26 января 2016 года в Самаре состоялся семинар компании Cisco по информационной безопасности.
Открыл мероприятие менеджер по развитию бизнеса Cisco в регионах Волга и ЮГ Аркадий Пыслару.
Проводил семинар один из лучших специалистов в этой области (и один из лучших докладчиков) заслуженный инженер-консультант Cisco Михаил Кадер.
Михаил сразу предупредил, что темы докладов – это только канва, а дальше – не то, чтобы «как пойдёт», но вопросы по ходу выступления и дискуссии только приветствуются. Так оно и проходило: мы были не пассивными слушателями, а участниками.
В выступлении все угрозы были условно разделены на два типа: когда бьют по площадям и когда нацеливаются на конкретную жертву. По площадям – это, как правило, блокировка компьютера и последующее вымогательство. Особенно эффективно это работает при шифровании данных: ОС, в конце концов, можно переустановить, а вот данные уже не вернуть, поэтому пользователи и готовы платить вымогателям. Как правило, это от $300 до $500: такую сумму большинство ещё может выложить, поэтому её и называют преступники. Эта тема подробно не обсуждалась, возможно, ввиду очевидности решения: использовать средства защиты, делать страховые копии и не лазить по помойкам. Честно говоря, мы в своей семье обходимся только тем, что встроено в Windows 10. Тем более что современные антивирусы способны остановить не более 60% атак, то есть панацеей их никак нельзя назвать.
Направленные угрозы сложнее и тоньше. Чаще всего злоумышленники не хотят выдавать своё проникновение, потому что их цель не нарушить работоспособность системы, а внедриться в неё и добывать конфиденциальную информацию. А DDoS-атаки осуществляются не для того, чтобы положить сервер, а чтобы под их прикрытием забраться в него и остаться там. Кстати, самая сильная из зарегистрированных DDoS-атак была 196 Гбит/с. Собственно, часто для того и заражаются клиентские машины, чтобы использовать их в качестве «солдат» для атак.
Относительно новые объекты атак – это то, что на русском не совсем удачно называется «интернет вещей» (IoT). Его подразделяют на две основные категории: умные производства (АСУ ТП) и умные дома. Повышенный интерес к информационной безопасности IoT очевиден: если нарушение функционирования чисто информационной среды вызовет в худшем случае простой в работе (касса не продаст билет, поисковик не ответит на запрос), то нарушение в работе физических объектов могут вызвать аварию, масштаб которой будет зависеть от масштаба самого объекта: взорвётся ли газовый котёл в коттедже или атомная электростанция. А обратной дороги нет: пользователь хочет дистанционно контролировать свой дом и управлять им. Что касается бизнеса, то последствия от перехвата злоумышленниками системы управления полётами весьма эффектно были показаны ещё в фильме «Крепкий орешек 2» – а в 1990 году степень автоматизации был совсем не такой, как сейчас.
Ещё одна «напасть» – социальные сети. Молодёжь, в том числе и талантливая, привыкла в них общаться и другой жизни уже не представляет. Запретить – потеряешь перспективных сотрудников, а разрешить – получить ещё один канал для проникновения зловредов.
Михаил отметил, что нельзя просто установить какой-то софт, безопасностью сети необходимо управлять. Если мы чем-то не управляем, значит, мы ничего об этом и не знаем.
Уже давно исчезло такое понятие как периметр сети предприятия. Сеть перестала быть локальной, сотрудники и партнёры заходят в неё из разных мест разными способами и с разных устройств. Поэтому на сегодняшний день одним из главных средств корпоративной безопасности стал продукт Cisco Identity Services Engine (ISE). Cisco ISE позволяет отследить кто, когда, с какого устройства, откуда географически вошёл в систему и предоставить клиенту соответствующие права доступа. Можно увидеть аномальные входы: например, сотрудник с нормированным рабочим днём вошёл во внеурочное время. Также регулируется уровень секретности: к некоторым данным доступ можно получить, только находясь в локальной сети офиса и только с компьютера. В конце концов, где гарантия, что главного бухгалтера не захватили пираты и он, находясь на отдыхе, не входит в систему под дулом пистолета?
Стопроцентной защиты Cisco ISE, как и все другие средства, не обеспечит, но значительную долю угроз отсечёт. Главное же, что Cisco ISE повышает эффективность работы сотрудников: теперь ко многим ресурсам компании они могут получать доступ из дома, находясь в отпуске или командировке, причём без ущерба для безопасности.
