CC BY
72
Стратегия самозащищающейся сети Self-Defending Network
ПРЕДПРИЯТИЯ МАЛОГО И СРЕДНЕГО БИЗНЕСА ИСПОЛЬЗУЮТ ИНТЕРНЕТ И СЕТЕВЫЕ ПРИКЛАДНЫЕ СИСТЕМЫ ДЛЯ ПРИВЛЕЧЕНИЯ НОВЫХ КЛИЕНТОВ И БОЛЕЕ ЭФФЕКТИВНОГО ОБСЛУЖИВАНИЯ СУЩЕСТВУЮЩИХ ПОЛЬЗОВАТЕЛЕЙ. В ТО ЖЕ ВРЕМЯ НЕПРЕРЫВНО ПОЯВЛЯЮЩИЕСЯ УГРОЗЫ БЕЗОПАСНОСТИ И ПРОБЛЕМЫ ЗАКОНОДАТЕЛЬНОГО ПОРЯДКА ОКАЗЫВАЮТ ВОЗРАСТАЮЩЕЕ ДАВЛЕНИЕ НА БИЗ-НЕС-ОРИЕНТИРОВАННЫЕ СЕТИ, ТРЕБУЯ ОТ НИХ ПОВЫШЕННОЙ НАДЕЖНОСТИ И БЕЗОПАСНОСТИ.
Задачи бизнеса
Охваченный глобальной конкурентной борьбой современный деловой мир в лице предприятий малого и среднего бизнеса нацелен на расширение своей коммерческой деятельности и повышение степени удовлетворенности клиентов при одновременном контроле уровня расходов. К счастью, Интернет и сетевые приложения выровняли условия для действующих на рынке игроков. Предприятия малого и среднего бизнеса используют свои сети для расширения рыночных возможностей и организации взаимодействия со своими клиентами и партнерами, действуя при этом оперативно и экономно. Однако быстрый и динамичный электронный бизнес — это палка о двух концах, доступ к этим средствам вскрывает дорогостоящие проблемы обеспечения информационной безопасности. Вследствие этого необходимость иметь надежную, безопасную и доступную сеть ощущается очень остро.
Проблемы безопасности
Согласно последним исследованиям, безопасность — самая серьезная проблема, с которой столкнулись предприятия малого и среднего бизнеса. Непре-
рывно меняющиеся угрозы безопасности, как с внешней, так и с внутренней стороны бизнес-ориентированной сети, могут внести хаос в деловые операции, отрицательно воздействуя на прибыльность сделок и удовлетворенность клиентов. Кроме того, предприятия малого и среднего бизнеса должны отвечать требованиям новых нормативных актов и законов, разработанных для защиты частной собственности потребителя и обеспечения безопасности электронной информации.
Проблема безопасности №1 (черви и вирусы)
Компьютерные черви и вирусы остаются наиболее распространенной угрозой безопасности: ежегодно 75 % предприятий малого и среднего бизнеса испытывают атаку хотя бы одного вируса. Черви и вирусы способны оказать разрушающее воздействие на целостность коммерческой информации и эффективность бизнеса. Наделенные мощным интеллектом вредоносные "щупальца" распространя-
ются гораздо быстрее, чем раньше, в секунды заражая весь офис. Очистка зараженных компьютеров требует гораздо большего времени. Катастрофические последствия выливаются в потерянные заказы, разрушенные базы данных и разгневанных клиентов. Поскольку предприниматели стремятся обновить свои компьютеры за счет установки последних версий операционных систем и антивирусных программ, новые вирусы могут в любой день недели проникнуть через их защитные барьеры. В то же время, сотрудники непреднамеренно распространяют вирусы и программы-шпионы, обращаясь к зараженным веб-сайтам, загружая непроверенные файлы или открывая инфицированные сообщения электронной почты.
Подобные атаки, реализуемые зачастую без всякого умысла, вместе с тем наносят организациям заметный финансовый урон. Системы безопасности должны обнаруживать и уничтожать червей, вирусы и программы-шпионы во всех точках сети.
Проблема безопасности №2 (хищение информации)
Серьезной проблемой является и хищение информации. Злостные хакеры проникают в коммерческие сети с целью снятия средств по кредитным карточкам или кражи средств, используя номера страховых полисов. Предприятия малого и среднего бизнеса находятся в зоне риска, поскольку на фоне больших корпораций они выглядят этакими простаками. Защита сети по всему периметру представляется толковым первым шагом, но этого недостаточно, поскольку многие киберворы имеют доверенных сообщников внутри сети в лице сотрудников или подрядчиков.
