех остальных моделей систем предотвращения вторжений. Они могут обнаруживать несанкционированные действия по сигнатурам и по подозрительному поведению, отслеживать атаки на приложения и на сетевые сервисы, включая и атаки APT. Cisco IPS 4500 может быть полностью автономной, а может быть активно вовлечена в систему глобальной корреляции. Для снижения нагрузки на подсистему идентификации атак Cisco IPS умеет отсекать лишнее, используя репутационные технологии или черные списки адресов, которые можно блокировать со 100%-ой уверенностью. Для борьбы с попытками обхода системы предотвращения вторжений используются спецализированные подхода (Anti-Evasion), а за счет механизма пассивного определения ОС и поддержки рейтинга рисков и рейтинга угроз нагрузка на оператора системы IPS снижается многократно путем многократного снижения числа ложных срабатываний. Для облегчения внедрения используется механизм профилей, которые содержат предустановленные наборы угроз (для ЦОДов, для периметра, для высокоагрессивных сред и т.д.).

После анонса 12 сентября портфолио Cisco в области средств предотвращения вторжений выглядит следующим образом:

Cisco ASA 1000V Cloud Firewall доступен для заказа

Год назад, 31 августа, я уже писал про анонсированный нами межсетевой экран для виртуализированных сред — Cisco ASA 1000V Cloud Firewall. Межсетевой экран для облачных сред Cisco® ASA 1000V представляет собой виртуальное устройство обеспечения безопасности, которое расширяет возможности платформы многофункциональных устройств безопасности Cisco ASA для адекватной защиты не только физических, но и виртуальных, а также облачных инфраструктур.

Межсетевой экран для облачных сред Cisco ASA 1000V дополняет средства разграничения доступа и контроля сетевого трафика между виртуальными машинами, реализованные в устройстве Cisco Virtual Security Gateway (VSG), и обеспечивает безопасность в многопользовательских средах, поддержку базовой функциональности шлюзов безопасности и защиту от сетевых атак. Таким образом, устройство Cisco ASA 1000V позволяет формировать комплексное решение для обеспечения безопасности облачной среды. Кроме того, устройство Cisco ASA 1000V интегрируется с коммутатором Cisco Nexus® серии 1000V, который поддерживает несколько гипервизоров, чтобы исключить привязку к определенному поставщику, и позволяет одному экземпляру ASA1000V защищать несколько хостов
ESX для обеспечения гибкости развертывания и простоты управления. Динамическое управление многопользовательской средой на основе политик реализуется с помощью системы управления Cisco VNMC.

За этот год очертания только-только анонсированного продукта обрели конкретную форму — стала известна его функциональность, цена, варианты внедрения, модель управления и многие другие моменты. Но самое главное — Cisco ASA 1000V Cloud Firewall стал доступен к заказу. Более подробная информация о Cisco ASA 1000V доступна в русскоязычном бюллетене (pdf), а также на официальной странице продукта на сайте Cisco.

Как Cisco помогает выполнить новые требования Банка России по безопасности

Последняя неделя ознаменовалась выпуском целой серии новых нормативных актов под авторством Банка России и посвященных одной теме — Национальной платежной системе (НПС).  НПС, согласно ФЗ-161 «О национальной платежной системе», — это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы). Иными словами, все существующие в России банки, владельцы систем электронных платежей, операторы мобильной связи, почтовые отделения и многие другие являются участниками НПС и на них распространяются требования ФЗ-161.

А закон этот гласит: «Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации» (ст.27). Дополнительно «операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными» с ФСТЭК России и ФСБ России.

Что же это за требования и где они определены? Первым документом, определяющим на верхнем уровне, как должна защищаться информация в рамках НПС, явилось Постановление Правительства от 13 июня 2012 года №584 «Об утверждении Положения о защите информации в платежной системе». В этом документе определяются самые общие положения о том, как должна строиться система защиты в платежных системах. Детальные требования, дифференцированные в зависимости от роли участника НПС (оператор платежной системы, оператор по переводу денежных средств, платежный агент и т.д.), описаны в двух других обязательных к применению нормативных актах, вступающих в силу с 1-го июля 2012 года:

  • Положении Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
  • Указании Банка России от 9 июня 2012 года №2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Дополнительно, вопросы надзора за соблюдением указанных, а также иных требований, описаны еще в двух положениях Банка России:

  • Положение Банка России от 31 мая 2012 года № 380-П «О порядке осуществления наблюдения в национальной платежной системе»
  • Положение Банка России от 9 июня 2012 года № 381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе», принятых в соответствие с ним нормативных актов Банка России».

