Новое решение Cisco по борьбе с внутренними угрозами

Компания Cisco анонсировала новое решение Cisco Cyber Threat Defense по борьбе с внутренними угрозами. Предназначение этого решения — бороться с тем, что уже проникло во внутреннюю сеть компании и наносит ей ущерб. Мы прекрасно понимаем, что информационная безопасность современного предприятия не может базироваться только на защите периметра. И периметр становится размытым и угрозы усложняются настолько, что нет гарантии, что они не проникнут даже через многоуровневую систему защиты, выстроенную на периметре и состоящую из межсетевых экранов, систем предотвращения вторжений, систем контентной фильтрации и т.д. Продолжить чтение этой записи

Злоумышленники меняют свое поведение. А Вы?

Совсем недавно мы выпустили наш ежегодный отчет по безопасности Cisco Annual Security Report 2013 и отчет по использованию сетевых технологию и поведению пользователей в Интернет Cisco Connected World Technology Report. Они зафиксировали ряд интереснейших перемен, произошедших как в поведении пользователей Интернет, так и в поведении злоумышленников. Они лишний раз подтверждают те выводы, которые специалисты компании Cisco по информационной безопасности сделали достаточно давно:

  1. Поведение пользователей не является статичным и постоянно изменяется. Меняются привычки, мотивация, подходы, принципы, по которым пользователи «живут» в Интернет. И это не может не сказываться на том, как мы должны защищать пользователей от Интернет-напастей или, как минимум, как учитывать изменившееся поведение в деятельности корпоративных или ведомственных служб ИБ. Например, 91% пользователей считает, что время приватности в Интернет проходит. Сейчас еще сложно осознать, к каким последствиям приведет данный факт, зафиксированный в отчете Cisco.
  2. Меняется не только поведение пользователей, но и методы, используемые злоумышленниками. По сути, эти методы представляют собой обычную бизнес-модель, по которой живет любая коммерческая компания (только со знаком минус). Киберпреступники изучают своего «потребителя», налаживают различные каналы сбыта своей вредоносной продукции, создают партнерские сети, предлагают различные сезонные скидки покупателям вирусов или иных инструментов совершения киберпреступлений, отслеживают структуру своих издержек и стараются делать свой бизнес очень прибыльным, имеют службы поддержки продаваемых вредоносных программ и т.п. Это значит, что хакеры давно вышли из категории одиночек, старающихся заявить о себе во всеуслышанье. У них иные задачи, иные цели, иные подходы. А значит должны меняться и способы нейтрализации этих угроз.
  3. Безопасность сегодня не может быть зависящей от одной, пусть и самой лучшей системы защиты, — необходим целый комплекс защитных механизмов и организационных мер, направленных на выявление, нейтрализацию угроз и предотвращение их повторов в будущем. Как никогда важен архитектурный подход в области защиты корпоративных или ведомственных сетей, позволяющий перекрывать различные каналы проникновения вредоносных программ внутрь защищаемого виртуального пространства. Именно поэтому мы давно пропагандируем не точечную защиту, а систему эшелонированной обороны, состоящей из множества взаимоувязанных элементов. Сначала эта архитектура концепция Cisco Self-Defending Network, теперь она носит название Cisco SecureX.
  4. В современном мире ни одна система защиты не будет эффективной длительное время без постоянной подпитки знаниями о новых способах совершения киберпреступлений. И такое обновление средств защиты должно происходить не раз в неделю, не раз в день, и даже не раз в час. Мир угроз меняется так стремительно, что и средства обеспечения сетевой безопасности должны адаптироваться к новым атакам не менее оперативно. А для этого просто необходимо иметь собственный центр исследований и анализа в области информационной безопасности. У Cisco такой центр есть и носит он название Cisco Security Intelligence Operations (SIO).

Более подробно изучить выводы, сделанные специалистами Cisco вы можете в подготовленной нами презентации, а также в проведенном 7-го февраля вебинаре, запись которого также доступна через систему Webex.

Сами отчеты можно скачать на сайте Cisco — Cisco Annual Security Report и Cisco Connected World Technology Report.

Мы запускаем портал Cisco ASA CX

Когда речь заходит о том, какие функции по контролю трафика есть у традиционного межсетевого экрана, то ответ обычно не заставляет себя ждать. Межсетевой экран может фильтровать трафик практически по всем полям заголовка IP-пакета (адрес отправителя и получателя, порт отправителя и получателя, протокол и т.д.). Именно с этого начиналась история межсетевых экранов и именно поэтому они стали называться пакетными фильтрами. Второе поколение межсетевых экраном стало использовать гораздо большее число параметров для контроля. От достаточно традиционных — время, направление движение трафика, состояние сессии, до редких, но не менее важных — имя пользователя, тип устройства, осуществляющего доступ, операционная система этого устройства, принадлежность устройства компании или частному лицу и т.д. Именно так могут быть построены правила разграничения доступа для Cisco ASA 5500-X.

Политика разграничения доступа на Cisco ASA 5500-X

Но вот на рынке стали появляться прикладные межсетевые экраны (application firewall) или межсетевые экраны следующего поколения (next generation firewall), ориентированные на контроль приложений. Обычная настройка правил по адресам и портам в данном случае не подходит, т.к. на одном порту (например, TCP/80 или TCP/8080) может находиться множество различных приложений, одни из которых могут быть разрешены, а другие запрещены корпоративной или ведомственной политикой безопасности. Именно задачу глубого и гибкого контроля приложений решает прикладной межсетевой экран Cisco ASA CX и разработанная для управления им система Cisco Prime Security Manager (PRSM).

Политика контроля доступа Cisco ASA CX

С помощью PRSM мы можем не только разрешить или запретить работу того или иного приложения, но и построить политику разграничения с учетом конкретных действий и операций внутри приложения. Например, можно разрешить переписку с помощью какой-либо системы мгновенных сообщений, но запретить передачу через нее файлов. Можно разрешить заход на сайт Facebook, но запретить использование каких-либо микроприложений, разработанных, например, для Facebook, и т.п.

