Защищенные сети без границ – подход cisco
DESCRIPTION
TRANSCRIPT
1/38 © Cisco, 2010. Все права защищены.
Защищенные сети без границ – подход Cisco
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 2/99
Смена ожиданий бизнеса в отношении информационной безопасности
3 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 4/99
Вирус Шпионское
ПО
Malware
(трояны,
кейлоггеры,
скрипты)
Эксплоиты
Исследования
NSS LAB
показывают, что
даже лучшие
антивирусы и
Web-шлюзы не
эффективны
против
современных
угроз
Вредоносные
программы
воруют уже не
ссылки на
посещаемые
вами сайты, а
реквизиты
доступа к ним
Web и социальные
сети все чаще
становятся
рассадником
вредоносных
программ, а также
инструментом
разведки
злоумышленников
Вредоносные
программы
используют для
своих действий
неизвестные
уязвимости (0-Day,
0-Hour)
© Cisco, 2010. Все права защищены. 5/99
Массовое
заражение Полимор-
физм
Фокус на
конкретную
жертву
Передовые
и тайные
средства
(APT)
Злоумышленников
не интересует
известность и
слава – им важна
финансовая
выгода от
реализации угрозы
Современные угрозы
постоянно меняются,
чтобы средства
защиты их не
отследили –
изменение
поведения, адресов
серверов управления
Угрозы могут быть
разработаны
специально под вас –
они учитывают вашу
инфраструктуры и
встраиваются в нее, что
делает невозможным
применение
стандартных методов
анализа
Угрозы становятся
модульными,
самовосстанавлива-
ющимися и
устойчивыми к
отказам и
обнаружению
Cisco Confidential 6 © 2010 Cisco and/or its affiliates. All rights reserved.
Устойчивые, сложные, мутирующие
Каждый экземпляр атаки может отличаться от другого
Домены меняются ежедневно, даже ежечасно
Контент мутирует и маскируется под легальный трафик
80% спама исходит от инцифицированных клиентов
70% «зомби» используют динамические IP-адреса
Угрозы из легальных доменов растут на сотни процентов в год
Спам составляет более 180 миллиардов сообшений в день
© Cisco, 2010. Все права защищены. 7/99
© Cisco, 2010. Все права защищены. 8/99
© Cisco, 2010. Все права защищены. 9/99
© Cisco, 2010. Все права защищены. 10/99
© Cisco, 2010. Все права защищены. 11/99
• 51% пользователей имеет обычно 1-4 пароля ко всем своим учетным записям
© Cisco, 2010. Все права защищены. 12/99
Malware
40% потерь в производительности
в связи с использованием web для личных нужд во время работы
Риск нарушения законодательства когда запрещенный контент загружается
пользователями
Нарушения
правил
использования
Утечки данных
© Cisco, 2010. Все права защищены. 13/99
© Cisco, 2010. Все права защищены. 14/99
• Взломанные web-узлы отвечают за распространение более 87% всех Web-угроз сегодня
• Более 79% web-узлов с вредоносным кодом легитимные**
• 9 из 10 web-узлов уязвимы к атакам**
• Cross-site Scripting (XSS) и SQL Injections лидируют в числе разных методик взлома
-Cross-Site Scripting (7 их10 узлов)**
-SQL Injection (1 из 5)**
*Source: IronPort TOC
**Source: White Hat Security, Website Sec Statistics Report 10/2007 & PPT 8/2008
© Cisco, 2010. Все права защищены. 15/99
• Botnets настраиваются и внедряют malware в web-узлы с помощью SQL Injections используя уязвимости в web-приложениях
• Хакеры используют SQL Injections для вставки JavaScript iFrames, которые перенаправляют пользователей на web-сайты, на которых хостится malware
© Cisco, 2010. Все права защищены. 16/99
DNS Poisoning
Взломанные сайты
* Source: Cisco Threat Operations Center
Социальная инженерия
Простое посещение сайта может инфицировать компьютер пользователя
Ответствены на 87% всех web-угроз*
Категория: Новости
Актуальный контент, содержащий общественный интерес
Социальная инженерия заставляет пользователей отключать защиту на десктопе
Категория: Правительство
© Cisco, 2010. Все права защищены. 17/99
• Ссылка размещается (или посылается от имени) на взломанной учетной записи социальной сети
• Эта ссылка отсылает вас на сайт с «потрясным» видео, которое просит установить вас последнюю версию Flash player или отсутствующий кодек
Cisco Confidential 18 © 2010 Cisco and/or its affiliates. All rights reserved.