Утечки информации могут дорого обойтись предприятиям малого и среднего бизнеса, поскольку главное, что двигает их бизнес, — это удовлетворенные клиенты и незапятнанная репутация. Предприниматели, которые в недостаточной степени защищают свою информацию, могут столкнуться с такими проблемами, как разглашение конфиденциальной для них информации, наложение штрафов со стороны государственных органов и даже судебное преследование. Так, например, новые законы в защиту интересов потребителей, принятые в штате Калифорния, требуют от любого предпринимателя, который подозревает, что информация его клиента стала известна посторонним людям, уведомить об этом всех своих клиентов. В России также су-
ществуют законы, предусматривающие наказание за нарушение правил обработки конфиденциальной информации или персональных данных. Любая стратегия безопасности должна предотвращать кражу электронной информации как снаружи, так и изнутри сети.
Проблема безопасности №3 (эффективность бизнеса)
Компьютерные черви и вирусы могут существенно снизить надежность сетевых ресурсов, которые в свою очередь сказываются на способности предпринимателей оперативно реагировать на запросы своих клиентов, хотя черви и вирусы представляют угрозу не только для эффективности бизнеса. Имея дело с сетями, которые столь критичны к современным коммерческим операциям, кибертеррористы занялись шантажом предпринимателей, угрожая выведением из строя веб-сайтов и операций электронной коммерции, если их требования не будут удовлетворены. Подобные атаки, приводящие к отказу от обслуживания (Denial of Service, DoS), посылают большие объемы трафика на критический элемент сети, вызывая выход его из строя или лишая его возможности обработать нормальный трафик. И опять, последствия катастрофичны: информация и заказы теряются, а запросы клиентов остаются без ответа. Если эти атаки становятся достоянием общественности, то это отрицательно сказывается на кредите доверия компании и ее репутации.
В то время как основное внимание защите от последствий DoS-атак уделяется
в крупных банках и крупных компаниях, предприятия малого среднего бизнеса остаются пока незащищенными. Можно без труда увидеть, что они гораздо хуже подготовлены к атакам, чем большие корпорации. Известно много других, менее опасных, но более реальных атак, которые угрожают эффективности работы предприятий малого и среднего бизнеса и, соответственно, их доходности и взаимоотношениям с клиентами. К примеру, атака, связанная с кражей ресурсов, проникает в коммерческие компьютеры и сети, используя их для незаконного совместного использования музыкальных программ, фильмов или программных средств. Чаще всего, предприниматели и не подозревают о происходящем. А в это время их компьютеры и сети не в состоянии быстро ответить клиентам, а их невольное участие в совместном использовании запрещенных файлов может стать причиной судебного разбирательства.
Проблема безопасности №4 (неизвестность)
С каждым новым открытием в сферах компьютерной техники и коммуникаций всегда найдется искусный хакер, который отыщет способы использовать эту технологию для своей выгоды или из озорства. Вновь появляющиеся аппаратные и программные средства предоставляют новые возможности. Одноранговые коммуникации (P2P) и передача мгновенных сообщений по Интернету (Instant Messaging, IM) продолжали оставаться сравнительно новыми приложениями, когда их поль-
Преимущество решения перед отдельным продуктом
Предотвращение атак
зователи были атакованы специально написанной для них программой. А с недавних пор вирусы выбрали для себя новую цель — мобильные телефоны. Никто не знает, что будет следующим, но лучше всех будет защищен тот, кто сможет легко приспособиться к будущим угрозам, не ломая при этом свой бизнес.
Проблема безопасности №5 (законодательная база)
Помимо перечисленных злонамеренных угроз безопасности, новые законы и нормативные акты требуют, чтобы предприятия малого и среднего бизнеса обеспечивали конфиденциальность и целостность доверенной им информации. Страны Европейского Союза и многие отдельные страны, в т.ч. и Россия, приняли или примут в ближайшем времени законы, которые определяют условия защиты персональных данных, которыми располагают организации. Кроме того, страны приняли дополнительные законодательные акты, касающиеся защиты специализированной информации типа сведений о состоянии здоровья населения. Так, например, принятый в США Закон об отчетности и использовании данных в сфере медицинского страхования (HIPAA) требует от организаций здравоохранения, вплоть до каждого медицинского учреждения, применять меры по защите сведений о состоянии здоровья их пациентов и исключения несанкционированного доступа к ним. Аналогичные требования есть и в России для защиты врачебной тайны. Ответственность за соблюдение законов и нормативных актов, касающихся их бизнеса и рынков, ложится на предпринимателей. К сожалению, многие мелкие предприниматели находят, что средства, которыми они располагают, не позволяют им пойти так далеко.
