SlideShare a Scribd company logo

Why secrets leak

Download as PPTX, PDF
Positive Hack Days
Positive Hack Days
Technology
1 of 41
Почему госсекреты появляются в Интернет? Лукацкий Алексей, консультант по безопасности security-request@cisco.com
КАК ЭТО УЖЕ РАБОТАЕТ В ГОСОРГАНАХ
Доверенна сеть я WiFi Адаптационный период  Аутентификация пользователя  Цифровая метка устройства  Применение корпоративной конфигурации  Корпоративный AppStore  Банковские приложения  Автоматические политики
Доверенная сеть WiFi Политика с учетом контекста Применение установленных профилей политики, исходя из: типа устройства пользователя местоположения приложения
Доверенная с е т ь W i F i Политика с учетом контекста Доступ: ПОЛНЫЙ Нет Да Электронные досье клиентов Мобильная технология TelePresence / ВКС Электронная почта Мгновенный обмен сообщениями
Доверенная сеть WiFi Результаты оценки клиента Х уже готовы? Еще нет, но я дам вам знать, когда они поступят
Недоверенная сеть WiFi Политика роуминга Доступ: ограниченный Нет Да Электронные досье клиентов Мобильная технология TelePresence Электронная почта Мгновенный обмен сообщениями
3G/4G Доступ: Ограничен Нет Да Досье клиента Mobile TelePresence Email Instant Messenger
UPDATE 3G/4G
Доверенный WiFi Доступ : ПОЛНЫЙ Нет Да Досье на клиента Mobile TelePresence Email Instant Messenger
Доверенный W i F i Приоритет полосы
ПОЧЕМУ ИНФОРМАЦИЯ УТЕКАЕТ
Государева информация защищается хорошо… в теории
Документы устарели морально • РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» • РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» • РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» • РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации»
и технологически • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – Одобрены решением коллегии Гостехкомиссии России от 2 марта 2001 г. № 7.2 – Введены приказом Гостехкомиссии России от 30.08.02 №282
Основная парадигма – контролируемая зона
А есть ли у нас периметр? • Все объекты, к которым предоставляется доступ, и все субъекты, которые этот доступ получают, должны находиться в контролируемой зоне – Действия пользователей контролируются и ограничиваются системой разграничения доступа – Посторонние субъекты получить доступ в контролируемую зону получить не могут – Для борьбы с средствами электронной разведки используется защита от ПЭМИН, виброакустика и т.п. – При наличии нескольких распределенных контролируемых зон, каналы связи между ними защищаются сертифицированными СКЗИ и сертифицированными МСЭ – Периметр контролируемой зоны – это наше все!
А кто у нас нарушитель? • «В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС» – П.4.1 Концепции защиты СВТ и АС от НСД • Внешний нарушитель не рассматривается в принципе – Но он есть! – Он атакует внешний периметр, который не бывает непробиваемым, т.к. администраторы тоже люди и тоже совершают ошибки при настройке и конфигурировании – Внешний нарушитель попадает в DMZ, оттуда в ядро сети, затем ЦОД и пользовательские сегменты – Внутри периметра препятствий обычно уже нет, т.к. концепция защиты ориентирована на контролируемого пользователя, а не свободно разгуливающего хакера
СТР-К ориентируется только на внутренние угрозы Внутренние угрозы Внешние угрозы Ботнеты ВПО ПРОБЛЕМА Доступ из защищаемой Доступ из защищаемой сети Доступ извне к сети к менее доверенной к такой же по уровню защищаемой сети требует защиты не требует средств вообще не сертифицированного МСЭ разграничения (кроме СКЗИ) регламентируется
А если нужен доступ из Интернет к защищаемому ресурсу? ОТЕЛЬ ОФИС
Как это сделано в Cisco: общий взгляд Интернет Демилитаризованная зона (DMZ) Основной сайт
Как это сделано в Cisco: анализ проникновения в DMZ  Злоумышленники могут захватить эти интернет-серверы
Как это сделано в Cisco: анализ проникновения внутрь  Возможно действие лишь некоторых основных атак
Как это сделано в Cisco: анализ веерной атаки внутри  Злоумышленник может проникнуть в случае, если он найдет брешь, которую вы еще не устранили
Основной объект защиты - ПК Мобильный Мейнфрейм Мини ПК Интернет+ПК Интернет Вычиления Вычисления Вычисления Вычисления Вычисления 1950-х 1960-х 1980-х 1990-х 2000-х
z Приложения ОС пользователя ОС Сервера Клиентские устройства
Бизнес вышел за рамки ПК
А есть ли сертифицированные средства защиты не для ПК? Защищенный Незащищенный
А если платформа закрыта для разработчиков?! Apple iOS МСЭ IPS 33
Традиционный подход не справляется с требованиями сегодняшнего дня Мобильность Социальность Видео Виртуализация Отсутствие поддержки Невозможно Низкое качество Ограничения в мобильных устройств и взаимодействовать с и совместимость работе с голосом и OC социальными сетями видео через VDI X X X X
В КАЧЕСТВЕ РЕЗЮМЕ
Традиционный периметр Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики
Мобильность и взаимодействие растворяют Интернет-периметр Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
Cloud Computing растворяет границу ЦОД Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
Пользователи хотят вести бизнес без границ Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
Нужен новый подход! Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропорт 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики
security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 41