Однако, как только мы начинаем говорить о прикладном межсетевом экране, сразу возникает вопрос о поддерживаемых им приложениях. На сегодняшний день Cisco ASA CX поддерживает свыше 1100 таких приложений — Facebook, LinkedIn, Skype, BitTorrent, eDonkey, iCloud, Dropbox, pcAnywhere, Yandex, Winamp Remote, Google Drive, Scribd, MS Windows Azure, Salesforce CRM, Oracle e-Business Suiteа, MS Lync, Tor и т.д., а также свыше 75000 микроприложений. Перечислять их все не хватит целого экрана, а выпускать документ с полным списком — задача также неблагодарная — этот список обновляется ежемесячно. Поэтому сегодня мы запустили новый публичный портал, который содержит список всех приложений, поддерживаемых Cisco ASA CX. Этот портал доступен по адресу: http://asacx-cisco.com/.

Функциональные возможности портала:

  • Отображение актуального списка поддерживаемых приложений (обновляется один раз в месяц)
  • Отображение описаний приложений и их возможностей
  • Поиск приложений и поддержка фильтров по категориям
  • Отображение списка приложений, поддержка которых была добавлена за последние 1, 2 или 3 месяца
  • Получение более подробных сведений о новых приложениях с помощью раздела “Featured search keywords” (наиболее популярные ключевые слова).

Также мы подготовили и ряд новых русскоязычных материалов по Cisco ASA CX — white paper «Cisco ASA CX обеспечивает безопасность с учетом контекса» и независимое исследование по данному решению от компании Lippis Consulting. Также по-прежнему доступны обзорная презентация и листовка по Cisco ASA CX, которые мы готовили в прошлом году.

Новый шаг Cisco в деле защиты критически важных объектов России

Согласно статистике нашего партнера, компании Positive Technologies, число уязвимостей для систем управления технологическими процессами растет из года в год. И уязвимости эти встречаются в продукции различных компаний — Siemens, ABB, Schneider Electric, Rockwell, Emerson, GE, Iconics и т.п. И все это непростые офисные системы, а сложные продукты, управляющие критически важными объектами, ущерб от атаки на которые может измеряться не только сотнями миллионов рублей, но и человеческими жизнями.

Более половины таких уязвимостей носит либо серьезный, либо критический характер. А значит эксплуатация этих дыр может привести к очень серьезным последствиям для владельца уязвимой АСУ ТП.

И для многих их этих уязвимостей уже появились свои эксплоиты, позволяющие не просто говорить об уязвимости, а реально их использовать.

Уделяя этой проблеме немало внимая, Cisco в прошлом году оснастила свою систему предотвращения вторжений Cisco IPS отдельным модулем нейтрализации атак на АСУ ТП ведущих мировых игроков этого рынка. И вот новая победа, уже на локальном рынке. Маршрутизатор Cisco CGR 2010 и коммутатор Cisco CGS 2500 получили сертификаты ФСТЭК России, как соответствующие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищенности.

Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco  вытекает из объявленной почти два года готовности руководства Cisco содействовать созданию в Российской Федерации энергетической  суперинфраструктуры (по-английски – Smart Grid), объединяющей новаторские энергетические и информационно-коммуникационные технологии. И вот первое подтверждение выбранного курса.

Маршрутизаторы Cisco CGR 2010 и коммутаторы Cisco CGS 2500 применяются для построения современных сетей электроэнергетики, помогая коммунальным службам надежнее и эффективнее доставлять электроэнергию от генерирующих мощностей в жилые здания и промышленные предприятия. С помощью данных устройств можно создать безопасную коммуникационную инфраструктуру для записи и анализа (в режиме, близком к реальному времени) информации, поступающей от множества «умных» электронных устройств, установленных на территории подстанции. Это поможет коммунальным службам лучше управлять передачей электроэнергии и распределяющими мощностями, а также повысить надежность доставки электроэнергии за счет оперативного обнаружения, изоляции, диагностики, а иногда и автоматического устранения неисправностей. Кроме того, решения Cisco облегчают подключение сетей электропередач к новым возобновляемым источникам энергии.

Сертификация маршрутизаторов Cisco CGR 2010 и коммутаторов Cisco CGS 2500 проводилась ЗАО «Документальные системы» по схеме «серия».  Благодаря этому в дальнейшем у покупателей данного оборудования сократятся временные и финансовые  издержки на получение документов, разрешающих его использование для защиты конфиденциальной информации.

Подробнее о решениях Cisco по направлению Smart Grid…

Подробнее о решениях Cisco по безопасности Smart Grid…

Как Cisco помогает выполнить новые требования Банка России по безопасности

Последняя неделя ознаменовалась выпуском целой серии новых нормативных актов под авторством Банка России и посвященных одной теме — Национальной платежной системе (НПС).  НПС, согласно ФЗ-161 «О национальной платежной системе», — это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы). Иными словами, все существующие в России банки, владельцы систем электронных платежей, операторы мобильной связи, почтовые отделения и многие другие являются участниками НПС и на них распространяются требования ФЗ-161.

А закон этот гласит: «Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации» (ст.27). Дополнительно «операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными» с ФСТЭК России и ФСБ России.

Что же это за требования и где они определены? Первым документом, определяющим на верхнем уровне, как должна защищаться информация в рамках НПС, явилось Постановление Правительства от 13 июня 2012 года №584 «Об утверждении Положения о защите информации в платежной системе». В этом документе определяются самые общие положения о том, как должна строиться система защиты в платежных системах. Детальные требования, дифференцированные в зависимости от роли участника НПС (оператор платежной системы, оператор по переводу денежных средств, платежный агент и т.д.), описаны в двух других обязательных к применению нормативных актах, вступающих в силу с 1-го июля 2012 года:

  • Положении Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
  • Указании Банка России от 9 июня 2012 года №2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Дополнительно, вопросы надзора за соблюдением указанных, а также иных требований, описаны еще в двух положениях Банка России:

  • Положение Банка России от 31 мая 2012 года № 380-П «О порядке осуществления наблюдения в национальной платежной системе»
  • Положение Банка России от 9 июня 2012 года № 381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе», принятых в соответствие с ним нормативных актов Банка России».

Эксперты компании Cisco принимали участие в разработке некоторых из указанных нормативных актов, в связи с чем мы можем сообщить следующее. Все существующие решения Cisco в области информационной безопасности могут быть использованы для достижения целей, указанных в положениях Банка России. В первую очередь речь идет о межсетевых экранах Cisco ASA и Cisco IOS Firewall, системах предотвращения вторжения Cisco IPS и Cisco IOS IPS, системах защиты электронной почты и Web-трафика Cisco IronPort E-mail Security Appliance и Cisco IronPort Web Secuity Appliance, а также все наши VPN-решения и особенно сертифицированный в ФСБ модуль шифрования NME-RVPN, разработанный совместно с компанией С-Терра СиЭсПи.