© Cisco, 2010. Все права защищены. 19/99
© Cisco, 2010. Все права защищены. 20/99
© Cisco, 2010. Все права защищены. 21/99
© Cisco, 2010. Все права защищены. 22/99
© Cisco, 2010. Все права защищены. 23/99
© Cisco, 2010. Все права защищены. 24/99
© Cisco, 2010. Все права защищены. 25/99
© Cisco, 2010. Все права защищены. 26/99
Мотивация
Метод
Фокус
Средства
Результат
Тип
Цель
Агент
Известность
Дерзко
Все равно
Вручную
Подрыв
Уникальный код
Инфраструктура
Изнутри
Деньги
Незаметно
Мишень
Автомат
Катастрофа
Tool kit
Приложения
Третье лицо
© Cisco, 2010. Все права защищены. 27/99
Разработчики Посредники Атаки второй волны
Создание ботнетов
$$$ Финансовые потоки $$$
Черви
Шпионское ПО
Инструменты атак
Вирусы
Трояны
Вредоносное ПО
Атаки первой волны
Заражение
Прямая атака от хакера
Продажа информации
Рассылка Спама
Фишинг/ Сбор информации
DDoS
Атака на отдельные системы и
приложения
Результат
Мошенничество
Реклама
Мошеннические продажи
Накручивание кликов
Шпионаж
Слава
Месть
Вымогательство
Управление ботнетом:
Аренда, продажа
Кража информации
Фарминг, DNS Poisoning
© Cisco, 2010. Все права защищены. 28/99
• Партнерская сеть по продаже scareware
• Партнеры загружают scareware на зараженные компьютеры и получают комиссию 60% c продаж
• Объем продаж за десять дней $147K (154 825 установки и 2 772 продажи)
• $5M в год
Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2
Статистика продаж Bakasoftware за 10 дней
© Cisco, 2010. Все права защищены. 29/99
Веб-страницы создаются из объектов, которые находятся на разных источниках
Объекты – это изображения, html-код, JavaScript…
Trusted Web Site Client PC Web servers not affiliated
with the trusted web site
(e.g. ad servers)
Web Reputation Filters
Scan each object, not just
the initial request
Скомпрометированные узлы берут вредоносное содержимое из внешних источников
Безопасность – это просмотр каждого объекта в отдельности, а не только первоначального запроса.
© Cisco, 2010. Все права защищены. 30/99
1. Адресов в браузере: 1
2. HTTP запросов: 162
3. Изображений: 66 с 18 разных доменов
4. Скриптов: 87 с 7 доменов
5. Cookie: 118 с 15 доменов
6. Flash объектов: 8 c 4 доменов
© Cisco, 2010. Все права защищены. 31/99
© Cisco, 2010. Все права защищены. 32/99
• Эффективна ли защита рабочих станций основанная только на антивирусном ПО?
• Способен ли МСЭ проверять содержимое?
• Как технические средства помогут бороться с атаками с применением социальной инженерии?
© Cisco, 2010. Все права защищены. 33/99
© Cisco, 2010. Все права защищены. 34/99
1. Непрерывно повышайте свою осведомленность
2. Не гонитесь за новинками – решите «старые» задачи
3. Обучите персонал вопросам ИБ — и вовлеките их в сам процесс
4. Помните, что безопасность сегодня не ограничивается одним периметром / границей
5. Безопасность – это часть вашего бизнеса
35 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 36/99
Аутсорсинг Виртуализация Мобильность Web 2.0 Облака Социальные
сети
© Cisco, 2010. Все права защищены. 37/99
7 млрд новых беспроводных устройств к 2015 г.