Между тем, клиенты хотят гарантий того, что информация, которую они доверили предпринимателям, сохраняется в тайне. Все бизнесмены должны предпринимать меры по защите своих коммерческих инфраструктур, но именно предприятия малого и среднего бизнеса в первую очередь нуждаются в простых, компактных и приемлемых решениях. Cisco разработала решение по безопасности специально для предприятий малого и среднего бизнеса (SMB), которое построено на стратегии самозащищающейся сети Cisco Self-Defending Network.
Самозащищающаяся сеть CISCO
Самозащищающаяся сеть Cisco (Self-Defending Network, SDN) — это долго-
срочная стратегия компании по защите бизнес-процессов путем выявления, предотвращения и адаптации к внешним и внутренним угрозам. Самозащищающаяся сеть Cisco позволяет обезопасить сегодняшний бизнес и адаптироваться к грядущим требованиям. С компанией Cisco предприниматели могут защитить не только свои сети, но и свои инвестиции в сетевую инфраструктуру. В результате они получают улучшенные бизнес-процессы и реальную экономию средств.
Самозащищающаяся сеть Cisco обладает тремя уникальными свойствами: интеграция, взаимодействие и адаптируемость. Во-первых, она интегрирует средства безопасности во все элементы сети, гарантируя, что каждая точка в сети будет защищать себя как от внешних, так и от внутренних угроз. Во вторых, такие сетевые элементы работают совместно, обмениваясь информацией и обеспечивая тем самым дополнительную защиту. В-третьих, сеть использует новейшие средства распознавания по поведенческим признакам для адаптации к новым угрозам по мере их нарастания.
Новые решения в SDN
Унификация
Унифицированные механизмы защиты с централизованным управлением политиками упрощают контроль угроз и усиливают защиту, включая общие механизмы борьбы с угрозами (например, IPS) по всей инфраструктуре — от периметра до ядра сети и расширенный оперативный контроль всей инфраструктуры с помо-
щью унифицированной платформы управления безопасностью.
Интеграция
Взаимодействие ПК-серверов и сети позволяет обеспечить видимость на 360° и проактивную защиту, в том числе: расширенный контроль сетевых угроз, интегрированный с защитой оконечных систем, интеграцию с решениями третьих фирм, эшелонированную оборону за счет тесного взаимодействия средств сетевой безопасности и эффективное управление сетевыми устройствами через политики безопасности.
Адаптация
Анализ поведения на уровне сети, систем и устройств ускоряет обнаружение и отражение угроз, используя постоянный контроль, комбинирующий сигнатурный и поведенческий подходы, всестороннюю аналитику через корреляцию множества событий и контекстный анализ, динамическое определение риска угрозы на основе ее релевантности и контроль поведения и корреляцию между множеством средств защиты, обеспечивающих эффективный контроль угроз.
Автоматизация
Автоматизация рутинных действий повышает точность и эффективность борьбы с угрозами, включая помощников (wizards), визуализацию событий безопасности и политик, контроль непротиворечивости и работоспособности и обновление и распределение политик.
Эволюция угроз безопасности
Примеры взаимодействия и интеграции
ASA + IPS: Связанные политики МСЭ и IPS снижают время реагирования на угрозы.
ASA/IPS + сетевое оборудование: построение эшелонированной обороны и снижение нагрузки на средства защиты.
IPS + CS-MARS: снижение числа событий для анализа облегчает обнаружение угроз и ускоряет их отражение.
CSA + IPS: повышение точности сигнатур, снижение числа ложных срабатываний и эшелонированная оборона.
CSA + VPN: доступ в корпоративную сеть только после проверки.
IPS + сканеры безопасности: повышение точности обнаружения угроз.
MARS + Manager: расширенный контроль политик, интегрированный с функциями отражения угроз.
MARS\SIMS + решения третьих фирм: учет требований современной сети.