Однако помимо реализации технических требований, новые нормативные документы Банка России определяют и большое количество организационных мер, которые должны быть реализованы участниками Национальной платежной системы. Это и разграничение прав доступа, и управление инцидентами, и ежемесячное уведомление Банка России о произошедщих инцидентах, и информирование клиентов о новых рисках и способах их снижения, и формирование службы обеспечения ИБ (включая назначение куратора вопросов ИБ в топ-менеджменте компании), и повышение осведомленности персонала, и т.д.

Только комбинация организационных и технических мер позволит обеспечить стабильность, надежность, устойчивость и бесперебойность функционирования национальной платежной системы и ее развитие. А решения компании Cisco помогут решить часть из поставленных новой нормативной базой задач!

ЗЫ. 27 июня мы проводим онлайн-семинар, посвященный именно этому вопросу.

Айс, айс, Сиско!

О том, как упорядочить заос в сети, я уже писал. Теперь можно углубиться в детали и рассказать о флагманском продукте, который и реализует эту концепцию — системе Cisco Identity Service Engine (ISE). Это платформа следующего поколения для управления процессами идентификации и контроля доступа, которая позволяет организациям обеспечить соблюдение нормативных требований, повысить уровень защищенности корпоративной или ведомственной ИТ-инфраструктуры и упростить управление работой различных сетевых сервисов.

Решение Cisco Identity Services Engine, которая объединяет в себе функциональность Cisco ACS и Cisco NAC, объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы. Администраторы получают возможность централизованно создавать согласованные политик контроля доступа и управления ими, а также получают всестороннюю информацию обо всех пользователях и устройствах, подключающихся к сети. Решение Cisco Identity Services Engine автоматически выявляет и классифицирует оконечные устройства (не только ПК и сервера, но и, например, принтеры, планшетники, смартфоны и т.д.), обеспечивает нужный уровень доступа, проводя аутентификацию как пользователей (путем интеграции с Active Directory), так и устройств (с помощью 802.1x), а также обеспечивает соответствие оконечных устройств нормативным требованиям путем оценки их состояния защищенности перед предоставлением доступа к корпоративной или ведомственной ИТ-инфраструктуре. Разграничивает доступ Cisco Identity Services Engine с помощью меток групп безопасности (SGT), списков контроля доступа (ACL) и механизма VLAN.

Более подробную информацию о данном решении можно найти в подготовленном информационном бюллетене и презентации.

5 новых моделей Cisco ASA 5500x

Вчера, на конференции RSA Conference, компания Cisco сделала целый ряд интересных анонсов новых продуктов и технологий. Оглядываясь назад, могу сказать, что это один из крупнейших обновлений за последние несколько лет, который Cisco сделала в области информационной безопасности. Один из таких анонсов касается обновления модельного ряда многофункциональных защитных устройств Cisco ASA 5500x, который пополнился 5-тью новыми моделями в среднем классе.

Новые модели Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X и 5555-X не только в 4 раза производительнее предыдущих моделей среднего класса (Cisco ASA 5510, 5520, 5540 и 5550), но и построена на базе совершенно иной архитектуры, которая оптимизирована для работы с многоядерными процессорами. Именно это, а также переписанный код для 64-битной архитектуры ОС, а также наличие аппаратного ускорителей ключевых сервисов безопасности (в частности IPS), позволили достичь 4-хкртаного роста производительности.

Другое ключевое отличие ноой аппаратной платформы — возможность расширения защитных возможностей за счет поддержки различных сервисов безопасности без установки дополнительных плат расширения. Например, теперь, для включения функции предотвращения вторжения на Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X и 5555-X достаточно просто приобрести соответствующую лицензию, которая и активирует соответствующий сервис, построенный по принципу «виртуального лезвия».  Для защиты вложенных в новые модели инвестиций Cisco планирует расширить число защитных сервисов, которые будут запускаться на базе новой аппаратной платформы Cisco ASA 5500x. Одним из таких сервисов является межсетевой экран нового поколения Cisco ASA CX (прикладной межсетевой экран), о котором я расскажу в ближайшее время и который мы также анонсировали в рамках RSA Conference.

Более подробно новые модули Cisco ASA 5500x описаны в подготовленной нами презентации:

Роль компьютерных сетей в жизни современного человека

1. Соблюдение правил применения информационных технологий:

2. Деловые риски: бесконтрольное использование компьютеров:

3. Необдуманное поведение сказывается на проценте выявленных краж:

Это исследование по заказу Cisco провела независимая аналитическая компания InsightExpress в 2011 году. Было опрошено 2.800 студентов колледжей и специалистов не старше 30 лет в Австралии, Бразилии, Великобритании, Германии, Индии, Испании, Италии, Канаде, Китае, Мексике, России, США, Франции и Японии (по 200 респондентов в каждой из 14 стран).

Проверьте свое знание основ компьютерной безопасности

Нарушения безопасности обходятся очень дорого, и происходят они все чаще. Будьте всегда в курсе последних событий! Пройдите тест по основам компьютерной безопасности:
http://www.cisco.com/web/RU/social_media/blog/quiz/index.html

Как решения Cisco помогают выполнить требования PCI DSS

Платежные системы проникают во все сферы нашей жизни – оплата продуктов в магазине, покупка книг, оплата медицинских и туристических услуг, получение зарплаты, бонусные схемы и т.п. Увеличение денежной массы проходящей через платежные карты и низкая сознательность людей, работающих с этими картами на всех этапах их жизненного цикла привлекла в данную область большое число мошенников и злоумышленников. Объем финансовых потерь по всему миру составляет десятки миллиардов долларов, а число жертв от махинаций с платежными картами измеряется десятками миллионов человек.

Для защиты владельцев платежных карт платежные системы Visa, MasterCard и другие разработали требования по защите данных владельцев платежных систем, названные стандартом PCI DSS (Payment Card Industry Data Security Standard). А для актуализации требований данного стандарта, контроля компаний, занимающихся обработкой, хранением и передачей данных платежных карт, для аккредитации компаний, проверяющих уровень защищенности таких сведений, был создан совет PCI Security Standards Council, в состав которого вошел и представитель компании Cisco.

Относительно недавно была выпущена новая редакция стандарта PCI DSS и нам, как одному из его разработчиков, хотелось бы поделиться с вами нашим видением того, как решения компании Cisco могут помочь на пути к соответствию требованиям данного обязательного стандарта.