50% предприятий-участников
опроса разрешают использовать личные
устройства для работы
40% заказчиков планируют внедрить
распределенные сетевые сервисы («облака»)
К 2013 г. объем рынка «облачных вычислений» составит 44,2 млрд
долларов США
―Энтузиасты совместной работы‖ в среднем
используют 22 средства для общения с коллегами
45% сотрудников нового поколения пользуются социальными сетями
Украденный ноутбук больницы: 14 000 историй болезни
Более 400 угроз для мобильных устройств,
к концу года – до 1000
становятся причинами появления новых угроз
Skype = возможность вторжения
Системы IM могут обходить механизмы защиты
Новые цели атак: виртуальные машины и гипервизор
Отсутствие контроля над внутренней виртуальной сетью
ведет к снижению эффективности политик безопасности
© Cisco, 2010. Все права защищены. 38/99
66% 45% 59% 45% 57%
Согласятся на
снижение
компенсации
(10%), если
смогут работать
из любой точки
мира
Готовы
поработать на
2-3 часа в день
больше, если
смогут сделать
это удаленно
Хотят
использовать
на работе
личные
устройства
ИТ-
специалистов
не готовы
обеспечить
бóльшую
мобильность
сотрудников
ИТ-специалистов
утверждают, что
основной задачей
при повышении
мобильности
сотрудников
является
обеспечение
безопасности
© Cisco, 2010. Все права защищены. 39/99
21% 64% 47% 20% 55%
Людей
принимают
«приглашения
дружбы» от
людей, которых
они не знают
Людей не думая
кликают по
ссылкам,
присылаемым
«друзьями»
Пользователей
Интернет уже
становились
жертвами
заражений
вредоносными
программами
Людей уже
сталкивалось с
кражей
идентификаци
онных данных
Людей были
подменены с
целью получения
персональных
данных
© Cisco, 2010. Все права защищены. 40/99
«Заплаточный» подход к защите – нередко
в архитектуре безопасности используются
решения 20-30 поставщиков
Непонимание смены ландшафта угроз
Концентрация на требованиях регулятора в
ущерб реальной безопасности
Неучет и забывчивость в отношении новых
технологий и потребностей бизнеса
41 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 42/99
Противодействие вредоносным воздействиям
Защита ресурсов
Соответствие нормативным требованиям
Поддержание работы критически важных сервисов
Экономическая эффективность
Мониторинг пользователей, устройств, операций
ТРЕБУЕТСЯ АРХИТЕКТУРНЫЙ ПОДХОД
© Cisco, 2010. Все права защищены. 43/99
Безопасность сети
Контроль доступа
Защищенная мобильность
Защищенные «облака» и виртуализация
Безопасность контента
• МСЭ
• IPS
• VPN
• Управление
безопасностью
• Виртуальные
решения
• Модули
обеспечения ИБ
• Управление
политиками
• 802.1x
• NAC
• Оценка состояния
• Профилирование
устройств
• Сервисы
идентификации
• Конфиденциальность
• VPN
• Мобильный
защищенный клиент
• IPS для
беспроводных сетей
• Удаленный сотрудник
• Виртуальный офис
• Защита мобильности
• Защита
электронной почты
• Обеспечение
безопасности
web-трафика
• «Облачные»
сервисы
обеспечения
безопасности
контента
Глобальный анализ угроз: SIO
© Cisco, 2010. Все права защищены. 44/99
Глобальные сложные угрозы
Высокая сложность
Многовекторные атаки –
ни одна не похожа на
другую
Необнаруженное
вредоносное ПО
Отключается системы ИБ,
крадет данные, открывает
удаленный доступ к системе
Надежность защиты
ограничивается
сигнатурными методами
и поиском по локальным
данным
ПРОБЛЕМА
РИСК: РИСК: РИСК: РИСК ВЫСОКИЙ ВЫСОКИЙ СРЕДНИЙ
Поддельные сайты Microsoft Update
KOOBFACE «Сбор средств
на восстановление Гаити»
© Cisco, 2010. Все права защищены. 45/99
Глобальный мониторинг
Крупнейшая система
анализа угроз – защита от