Эксперты компании Cisco принимали участие в разработке некоторых из указанных нормативных актов, в связи с чем мы можем сообщить следующее. Все существующие решения Cisco в области информационной безопасности могут быть использованы для достижения целей, указанных в положениях Банка России. В первую очередь речь идет о межсетевых экранах Cisco ASA и Cisco IOS Firewall, системах предотвращения вторжения Cisco IPS и Cisco IOS IPS, системах защиты электронной почты и Web-трафика Cisco IronPort E-mail Security Appliance и Cisco IronPort Web Secuity Appliance, а также все наши VPN-решения и особенно сертифицированный в ФСБ модуль шифрования NME-RVPN, разработанный совместно с компанией С-Терра СиЭсПи.

Однако помимо реализации технических требований, новые нормативные документы Банка России определяют и большое количество организационных мер, которые должны быть реализованы участниками Национальной платежной системы. Это и разграничение прав доступа, и управление инцидентами, и ежемесячное уведомление Банка России о произошедщих инцидентах, и информирование клиентов о новых рисках и способах их снижения, и формирование службы обеспечения ИБ (включая назначение куратора вопросов ИБ в топ-менеджменте компании), и повышение осведомленности персонала, и т.д.

Только комбинация организационных и технических мер позволит обеспечить стабильность, надежность, устойчивость и бесперебойность функционирования национальной платежной системы и ее развитие. А решения компании Cisco помогут решить часть из поставленных новой нормативной базой задач!

ЗЫ. 27 июня мы проводим онлайн-семинар, посвященный именно этому вопросу.

Айс, айс, Сиско!

О том, как упорядочить заос в сети, я уже писал. Теперь можно углубиться в детали и рассказать о флагманском продукте, который и реализует эту концепцию — системе Cisco Identity Service Engine (ISE). Это платформа следующего поколения для управления процессами идентификации и контроля доступа, которая позволяет организациям обеспечить соблюдение нормативных требований, повысить уровень защищенности корпоративной или ведомственной ИТ-инфраструктуры и упростить управление работой различных сетевых сервисов.

Решение Cisco Identity Services Engine, которая объединяет в себе функциональность Cisco ACS и Cisco NAC, объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы. Администраторы получают возможность централизованно создавать согласованные политик контроля доступа и управления ими, а также получают всестороннюю информацию обо всех пользователях и устройствах, подключающихся к сети. Решение Cisco Identity Services Engine автоматически выявляет и классифицирует оконечные устройства (не только ПК и сервера, но и, например, принтеры, планшетники, смартфоны и т.д.), обеспечивает нужный уровень доступа, проводя аутентификацию как пользователей (путем интеграции с Active Directory), так и устройств (с помощью 802.1x), а также обеспечивает соответствие оконечных устройств нормативным требованиям путем оценки их состояния защищенности перед предоставлением доступа к корпоративной или ведомственной ИТ-инфраструктуре. Разграничивает доступ Cisco Identity Services Engine с помощью меток групп безопасности (SGT), списков контроля доступа (ACL) и механизма VLAN.

Более подробную информацию о данном решении можно найти в подготовленном информационном бюллетене и презентации.

Новые системы предотвращения вторжений Cisco IPS 4300

Сегодня мы анонсируем еще несколько новых продуктов в области информационной безопасности — это две новых модели Cisco IPS 4300 — IPS 4345 и IPS 4360. Обе базируются на совершенно новой аппаратной платформе, на которой работают и недавно анонсированные 5 новых Cisco ASA 5500-X. Отличительными особенностями новой платформы являются:

  • ядро, ориентированное на многопроцессорность и многоядерность, а также на 64-хбитную архитектуру
  • аппаратный ускоритель обработки трафика для целей обнаружения вторжения
  • поддержка Jumbo frame
  • мониторинг функционирования (контроль температуры, вольтажа, работоспособности вентиляторов и т.д.).

Производительность данной платформы составляет от 400 Мбит/сек до 2 Гбит/сек в зависимости от типа анализируемого трафика. Задержка не превышает 100 мс для IPS 4360 и 200 мс для IPS 4345. Управление данными новыми моделями такое же как и для любых других платформ и моделей Cisco IPS — Cisco Security Manager (для управления множеством сенсоров или комплексной системой защиты на базе Cisco IPS, Cisco ASA, NME-RVPN, Cisco ISRи т.п.), Cisco IPS Device Manager, Cisco IPS Manager Express и интерфейс командной строки (CLI).