Ресурсы Cisco по стандарту PCI DSS:

  • Презентация (на русском языке) о стандарте PCI DSS 2.0
  • Ролик на YouTube (с русскими субтитрами) о стандарте PCI DSS
  • Презентация (на русском языке) о том, как Cisco ISR помогает выполнять требования PCI DSS
  • Онлайн-помощник (на английском языке) по изучению стандарта PCI DSS
  • Раздел на сайте Cisco (на английском языке), посвященный стандарту PCI DSS
  • Картины художников, посвященные стандарту PCI DSS
  • Руководство по дизайну и внедрению PCI DSS 2.0 на базе решений Cisco
  • Чеклист по настройкам беспроводных решений Cisco для выполнения требований PCI DSS
  • И многое другое.

Примечание: Не забывайте, что специально для выполнения требований стандарта PCI DSS нами были созданы новые позиции в прайс-листе для маршрутизаторов Cisco 861, 881 и 891. Эти позиции (861-PCI, 881-PCI и 891-PCI соответственно) ввозятся на территорию Таможенного Союза по нотификации несмотря на наличие «строгой» криптографии с длиной ключа свыше 56 бит (это требования стандарта PCI DSS). По функциональности данные позиции ничем не отличаются от тех, которые не имеют приставки –PCI.

Как Cisco защищает АСУ ТП?

Тема безопасности критических инфраструктур (их еще называют SCADA, АСУ ТП, ключевые системы информационной инфраструктуры и т.д.) в последнее время достаточно активно развивается, что связано с ростом числа атак на них, а также обнаружения в них уязвимостей. Совсем недавно, 3 дня назад, Cisco опубликовала бюллетень Cisco Applied Mitigation Bulletin: Identifying and Mitigating the SCADA Security Activity Bulletin Vulnerabilities, в котором описано несколько уязвимостей в широко распространенных АСУ ТП, а также приведены рекомендации Cisco по способам борьбы с ними.

Поднимается эта тема и в СМИ, на различных конференциях, в органах власти. Достаточно сказать, что 21 июля Президент РФ подписал Федеральный Закон «О безопасности объектов топливно-энергетического комплекса», а также Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса».

Данное законодательство направлено он на оптимизацию законодательного регулирования вопросов обеспечения безопасности в топливно-энергетическом комплексе Российской Федерации и создание основ устойчивого и безопасного функционирования объектов топливно-энергетического комплекса, включая и вопросы обеспечения информационной безопасности.

Согласно ст.11 «Обеспечение безопасности информационных систем объектов топливно-энергетического комплекса» нового закона системы защиты являются обязательными элементом объектов ТЭК. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса.

Согласно второму закону невыполнение требований по безопасности объектов ТЭК, повлекшее нанесение ущерба свыше 1 миллиона рублей, влечет за собой штраф до 80 тысяч рублей, а также ограничение или лишение свободы до трех лет. Если невыполнение требований повлекло за собой смерть человека, то вместо штрафов предусмотрено лишение свободы на срок до 5-ти лет. Если же невыполнение требований повлекло смерть двух и более людей, то срок лишения свободы увеличивается до 7 лет. При незначительности ущерба (до 1 миллиона рублей) вступает в силу ст.20.30 КоАП — штраф до 50-тысяч рублей или дисквалификация должностного лица до трех лет.

Сами требования и состав комплекса защитных мер пока не определены. Возможно это будут разработанные несколько лет назад требования ФСТЭК по защите ключевых систем информационной инфраструктуры (КСИИ). Возможно это будут новые нормативно-правовые акты, построенные на базе международных стандартов по информационной безопасности объектов ТЭК. В любом случае решения компании Cisco смогут выполнять большинство этих требований – как с точки зрения технологической, так и с точки зрения регулятивной.

Компания Cisco обладает большим опытом работы в области защиты ключевых систем информационной инфраструктуры и систем управления технологическими процессами (АСУ ТП). Мы являемся участниками многих рабочих групп и комитетов по стандартизации, вырабатывающих требования по защите таких критических инфраструктур, в частности, в AGA-12, ISA SP 99, DNP, ODVA, PCS Requirement Forum, IEC TC 57 WG 15, NCMS Manufacturing Trust и т.д. С технологической точки зрения наш опыт реализован в архитектуре Cisco SAFE for PCN по защите систем АСУ ТП (SCADA). С регулятивной точки зрения многие наши продукты в области информационной безопасности сертифицированы ФСТЭК и ФСБ по отечественным требованиям безопасности, а также в системе сертификации «ГАЗПРОМСЕРТ».

Дополнительная информация: подходы Cisco в части защиты ключевых систем информационной инфраструктуры и систем АСУ ТП для ТЭК отражены в опубликованных на русском языке материалах:

За дополнительной информацией, включая получение списка сертифицированных по требованиям ФСТЭК и ФСБ продуктов Cisco, обращайтесь по адресу: security-request@cisco.com

Cisco Security Operations изнутри

Всю работу делают автоматические инструменты, но только люди способны все изменить.

В своей продолжающейся битве против новых угроз IT безопасности, Cisco собрала армию из 500 инженеров, техников и исследователей, которые расположены в 11 центрах по всему миру, задача которых состоит в том, чтобы анализировать угрозы и делать все возможное для того, чтобы избежать их так быстро, как это только возможно.

Ядро распределенной системы Cisco – это центры обработки угроз (Threat Operations Centers, TOC), один из которых расположен в непримечательном офисе неподалеку от Остина, штат Техас, который недавно посетил NetworkWorld

Количество данных, относящихся к безопасности, которые поступают в TOC просто потрясают. «Я никогда не просыпался утром и думал, что у меня недостаточно данных. Я часто просыпаюсь по утрам и думаю, что мы будем делать со всеми этими данными?» — говорит Раш Карскадден, менеджер продуктов в Cisco Security Technology Business Unit.

Задача, которая делит перед Рашем и его коллегами – обработка данных в соответствии с контекстом. Помещение данных в контекст сейчас является критичной задачей для обнаружения и остановки угроз, которые становятся все более сложными и многонаправленными. Смешанные угрозы не новы, но они распространенность и серьезность их постоянно растут.