- Дополнительная информация об узле
- Возможность использования данных CSA для выбора метода реагирования
- Корреляция с данными CSA watch list
- Узлы, находящие в карантине
Новые возможности
по отражению атак
Новые механизмы обнаружения атак включают:
— обнаружение аномалий: Обнаружение TCP-червей на базе контроля состояния TCP-соединений; Обнаружение UDP-червей путем мониторинга UDP-трафика; классификация червей через взаимодействие с отсутствующими адресами;
— анализ поведения сетевого трафика с функцией динамического обучения (запатентована);
— защиту баз данных: TNS engine защищает базы данных (например, Oracle) от переполнения буфера в сервисе TNS listener. Позволяет использовать регулярные выражения в фреймах TNS и может настраиваться пользователем;
— понимание идентификационных данных: новый SMB Advanced Engine вклю-
чает имя netBios в сигнал тревоги с целью контроля имени пользователя (username) и версии ОС, запущенных на контролируемом узле.
Взаимодействие IPS-CSA:
— Повышенное понимание состояние защищаемых узлов;
— использование данных от CSA для реагирования IPS;
— корреляция данных из CSA watch list;
— карантин узлов через ручное добавление плохих IP в watchlist;
— использование механизма CSA Trusted QoS для оптимизации работы IPS.
Интеграция с сетевыми сканерами:
— импорт данных от сканеров для повышения эффективности анализа.
Интеграция с технологией CTR:
— понимание защищаемых узлов через пассивный OS fingerprinting;
— задание информации об используемых ОС на защищаемых узлах;
— динамическое задание Risk Rating на основе релевантности атаки;
— автоматизированная фильтрация событий и действий на основе ОС.
Расширенные сценарии применения
Виртуальные контексты: создание нескольких политик для одного сенсора с привязкой к интерфейсам или группам VLAN. Улучшенный интерфейс: Device Manager "Home Page", шаблоны настроек с установленными по умолчанию вариантами реагирования.
Рейтинг рисков
Рейтинг риска вычисляется для события, а не для сигнатуры, как комбинация ряда параметров: точность сигнатуры
(Signature Fidelity Rating), опасность атаки (Attack Severity Rating), ценность атакуемого ресурса (Target Value Rating), реле-
Интеграция с Cisco Security Agent
Интеграция с Cisco IPS
вантность атаки (Attack Relevancy Rating), рейтинг наблюдаемых узлов (Watch List Rating), тип сенсора (Promiscuous Delta).
Описание функциональности рейтинга угроз (Threat Rating):
— динамическое уточнение риска события на основе метода реагирования;
— если были приняты меры реагирования, рейтинг риска уменьшается (TR < RR);
— если на событие не реагируют, то рейтинг риска остается неизменным (TR = RR);
Преимуществом в данном случае является то, что предотвращенные атаки не требуют пристального внимания администратора и появляется возможность оповещать только о наиболее критичных атаках.
Новые возможности
по управлению безопасностью
Автоматизация рутинных задач (VPN Discovery, обновление IPS и др.), визуализация (комбинация правил, выделение локальных правил, запуск xDM, единые правила и для ACL и др.), управление (SSL VPN, IPS, IOS IPS, Catalyst 6500), отчеты (Inventory, Activity и др.), аутентификация на RADIUS (облегчение интеграции в централизованную архитектуру безопасности предприятия), перенаправление syslog (построение иерархии систем сбора сигналов тревоги и эффективное внедрение в территориально-распреде-
Контроль беспроводных соединений
ленных сетях), контроль работоспособности, динамическое обновление сигнатур IPS, автоматизация рутинных действий и снижение нагрузки на администратора системы безопасности Стратегия безопасности Cisco Self-Defending Network наделяет безопасностью каждую точку сетевой инфраструктуры, взаимодействует с окружением для получения дополнительного уровня защищенности и адаптируется к изменяющимся сетевым условиям и к новым угрозам безопасности.
По материалам компании Cisco Systems
ЗАКОНЧЕННОЕ РЕШЕНИЕ
Защита ПК от 0-Day
Защита
филиала
Защита
периметра
Защита ЦОД
Защита
сервера
Intranet
Cisco Security Cisco ISR Agent (CSA) Routers
Cisco ASA 5500 Adaptive Security Appliance
Управление политикой и конфигами
Мониторинг, корреляция и реагирование
▼
Контроль
эпидемий
Т"
п
п
п
Catalyst Service Modules IPS4200 Series
Cisco
Security
Manager
CS-MARS
Cisco
ICS
■ Интегрированная безопасность распределена по всей сети
■ Взаимодействие механизмов и систем защиты на всех уровнях - от рабочих станций и серверов до маршрутизаторов и коммутаторов
■ Адаптивная корреляция на всех уровнях
Центральизованные управление и мониторинг
