1. Новые тенденции и
новые технологии на
рынке ИБ
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 1/43

2. Мировой рынок МСЭ меньше рынка йогуртов в США
Приход новых
Кибероружие Кибербезопасность Новые технологии
игроков
 Boeing, Raytheon,  Логическая бомба в  Создание кибервойск  Проведение
Lockheed, SAIC, АСУ ТП Газпрома исследование,
 Разработка
Northrop Grumman, (1982), вирус AF/91 аналогичных
стратегий ведения и
BAE, EADS, HP (EDS) (1991), «Лунный военным, и
отражения
лабиринт» (1998), использование
кибервойн
«Титановый дождь» полученных
(2003), Suter (2007), технологий для в
«Автора» (2009), разработке
© Cisco, 2010. Все права защищены.
Stuxnet (2010) 2/43

3. • Недокументированные возможности Intel 80x86, 286, 386, 486,
Pentium…, AMD, Cyrix и т.д. (1995)
• Чипсеты Intel из Китая (2007)
• Руткит в Broadcom NetExtreme (2010)
• Закрытый модуль BMC, зашитый в BIOS-
код Management Agent (2011)
© Cisco, 2010. Все права защищены. 3/43

4. Россия коренным образом отличается от всего мира в
области информационной безопасности!!!
Новые
Угрозы
технологии
Требования
регуляторов
© Cisco, 2010. Все права защищены.
ИНФРАСТРУКТУРА 4/43

5. • Современные киберпреступники эмулируют удачные бизнес-
модели
• Проведение исследований рынка
• Приобретение лучших технологий вместо разработки собственных
• Борьба за лояльность заказчиков
• Предложение различных продуктов и сервисов
• Партнерские программы
• Профессиональный сервис
© Cisco, 2010. Все права защищены. 5/43

6. • Высокообразованные специалисты взаимодействуют между собой
для создания новых вредоносных программ
• Для управления большими проектами используются
специализированные средства разработки ПО, контроля версий и
взаимодействия разработчиков
• Разработчики вредоносных программ ничем не отличаются от таких
же в ИТ-индустрии
• Обмен информацией и талантами при совместной работе дает
гораздо больший эффект, чем работа в одиночку
• Большие заработки не оставляют надежды на самостоятельное
прекращение этого бизнеса
© Cisco, 2010. Все права защищены. 6/43

7. Цель
# !
% Рост экосистемы Расширение спектра Атаки на новые
киберпреступности целевых угроз технологии
© Cisco, 2010. Все права защищены. 7/43

8. Malware
Вирус Шпионское (трояны, Эксплоиты
ПО кейлоггеры,
скрипты)
Исследования Вредоносные Web и социальные Вредоносные
NSS LAB программы сети все чаще программы
показывают, что воруют уже не становятся используют для
даже лучшие ссылки на рассадником своих действий
антивирусы и посещаемые вредоносных неизвестные
Web-шлюзы не вами сайты, а программ, а также уязвимости (0-Day,
эффективны реквизиты инструментом 0-Hour)
против доступа к ним разведки
современных злоумышленников
угроз
© Cisco, 2010. Все права защищены. 8/43

9. Фокус на Передовые
Массовое Полимор- и тайные
конкретную
заражение физм средства
жертву
(APT)
Злоумышленников Современные угрозы Угрозы могут быть Угрозы становятся
не интересует постоянно меняются, разработаны модульными,
известность и чтобы средства специально под вас – самовосстанавлива-
слава – им важна защиты их не они учитывают вашу ющимися и
финансовая отследили – инфраструктуры и устойчивыми к
выгода от изменение встраиваются в нее, что отказам и
реализации угрозы поведения, адресов делает невозможным обнаружению
серверов управления применение
стандартных методов
анализа
© Cisco, 2010. Все права защищены. 9/43

