По словам Алексея Лукацкого, девиз «Безопасность везде», недавно заявленный Cisco, - не просто слоган, а отдельное важное направление, в котором движется компания. Подход Cisco заключается в том, что информационная безопасность должна охватывать все устройства и компоненты ИТ-инфраструктуры предприятия, а также информационные ресурсы за ее пределами - рабочие станции, облака, промышленные сегменты сетей и другие.
По информации Cisco, в мире порядка 50% пользователей являются мобильными. При этом, по информации Verizon сегодня от 70 до 90% вредоносного кода являются уникальными. Также остро стоит проблема нехватки специалистов – только в России дефицит ИБ-работников составляет несколько десятков тысяч человек, и эта цифра постоянно растет. Кроме того, изоляция корпоративных сетей с появлением облаков и мобильности пользователей ушла в прошлое, и сегодня периметры корпоратвной ИТ-инфраструктуры сильно размываются. В этой ситуации традиционные подходы к информационной безопасности не помогают, и для защиты корпоративных сетей нужны другие технологии.
Cisco предлагает бизнесу встретить растущие угрозы, вооружившись разработанными ею многочисленными решениями в области информационной безопасности, которые она предварительно испытала на собственной внутренней сети.
Комплекс решений Cisco в области ИБ
Одно из новых решений, о которых рассказывалось на пресс-конференции, связано с поглощенной Cisco в августе текущего года компанией OpenDNS, предлагавшей средства мониторинга и контроля DNS-запросов массовым и корпоративным пользователям.
Решение OpenDNS Umbrella, теперь продвигаемое Cisco, позволяет анализировать 80 млрд DNS-запросов (1 ТБ данных), контролируя практически весь мировой Интернет-трафик. Оно используется для контроля IP-адресов или url-запросов и дополняет файерволы и системы фильтрации контента. Благодаря ему можно осуществлять блокировку трафика по домену, а также по IP-адресу или URL –адресу. При этом работа решения абсолютно прозрачна для пользователя, так как он защищается на уровне DNS.
В свою очередь, решение Cisco AMP Connector осуществляет защиту на уровне файлов, позволяя блокировать и помещать в карантин вредоносные файлы «на лету» и в ретроспективе. Два решения органично дополняют друг друга, так как Umbrella блокирует некоторые соединения с DNS в облаке, а AMP фиксирует соединения & блокирует соединения на устройстве.Однако эти решения работают на защиту сетей и пользователей в корпоративном периметре.
Umbrella внутри сети
Отдельное решение, Cloud Access Security направлено на обеспечение безопасности корпоративной инфраструктуры при работе с облаком. Поскольку облачные приложения становятся неотъемлемой частью бизнеса, возрастает риск утечки конфиденциальных данных, инсайдерских действий, а также проникновения вредоносного ПО и вирусов. При этом корпоративные ИТ-службы не видят, какие используются приложения, не могут идентифицировать опасные приложения и настроить необходимые средства управления приложениями. Также возможно использование санкционированных приложения для неправомерных целей.
Кроме того, по данным Cisco 90% организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов.
Шлюз Cloud Access Security фильтрует запросы пользователей и за счет глубокого анализа облачного трафика распознает и блокирует соответствующие вредоносную активность, а также блокирует или предупреждает пользователя о несанкционированных действиях. В настоящее время технология уже работает с облачными сервисами Amazon, Google Drive, Yandex.Диск и другими.
При этом решение обеспечивает возможность обращаться к облачному сервису и проверять действия пользователя внутри чужой платформы. Оно также предоставляет возможность обнаруживать факт нарушений непосредственно во время его совершения и блокировать его, либо проводить расследования действий пользователя в облаке постфактум.
Главный эксперт Cisco по информационной безопасности Алексей Лукацкий
В рамках решения представлена технология Elastica, которая обеспечивает мониторинг, управление и защиту на всем протяжении атаки. Определение облачных приложений и служб, используемых сотрудниками, облачного трафика, являющегося причиной вредоносного поведения, защита предприятия путем создания и реализации индивидуальных политик, изучение вторжений для изоляции уязвимостей в системе безопасности, -эти функции Elastica помогут корпоративным ИБ-специалистам в борьбе с угрозами.
Отдельного внимания заслуживает решение ISE 2.0. Это централизованное решение безопасности, которое позволяет автоматизировать доступ к сетевым ресурсам с учетом контекста и предоставлять общий доступ к контекстным данным.
По информации Cisco 90% опрошенных организаций не вполне представляют себе, какие устройства находятся в их сети. При этом, 75% компаний подтвердили, что их мобильные устройства были атакованы вредоносным ПО за последние 12 месяцев.
ISE обеспечивает идентификацию, профилирование и оценку состояния устройств, находящихся в сети. Проще говоря, используя это решение, любая компания имеет возможность узнать, какие устройства подключены к сети, где они находятся, что они делают, соответствует ли их работа политикам безопасности и быстро изолировать угрозы. Сотрудники ИТ-отдела могут определить с точностью до нескольких метров, куда подключено устройство, сколько каких устройств в сети и что они делают.