Recommended

Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceAleksey Lukatskiy
 
Безопасность облачной платформы: теория и практика.
Безопасность облачной платформы: теория и практика. Безопасность облачной платформы: теория и практика.
Безопасность облачной платформы: теория и практика. Cisco Russia
 
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетей
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетейCisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетей
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетейCisco Russia
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Аналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesАналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesCisco Russia
 
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании. Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.Cisco Russia
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEУправление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISECisco Russia
 
Защита центров обработки данных
Защита центров обработки данныхЗащита центров обработки данных
Защита центров обработки данныхCisco Russia
 

Recommended

Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceAleksey Lukatskiy
 
Безопасность облачной платформы: теория и практика.
Безопасность облачной платформы: теория и практика. Безопасность облачной платформы: теория и практика.
Безопасность облачной платформы: теория и практика. Cisco Russia
 
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетей
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетейCisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетей
Cisco Connected Mobile Experiences - мощный инструмент монетизации WiFi сетейCisco Russia
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Аналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesАналитика поведения клиентов с решением Cisco Connected Mobile Experiences
Аналитика поведения клиентов с решением Cisco Connected Mobile ExperiencesCisco Russia
 
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании. Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.Cisco Russia
 
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISEУправление сетевым доступом корпоративных и персональных устройств с Cisco ISE
Управление сетевым доступом корпоративных и персональных устройств с Cisco ISECisco Russia
 
Защита центров обработки данных
Защита центров обработки данныхЗащита центров обработки данных
Защита центров обработки данныхCisco Russia
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8Andrei Novikau
 
Cisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco Russia
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны... Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...Cisco Russia
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераAleksey Lukatskiy
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Expolink
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSSDigital Security
 
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Cisco Russia
 
Fortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailFortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailMUK Extreme
 
Managed firewall customer presentation
Managed firewall customer presentationManaged firewall customer presentation
Managed firewall customer presentationorangebusinessrussia
 
Document About [Adverse Credit Mortgages]
Document About [Adverse Credit Mortgages]Document About [Adverse Credit Mortgages]
Document About [Adverse Credit Mortgages]abaraham mores
 
Financial Year 2013: Media and Analyst's Conference
Financial Year 2013: Media and Analyst's ConferenceFinancial Year 2013: Media and Analyst's Conference
Financial Year 2013: Media and Analyst's ConferenceCompany Spotlight
 
Rpc full yearpresentation2014
Rpc full yearpresentation2014Rpc full yearpresentation2014
Rpc full yearpresentation2014Company Spotlight
 
Windows Para Andaluces
Windows Para AndalucesWindows Para Andaluces
Windows Para AndalucesJPsico
 
Txr northbelt-2014
Txr northbelt-2014Txr northbelt-2014
Txr northbelt-2014Company Spotlight
 
Blueproof by Bluerad Ltd How it fits & works.
Blueproof by Bluerad Ltd How it fits & works.Blueproof by Bluerad Ltd How it fits & works.
Blueproof by Bluerad Ltd How it fits & works.Dave Atkinson
 
Test Project 20090805
Test Project 20090805Test Project 20090805
Test Project 20090805guest298c67
 