10. Мотивация Известность Деньги
Метод Дерзко Незаметно
Фокус Все равно Мишень
Средства Вручную Автомат
Результат Подрыв Катастрофа
Тип Уникальный код Tool kit
Цель Инфраструктура Приложения
Агент Изнутри Третье лицо
© Cisco, 2010. Все права защищены. 10/43

11. Глобальные сложные угрозы
Поддельные сайты «Сбор средств
KOOBFACE
Microsoft Update на восстановление Гаити»
РИСК
РИСК: ВЫСОКИЙ РИСК: ВЫСОКИЙ РИСК: СРЕДНИЙ
ПРОБЛЕМА
Высокая сложность Необнаруженное Надежность защиты
Многовекторные атаки – вредоносное ПО ограничивается
ни одна не похожа на Отключается системы ИБ, сигнатурными методами
другую крадет данные, открывает и поиском по локальным
© Cisco, 2010. Все права защищены. удаленный доступ к системе данным 11/43

12. Внешние и внутренние
угрозы
Внутренние угрозы Внешние угрозы
Ботнеты ВПО
ПРОБЛЕМА
Масштабирование Отсутствие глобальной Слабая координация
производительности и информации об угрозах и действий систем
своевременное контекстной информации обеспечения ИБ и
распространение для обеспечения надежной сетевого оборудования
обновлений
© Cisco, 2010. Все права защищены. защиты 12/43

13. Но не UTM ГДЕ
ЧТО КОГДА
КТО КАК
Политика
с учетом
контекста
IPS МСЭ
Web Email
СЕТЬ
РЕШЕНИЕ
Полномасштабное Политика с учетом Простота
решение: МСЭ, IPS, контекста точнее развертывания и
«облачные» сервисы соответствует бизнес- обеспечения защиты
защиты web-трафика и потребностям в сфере ИБ распределенной среды
электронной почты
© Cisco, 2010. Все права защищены. 13/43

14. Широкий спектр платформ
Устройство Интегрированное решение Виртуализация
Понимание контекста
Классический МСЭ
© Cisco, 2010. Все права защищены. 14/43

15. Широкий спектр платформ
Устройство Интегрированное решение Виртуализация
Контекстно-ориентированный МСЭ
Понимание контекста
Классический МСЭ
© Cisco, 2010. Все права защищены. 15/43

16. ЧТО
Покрытие…
… классификация всего
трафика
1,000+ приложений
MicroApp Engine
Глубокий анализ трафика
приложений
75,000+ MicroApps
Поведение
приложений
Контроль действий
пользователя внутри
приложений
© Cisco, 2010. Все права защищены. 16/43

17. ГДЕ/ОТКУДА
ОТЕЛЬ
ОФИС
© Cisco, 2010. Все права защищены. 17/43

18. КАК
• Информация с огромного количества оконечных устройств
Устройство Версия ОС Состояние
AV
Files
Registry
© Cisco, 2010. Все права защищены. 18/43

19. Требование Смешение частного и Нужен доступ к
разнообразия устройств служебного критичных ресурсам
© Cisco, 2010. Все права защищены. 19/43

20. 462 млн
ПРОБЛЕМА
Мобильным сотрудникам На разнообразных Кража/утеря устройств –
требуется доступ к пользовательских высочайший риск утери
сетевым и «облачным» устройствах используются корпоративных данных и
сервисам как пользовательские, так и нарушения нормативных
© Cisco, 2010. Все права защищены.
корпоративные профили требований 20/43

21. MDM продукты Контроль доступа и защита от сетевых угроз
 Инвентаризация  Аутентификация  Защита от угроз  Безопасный
 Инициализация пользователей и  Политика удаленный доступ
устройства устройств использования
 Безопасность данных  Оценка состояния Web
на устройстве  Применение  Защита от утечек
 Безопасность приложен. политики доступа информации
 Управление затратами
 Полная или частичная
очистка удаленного
Политики Облако Web Sec Защитный клиент МСЭ
устройства
© Cisco, 2010. Все права защищены. 21/43