Схема работы платформы ISE 2.0
При этом платформу ISE с сервисами профилирования, оценки состояния, гостевого доступа и BYOD теперь можно с помощью шаблонов разворачивать на всех сетевых устройствах, производства не только Cisco, но и других вендоров. Сегодня решение совместимо с оборудованием компаний Aruba, Motorola, HP и других. Также с помощью ISE 2.0 можно управлять доступом пользователей в корпоративную сеть на основе настроек их устройств. Примечательно, что решение позволяет точно определить местоположение устройства применительно к карте здания.
ISE 2.0 совместимо с устройствами ведущих мировых производителей
Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности. При этом обеспечивается единое управление политиками благодаря интеграции ISE с решениями сторонних производителей. Решение обеспечивает эффективный мониторинг действий пользователей и устройств в целях аналитики и создание отчетов о событиях. Кроме того, интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.
Сдерживание распространения угроз с помощью FMC и ISE
Технология Cisco TrustSec, являющаяся частью ISE 2.0, позволяет блокировать устройства, которые нарушают политику безопасности; они изолируются от всей корпоративной сети. ISE интегрирована с беспроводными решениями Cisco (Mobility Service Engine).
Сейчас компании могут использовать протокол TACACS+, входящий в Cisco ISE, для упрощения управления устройствами и расширения безопасности через гибкий и точный контроль доступа к ним.
Протокол обеспечивает ролевой контроль доступа, авторизацию на уровне команд с подробной регистрацией действий; имеется выделенный центр TACACS+ для сетевых администраторов и поддержка основных функций ACS5. Также поддерживается управление сетью, которая построена на старых устройствах.
Авторизация в сети по местоположению
Использование Cisco pxGrid, а также интеграция между ISE Cisco и партнерами контроля доступа позволяют реализовать политики и создавать отчеты на основе идентификации и устройств, а также обеспечивает реагирование сети по нейтрализации серьезных случаев нарушения доступа. Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.
К новинкам ISE 2.0 можно отнести функции центра FMC (Firepower Management Center).
Совместно с ISE, центр FMC идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.
Существенную роль в обеспечении безопасности сети играет решение Any Connect 4.2.
Новый модуль AnyConnect Network Visibility Module (NVM) позволяет лучше «видеть» пользователей, ПК, приложения и обеспечивать аналитику на базе телеметрических данных/ интегрируется с облачными сервисами. При этом обеспечивается более полный обзор всей сети с наиболее эффективной поведенческой аналитикой и учетом контекста, более эффективная защита от потенциальных угроз, улучшение сетевых операций с анализом инцидентов.
Функции Cisco AnyConnect
Все это происходит при минимуме воздействия на пользователя и общения с пользователем, а встроенные аналитические возможности и отчетность обеспечивают возможность эффективного аудита.
Всестороннюю защиту корпоративной сети обеспечивает решение Advanced Malware Protection (AMP), которое способно охватить мобильные устройства, рабочие станции и сервера. AMP работает с широким спектром операционных систем, от Windows до CentOS, а для оконечных устройств решение запускается из Cisco AnyConnect.
Кроме того, периметр сети защищается с помощью работающего в сочетании с AMP решения Threat Grid. Оно обеспечивает статистический и динамический анализ файлов, а также их репутационную оценку.
Интеграция же AMP Threat Grid и OpenDNS обеспечивает комплексную защиту инфраструктуры от угроз информационной безопасности.
Важным шагом Cisco в сфере информационной безопасности является также развитие сервисного направления. Компания предлагает корпоративным потребителям не только продукты, но и комплексные сервисы в области информационной безопасности.
Один из таких сервисов, Threat Awareness, ориентирован на средний и малый бизнес, то есть компании, у которых нет специалистов, способных отслеживать угрозы, в том числе исходящие из их же сетей. Задача сервиса – при минимуме усилий позволить получить информацию о том, что происходит в сети. Это происходит за счет охвата интернет-трафика, в том числе почтового, а устанавливать какие-либо устройства в самой сети не нужно. Для запуска сервиса достаточно указать DNS и IP-адреса организации, после чего компания получает информацию о характере своего трафика через веб.
Портальный сервис анализа угроз Cisco Threat Awareness расширяет видимость угроз и доступен 24-часа-в-сутки. Он обеспечивает оперативное обнаружение вредоносной активности, идентификацию скомпрометированных сетей и подозрительного поведения, помогает компаниям и службам ИТ/ИБ идентифицировать угрозы, анализирует сетевой трафик, исходящий из организации.
В свою очередь, сервис Active Threat Analytics ориентирован на крупных корпоративных заказчиков, обеспечивая полный аутсорсинг обеспечения информационной безопасности. С его помощью Cisco берет на себя функции управления всей безопасностью компании, предлагая три варианта использования сервиса – базовый, расширенный и максимальный. Архитектура Threat Analytics предусматривает многоуровневую защиту корпоративной сети с сохранением данных на стороне заказчика и работой АТА-устройств в пассивном режиме, но в реальном времени.
Тотальная защита от Cisco ориентирована на предотвращение практически любых угроз информационной безопасности предприятия. Остается только понять, насколько доступными будут эти решения для разных уровней российского бизнеса в нынешней экономической ситуации, и найдут ли потребители из государственного сектора достойную альтернативу комплексной защите от зарубежного поставщика в условиях курса на импортозамещение.