Bb3.pdf...
Bb3.pdf...Bb3.pdf...
Bb3.pdf...pristianti
 
Top Thirteen Television Judges Barack Obama Should Name to the Supreme Court
Top Thirteen Television Judges Barack Obama Should Name to the Supreme CourtTop Thirteen Television Judges Barack Obama Should Name to the Supreme Court
Top Thirteen Television Judges Barack Obama Should Name to the Supreme CourtBen Wyskida
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 

More Related Content

What's hot

Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8Andrei Novikau
 
Cisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco Russia
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны... Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...Cisco Russia
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераAleksey Lukatskiy
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Expolink
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Cisco Russia
 
Fortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailFortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailMUK Extreme
 
Managed firewall customer presentation
Managed firewall customer presentationManaged firewall customer presentation
Managed firewall customer presentationorangebusinessrussia
 

What's hot (12)

Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
 
McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8McAfee Enterpise Firewall v8
McAfee Enterpise Firewall v8
 
Cisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-FiCisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
Cisco CMX. Геопозиционирование в сетях Cisco Wi-Fi
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны... Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
Совместное применение решений SafePhone и Cisco CleanAir для защиты мобильны...
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдера
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
 
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро. Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
Операторский Wi-Fi Cisco и его интеграция в мобильное пакетное ядро.
 
Fortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailFortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMail
 
Managed firewall customer presentation
Managed firewall customer presentationManaged firewall customer presentation
Managed firewall customer presentation
 

Viewers also liked

Document About [Adverse Credit Mortgages]
Document About [Adverse Credit Mortgages]Document About [Adverse Credit Mortgages]
Document About [Adverse Credit Mortgages]abaraham mores
 
Financial Year 2013: Media and Analyst's Conference
Financial Year 2013: Media and Analyst's ConferenceFinancial Year 2013: Media and Analyst's Conference
Financial Year 2013: Media and Analyst's ConferenceCompany Spotlight
 
Rpc full yearpresentation2014
Rpc full yearpresentation2014Rpc full yearpresentation2014
Rpc full yearpresentation2014Company Spotlight
 
Windows Para Andaluces
Windows Para AndalucesWindows Para Andaluces
Windows Para AndalucesJPsico
 
Blueproof by Bluerad Ltd How it fits & works.
Blueproof by Bluerad Ltd How it fits & works.Blueproof by Bluerad Ltd How it fits & works.
Blueproof by Bluerad Ltd How it fits & works.Dave Atkinson
 
Test Project 20090805
Test Project 20090805Test Project 20090805
Test Project 20090805guest298c67
 
Top Thirteen Television Judges Barack Obama Should Name to the Supreme Court
Top Thirteen Television Judges Barack Obama Should Name to the Supreme CourtTop Thirteen Television Judges Barack Obama Should Name to the Supreme Court
Top Thirteen Television Judges Barack Obama Should Name to the Supreme CourtBen Wyskida
 

Viewers also liked (9)

Document About [Adverse Credit Mortgages]
Document About [Adverse Credit Mortgages]Document About [Adverse Credit Mortgages]
Document About [Adverse Credit Mortgages]
 
Financial Year 2013: Media and Analyst's Conference
Financial Year 2013: Media and Analyst's ConferenceFinancial Year 2013: Media and Analyst's Conference
Financial Year 2013: Media and Analyst's Conference
 
Rpc full yearpresentation2014
Rpc full yearpresentation2014Rpc full yearpresentation2014
Rpc full yearpresentation2014
 
Windows Para Andaluces
Windows Para AndalucesWindows Para Andaluces
Windows Para Andaluces
 
Txr northbelt-2014
Txr northbelt-2014Txr northbelt-2014
Txr northbelt-2014
 
Blueproof by Bluerad Ltd How it fits & works.
Blueproof by Bluerad Ltd How it fits & works.Blueproof by Bluerad Ltd How it fits & works.
Blueproof by Bluerad Ltd How it fits & works.
 
Test Project 20090805
Test Project 20090805Test Project 20090805
Test Project 20090805
 
Bb3.pdf...
Bb3.pdf...Bb3.pdf...
Bb3.pdf...
 