22. Пользователи и устройства
Сотрудники, Контрактники, Телефоны, Принтеры…
Виктория Катернюк
Сотрудник Мария Сидорова
IP-камера Проводной доступ Сотрудник HR
Корпоративный ресурс
Конфиденциальные ресурсы
15-00 Проводной доступ Ноутбук
MAC: F5 AB 8B 65 00 D4 11-00 Корпоративный ресурс
Сеть, устройства и Приложения Лаборатория
11 утра
Множество методов доступа
Анна Петрова
Катя Жуковская
Разные устройства, разныесотрудник
сотрудник
CEO места
Удаленный доступ R&D
10 вечера WiFi Антон Алмазов
14:00 дня консультант
Центральный офис
Сергей Балазов Удаленный доступ
контрактник 6:00 вечера
Все необходимо контролировать
IT
Проводное подключение
10 утра
IP телефон G/W Принтер
Корпоративный актив Некорпоративный актив
Финансовый департамент MAC: B2 CF 81 A4 02 D722/43
© Cisco, 2010. Все права защищены.
11:00 вечера

23. Политики,
относящиеся к бизнесу
ГДЕ
ЧТО КОГДА Атрибуты
КТО КАК
политики
безопасности
Модуль централизованных политик
Идентификация
Динамическая политика и реализация
Пользователи и
устройства
РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И
БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ
© Cisco, 2010. Все права защищены. 23/43

24. Родные приложения
Инсталлир. Корпоративные для BYOD
приложения сервисы Data Center • Данные на устройстве
• Высокая
производительность
•“Родной” интерфейс
Веб-браузер HTML
интерфейс
Браузер
Data Center
•Данные на устройстве
Корпоративные
•Портирование на разные
сервисы платформы
•Интерфейс браузера
Клиент VDI Инфраструктура Виртульные сервисы
VDI Data Center
•Нет локальных данных
•Самая высокая
Корпоративные безопасность
сервисы •Ощущения зависят от
скорости канала связи
© Cisco, 2010. Все права защищены. 24/43

25. Виртуальный ЦОД
Виртуальное рабочее
пространство
Сеть с поддержкой технологий CUPC MS Office Video
виртуализации
Рабочие Microsoft OS
Устройства
Клиент Филиал ЦОД Desktop Virtualization Software
VXI
ISR
FC
Hypervisor
Бизнес-
планшеты Тонкие Cisco
клиенты WAN
Nexus Virtual Virtual
QUAD CUCM
Экосистема тонких
клиентов WAAS
Cisco UCS
МСЭ ACE
Broker vWAAS
VSG
Единый подход к вопросам безопасности, управления и автоматизации
© Cisco, 2010. Все права защищены. 25/43

26. Политика
Периметр
Приложения и
данные
Офис
Филиал
Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 26/43

27. Политика
Периметр
Приложения и
данные
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 27/43

28. Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 28/43

29. Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 29/43

30. Провайдер
Данные Заказчик
Данные
Заказчик
ОС/Приложения Приложения
VMs/Containers
Провайдер
Провайдер
IaaS PaaS SaaS
• В зависимости от архитектуры облака часть функций защиты
может решать сам потребитель самостоятельно
© Cisco, 2010. Все права защищены. 30/43

31. Решение
1. Federated
Identity
2. OAuth для
SAML интеграции с
backend API
Identity Federation
© Cisco, 2010. Все права защищены. 31/43 3
1

32. Ошибки в ​настройке Изоляция данных
Server
Network Team Security Физический сервер
Team Team
Sensitive Non-Sensitive
Видимость трафика Сегментация
Физический сервер
© Cisco, 2010. Все права защищены. 32/43

33. 1. VMware и аналоги позволяют
перемещать виртуальные машины
между физическими серверами 
Политика безопасности должна
соответствовать этому процессу
2. Администраторам необходима
возможность обзора и применения
политики безопасности к локально
коммутируемому трафику
Группа
портов
3. Администраторам необходимо
поддерживать разделение
обязанностей, одновременно
обеспечивая бесперебойную
эксплуатацию Администрирование
Безопасности Администрирование
4. Правильная модель угроз позволяет серверов
уйти от применения только
сертифицированных средств защиты Сетевое администрирование
© Cisco, 2010. Все права защищены. 33/43