Продукт уже доступен к заказу. Краткая презентация по данному решению показана ниже. Более подробная информация (пока на русском языке) может быть найдена на официальной странице Cisco IPS 4300.

Также хочу напомнить, что на новых платформах Cisco ASA 5500-X, анонсированных совсем недавно, может быть также запущена система предотвращения вторжений Cisco IPS, работающее в виде программного модуля (виртуального сенсора). Таким образом, наряду с двумя новыми Cisco IPS 4345 и Cisco IPS 4360, а также пятью виртуальными Cisco IPS на базе Cisco ASA 5500-X, Cisco в этом месяце анонсировала целых 7 новых моделей систем предотвращения вторжений!

Как упорядочить хаос в сети или зачем нужен Cisco TrustSec?

Представьте себе следующие распространенных ситуации, с которыми часто сталкиваются ИТ/ИБ-специалисты:

  1. Вы возвращаетесь из командировки и подключаете свой ноутбук к корпоративной сети. За время вашего отсутствия антивирусные базы на вашем компьютере уже устарели и бороздя просторы Интернета из гостиницы, вы подхватили незамеченную заразу. После успешного прохождения аутентификации в корпоративной сети, вирус покидает уютное, но локальное «гнездо» и распространяется по всей корпоративной сети в рамках тех полномочий, которые есть у вашей учетной записи!
  2. Вы приглашаете на встречу партнера или клиента (а может это приехал аудитор), который с радостью принимает ваше предложение. В переговорной ваш коллега просит у вас организовать ему доступ в Интернет и у вас наступает ступор. Девушка на reception не знает, как это сделать. Сотрудник службы ИБ, к которому вы обратились, говорит: «Не положено». А сотрудника ИТ, который помог бы решить эту проблему нет на месте. Его же коллеги уверяют вас, что предоставить временный доступ к Интернет очень долго и сложно.
  3. Руководитель вашего Новосибирского филиала по пути в отпуск, заезжает к вам в офис и просит «быстренько» организовать подключение его личного iPad к корпоративной электронной почте и другим ресурсам, к которым он хочет получать доступ, нежась в шезлонге у бассейна отеля. Вы не знаете как подступиться к этой задаче, т.к. на это весьма популярное мобильное устройство нельзя поставить ни антивирус, ни другие обязательные по корпоративной ИТ-политике программные средства. При этом давать неограниченной доступ с удаленного iPad вы тоже не хотите… А вдруг с него и пойдет распространение вредоносных программ по сети или его украдут со всей конфиденциальной информацией и реквизитами доступа в корпоративную сеть?..
  4. Вы вдруг начинаете получать сообщения от пользователей о том, что в Интернете появились копии конфиденциальных документов вашей компании. Расследование показало, что никаких утечек через e-mail, USB, P2P и другие распространенные каналы не было. Но данные продолжают утекать. Более глубокий анализ сетевого трафика показал, что источником проблем стал принтер, на который было несанкционировано загружено вредоносное ПО и организующее удаленный доступ к копиям всех печатаемых документов. Кто бы мог подумать, что такое возможно и что принтер станет и мишенью и площадкой для действий хакеров! Но как быть? Как защитить принтер? Ведь антивирус на него не поставишь и пользователь за ним не работает…

Ответ на все эти вопросы есть и он один — это технология Cisco TrustSec и ее флагменский продукт Cisco Identity Service Engine (ISE), которые помогают эффективно разрешить все указанные выше ситуации; а также многие другие. На прошедшей в США конференции RSA Conference мы анонсировали новую версию Cisco TrustSec и Cisco ISE, которые и хотели бы вам представить.

5 новых моделей Cisco ASA 5500x

Вчера, на конференции RSA Conference, компания Cisco сделала целый ряд интересных анонсов новых продуктов и технологий. Оглядываясь назад, могу сказать, что это один из крупнейших обновлений за последние несколько лет, который Cisco сделала в области информационной безопасности. Один из таких анонсов касается обновления модельного ряда многофункциональных защитных устройств Cisco ASA 5500x, который пополнился 5-тью новыми моделями в среднем классе.

Новые модели Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X и 5555-X не только в 4 раза производительнее предыдущих моделей среднего класса (Cisco ASA 5510, 5520, 5540 и 5550), но и построена на базе совершенно иной архитектуры, которая оптимизирована для работы с многоядерными процессорами. Именно это, а также переписанный код для 64-битной архитектуры ОС, а также наличие аппаратного ускорителей ключевых сервисов безопасности (в частности IPS), позволили достичь 4-хкртаного роста производительности.