многовекторных атак
Более 700K сенсоров 5 млрд
Web-запросов/день
35% мирового Email-трафика
Телеметрия угроз оконечным
устройствам
Анализ репутации,
спама, вредоносного ПО
и категорий URL,
классификация
приложений
РЕШЕНИЕ CISCO
ISP, партнеры,
сенсоры
IPS ASA WSA
SIO ГЛОБАЛЬНЫЙ ЦЕНТР Исследователи, аналитики, разработчики
ESA
Бюллетени
об устранении
угроз
Исследователи,
аналитики,
разработчики
ESA
Cisco AnyConnect
© Cisco, 2010. Все права защищены. 46/99
© Cisco, 2010. Все права защищены. 47/99
Внешние и внутренние угрозы
Внутренние угрозы Внешние угрозы
Ботнеты
Масштабирование
производительности и
своевременное
распространение
обновлений
Отсутствие глобальной
информации об угрозах и
контекстной информации
для обеспечения надежной
защиты
Слабая координация
действий систем
обеспечения ИБ и
сетевого оборудования
ПРОБЛЕМА
ВПО
© Cisco, 2010. Все права защищены. 48/99
Защита от угроз
РЕШЕНИЕ CISCO
КТО
ЧТО
ГДЕ
КОГДА
КАК Политика с учетом контекста
IPS
WSA
ASA
ESA
СЕТЬ
Полномасштабное
решение: ASA, IPS,
«облачные» сервисы
защиты web-трафика и
электронной почты
Политика с учетом
контекста точнее
соответствует бизнес-
потребностям в сфере ИБ
Простота
развертывания и
обеспечения защиты
распределенной среды
© Cisco, 2010. Все права защищены. 49/99
Multi-Service
(Firewall/VPN и IPS)
Pe
rfo
rman
ce a
nd
Sca
lab
ility
Data Center Campus Branch Office SOHO Internet Edge
ASA 5585 SSP-60 (40 Gbps, 350K cps)
ASA 5585 SSP-40 (20 Gbps, 200K cps)
ASA 5585 SSP-20 (10 Gbps, 125K cps)
ASA 5585 SSP-10 (4 Gbps, 50K cps)
ASA 5540 (650 Mbps,25K cps)
ASA 5520 (450 Mbps,12K cps)
ASA 5510 (300 Mbps,9K cps)
ASA 5505 (150 Mbps, 4K cps)
ASA 5550 (1.2 Gbps, 36K cps)
ASA 5580-20 (10 Gbps, 90K cps)
ASA 5580-40 (20 Gbps, 150K cps)
NEW
NEW
NEW
NEW
© Cisco, 2010. Все права защищены. 50/99
ASA 5585-X
IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60
Processor Yes Yes Yes
(Dual CPU)
Yes
(Dual CPU)
Maximum Memory 6 GB 12 GB 24 GB 48 GB
Maximum Storage 2 GB eUSB 2 GB eUSB 2 GB eUSB 2 GB eUSB
Ports
2 x SFP+
8 x 1GbE Cu
2 x 1GbE Cu Mgmt
2 x SFP+
8 x 1GbE Cu
2 x 1GbE Cu Mgmt
4 x SFP+
6 x 1GbE Cu
2 x 1GbE Cu Mgmt
4 x SFP+
6 x 1GbE Cu
2 x 1GbE Cu Mgmt
© Cisco, 2010. Все права защищены. 51/99
Показатель FCS
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
© Cisco, 2010. Все права защищены. 52/99
2011
Приложения
Контент
Состояние
Местоположение
Репутация
Identity
TrustSec
CSC Enhancements
1H 2011 2H 2011
Cisco ASA: Context Aware Firewall
Версия ПО ASA 8.4.3 ―Falcon‖ Module
© Cisco, 2010. Все права защищены. 53/99
Мобильным сотрудникам
требуется доступ к
сетевым и «облачным»
сервисам
На разнообразных
пользовательских
устройствах используются
как пользовательские, так и
корпоративные профили
Кража/утеря устройств –
высочайший риск утери
корпоративных данных и
нарушения нормативных
требований
462 млн
ПРОБЛЕМА
© Cisco, 2010. Все права защищены. 54/99
Поддержка любых пользователей и любых устройств
Единственный в отрасли
унифицированный клиент;
постоянная защита
Поддержка широкого спектра
устройств: Windows XP/7,MAC
OSX, Linux, Apple iOS (iPhone и
iPad), Nokia Symbian, Webos,
Windows Mobile, Android* (скоро)
Защищенные подключения
Сквозное шифрование
(MACsec)
Использование ScanSafe
РЕШЕНИЕ CISCO
ASA WSA ISR Коммутаторы
доступа
Cisco AnyConnect
Внутренние, «облачные», социальные приложения
© Cisco, 2010. Все права защищены. 55/99
• Клиент IPSec/SSL/DTLS VPN
Client/Clientless
• Контроль защищенности
• Location-Specific Web Security
На периметре (Ironport WSA) или через облако (ScanSafe)