«Сейчас мы наблюдаем смешанные угрозы, которые действуют так же разумно, как и очень хороший человек-тестировщик» — говорит Карскадден. Имеется в виду, что они терпеливые, внимательные и настойчивые. «Настоящий сюрприз состоит в том, до какой степени и с какой сложностью они автоматизированы» Продолжить чтение этой записи

Жизнь после Anonymous – интервью с бывшим хакером (Jason Lackey)

Хакерская группа Anonymous в последнее время часто попадала в новости. Это происходило по разным причинам – WikiLeaks, брешь HBGary (http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars) (прим. – американская фирма, специалиризующаяся в IT безопасности, выполняющая правительственные контракты) и многое другое. Из последних новостей – это появление беглецов из этой организации, уход одного из членов – SparkyBlaze (http://news.cnet.com/8301-1023_3-20094821-93/anonymous-hacker-quits-burns-bridges-on-way-out/) по многим причинам, включая «пресыщение тем, что Anonymous просто выкладывают данные людей в онлайн и провозглашают себя великими героями».

Я веду твиттер ленту @CiscoSecurity (http://twitter.com/#!/CiscoSecurity), я провожу много времени в Твиттере и я видел, что @SparkyBlaze был активным пользователем. Я связался с ним в попытке узнать его часть истории. Кроме того, я хотел вкратце узнать о том, что происходит на другой стороне – возможно все в сфере безопасности хотят лучше понять Anonymous и подпольное хакерское сообщество. Я интересовался как человеческими мотивами, так и действительно хотел узнать о его мнении о корпоративной безопасности и конкретных рекомендациях для организаций, как предотвратить бреши и вторжения.

Некоторые могут спросить, мы что, собираемся дать трибуну нелегальному хакеру?  Я бы сказал нет. Сам Sparky сказал ясно: «Держитесь подальше от нелегального хакинга, от «черных шляп». Легальный хакинг или «белые шляпы» более приятен, и вам за него платят, и он легален. Обвинение в хакинге и утечке информации повлияет на всю вашу оставшуюся жизнь»

Кроме ника @SparlyBlaze и адреса email мы мало о нем знаем, и мы не разговаривали на другие темы, кроме тех, которые описаны внизу. Вот интервью:

JL: Расскажи немного о своем прошлом

SB:  Я из Манчестера. Я закончил школу практически не обращая внимание…учителя всегда говорили, что я умный, но я не хочу ничего делать. Они были правы, меня ничего не интересовало. Я начинал работать  если мне что-то чрезвычайно нравилось, как компьютеры. В детстве я жил скучно, пока я не обнаружил компьютеры. Я люблю такие вещи, как DefCon (http://www.defcon.org/), хакерские конференции, разговоры с другими хакерами. Я люблю управлять серверами (и делать их безопасными)

Я белый, в свои 20 я хочу переехать в Америку для изучения вычислительных систем и этического хакинга (Я думаю, что это самое лучшее, если они не узнают обо мне и Anonymous). Я планирую жить там так, как я всегда хотел. Еще я люблю оружие, но это в Британии почти нелегально и негде пострелять.

JL: Как ты попал в компьютерные технологии и в безопасность.

SB: Я попал в компьютеры так как я вырос среди них. Мне нравится физическая безопасность и я всего лишь применил свой интерес к компьютерам. Затем я начал изучать межсетевые экраны, эксплойты…вроде того.

JL: А как ты связался с Anonymous

SB: Я попал в Anonymous  так же, как большинство других людей. Я люблю хакинг и я верю с свободу слова. Я попал на страницу Anonymous, заинтересовался в них,  начал зависать на IRC с ними, все пошло оттуда.

JL: Что ты думашь о хактивизме?

SB: Хактивизм – это интересная тема. Я люблю хакинг, я верю в свободу слова, я против цензуры, так что сложить все вместе было для меня легко. Я чувствую, что все нормально, когда ты атакуешь правительство. Получение файлов и передача их в WikiLeaks, вещи такого рода, они всегда плохо воспринимаются правительством. Но выкладывание имен пользователей и паролей нет, и выкладывание информции о людях, за которых ты борешься, это неправильно. (прим. перевод. – очень спорная жизненная позиция)

JL: Как ты думаешь, как остальной мир видит хакеров?

SB: Люди, знающие компьютеры смотрят на хакеров неодобрительно. Хакер – это большой, страшный волк и компьютерщикам надо «избавиться от этого». Большинство людей не знают, что такое хакинг, они используют везде одни и те же пароли и не используют ни антивирусов, ни межсетевых экранов. Для них «замечательная» инсталляция Windows с IE7. Это проблема с людьми сегодня – они не понимают всю важность компьютеров и компьютерной безопасности.

JL: Что ты думашь о современном состоянии компьютерной безопасности?

SB: В области компьютерной безопасности творится бардак, как я только что сказал. Компании не хотят тратить время и деньги на компьютерную безопасность, поскольку они думают, что это не имеет большого значения. Они не зашифровывают данные, у них нет правильного программного, аппаратного обеспечения и людей для того, чтобы обеспечить безопасность . Они не обучают свой персонал не открывать присоединенные файлы в письмах от людей, которых они не знают. Проблема не в программах и устройствах, которые они используют…проблема в людях, которые их используют. Вам надо научить эти компании, что им нужна хорошая политика информационной безопасности.

JL: В чем самая большая проблема, которую ты сегодня видишь?

SB: В моем понимании это социальная инженерия. У нас есть программы или устройства для защиты от переполнений буфера, вредоносного кода, DDoS, и выполнения кода. Но что хорошего во всем этом, если вы можете заставить кого-либо дать вам пароль для выключения межсетевого экрана просто сказав, что вы Грэг из службы информационной безопасности и что вы проводите тестирование. Если все в конце концов приходит к обману, все это делают и некоторые люди становятся в этом очень хороши!

JL: Какие советы ты можешь дать предприятиям и организациям, когда они сталкиваются с проблемами безопасности.

SB: Вот мои советы:

  • Используйте несколько линий защиты, глубоко эшелонированную оборону
  • Разработайте строгую политику информационной безопасности
  • Регулярно проводите аудиты своей системы безопасности внешней компанией
  • Используйте систему предотвращения или обнаружения вторжений
  • Проведите обучение персонала по информационной безопасности
  • Проведите обучение персонала по cоциальной инженерии
  • Всегда обновляйте софт и устройства
  • Следите за сайтами безопасности, смотрите новости и узнавайте о новых атаках
  • Позвольте вашим администраторам ездить на Defcon J
  • Наймите хороших администраторов, которые понимают, что такое безопасность
  • Зашифровывайте свои данные
  • Используйте спам-фильтры
  • Следите за информацией, которая попадает в публичный доступ (прим. перевод. особенно актуально в свете последних утечек информации в России)
  • Используйте хорошие методы физической безопасности. Что толку от всех систем информационной безопасности, если кто-то может просто зайти и вынести защищенную систему

(прим. перевод. Стандартный набор разумных советов. Но, пока гром не грянет…)

JL: Какой совет ты дашь молодым людям, которые хотят работать в информационной безопасности?