Другое ключевое отличие ноой аппаратной платформы — возможность расширения защитных возможностей за счет поддержки различных сервисов безопасности без установки дополнительных плат расширения. Например, теперь, для включения функции предотвращения вторжения на Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X и 5555-X достаточно просто приобрести соответствующую лицензию, которая и активирует соответствующий сервис, построенный по принципу «виртуального лезвия».  Для защиты вложенных в новые модели инвестиций Cisco планирует расширить число защитных сервисов, которые будут запускаться на базе новой аппаратной платформы Cisco ASA 5500x. Одним из таких сервисов является межсетевой экран нового поколения Cisco ASA CX (прикладной межсетевой экран), о котором я расскажу в ближайшее время и который мы также анонсировали в рамках RSA Conference.

Более подробно новые модули Cisco ASA 5500x описаны в подготовленной нами презентации:

Об импорте шифровальных средств

Многие видели новость о том, что после вступления России в ВТО будут снижены пошлины на импорт высокотехнологичной продукции и сняты все ограничения на ввоз шифровальных средств. Хотелось бы прокомментировать второе заблуждение.  Дело в том, что Россия уже почти 2 года живет по новым правилам импорта шифровальных средств, на которые мы перешли с созданием Единого Таможенного Союза. Поэтому ждать какие-то серьезных изменений в области ввоза товаров с криптографической функциональностью не приходится.

Более подробно данная тема была рассмотрена на онлайн-семинаре, запись которого доступна всем желающим; как и презентация с данного семинара. В ближайшие дни будет обновлен FAQ по импорту шифровальных средств, который также дательно расскажет о том, как ввозятся криптографические продукты в Россию.

Как решения Cisco помогают выполнить требования PCI DSS

Платежные системы проникают во все сферы нашей жизни – оплата продуктов в магазине, покупка книг, оплата медицинских и туристических услуг, получение зарплаты, бонусные схемы и т.п. Увеличение денежной массы проходящей через платежные карты и низкая сознательность людей, работающих с этими картами на всех этапах их жизненного цикла привлекла в данную область большое число мошенников и злоумышленников. Объем финансовых потерь по всему миру составляет десятки миллиардов долларов, а число жертв от махинаций с платежными картами измеряется десятками миллионов человек.

Для защиты владельцев платежных карт платежные системы Visa, MasterCard и другие разработали требования по защите данных владельцев платежных систем, названные стандартом PCI DSS (Payment Card Industry Data Security Standard). А для актуализации требований данного стандарта, контроля компаний, занимающихся обработкой, хранением и передачей данных платежных карт, для аккредитации компаний, проверяющих уровень защищенности таких сведений, был создан совет PCI Security Standards Council, в состав которого вошел и представитель компании Cisco.

Относительно недавно была выпущена новая редакция стандарта PCI DSS и нам, как одному из его разработчиков, хотелось бы поделиться с вами нашим видением того, как решения компании Cisco могут помочь на пути к соответствию требованиям данного обязательного стандарта.

Ресурсы Cisco по стандарту PCI DSS:

  • Презентация (на русском языке) о стандарте PCI DSS 2.0
  • Ролик на YouTube (с русскими субтитрами) о стандарте PCI DSS
  • Презентация (на русском языке) о том, как Cisco ISR помогает выполнять требования PCI DSS
  • Онлайн-помощник (на английском языке) по изучению стандарта PCI DSS
  • Раздел на сайте Cisco (на английском языке), посвященный стандарту PCI DSS
  • Картины художников, посвященные стандарту PCI DSS
  • Руководство по дизайну и внедрению PCI DSS 2.0 на базе решений Cisco
  • Чеклист по настройкам беспроводных решений Cisco для выполнения требований PCI DSS
  • И многое другое.

Примечание: Не забывайте, что специально для выполнения требований стандарта PCI DSS нами были созданы новые позиции в прайс-листе для маршрутизаторов Cisco 861, 881 и 891. Эти позиции (861-PCI, 881-PCI и 891-PCI соответственно) ввозятся на территорию Таможенного Союза по нотификации несмотря на наличие «строгой» криптографии с длиной ключа свыше 56 бит (это требования стандарта PCI DSS). По функциональности данные позиции ничем не отличаются от тех, которые не имеют приставки –PCI.