Если Cisco ISE представляет собой в значительной степени организационные меры (те же роли – контекста поболе), то платформа FirePOWER мониторит трафик в реальном времени и реагирует на возникающие угрозы. Платформа FirePOWER инсталлируется на устройства Cisco ASA, и дальнейшая работа будет определяться производительностью устройства.
FirePOWER сегодня – это:
- самый популярный межсетевой экран с функцией контроля соединений;
- система гранулярного мониторинга и контроля приложений;
- система предотвращения вторжений;
- фильтрация URL-адресов на основе репутации и классификации;
- система Advanced Malware Protection с функцией ретроспективной защиты;
- система управления уязвимостями и SIEM.
FirePOWER может интегрироваться с другими приложениями, например, с MaxPatrol от российской компании Positive Technologies. Гранулярность (избирательность) мониторинга хорошо проявляется при контроле над использованием социальных сетей. Например, можно разрешить пользователю читать и писать комментарии, но запретить скачивать оттуда что-либо, смотреть видео и вставлять в свои комментарии картинки.
Два продукта, ради которых Cisco покупала компанию IronPort: Cisco Web Security Appliance и Cisco Email Security Appliances. Как следует из названий, защищают от проникновения зловредов из интернета и из электронной почты. Интегрируется с российской системой InfoWath. Есть аппаратные и программные версии. Интересно, что лицензию на WSA компания Cisco даёт «под честное слово» – заказчик сам называет количество пользователей. Пока эта модель не подводила.
В настоящее время существуют две связанных между собой тенденции: переход с аппаратных версий на программные и переход с «пожизненных» лицензий на подписки.
Решение Cisco TrustSec защищает каналы передачи данных в коммутируемых средах с помощью стандарта шифрования IEEE 802.1AE и делает это на уровне порта коммутатора. Решение TrustSec также обеспечивает дополнительные сетевые сервисы на основе ролей, включая поддержку Медиасети Cisco и качество обслуживания для важных бизнес-приложений, связанных с конкретными ролями пользователей. В этом оно несколько похоже на FirePOWER, но это обычная история: Cisco активно покупает другие компании с их решениями, интегрирует, потом опять покупает… В результате общий объём интегрированных решений растёт, но всегда остаётся и то, что пока «недоинтегрировано».
Cysco AnyConnect – решение для защищённого удалённого доступа с мобильных устройств к корпоративным ресурсам и связи между филиалами.
Приобретение в 2015 году компании OpenDNS и интеграция её решений с AMP Thread Grid позволило воздвигнуть ещё один барьер на пути угроз. Посредством специального API-интерфейса глобальные возможности OpenDNS согласовываются с функциями AMP Threat Grid, обеспечивающими динамический анализ вредоносного кода и интеллектуальную обработку угроз.
Завершился семинар докладом «Финансовое обоснование решений по информационной безопасности».
Это о том, как объяснить руководителю, зачем оно надо и что оно даёт. Потому что организация информационной безопасности – это, конечно, затраты, такие же, как и стальная дверь и удобный надёжный замок. Но ведь всё можно перевернуть и показать, сколько убытков принесло бы отсутствие систем безопасности и сколько денег сберегли эти системы. И, разумеется, это правда. Потому что без развитых систем безопасности предприятия не могли бы себе позволить многие эффективные решения: BYOD, работу сотрудников из дома, в командировках. Хотя бы просто подсчитать время, затрачиваемое на дорогу и предположить, что часть этого времени сотрудник поработал бы дома в дополнение к 8-часовому рабочему дню. А ведь, если сотрудники не работают в офисе, значит, офис может занимать меньше площади – а это уже прямая экономия на арендной плате. В современных офисах у сотрудников часто нет постоянного рабочего места «со всеми удобствами» – чтобы коллеги или гости могли присесть рядом и что-то обсудить. Есть стандартный закуток (кубикл), где сотрудник может поработать на компьютере и переговорные комнаты – количество и того и другого при удалённой работе можно безболезненно сократить. Cisco, пойдя на такой шаг, выдала всем сотрудникам терминал видеоконференцсвязи, через который они из дома могли общаться с коллегами и партнёрами.
Ещё одна очевидная выгода от ИБ – защита от спама. Это и экономия времени на удалении ненужных писем, и отсутствие риска пропустить нужное и важное письмо. Наконец, это предотвращение заражения компьютера, что влечёт за собой лечение, а то и переустановку системы.
Управление из дома производственными процессами – это пока из области фантастики, но и здесь главная проблема в безопасности. Если когда-нибудь удастся добиться приемлемого уровня защищённости – почему бы и нет?