Top Thirteen Television Judges Barack Obama Should Name to the Supreme Court
Top Thirteen Television Judges Barack Obama Should Name to the Supreme CourtTop Thirteen Television Judges Barack Obama Should Name to the Supreme Court
Top Thirteen Television Judges Barack Obama Should Name to the Supreme Court
 

Similar to Why secrets leak

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYAnna Rastova
 
Компания "Связьком"
Компания "Связьком"Компания "Связьком"
Компания "Связьком"Svyazcom
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаExpolink
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаExpolink
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepExpolink
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...Clouds NN
 
портфель решений для компаний малого и среднего бизнеса
портфель решений для компаний малого и среднего бизнесапортфель решений для компаний малого и среднего бизнеса
портфель решений для компаний малого и среднего бизнесаSoftline
 
Комплексная презентация IT for Retail
Комплексная презентация IT for Retail Комплексная презентация IT for Retail
Комплексная презентация IT for Retail MOBILE DIMENSION LLC
 
Стратегия развития технологий Интернета Вещей в Cisco
Стратегия развития технологий Интернета Вещей в CiscoСтратегия развития технологий Интернета Вещей в Cisco
Стратегия развития технологий Интернета Вещей в CiscoCisco Russia
 
Ivideon - облачное видеонаблюдение
Ivideon - облачное видеонаблюдениеIvideon - облачное видеонаблюдение
Ivideon - облачное видеонаблюдениеDigital Sunrise
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Cisco Russia
 
Коммуникации из «Облака»
Коммуникации из «Облака»Коммуникации из «Облака»
Коммуникации из «Облака»Anatoliy Parkhomenko
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиDiana Frolova
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Cisco Russia
 

Similar to Why secrets leak (20)

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
 
Компания "Связьком"
Компания "Связьком"Компания "Связьком"
Компания "Связьком"
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
Secure Mobile Office
Secure Mobile OfficeSecure Mobile Office
Secure Mobile Office
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-step
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
 
портфель решений для компаний малого и среднего бизнеса
портфель решений для компаний малого и среднего бизнесапортфель решений для компаний малого и среднего бизнеса
портфель решений для компаний малого и среднего бизнеса
 
Комплексная презентация IT for Retail
Комплексная презентация IT for Retail Комплексная презентация IT for Retail
Комплексная презентация IT for Retail
 
Стратегия развития технологий Интернета Вещей в Cisco
Стратегия развития технологий Интернета Вещей в CiscoСтратегия развития технологий Интернета Вещей в Cisco
Стратегия развития технологий Интернета Вещей в Cisco
 
Ivideon - облачное видеонаблюдение
Ivideon - облачное видеонаблюдениеIvideon - облачное видеонаблюдение
Ivideon - облачное видеонаблюдение
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
 
Коммуникации из «Облака»
Коммуникации из «Облака»Коммуникации из «Облака»
Коммуникации из «Облака»
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Why secrets leak