• Защищенный доступ в облако через SSO
• Контроль сетевого доступа
802.1X Authentication and Posture
MACsec encryption
Cisco TrustSec devices (план)
• Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android (план), Cius (план), Windows Phone (план)
Internet-Bound Web Communications
ScanSafe
© Cisco, 2010. Все права защищены. 56/99
Доступ с любого устройства
Учет результатов
идентификации и ролевая
модель контроля доступа
Гостевой доступ
Обеспечение
выполнения политик: от
пользовательских
устройств до ЦОД
Защита
конфиденциальности
в рамках всей сети
ПРОБЛЕМА
ОФИС КАФЕ
© Cisco, 2010. Все права защищены. 57/99
Контроль доступа
Согласованная политика
на основании результатов
идентификации на всех
уровня – от устройства до
ЦОД – в соответствии с
бизнес-потребностями
Распространение сведений
о политиках и
интеллектуальных
механизмов по сети
Метки групп безопасности
позволяют обеспечить
масштабируемое
применение политик
с учетом контекста
РЕШЕНИЕ CISCO
Решения на основании состояния 1. Разрешение/блок в соответствии с политикой
2. Авторизованным устройствам назначаются
метки политики
3. Теги политики учитываются при работе в сети
VPN
ЦОД
Виртуальные машины в ЦОД
ОК
СТОП
КТО
ЧТО
ГДЕ
КОГДА
КАК ? ? ?
MACSec
© Cisco, 2010. Все права защищены. 58/99
NAC Manager NAC Server
NAC Profiler
NAC Guest Server
NAC Collector Standalone appliance
or licensed as a module on NAC Server
Access Control Solution
ISE
Identity &
Access Control
Identity & Access
Control + Posture
Device Profiling &
Provisioning +
Identity Monitoring
Guest Lifecycle
Management
© Cisco, 2010. Все права защищены. 59/99
Ограниченность числа
ИТ-специалистов и
специалистов по ИБ в
филиале, рост затрат
Использование SaaS-решений и
«облачных» систем приводит к
раздельному туннелированию
трафика — новые проблемы
безопасности
Нормативные
требования
Удаленный сотрудник
Филиал
ПРОБЛЕМА
ЦОД
Центральный
офис SaaS
Интернет
© Cisco, 2010. Все права защищены. 60/99
VPN (IPSEc, GET VPN,
DMVPN, SSL), МСЭ, IPS,
клиент ScanSafe
Лучшие показатели ROI
(простота, согласованность,
интеграция), снижение затрат и
повышение производительности
при раздельном туннелировании
Оптимизация работы
приложений в WAN
WLAN/WAN
Ethernet-коммутатор
Интегрированный сервер
Все функции для защиты филиала
Лучшие показатели ROI
(реплицируемые)
Безопасность + оптимизация
работы приложений
$
+
ISR G2
РЕШЕНИЕ CISCO
Центральный
офис
© Cisco, 2010. Все права защищены. 61/99
Новые проблемы
безопасности,
отсутствие систем
мониторинга «облака»
Совершенно новые
технологии, отсутствие
согласованности
Высокие требования
к масштабированию
ПРОБЛЕМА
© Cisco, 2010. Все права защищены. 62/99
Высокопроизводи-
тельные устройства
обеспечения ИБ
для ЦОД
Унификация систем защиты
физических и виртуальных
сред; тонки настройки
основанной на зонах политики
с учетом контекста
Распространение политик
Безопасная работа с приложениями
Поддержка Vmotion
Защищенная сегментация VM
Защищенная сегментация «облака»
РЕШЕНИЕ CISCO
Nexus 1000v
Cisco ASA
Сенсоры IPS
ЗАЩИЩЕННЫЕ
ЧАСТНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ
ОБЩЕДОСТУПНЫЕ «ОБЛАКА»
Cisco Virtual Security Gateway
ЗАЩИЩЕННЫЕ
ГИБРИДНЫЕ «ОБЛАКА»
© Cisco, 2010. Все права защищены. 63/99
Virtualization
Security
V-Motion (Memory)
V-Storage (VMDK)
VM Segmentation
Hypervisor Security
VM Sprawl
Patch Management
VM OS Hardening
Role Based Access
Physical Security
Virtual Security Gateway на
Nexus 1000V с vPath
© Cisco, 2010. Все права защищены. 64/99
Профиль компании:
Основана в 2004г.