SB: «Держитесь подальше от нелегального хакинга, от «черных шляп». Легальный хакинг или «белые шляпы» более приятен, и вам за него платят, и он легален. Обвинение в хакинге и утечке информации повлияет на всю вашу оставшуюся жизнь»

Вот вам пример: Вы нанимаетесь на работу, и у вас есть конкурент. У вас примерно одна и та же квалификация и вы одинаково хороши. Они проверяют вас обоих – он чист, а ты был замешан в хакинге сервера и выкладывании даныых онлайн. Кому они дадут работу? Я уверен, не тебе!

Перевод осуществил Павел Родионов (Cisco IronPort)

Сетевая безопасность в повседневной жизни предприятия

Очень часто, говоря о сетевой безопасности, мы вспоминаем в первую очередь межсетевые экраны (например, Cisco ASA или Cisco Virtual Security Gateway), системы предотвращения вторжений (Cisco IPS), системы защиты электронной почты (например, Cisco IronPort Email Security Appliance) или Web-трафика (например, Cisco IronPort Web Security Appliance). Но вся ли это безопасность? Конечно же нет.

Существует такое понятие как «операционная безопасность», которое ярко иллюстрируется такой ситуацией — будет ли повышать безопасность лучший в индустрии межсетевой экран с неправильными настройками, случайно сделанными администратором? Конечно же нет. Поэтому так важно обеспечивать и операционную безопасность, которая складывается из трех ключевых независимых друг от друга элементов:

  • архитектура
  • внедрение
  • операции (эксплуатации).

Хорошим примером, иллюстрирующим независимость этих элементов, является обычный дверной замок (аналог межсетевого экрана). Он может быть сделан из хлебного мякиша (проблемы архитектуры). Он может быть произведен с ошибками и не иметь возможности быть закрепленным на двери (проблемы внедрения). Ключ от замка может быть оставлен под ковриком (проблемы операции).

Основной вывод заключается в том, что ошибки конфигурации не означают проблем с архитектурой или реализацией и внедрением. Ошибки конфигурации могут возникать в операционной деятельность повсеместно и в любой момент и в любой технологии. Следовательно, необходимо быть всегда готовым к устранению таких проблем.

С этой целью компания Cisco выпустила руководство «Understanding Operational Security«, которое описывает именно операционную безопасность применительно к решениям Cisco. Помимо общих рекомендаций, в руководстве перечислены и продукты Cisco, решающие большинство из описанных в руководстве операционных угроз:

  • Cisco Network Admission Control (NAC) позволяет унифицировать используемое ПО и обеспечить актуальность используемых обновлений.
  • Cisco Access Control Server (ACS) позволяет аутентифицировать и авторизовать только «правильных» пользователей и динамически организовывать им доступ только к запрашиваемым и разрешенным ресурсам.
  • Cisco Identity Service Engine (ISE) — новое решение, которое объединяет решения Cisco NAC и Cisco ACS и постепенно заменит их.
  • Cisco Network Compliance Manager (NCM) позволяет автоматизировать процедуру аудита сетевой инфраструктуры и инфраструктуры безопасности на соответствие требованиям корпоративных политик и международных требований.
  • Cisco Security Manager (CSM) позволяет автоматизировать рутинные задачи, стоящие перед администраторами сети и безопасности — обновление десятков и сотен устройств, контроль непротиворечивости правил, наследование политик, контроль удаленных устройств, документооборот заявок на изменение настроек оборудование, контроль работоспособности устройств и т.д.
  • Cisco IOS и Cisco NX-OS включает множество различных функций, снижающих риски неправильной настройки оборудование Cisco.

Операционные ошибки могут нарушить безопасность предприятия и снизить уровень его защищенности. Они являются серьезной проблемой как для корпоративных заказчиков и операторов связи, так и для малых предприятий и даже домашних пользователей. К сожалению, всех ошибок избежать нельзя, но можно существенно снизить риск их появления. Способность своевременного обнаружения таких ошибок и отслеживания их источника также снижает вероятность проявления таких ошибок — случайно или намеренно. И конечно же, операционная безопасность является обязательным требованием многих нормативных актов и стандартов ИБ.

Virtual ASA — новый межсетевой экран для виртуализированных сред

Совсем недавно я уже писал про руководство Cisco по безопасности операционной систем NX-OS для коммутаторов виртуализированных сред Cisco Nexus. В той заметке я упомянул и про наш межсетевой экран для защиты взаимодействия между виртуальными машинами — Cisco Virtual Security Gateway. И вот уже на этой неделе, на конференции VMworld в Лас-Вегасе компания Cisco анонсировала свое новое решение в рамках стратегии защищенных центров обработки данных — предварительную версию Virtual ASA.

Предварительную потому, что еще рано говорить о ее стоимости и сроках выхода, но уже сейчас можно говорить о ее функциональности и стратегии развития. Собственно, говорить о данном продукте, как о чем-то новом не приходится — история Cisco ASA насчитывает свыше 15 лет и более 1 миллиона инсталляций. Virtual ASA — это просто новый форм-фактор хорошо зарекомендовавшего себя на рынке продукта.

Единственное, что можно сказать по поводу данного продукта, — это четко разделить Cisco VSG и Cisco Virtual ASA. Если первый продукт ориентирован на защиту трафика между виртуальными машинами и приложениями, работающими на них, то Virtual ASA предназначен для защиты периметра виртуальной среды и ЦОД, активно использующего виртуализацию. Иными словами, эти два продукта будут дополнять друг друга, а не конкурировать между собой.

Разумеется, управление Virtual ASA будет осуществляться также, как и всеми другими типами межсетевых экранов Cisco — Cisco ASA, Cisco FWSM, Cisco Pix, Cisco IOS Firewall, Cisco ASA Services Module for Catalyst 6500, — при помощи Cisco Security Manager. При этом единое управление позволяет использовать и унифицированную политику разграничения доступа на всем протяжении движения трафика — от самых удаленных уголков корпоративной или ведомственной сети до самого центра виртуализированного центра обработки данных.