  • 1. Почему госсекреты появляются в Интернет? Лукацкий Алексей, консультант по безопасности security-request@cisco.com
  • 2. КАК ЭТО УЖЕ РАБОТАЕТ В ГОСОРГАНАХ
  • 3.
  • 4.
  • 5. Доверенна сеть я WiFi Адаптационный период  Аутентификация пользователя  Цифровая метка устройства  Применение корпоративной конфигурации  Корпоративный AppStore  Банковские приложения  Автоматические политики
  • 6. Доверенная сеть WiFi Политика с учетом контекста Применение установленных профилей политики, исходя из: типа устройства пользователя местоположения приложения
  • 7. Доверенная с е т ь W i F i Политика с учетом контекста Доступ: ПОЛНЫЙ Нет Да Электронные досье клиентов Мобильная технология TelePresence / ВКС Электронная почта Мгновенный обмен сообщениями
  • 8. Доверенная сеть WiFi Результаты оценки клиента Х уже готовы? Еще нет, но я дам вам знать, когда они поступят
  • 9. Недоверенная сеть WiFi Политика роуминга Доступ: ограниченный Нет Да Электронные досье клиентов Мобильная технология TelePresence Электронная почта Мгновенный обмен сообщениями
  • 10.
  • 11.
  • 12. 3G/4G Доступ: Ограничен Нет Да Досье клиента Mobile TelePresence Email Instant Messenger
  • 13. UPDATE 3G/4G
  • 14. Доверенный WiFi Доступ : ПОЛНЫЙ Нет Да Досье на клиента Mobile TelePresence Email Instant Messenger
  • 15. Доверенный W i F i Приоритет полосы
  • 18. Документы устарели морально • РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» • РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» • РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» • РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации»
  • 19. и технологически • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – Одобрены решением коллегии Гостехкомиссии России от 2 марта 2001 г. № 7.2 – Введены приказом Гостехкомиссии России от 30.08.02 №282
  • 20. Основная парадигма – контролируемая зона
  • 21. А есть ли у нас периметр? • Все объекты, к которым предоставляется доступ, и все субъекты, которые этот доступ получают, должны находиться в контролируемой зоне – Действия пользователей контролируются и ограничиваются системой разграничения доступа – Посторонние субъекты получить доступ в контролируемую зону получить не могут – Для борьбы с средствами электронной разведки используется защита от ПЭМИН, виброакустика и т.п. – При наличии нескольких распределенных контролируемых зон, каналы связи между ними защищаются сертифицированными СКЗИ и сертифицированными МСЭ – Периметр контролируемой зоны – это наше все!
  • 22. А кто у нас нарушитель? • «В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС» – П.4.1 Концепции защиты СВТ и АС от НСД • Внешний нарушитель не рассматривается в принципе – Но он есть! – Он атакует внешний периметр, который не бывает непробиваемым, т.к. администраторы тоже люди и тоже совершают ошибки при настройке и конфигурировании – Внешний нарушитель попадает в DMZ, оттуда в ядро сети, затем ЦОД и пользовательские сегменты – Внутри периметра препятствий обычно уже нет, т.к. концепция защиты ориентирована на контролируемого пользователя, а не свободно разгуливающего хакера
  • 23. СТР-К ориентируется только на внутренние угрозы Внутренние угрозы Внешние угрозы Ботнеты ВПО ПРОБЛЕМА Доступ из защищаемой Доступ из защищаемой сети Доступ извне к сети к менее доверенной к такой же по уровню защищаемой сети требует защиты не требует средств вообще не сертифицированного МСЭ разграничения (кроме СКЗИ) регламентируется
  • 24. А если нужен доступ из Интернет к защищаемому ресурсу? ОТЕЛЬ ОФИС
  • 25. Как это сделано в Cisco: общий взгляд Интернет Демилитаризованная зона (DMZ) Основной сайт
  • 26. Как это сделано в Cisco: анализ проникновения в DMZ  Злоумышленники могут захватить эти интернет-серверы
  • 27. Как это сделано в Cisco: анализ проникновения внутрь  Возможно действие лишь некоторых основных атак
  • 28. Как это сделано в Cisco: анализ веерной атаки внутри  Злоумышленник может проникнуть в случае, если он найдет брешь, которую вы еще не устранили
  • 29. Основной объект защиты - ПК Мобильный Мейнфрейм Мини ПК Интернет+ПК Интернет Вычиления Вычисления Вычисления Вычисления Вычисления 1950-х 1960-х 1980-х 1990-х 2000-х
  • 30. z Приложения ОС пользователя ОС Сервера Клиентские устройства
  • 31. Бизнес вышел за рамки ПК
  • 32. А есть ли сертифицированные средства защиты не для ПК? Защищенный Незащищенный
  • 33. А если платформа закрыта для разработчиков?! Apple iOS МСЭ IPS 33
  • 34. Традиционный подход не справляется с требованиями сегодняшнего дня Мобильность Социальность Видео Виртуализация Отсутствие поддержки Невозможно Низкое качество Ограничения в мобильных устройств и взаимодействовать с и совместимость работе с голосом и OC социальными сетями видео через VDI X X X X
  • 36. Традиционный периметр Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики
  • 37. Мобильность и взаимодействие растворяют Интернет-периметр Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 38. Cloud Computing растворяет границу ЦОД Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 39. Пользователи хотят вести бизнес без границ Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 40. Нужен новый подход! Политика Политика 4 (Access Control, Acceptable Use, Malware, Data Security) Data Center Borderless Периметр Platform Infrastructure Приложения и Software as a Service as a Service X 3 данные as a Service as a Service Офис Borderless Internet 2 Филиал End Zones Borderless Дом Аэропорт 1 Мобильный Кафе пользователь Хакеры Партнеры Заказчики
  • 41. security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 41