34. Социальные сети
Hotmail Business Pipeline
Web-почта
Приложения
# !
Рост трафика на ПК Взаимодействие видео Драматический рост
%
и социальных сетей трафика в ЦОД
© Cisco, 2010. Все права защищены. 34/43

35. Двусторонняя связь Конференция
Только голос Мультимедиа
Телефон Мобильный, IP Phone
Проводная связь Беспроводная связь
Внутри предприятия Дома, везде
По расписанию По требованию
Один к одному Социальные сети
© Cisco, 2010. Все права защищены. 35/43

36. © Cisco, 2010. Все права защищены. 36/43

37. Web-камеры Видеосвязь
на ПК
Видеосвязь
Cisco WebEx SD и HD качества
Видеотелефония
Microsoft Office
Communicator
© Cisco, 2010. Все права защищены. 37/43

38. Контроль звонков Инфраструктура Endpoints Приложения
• Инспекция RTP/RTCP • Инспекция
• SIP, SCCP, MGCP, H.323 • Предотвращение
сервисов для UC • SIP и SCCP Video SIP/SCCP/CTIQBE/TAP/JT
• Контроль и инспекция
Endpoints – IP phones, VT API
• Понимание потока и • Сигнатуры для атак на Advantage, Cisco Unified
UC • Контроль доступа и
заголовка звонка Personal Communicator инспекция для - Cisco
• Защита от DoS-атак • VPN для голоса/видео • Политики - Unity, Meetingplace,
(V3PN) разрешить/запретить Presence, Cisco
• TLS Proxy для
• Предотвращение атак звонки с Telepresence, IM over SIP,
зашифрованной
«переполнение незарегистрированных Microsoft
сигнализации
буфера» телефонов, абонентов, • Таймауты для
• NAT/PAT whitelist, blacklist аудио/видео-соединений
Контроль Отражение Сетевая Защита Шифрование
доступа угроз политика сервисов видео & голоса
© Cisco, 2010. Все права защищены. 38/43

39. • Интерес злоумышленников к
критическим инфраструктурам и
требования регуляторов требует
нового взгляда на защиту АСУ ТП
• Stuxnet, Duqu, Flame – это только
начало
• Потребуются
специализированные подходы и
средства защиты АСУ ТП
© Cisco, 2010. Все права защищены. 39/43

40. Организационно – КТО?
Compliance Ops. Endpoint Team
Network Ops. Security Ops.
Политика Application Team HR
Технологически – ЧТО?
 Не пустить плохих
 Пустить хороших Контроль доступа Endpoint
 Соответствовать Identity Mgmt Вторжения
 Учесть BYOD Соответствие Управления
 Разрешить виртуализацию
 Быть готовым к облакам Операционно – КАК?
Проводное В сети
Беспроводное Поверх сети
VPN На устройстве
© Cisco, 2010. Все права защищены. 40/43

41. Политика
Кто Что Как Где/откуда Когда
Анализ
угроз
SensorBase Operations Center Dynamic Updates
Внедрение на Интегрированная Высокоскоростная Облачные
уровне сети инфраструктура навесная защита вычисления
© Cisco, 2010. Все права защищены. 41/43

42. • Персональные данные
Новые Постановления Правительства
Новые документы ФСТЭК и ФСБ
Пакет рекомендаций РКН
• Национальная платежная система
ПП-584 и документы Банка России
• Требования по УЦ и ЭП
Частично уже есть
• Ужесточение ситуации по
лицензированию ФСБ
• Социальные сети и контроль Интернет
• Безопасность критически важных
объектов
• Изменения в КоАП и УК РФ
© Cisco, 2010. Все права защищены. 42/43

43. Praemonitus praemunitus!
Спасибо
за внимание!
security-request@cisco.com