Как Cisco проводит аудит безопасности собственной сети

3 недели назад я уже писал о том, как Cisco организовала удаленный защищенный доступ своих сотрудников с помощью Cisco AnyConnect (данная заметка пишется тоже с помощью этого продукта). И вот теперь пришел черед поделиться еще одним нашим секретом — как Cisco проводит аудит безопасности собственной сети. Но вместо длинного рассказа, мне проще показать презентацию, которую я сегодня рассказывал на конференции-выставке «Инфобезопасность-Экспо 2011» в Москве.

В ней показано, что размер имеет значение. Сегодня Cisco — это десятки тысяч сотрудников, 27 тысяч маршрутизаторов и коммутаторов, 56000 подсетей, адресное пространство на 3 миллиона IP-адресов. И все это ежедневно меняется и несет с собой определенные риски для компании. Традиционные подходы по аудиту тут неприменимы. В презентации, которая первый раз читалась на последней CiscoLive в США, специалисты нашей службы ИБ делятся своим опытом решения данной задачи.

Как Cisco защищает АСУ ТП?

Тема безопасности критических инфраструктур (их еще называют SCADA, АСУ ТП, ключевые системы информационной инфраструктуры и т.д.) в последнее время достаточно активно развивается, что связано с ростом числа атак на них, а также обнаружения в них уязвимостей. Совсем недавно, 3 дня назад, Cisco опубликовала бюллетень Cisco Applied Mitigation Bulletin: Identifying and Mitigating the SCADA Security Activity Bulletin Vulnerabilities, в котором описано несколько уязвимостей в широко распространенных АСУ ТП, а также приведены рекомендации Cisco по способам борьбы с ними.

Поднимается эта тема и в СМИ, на различных конференциях, в органах власти. Достаточно сказать, что 21 июля Президент РФ подписал Федеральный Закон «О безопасности объектов топливно-энергетического комплекса», а также Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса».

Данное законодательство направлено он на оптимизацию законодательного регулирования вопросов обеспечения безопасности в топливно-энергетическом комплексе Российской Федерации и создание основ устойчивого и безопасного функционирования объектов топливно-энергетического комплекса, включая и вопросы обеспечения информационной безопасности.

Согласно ст.11 «Обеспечение безопасности информационных систем объектов топливно-энергетического комплекса» нового закона системы защиты являются обязательными элементом объектов ТЭК. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса.

Согласно второму закону невыполнение требований по безопасности объектов ТЭК, повлекшее нанесение ущерба свыше 1 миллиона рублей, влечет за собой штраф до 80 тысяч рублей, а также ограничение или лишение свободы до трех лет. Если невыполнение требований повлекло за собой смерть человека, то вместо штрафов предусмотрено лишение свободы на срок до 5-ти лет. Если же невыполнение требований повлекло смерть двух и более людей, то срок лишения свободы увеличивается до 7 лет. При незначительности ущерба (до 1 миллиона рублей) вступает в силу ст.20.30 КоАП — штраф до 50-тысяч рублей или дисквалификация должностного лица до трех лет.

Сами требования и состав комплекса защитных мер пока не определены. Возможно это будут разработанные несколько лет назад требования ФСТЭК по защите ключевых систем информационной инфраструктуры (КСИИ). Возможно это будут новые нормативно-правовые акты, построенные на базе международных стандартов по информационной безопасности объектов ТЭК. В любом случае решения компании Cisco смогут выполнять большинство этих требований – как с точки зрения технологической, так и с точки зрения регулятивной.

Компания Cisco обладает большим опытом работы в области защиты ключевых систем информационной инфраструктуры и систем управления технологическими процессами (АСУ ТП). Мы являемся участниками многих рабочих групп и комитетов по стандартизации, вырабатывающих требования по защите таких критических инфраструктур, в частности, в AGA-12, ISA SP 99, DNP, ODVA, PCS Requirement Forum, IEC TC 57 WG 15, NCMS Manufacturing Trust и т.д. С технологической точки зрения наш опыт реализован в архитектуре Cisco SAFE for PCN по защите систем АСУ ТП (SCADA). С регулятивной точки зрения многие наши продукты в области информационной безопасности сертифицированы ФСТЭК и ФСБ по отечественным требованиям безопасности, а также в системе сертификации «ГАЗПРОМСЕРТ».