Editor's Notes

  1. What does this all really mean? It introduces a new chasm – the netherworld between trusted enterprise networks, and the wild world of the internet that is accessed while roaming hotspots, 3G/4G networks and home networks. Did you know that employee devices spend a full 50% of connected lives OFF the enterprise network? As never before, organizations must manage the transitions on and off different networks seamlessly, while protecting sensitive information.But this growth in wireless and mobility can also create new opportunities to increase efficiency and grow your business today. Just how can you take advantage of this market transition?What I’m going to do today is break it down into a very simple example. Let’s walk through a day in the life of Dr. Jack Thompson, something that is happening right now in hospitals across the country. [TRANSITION] Let’s see what a true seamless experience should be for Dr. Thompson, and the systems that make it happen.
  2. Dr. Thompson buys a 3G iPad during lunch, walks back to the hospital and hands his new iPad to IT and says I want to use this for my work. Now what?[TRANSITION]
  3. His IT manager tells him that using his username and password, he can “onboard” the device and the network will apply all the correct policies and approved apps automaticallyThe IT manager knows the importance of keeping the network secure, and complying with regulations to protect patient data. So things like remote wipe and data loss prevention are critical. [TRANSITION]
  4. Luckily, his system can help him apply contextual policies based on things like device type, user or location automatically, without user intervention. We’ve kept it simple for this example, but as you all know you can apply polices based on many more attributes.That’s it, Dr. Thompson has now on-boarded his new iPad. Keep in mind, to enable this seamless experience the network needs to support certain things: First, you need an 802.11n Wi-Fi network which can withstand the challenges of Mobility including complex RF interference. Second, you need identity-based network control for the contextual policy we just touched on. Mobile Device Management is required for functions such as installing enterprise applications or remote wipe if the device is lost. Last but not least, Make sure you have a management system for the infrastructure and a service assurance manager for visibility into what’s going on in the network, and what you need to do if things start going wrong. If you have branches in the Hospital, WAN optimization will help help keep network resources available.[TRANSITION]
  5. Let’s get back to Dr. Thompson…. He is now attending to patients in the OR. His contextual policy has been defined from an application perspective such that when he is at work, he has full access electronic medical records, mobile telepresence, email and IM. Again, we are keeping it simple here in terms of applications used. It’s key to note that you can tailor this policy for unique job and regulatory requirements, with the doctor only allowed to access sensitive patient records while in the office due to HIPPA regulations.It’s now 2 o’clock and Dr. Thompson needs his afternoon coffee, what happens when he leaves the Hospital? [TRANSITION]
  6. Doctor goes to OR, pulls up EMR and xray imagesCommunicates with staff via IMWe know that literally billions of devices are pouring onto networks – at hospitals that presents doctors, administrators, patients, and visitors. Each has unique needs, and along with tablets and smart phones, healthcare has specialized medical equipment, and wireless tracking tags, connecting in increasing numbersA wi-fi network must be designed to meet these challenges, these changing device profiles, application profiles, and device density.Capacity and performance to support the influx of clientsPerformance to handle new applications, such as two-way TP with patients, and EMR data housed centrally for a medical group, and application data now residing in the cloud Acceleration for all client types, even the medical asset tags, slower tablets and smart phonesPROACTIVE protection against wireless interference from things like blanket warmers and light controlsLocation tracking for assets and peoplePlus, patient data is protected by HIPPA regulations, so IT must carefully govern when and how this can be accessed
  7. He decides to visit the coffee shop next door, which has a Wi-Fi hotspot. Now, his contextual policy becomes a roaming policy defined by the Hospital. The policy says that Dr. Thompson will not have access to EMR while at the coffee shop, but he will be able to use email, telepresence and IM[TRANSITION] While there, he gets a paged from his nurse, and gets into a video chat session to have a two-way video chat about his patient.
  8. Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  9. Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  10. Doctor goes to his child’s soccer game, still with iPad, on 3GAgain, his VPN has roamed from hotspot to 3G, preventing any interruption or interventionHe has full access to patient data, but his applications have been throttled to prevent overloading the 3G network and to prevent application performance issuesOur doctor pulls up his EMR application, checks for updates on patient status, all is well, watches game with ease