Как писать собственные сигнатуры для Cisco IPS

11 лет назад я написал свою первую книгу — «Обнаружение атак», которая сразу стала бестселлером и пережила два переиздания на русском и одно на английском языке. В этой книге я рассматривал различные аспекты, связанные с обнаружением атак — от концепций и алгоритмов, заложенных в IDS/IPS (intrusion detection/prevention systems), до особенностей внедрения и критериев выбора такого рода защитных решений. Одним из таких критериев, который отражает гибкость системы обнаружения вторжений и ее возможность обнаруживать еще неизвестные атаки, была возможность создания собственных сигнатур. Такая возможность есть и в решениях Cisco IPS.

Согласно отчетам многих аналитических агентств решение по обнаружению вторжений от компании Cisco является лидером этого сегмента рынка. Однако с угрозами ситуация становится все хуже и хуже. 0-Day, APT и другие примеры несанкционированных действий усложняют жизнь служь информационной безопасности. Именно поэтому 4 эксперта нашего исследовательского подразделения Cisco SIO, подготовили подробное руководство «Writing Custom Signatures for the Cisco Intrusion Prevention System«, дающее нашим заказчикам возможность самостоятельно создавать сигнатуры для любой из наших платфор Cisco IPS — отдельные устройства Cisco IPS 4200, модуль в маршрутизаторы Cisco IPS AIM и IPS NME, модули в Cisco ASA — AIP SSM, встроенную в IOS подсистему обнаружения вторжений Cisco IOS IPS.

С помощью данного руководства наши заказчики смогут не только создать свои собственные сигнатуры или внедрить в Cisco IPS сигнатуры, созданные другими пользователями, но и конвертировать сигнатуры для популярной бесплатной системы обнаружения атак Snort в сигнатуры для Cisco IPS. В конечном итоге данное руководство позволит вам повысить уровень защищенности своих корпоративных и ведомственных сетей.

Cisco названа лидером рынка защиты электронной почты

Компания Gartner, в своем отчете «Magic Quadrant for Secure Email Gateways», опубликованном 10 августа 2011 года (авторы Peter Firstbrook и Eric Ouellet), назвала компанию Cisco лидером рынка средств защиты электронной почты.

Наша доминирующая роль была в очередной раз оценена аналитическим агентством с мировым именем. И все это благодаря функциональности, заложенной в Cisco IronPort Email Security Appliance:

  • инвестиции в исследования в области вредоносного контента (публичный пример таких инвестиций — база SenderBase)
  • эффективность борьбы со спамом и фишингом
  • управление и генерация отчетов
  • обнаружение утечек информации, которая присутствует в нашем решении
  • обеспечение конфиденциальности исходящей электронной почты
  • различные форм-факторы.

При этом Gartner оценивал не только функциональность самого продукта, но и ряд других не менее важных параметров при выборе системы защиты:

  • понимание сегмента рынка и потребностей заказчиков
  • инновации
  • географическое покрытие
  • надежность компании-разработчика
  • мнение заказчиков
  • и ряд других.

Вы можете сами убедиться в возможностях данного продукта, взяв его на бесплатное 30-тидневное тестирование.

Руководство по защите Cisco Telepresence

Продолжая тему лучших практик по защите инфраструктуры Cisco, хотелось бы обратиться к теме, которая озвучивается нечасто. Речь идет о безопасности Cisco Telepresence. Это непростое решение, которое состоит из множества компонентов со своими требованиями и настройками по безопасности:

  • Cisco TelePresence System
  • Cisco Unified Communications Manager
  • Cisco TelePresence Manager
  • Microsoft Exchange Server
  • Cisco TelePresence Recording Server
  • Сетевая инфраструктура.

Но несмотря на это, к защите Cisco Telepresence применяются те же защитные принципы, что и для всех решений Cisco по унифицированным коммуникациям и сетевой инфраструктуре, лежащей в основе Telepresence.

Выпущенное руководство Cisco TelePresence Hardening Guide описывает все аспекты безопасности вышеперечисленных компонентов. В нем приведены практические рекомендации по защите мультимедиа-трафика и протоколов сигнализации, используемых в решении Cisco Telepresence.

Серьезным подспорьем специалистам по безопасности является большой раздел по модели угроз для технологии Telepresence. Эта модель начинает рассмотрение угроз с основных информационных потоков между компонентами Cisco Telepresence, постепенно переходя к угрозам для отдельных компонентов на пяти уровнях:

  • физические угрозы
  • угрозы уровня управления
  • угрозы уровня сигнализации
  • угрозы уровня мультимедиа
  • угрозы уровня контроля и конфигурации.

Лучшие практики по безопасности Cisco IOS

Продолжая тему, начатую вчера и посвященную руководству по защищенной настройке Cisco NX-OS, мне бы хотелось привести еще несколько ссылок на аналогичные документы, которые подготовила компания Cisco для своих заказчиков, желающих повысить уровень защищенности своих сетей, построенных на базе нашего оборудования.

Один из основополагающих документов описывает рекомендации по защите любого устройства, работающего на базе Cisco IOS. Речь идет о Cisco Guide to Harden Cisco IOS Devices. Это руководство включает в себя рекомендации по 4-м ключевым направлениям — общие принципы и рекомендации по защите (мониторинг и регистрация событий, AAA, NetFlow, защищенное управление и т.д.), защита уровня управления (AutoSecure, ACL, AAA и т.д.), защита уровня контроля (защита протоколов маршрутизации и контроль нагрузки на ЦПУ устройства) и защита уровня передачи данных (ACL, antispoofing, VLAN, идентификация и отслеживание злоумышленников).

Схож по структуре и другой документ — Cisco Guide to Harden Cisco IOS XR Devices, направленный на защиту устройств, работающих на платформе Cisco IOS XR.

Одной из задач специалистов, работающих с оборудованием Cisco, является обеспечение их целостности. Эта задача тем более актуальна, что существует угроза установки на Cisco IOS постороннего, а временами и вредоносного ПО. Для снижения этого риска компания Cisco выпустила отдельный документ — Cisco IOS Image Verification, в котором перечислены различные механизмы обеспечения целостности устройств на базе Cisco IOS — от использования команды verify или file verify auto до оффлайновой проверки целостности имиджа операционной системы и использования специального сервера распределения ПО.