Дополнительная информация: подходы Cisco в части защиты ключевых систем информационной инфраструктуры и систем АСУ ТП для ТЭК отражены в опубликованных на русском языке материалах:

За дополнительной информацией, включая получение списка сертифицированных по требованиям ФСТЭК и ФСБ продуктов Cisco, обращайтесь по адресу: security-request@cisco.com

Как Cisco организовала защищенный удаленный доступ своим сотрудникам

Часто так бывает, что компания доносит до своих потребителей одну идею (message), а на практике применяет совсем другую, иногда даже прямо противоположную. Я не раз сталкивался с ситуациями, когда компания, имеющая в своем портфолио VPN-клиента для защищенного удаленного доступа либо вообще блокирует такой доступ своим сотрудникам, заставляя их работать только из офиса, либо применяет продукты своих же конкурентов, не доверяя собственным решениям.

В компании Cisco ситуация противоположная. Мы не только пропагандируем идею сетей без границ (Borderless Network), но и сами применяем ее в своей компании. Совсем недавно, на нашем сайте появилось описание того, как служба ИТ компании Cisco обеспечивает мобильный доступ своих сотрудников, где бы они не находились. Эта концепция доступ отовсюду, с любого устройства и в любое время реализуется за счет унифицированного защитного клиента Cisco AnyConnect Secure Mobility Client.

Исторически, удаленный защищенный доступ сотрудников к корпоративным ресурсам появился еще в 1999 году. Тогда он был организован с лэптопов, которыми оснащались все сотрудники Cisco. В 2007 году мы стали активно внедрять смартфоны и прежний подход перестал нас удовлетворять.

Во-первых, со старым VPN-клиентом нам приходилось во процессе перемещения от точки доступа к точке доступа все время переподключаться, т.к. VPN-клиент терял соединение и не мог самостоятельно заново подключиться и аутентифицироваться в сети.  Это отнимало драгоценное время и снижало продуктивность сотрудников Cisco.

Во-вторых, используемые для аутентификации одноразовые пароли приводили к нагрузке на службу поддержки в размере в 500 тысяч долларов США ежегодно. Переход на аутентификацию по сертификатам должен был снизить эти издержки.

Наконец, активное внедрение мобильных технологий, потребовало от ИТ-службы поиска решения, которое бы работало не только на лэптопах с Windows, Mac и Linux, но и на мобильных платформах — Symbian, Windows Mobile, Apple iOS (iPhone и iPad), Android, Cisco Cius и т.д. Все эти операционные системы применяются в Cisco.

В результате выбор пал на Cisco AnyConnect Secure Mobility Client, о котором я уже писал и который по всем параметрам удовлетворил нашу ИТ-службу, что было непросто для компании, в которой работает 70 тысяч сотрудников.

Подробности внедрения и использования этого решения описаны в истории успеха, опубликованной на нашем сайте.

Жизнь после Anonymous – интервью с бывшим хакером (Jason Lackey)

Хакерская группа Anonymous в последнее время часто попадала в новости. Это происходило по разным причинам – WikiLeaks, брешь HBGary (http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars) (прим. – американская фирма, специалиризующаяся в IT безопасности, выполняющая правительственные контракты) и многое другое. Из последних новостей – это появление беглецов из этой организации, уход одного из членов – SparkyBlaze (http://news.cnet.com/8301-1023_3-20094821-93/anonymous-hacker-quits-burns-bridges-on-way-out/) по многим причинам, включая «пресыщение тем, что Anonymous просто выкладывают данные людей в онлайн и провозглашают себя великими героями».

Я веду твиттер ленту @CiscoSecurity (http://twitter.com/#!/CiscoSecurity), я провожу много времени в Твиттере и я видел, что @SparkyBlaze был активным пользователем. Я связался с ним в попытке узнать его часть истории. Кроме того, я хотел вкратце узнать о том, что происходит на другой стороне – возможно все в сфере безопасности хотят лучше понять Anonymous и подпольное хакерское сообщество. Я интересовался как человеческими мотивами, так и действительно хотел узнать о его мнении о корпоративной безопасности и конкретных рекомендациях для организаций, как предотвратить бреши и вторжения.