  11. Doctor goes home – connects on home Wi-Fi, He has partitioned access – tunnel back to hospital, and a personal SSID for family accessDoctor calls in on his IP softphone to talk with a colleague about tomorrow’s operations[TRANSITION]
  12. Doctor goes home – connects on home Wi-Fi, He has partitioned access – tunnel back to hospital, and a personal SSID for family accessDoctor calls in on his IP softphone to talk with a colleague about tomorrow’s operationsSon starts a Call of Duty “Modern Warfare 3” game – but his home router applies QoS and prioritizes this lower than his phone callHis call continues with perfect quality
  13. The threat environment presents two challenges, protecting against attack targeted at or coming from internal users as well as protecting from attack from outsiders. As hackers become industrialized, meaning that they are organized and deliberate in their efforts, and that they operate from an actual for-profit business model, their efforts to break into and steal data, resources, personal information, and even electronic funds, goods, and services are becoming increasingly sophisticated. These threats are not only from the outside, but increasingly, are aided, or even initiated, by insiders.Traditional, legacy security solutions are poorly suited to address these new threats. They exist in siloed environments with no ability to see behaviors within a larger context, nor to leverage the network in order to better mitigate events. Signature-based solutions are becoming irrelevant as polymorphic threats are able to self-modify their code to avoid signature-matching security approaches. More often than not, these solutions also impede an organization’s ability to deploy new mobility or collaboration solutions because as the edges of the network blur these devices become even less effective.We need to have visibility into these inside and outside actions and apply greater context to effectively protect from successful attacks.
  14. With users demanding access to data from anywhere, the choice for you is to either to keep your network very restrictive, which your business leaders do not like, or to fully open up access even if that makes your network more vulnerable.As an element of context, location can play an important role in determining whether the access request is legitimate or not. For example, if the CFO access the finance application from his laptop as well as iPad, maybe it is ok. However, the fact that the access from these two devices happened simultaneously from 2000 miles apart is a strong indication that one of the devices may be compromised.ASA CX allows you to create location-based policies. In the first release, you can create separate policies for local and VPN (AnyConnect) user traffic. As an example, you can allow access to a sensitive financial application from a local laptop, while denying access from a remote iPad.In future, the planned integration with TrustSec and Identity Services Engine (ISE) will allow you to set more granular policies based on where in the network you connected from. For example, if you are connecting from employee workstations in San Jose campus > Building H, you get a different level of access than if you were connecting from a lab environment.
  15. To understand the first pillar in the borderless end zone, consider how a traditional Virtual Private Network works. <ENTER> Today, when a user is connected through a VPN, the user is fully protected from threats by corporate scanners, filters and firewall systems.However, if users aren’t VPN’d in there is no protection in place and they are completely exposed to threats, as well as acceptable use and data security violations. In this case the dollars that corporations have invested in security infrastructure doesn’t help them at all.So in the traditional model you are completely reliant on the end user and the limitations of their client-based security.<ENTER> Cisco’s vision is to extend the security perimeter by linking end points to an array of enforcement engines. This tether will monitor connections at the endpoint and intelligently redirect traffic to high-performance scanning elements in the network. Cisco devices like Adaptive Services Appliances, Integrated Security Routers, and Web and Email Security Appliances perform the policy enforcement. This makes it possible for customers to enforce consistent policies for any device, anywhere.
  16. So let me walk you through the components that make up the architecture for borderless network security. Of course there are policy enforcement systems. These are Cisco devices located inside your corporate office and in distributed locations. We call this the Cisco Security Enforcement Array. Some are firewalls, some are email and web filtering systems, some are virtual services running on routers and switches. We’ll talk more about these in a moment.<ENTER>Part of our solution resides in the borderless end zones, covering mobile users, remote workers, partners and others.<ENTER>Part of our solution resides in the internet, in the Security Enforcement Array and in Cisco products globally.<ENTER>Part of our solution provides Single-Sign-On and secures the new cloud-based services from Cisco and other vendors, that make up the borderless data center.<ENTER>Finally, there is a layer of policy control over acceptable use, access control, malware and data security. These are the four pillars that define the reach and layout of the secure borderless network architecture.