Все 3 указанных руководства позволяют без дополнительных затрат поднять уровень защиты корпоративной или ведомственной сети и снизить риск проникновения в них злоумышленников и вредоносных программ, а также нарушения работоспособности сетевой инфраструктуры.

Руководство по безопасности NX-OS

Cisco Nexus — это одна из самых распространенных платформ для построения надежных, эффективных и современных центров обработки данных. Сердцем любого Cisco Nexus является операционная система NX-OS, от работы которой зависит бесперебойность и защищенность хранимых в ЦОД данных, которые могут принадлежать как владельцу ЦОД, так и его клиентам, арендующим в ЦОД вычислительные ресурсы.

Компания Cisco всегда уделяла серьезное внимание безопасности своих продуктов; поэтому для специалистов не стало сюрпризом появление руководства по защите NX-OS — «Cisco NX-OS Hardening Guide«. В условиях растущей угрозы, появления новых способов проникновения в корпоративные, ведомственные или облачные информационные пространства, ИТ-специалистам и специалистам по информационной безопасности очень важны простые, понятные и конкретные рекомендации по настройке используемого оборудования, повышающей общий уровень защиты ЦОД. Опубликованное руководство как раз и дает такие рекомендации.

Заложенные еще в начале 2000-х годов принципы построенния защищенных сетей Cisco SAFE, нашли свое отражение и в руководстве Cisco NX-OS Hardening Guide. Мониторинг и управление логами, аутентификация и авторизация доступа, использование защищенных протоколов и NetFlow, защищенное управление и аудит… Все эти принципы применены к возможностям операционной системы NX-OS.

Использование данного руководства, наряду с отдельными продуктами Cisco по безопасности виртуализированных сред (как например, Cisco Virtual Security Gateway, получивший недавно награду от Virtualization Security Group Russia), и общими принципами построения защищенных сетей, позволят нашим заказчикам получить защищенный центр обработки данных, удовлетворяющий требованиям самых взыскательных пользователей.

Новый отчет по угрозам информационной безопасности за второй квартал 2011-го года

Компания Cisco опубликовала ежеквартальный отчет по угрозам информационной безопасности Cisco 2Q11 Global Threat Report. Он охватывает период с 1 апреля по 30 июня 2011 года и является результатом работы исследовательского подразделения Cisco Security Intelligence Operations.

Согласно нашим исследованиям доминирующую позицию среди угроз информационной безопасности в первой половине 2011-го года занимали утечки информации, от которых пострадали практически все отрасли экономики. Не стала исключением и Россия, которую впредверии подписания Президентом Медведевым федерального закона «О персональных данных», всколыхнули утечки персональной информации российских граждан, а также документов госорганов с грифом «для служебного пользования». Причиной таких утечек становились то новый вид угроз APT (advanced persistent threat), то уже хорошо известные SQL Injections, то случайная (или неслучайная) индексация содержимого сайтов, которое не должно было подвергаться индексации. Итог один — конфиденциальная информация становится достоянием гласности или злоумышленников.

В предыдущих выпусках Global Threat Report эксперты Cisco уже обсуждали различные виды уязвимостей и атак, применяемых злоумышленниками. В опубликованном отчете за второй квартал текущего года инженер Cisco CSIRT (Computer Security Incident Response Team) Гевин Рейд обсуждает новый класс атак — APT. При этом Гевин дает конкретные и практически реализуемые советы, как снизить риск нарушения своей защищенности под действием APT. Многие из этих советов могут быть применены немедленно — достаточно осуществить необходимые настройки на уже имеющемся сетевом оборудовании (например, использовать NetFlow или включить имеющиеся во многих маршрутизаторах подсистемы предотвращения вторжений Cisco IOS IPS).

Среди других угроз, обнаруженных специалистами Cisco Security Intelligence Operations и рассматриваемых в отчете, можно назвать:

  • двукратное увеличение неизвестных ранее Web-угроз
  • число атак с подбором паролей в базы данных SQL также возросло параллельно с ростом числа обнаруженных уязвимостей SQL Injections
  • увеличилось число атак «отказ в обслуживании», что фиксировали как многочисленные наши ловушки, разбросанные по Интернет, так и системы предотвращения атак наших заказчиков, подключенных к системе глобальной корреляции
  • объемы спама остаются достаточно стабильными на протяжении всего первого полугодия, а вот число фишинговых атак возросло; особенно в мае, достигнув показателя в 4% от общего объема спама.

С остальными тенденциями мира угроз можно ознакомиться в ежеквартальном отчете Cisco 2Q11 Global Threat Report на сайте http://www.cisco.com/go/securityreport.

Отчет по угрозам информационной безопасности Cisco 1Q11. Global Threat Report

Alexey Lukatsky (Алексей Лукацкий)

Компания Cisco опубликовала ежеквартальный отчет по угрозам информационной безопасности Cisco 1Q11 Global Threat Report. Он охватывает период с 1 января по 31 марта 2011 года и является результатом работы исследовательского подразделения Cisco Security Intelligence Operations. За истекший период экспертами Cisco было зафиксировано 46%-ый рост вредоносных программ для Web. При этом 16% заражений осуществилось через поисковые системы и Web-почту. Больше чем в 10 раз выросло число применения новой угрозы под названием Likejacking или принуждение пользователей обманным путем кликать на кнопку Facebook «Like» («Мне нравится»). Это может привести как к загрузке вредоносного кода на компьютер пользователя так и привлечение внимания онлайн-сообщества к  намеренно зараженным сайтам и страницам Facebook.

Деятельность ботнета Rustock значительно снизилась, но объемы рассылаемого спама в первом квартале 2011 года остались выше уровня декабря 2011 года. Индонезия обогнала США и заняла первое место в списке стран – распространителей спама. Несмотря на снижение, атаки типа SQL Injection по-прежнему остаются самыми распространенными несанкционированными действиями (55%). Интересно, что «устаревший» червь MyDoom вошел в десятку самых распространенных вредоносных программ, обнаруженных системами предотвращения вторжений Cisco IPS в 1-м квартале. А это значит, что сбрасывать со счетом старые угрозы нельзя – их недооценка может привести к печальным последствиям.

С остальными тенденциями мира угроз можно ознакомиться в ежеквартальном отчете Cisco 1Q11 Global Threat Report на сайте http://www.cisco.com/go/securityreport.