Пионер и мировой лидер в области SaaS услуг Web безопасности
Клиенты - от SMB до Large Enterprise в более чем 100 странах
100% Uptime за всю историю предоставления услуги
Является подразделением Cisco с Декабря 2009г.
На момент приобретения - 80% продаж через операторов связи
Customers
Security product of the year 2008
Awards
Partners
© Cisco, 2010. Все права защищены. 65/99
• В июне мы выпустили новую брошюру
66 © Cisco, 2010. Все права защищены.
© Cisco, 2010. Все права защищены. 67/99
Необходимо защитить Все устройства: планшетные устройства, смартфоны
Новые системы для совместной работы и платформы социальных сетей
Данные, передающиеся в «облако»
Среды ЦОД и виртуализации настольных систем
© Cisco, 2010. Все права защищены. 68/99
Требуется НОВЫЙ подход к обеспечению безопасности
© Cisco, 2010. Все права защищены. 69/99
Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Требования сертификации
Собственные отраслевые стандарты
Ориентация на продукты отечественного
производства
© Cisco, 2010. Все права защищены. 70/99
ИБ
ФСТЭК
ФСБ
Минком-связь
МО
СВР
ФСО
ЦБ
PCI
Council
Газпром-
серт
Энерго-
серт
РЖД
Рос-
стандарт
© Cisco, 2010. Все права защищены. 71/99
ISO 15408:1999 («Общие критерии») в России
(ГОСТ Р ИСО/МЭК 15408) так и не заработал
Перевод СоДИТ ISO 15408:2009 – судьба
неизвестна ;-(
ПП-608 разрешает признание западных
сертификатов – не работает
ФЗ «О техническом регулировании» разрешает
оценку по западным стандартам – не работает
ПП-455 обязывает ориентироваться на
международные нормы – не работает
© Cisco, 2010. Все права защищены. 72/99
РД ФСТЭК
15408
СТР-К Четверокнижие
по ПДн
КСИИ
СТО БР ИББС Коммерческая
тайна
PCI DSS
ГОСТ Р ИСО 17799:2005
…
Контроль доступа (мандатный/
дискреционный) VLAN VPN
Биллинг ОС (одноуровневые/
многоуровневые) СУБД IDS
Электронные замки
Настройка МСЭ Контроль паролей
Защита данных держателей карт Шифрование в канале связи
Обновление антивируса Защита приложений
Разграничение доступа Идентификация и аутентификация
Физический доступ Регистрация действий Анализ безопасности
Документальное сопровождение
Разграничение доступа Изоляция процессов Управление потоками
Межсетевое экранирование Идентификация/аутентификаци
я Регистрация действий
Реакция на НСД Очистка памяти
Тестирование функций защиты Учет и маркировка носителей
Контроль целостности
Защита от утечек по техническим каналам Документальное оформление
Физическая безопасность Регистрация действий Разграничение доступа
Учет и маркировка носителей Резервирование
Антивирусная защита Защита ЛВС
Защита внешнего взаимодействия СУБД
Система управления Документальное сопровождение Управление жизненным циклом
Разграничение доступа Регистрация действий Антивирусная защита
Защита внешнего взаимодействия Защита e-mail и архив почты
Криптография Платежные процессы
Технологические процессы
Разграничение доступа Регистрация действий
Учет носителей Обеспечение целостности
Межсетевое взаимодействие Отсутствие НДВ
Антивирусная защита Анализ защищенности
Обнаружение вторжений BCP
Реагирование на инциденты Оценка рисков
Повышение осведомленности Аудит
Защита коммуникаций
Документальное сопровождение Защита от утечек по техническим
каналам Антивирусная защита
Обнаружение вторжений Разграничение доступа Регистрация действий
Учет и маркировка носителей Обеспечение целостности
Межсетевое взаимодействие Криптографическая защита
Ловушки Сканеры защищенности
Защита от утечек по техническим каналам Разграничение доступа