Некоторые могут спросить, мы что, собираемся дать трибуну нелегальному хакеру?  Я бы сказал нет. Сам Sparky сказал ясно: «Держитесь подальше от нелегального хакинга, от «черных шляп». Легальный хакинг или «белые шляпы» более приятен, и вам за него платят, и он легален. Обвинение в хакинге и утечке информации повлияет на всю вашу оставшуюся жизнь»

Кроме ника @SparlyBlaze и адреса email мы мало о нем знаем, и мы не разговаривали на другие темы, кроме тех, которые описаны внизу. Вот интервью:

JL: Расскажи немного о своем прошлом

SB:  Я из Манчестера. Я закончил школу практически не обращая внимание…учителя всегда говорили, что я умный, но я не хочу ничего делать. Они были правы, меня ничего не интересовало. Я начинал работать  если мне что-то чрезвычайно нравилось, как компьютеры. В детстве я жил скучно, пока я не обнаружил компьютеры. Я люблю такие вещи, как DefCon (http://www.defcon.org/), хакерские конференции, разговоры с другими хакерами. Я люблю управлять серверами (и делать их безопасными)

Я белый, в свои 20 я хочу переехать в Америку для изучения вычислительных систем и этического хакинга (Я думаю, что это самое лучшее, если они не узнают обо мне и Anonymous). Я планирую жить там так, как я всегда хотел. Еще я люблю оружие, но это в Британии почти нелегально и негде пострелять.

JL: Как ты попал в компьютерные технологии и в безопасность.

SB: Я попал в компьютеры так как я вырос среди них. Мне нравится физическая безопасность и я всего лишь применил свой интерес к компьютерам. Затем я начал изучать межсетевые экраны, эксплойты…вроде того.

JL: А как ты связался с Anonymous

SB: Я попал в Anonymous  так же, как большинство других людей. Я люблю хакинг и я верю с свободу слова. Я попал на страницу Anonymous, заинтересовался в них,  начал зависать на IRC с ними, все пошло оттуда.

JL: Что ты думашь о хактивизме?

SB: Хактивизм – это интересная тема. Я люблю хакинг, я верю в свободу слова, я против цензуры, так что сложить все вместе было для меня легко. Я чувствую, что все нормально, когда ты атакуешь правительство. Получение файлов и передача их в WikiLeaks, вещи такого рода, они всегда плохо воспринимаются правительством. Но выкладывание имен пользователей и паролей нет, и выкладывание информции о людях, за которых ты борешься, это неправильно. (прим. перевод. – очень спорная жизненная позиция)

JL: Как ты думаешь, как остальной мир видит хакеров?

SB: Люди, знающие компьютеры смотрят на хакеров неодобрительно. Хакер – это большой, страшный волк и компьютерщикам надо «избавиться от этого». Большинство людей не знают, что такое хакинг, они используют везде одни и те же пароли и не используют ни антивирусов, ни межсетевых экранов. Для них «замечательная» инсталляция Windows с IE7. Это проблема с людьми сегодня – они не понимают всю важность компьютеров и компьютерной безопасности.

JL: Что ты думашь о современном состоянии компьютерной безопасности?

SB: В области компьютерной безопасности творится бардак, как я только что сказал. Компании не хотят тратить время и деньги на компьютерную безопасность, поскольку они думают, что это не имеет большого значения. Они не зашифровывают данные, у них нет правильного программного, аппаратного обеспечения и людей для того, чтобы обеспечить безопасность . Они не обучают свой персонал не открывать присоединенные файлы в письмах от людей, которых они не знают. Проблема не в программах и устройствах, которые они используют…проблема в людях, которые их используют. Вам надо научить эти компании, что им нужна хорошая политика информационной безопасности.

JL: В чем самая большая проблема, которую ты сегодня видишь?

SB: В моем понимании это социальная инженерия. У нас есть программы или устройства для защиты от переполнений буфера, вредоносного кода, DDoS, и выполнения кода. Но что хорошего во всем этом, если вы можете заставить кого-либо дать вам пароль для выключения межсетевого экрана просто сказав, что вы Грэг из службы информационной безопасности и что вы проводите тестирование. Если все в конце концов приходит к обману, все это делают и некоторые люди становятся в этом очень хороши!

JL: Какие советы ты можешь дать предприятиям и организациям, когда они сталкиваются с проблемами безопасности.

SB: Вот мои советы:

  • Используйте несколько линий защиты, глубоко эшелонированную оборону
  • Разработайте строгую политику информационной безопасности
  • Регулярно проводите аудиты своей системы безопасности внешней компанией
  • Используйте систему предотвращения или обнаружения вторжений
  • Проведите обучение персонала по информационной безопасности
  • Проведите обучение персонала по cоциальной инженерии
  • Всегда обновляйте софт и устройства
  • Следите за сайтами безопасности, смотрите новости и узнавайте о новых атаках
  • Позвольте вашим администраторам ездить на Defcon J
  • Наймите хороших администраторов, которые понимают, что такое безопасность
  • Зашифровывайте свои данные
  • Используйте спам-фильтры
  • Следите за информацией, которая попадает в публичный доступ (прим. перевод. особенно актуально в свете последних утечек информации в России)
  • Используйте хорошие методы физической безопасности. Что толку от всех систем информационной безопасности, если кто-то может просто зайти и вынести защищенную систему

(прим. перевод. Стандартный набор разумных советов. Но, пока гром не грянет…)

JL: Какой совет ты дашь молодым людям, которые хотят работать в информационной безопасности?

SB: «Держитесь подальше от нелегального хакинга, от «черных шляп». Легальный хакинг или «белые шляпы» более приятен, и вам за него платят, и он легален. Обвинение в хакинге и утечке информации повлияет на всю вашу оставшуюся жизнь»

Вот вам пример: Вы нанимаетесь на работу, и у вас есть конкурент. У вас примерно одна и та же квалификация и вы одинаково хороши. Они проверяют вас обоих – он чист, а ты был замешан в хакинге сервера и выкладывании даныых онлайн. Кому они дадут работу? Я уверен, не тебе!

Перевод осуществил Павел Родионов (Cisco IronPort)

Сетевая безопасность в повседневной жизни предприятия

Очень часто, говоря о сетевой безопасности, мы вспоминаем в первую очередь межсетевые экраны (например, Cisco ASA или Cisco Virtual Security Gateway), системы предотвращения вторжений (Cisco IPS), системы защиты электронной почты (например, Cisco IronPort Email Security Appliance) или Web-трафика (например, Cisco IronPort Web Security Appliance). Но вся ли это безопасность? Конечно же нет.

Существует такое понятие как «операционная безопасность», которое ярко иллюстрируется такой ситуацией — будет ли повышать безопасность лучший в индустрии межсетевой экран с неправильными настройками, случайно сделанными администратором? Конечно же нет. Поэтому так важно обеспечивать и операционную безопасность, которая складывается из трех ключевых независимых друг от друга элементов:

  • архитектура
  • внедрение
  • операции (эксплуатации).

Хорошим примером, иллюстрирующим независимость этих элементов, является обычный дверной замок (аналог межсетевого экрана). Он может быть сделан из хлебного мякиша (проблемы архитектуры). Он может быть произведен с ошибками и не иметь возможности быть закрепленным на двери (проблемы внедрения). Ключ от замка может быть оставлен под ковриком (проблемы операции).

Основной вывод заключается в том, что ошибки конфигурации не означают проблем с архитектурой или реализацией и внедрением. Ошибки конфигурации могут возникать в операционной деятельность повсеместно и в любой момент и в любой технологии. Следовательно, необходимо быть всегда готовым к устранению таких проблем.

С этой целью компания Cisco выпустила руководство «Understanding Operational Security«, которое описывает именно операционную безопасность применительно к решениям Cisco. Помимо общих рекомендаций, в руководстве перечислены и продукты Cisco, решающие большинство из описанных в руководстве операционных угроз:

  • Cisco Network Admission Control (NAC) позволяет унифицировать используемое ПО и обеспечить актуальность используемых обновлений.
  • Cisco Access Control Server (ACS) позволяет аутентифицировать и авторизовать только «правильных» пользователей и динамически организовывать им доступ только к запрашиваемым и разрешенным ресурсам.
  • Cisco Identity Service Engine (ISE) — новое решение, которое объединяет решения Cisco NAC и Cisco ACS и постепенно заменит их.
  • Cisco Network Compliance Manager (NCM) позволяет автоматизировать процедуру аудита сетевой инфраструктуры и инфраструктуры безопасности на соответствие требованиям корпоративных политик и международных требований.
  • Cisco Security Manager (CSM) позволяет автоматизировать рутинные задачи, стоящие перед администраторами сети и безопасности — обновление десятков и сотен устройств, контроль непротиворечивости правил, наследование политик, контроль удаленных устройств, документооборот заявок на изменение настроек оборудование, контроль работоспособности устройств и т.д.
  • Cisco IOS и Cisco NX-OS включает множество различных функций, снижающих риски неправильной настройки оборудование Cisco.

Операционные ошибки могут нарушить безопасность предприятия и снизить уровень его защищенности. Они являются серьезной проблемой как для корпоративных заказчиков и операторов связи, так и для малых предприятий и даже домашних пользователей. К сожалению, всех ошибок избежать нельзя, но можно существенно снизить риск их появления. Способность своевременного обнаружения таких ошибок и отслеживания их источника также снижает вероятность проявления таких ошибок — случайно или намеренно. И конечно же, операционная безопасность является обязательным требованием многих нормативных актов и стандартов ИБ.