Межсетевое взаимодействие VPN
Аутентификация и идентификация Криптозащита
Шифрование информации ЭЦП
Пакетное шифрование Стеганография
Регистрация действий Сигнализация
Обнаружение вторжений Защита от ПМВ
Защита от сбоев, отказов и ошибок Обеспечение целостности и надежности Тестирование и контроль безопасности
Политика безопасности Организация ИБ
Управление активами Безопасность HR
Физический доступ Безопасность окружения
Управление средствами связи Контроль доступа
Приобретение, разработка и обслуживание ИС Управление инцидентами
BCP Соответствие требованиям
© Cisco, 2010. Все права защищены. 73/99
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография) Специфичные
© Cisco, 2010. Все права защищены. 74/99
КО PCI DSS
ФЗ-152
ФСБ
СТО БР ИББС 1.0
Росинформ-технологии
Национальная платежная
система
Фин-Мониторинг
© Cisco, 2010. Все права защищены. 75/99
• Персональные данные Отраслевые стандарты НАПФ, НАУФОР, Тритон, РСА, Минздрав…
• Финансовая отрасль PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной системе»
• Критически важные объекты
• Электронные госуслуги
• Новый ФЗ о лицензировании
• И др.
© Cisco, 2010. Все права защищены. 76/99
ПК127 ПК3 ТК362 КЦ
АРБ
РГ
ЦБ
«Безопасность
ИТ»
(представитель
ISO SC27 в
России)
«Защита
информации в
кредитно-
финансовых
учреждениях»
«Защита
информации»
при ФСТЭК
Консультации
банков по
вопросам ПДн
Разработка
рекомендаций по
ПДн и СТО БР
ИББС v4
© Cisco, 2010. Все права защищены. 77/99
• WP по защите персональных данных
• WP по соответствию СТО Банка России
• И др.
© Cisco, 2010. Все права защищены. 78/99
ФСТЭК ФСБ МО СВР
Все, кроме
криптографии
СКЗИ
МСЭ
Антивирусы
IDS
BIOS
Сетевое
оборудование
Все для нужд
оборонного ведомства
Тайна, покрытая
мраком
Требования
открыты Требования закрыты (часто секретны). Даже лицензиаты
зачастую не имеют их, оперируя выписками из выписок
А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС) и Ecomex
© Cisco, 2010. Все права защищены. 79/99
Единичный экземпляр
Партия Серия
Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567
Место производства: Ирландия,
Дублин
Смена: 12
Версия ОС: 8.2
Производительность: 30 Гбит/сек
Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567
Место производства: Ирландия,
Дублин
Смена: 12
Версия ОС: 8.2
Производительность: 30 Гбит/сек
Cisco ASA 5585-X Cisco ASA 5585-X
© Cisco, 2010. Все права защищены. 80/99
Единичный экземпляр
Партия Серия
Основная схема для
западных вендоров
Оценивается конкретный
экземпляр (образец)
Число экземпляров – 1-2
Основная схема для
западных вендоров
Оценивается
репрезентативная выборка
образцов
Число экземпляров – 50-
200
Основная схема для
российских вендоров
Оценивается образец +
инспекционный контроль за
стабильностью характеристик
сертифицированной
продукции
Число экземпляров -
неограничено
© Cisco, 2010. Все права защищены. 81/99
Россия
Партнер #1
ПАРТНЕРЫ
СISCO
Партнер #2
Партнер #3
Kraftway Corporation PLC
&
AMT
ФСТЭК
Оборудование с
сертификатами
ФСТЭК
Оборудование без
сертификации по
требованиям
ФСТЭК Дистрибуторы
Cisco Systems,
Inc
Партнер #N
производство по
требованиям ФСТЭК
сертификационный
пакет ФСТЭК
Производство за
пределами России
© Cisco, 2010. Все права защищены. 82/99 82
0
1
2
3
4
5
6
7
8
Число нормативных актов с требованиями сертификации по требованиям безопасности
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ ―О национальной
платежной системе‖, ФЗ ―О служебной тайне‖, новые приказы ФСТЭК/ФСБ и т.д.)
© Cisco, 2010. Все права защищены. 83/99
Дорого Необязательно Невозможно Отвечает
потребитель
От нескольких
сотен долларов
(при сертификации
серии) до
несколько
десятков тысяч
долларов
Исключая гостайну и
СКЗИ разработка и
продажа средств
защиты возможна и без
сертификата
А западные вендоры и
так сертифицированы
во всем мире
Западные
производители не
ведут в России
коммерческой
деятельности и не
могут быть
заявителями
По КоАП
ответственность
лежит на
потребителе
© Cisco, 2010. Все права защищены. 84/99
500+ ФСБ НДВ 28 96
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-
Терра СиЭсПи)
Отсутствуют в
ряде
продуктовых
линеек Cisco
Линеек
продукции
Cisco прошли
сертификацию
по схеме
«серийное
производство»
Продуктовых
линеек Cisco
сертифицированы
во ФСТЭК
© Cisco, 2010. Все права защищены. 85/99
• FAQ по сертифицированному производству
• Регулярно обновляемый список сертификатов
• И др.
© Cisco, 2010. Все права защищены. 86/99
Ввоз и использование шифровальных
средств – это два разных
законодательства
Разделение ввозимой
криптографии по длинам ключей и
сферам применения (с 01.01.2010)
Нотификации vs. ввоза по лицензии
Минпромторга (после получения разрешения ФСБ)
Cisco не только ввозит свое оборудование легально, но и
планирует запустить производство оборудования в России
© Cisco, 2010. Все права защищены. 87/99
• FAQ по импорту
• Рекомендации по составлению заявления в ФСБ на ввоз шифровальных средств
© Cisco, 2010. Все права защищены. 88/99
Позиция регулятора (ФСБ) –
использование VPN-решений на
базе отечественных
криптоалгоритмов
Встраивания криптоядра
достаточно для прикладных систем и недостаточно для
VPN-продуктов (разъяснение ФСБ)
Важно знать, что написано в
формуляре на СКЗИ – часто явно
требуется сертификация в
ФСБ
Cisco и С-Терра СиЭсПи имеют сертификат ФСБ на целостное решение для Cisco ISR G2 и
Cisco UCS C-200
© Cisco, 2010. Все права защищены. 89/99
• WP по криптографии
• Ролики на YouTube
• www.cisco.ru/go/rvpn
© Cisco, 2010. Все права защищены. 90/99
• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© Cisco, 2010. Все права защищены. 91/99
• Листовка по RVPN
• Листовка по UCS с VPN
• Ролики на YouTube
• www.cisco.ru/go/rvpn
© Cisco, 2010. Все права защищены. 92/99
Безопасность в России и во всем мире –
две большие разницы
ИТ-безопасность и информационная
безопасность – не одно и тоже
Нужно осознавать все риски
Необходимо искать компромисс
Не закрывайтесь – контактируйте с
CISO, регуляторами, ассоциациями…
© Cisco, 2010. Все права защищены. 93/99
Антивирусный модуль от Лаборатории Касперского в Cisco ISR G2
Интеграция с MaxPatrol от Positive Technologies
Интеграция с Traffic Monitor от Infowatch
Интеграция с Дозор-Джет от Инфосистемы Джет
Антивирусный движок от Лаборатории Касперского в сервисе облачной безопасности ScanSafe
Интеграция с VPN-решениями С-Терра СиЭсПи
Поддержка Dr.Web, Лаборатории Касперского в решениях Cisco NAC Appliance
1
2
3
4
5
6
7
© Cisco, 2010. Все права защищены. 94/99
Лидер мирового рынка сетевой безопасности. Обширное портфолио продуктов и услуг. Тесная интеграция с сетевой инфраструктурой. Архитектурный подход
Поддержка и защита самых современных ИТ. Контроль качества. Исследования в области ИБ. Обучение и сертификация специалистов. Собственное издательство Сертификация на соответствие российским требованиям по безопасности. Сертифицированная криптография. Сертификация производства. Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ Финансирование проектов по ИБ. Легитимный ввоз оборудования. Круглосуточная поддержка на русском языке. Склады запчастей по всей России. 1000+ партнеров
1
2
3
4
5
© Cisco, 2010. Все права защищены. 95/99
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco