Согласно исследованию, проведённому компанией Ernst&Young, количество атак на организации растёт, и сейчас в среднем достигает 135 атак в год. Просто представьте, что вас атакуют почти каждые два дня.

Последняя нашумевшая атака хакеров была проведена нашими соотечественниками, группой из Украины. В марте Anonymous Ukraine опубликовали в Интернете более 7 млн. записей конфиденциальных данных, тем самым протестуя против финансовых компаний. Были взломаны, в том числе, 3255663 карт систем Visa, 1778749 записей MasterCard, 362132 записей Discover и 668279 – American Express.

По результатам проведённых за последние несколько лет расследований стало очевидно, что киберпреступники организовали глобальный бизнес, который нанимает, обеспечивает оборудованием и направляет хакерские атаки на финансовые институты и отдельных пользователей. Пока есть спрос – есть и предложение, что, по-прежнему, оправдывает законы рыночной экономики.

Эксплоиты, такие как MITMO (Man in the Mobile), которые могут быть установлены на всё более «продвинутые» смартфоны, или построение ботнетовских сетей становятся огромной угрозой в виду их широкой распространенности, превышающей уже даже количество ПК в некоторых странах. Многоуровневая аутентификация, считавшаяся ранее максимальной защитой, сегодня терпит поражение перед троянами, подвергающими пользователей атакам «man-in-the-browser», которые нацелены на банковские счета.

Эволюция угроз и их точечная направленность на критические для компаний данные влияют на изменение подхода к обеспечению информационной безопасности. Изменилась и роль самого офицера безопасности.

Роль руководителя ИБ долгое время определялась использованием новейших технологий безопасности. Да, безусловно, технологии сегодня играют большую роль в бизнесе, но выбор и использование решений – это только часть задач информационной безопасности. К тому же, сегодня руководитель ИБ отчасти находится в затруднительном положении. С одной стороны, он является ответственным за ограничение распространения конфиденциальной информации, с другой стороны, директор ИТ-департамента поощряется за создание условий предоставления этой информации всем сотрудникам. Информация, которая раньше хранилась в одном месте, теперь находится в движении, постоянно исходит из или попадает внутрь сети организации. Периметр контролируемой зоны безопасности стал размытым и, по сути, может находиться в любой точке мира. В этих условиях офицер безопасности из предметного эксперта превращается в советника и стратега по построению комплексной политики компании в области вопросов безопасности.

Современные атаки всё чаще увенчиваются успехом, потому что злоумышленники более системны в своей работе, чем защищающиеся. Атакам обычно предшествует разведка по обнаружению возможных брешей для вторжения. Как только злоумышленники добиваются первого успеха, «автоматические» атаки (самораспространяющиеся) действуют по «червеобразному» принципу, в то время как опытный противник может добыть и другие возможности для будущих атак.

До текущего времени на предприятиях в основном использовался традиционный подход к обеспечению безопасности: системы защиты располагались отдельно в каждом из блоков сети, отсутствовала связь и синхронизация между системами безопасности, источники событий располагались локально. Защита сети строилась по принципу определения возможных угроз или брешей в безопасности и применения инструментов защиты от них.

Что же нужно менять компаниям, чтобы быть проактивными в вопросе обеспечения информационной безопасности?

Конечно же – изменить подход к построению защищённых периметров сети. Средств, используемых только для ограничения доступа к корпоративной информации извне, недостаточно. В то же время не существует единого класса систем, способных защитить вас от всех возможных угроз.

На схеме ниже можно ознакомиться с разработанной нами концепцией защищенного Интернет доступа, названной «Security Perimeter v2.0».

Большая часть угроз исходит из сети Интернет, именно поэтому здесь сосредоточено большинство средств и инструментов по защите сети. Конечно, при построении защиты мы должны использовать лучшие решения на рынке, и, к сожалению или счастью, они строятся на оборудовании разных производителей, что усложняет внедрение таких решений.

Использование архитектурного подхода предполагает, прежде всего, полную интеграцию всех инструментов обеспечения безопасности, их приоритезацию, первичный анализ, возможность быстрой реакции на появляющиеся угрозы и наличие постоянной информированности об опасных действиях как внутри, так и снаружи контролируемого периметра.

Сотрудники информационной безопасности должны получать информацию о событиях по всей сети, иметь возможность автоматической корреляции их между собой, по времени и по месту возникновения, что поможет точно определить причины и следствия возникновения атак.

Хорошо, если у вас есть большой штат опытных и квалифицированных специалистов. Ещё лучше, если у вас есть время на проведение расследований инцидентов и своевременную реакцию на них. Но в большинстве организаций сотрудник ИБ перегружен, он ищет способы и инструменты для облегчения своей работы, чтобы освободить время на другие задачи, требующие его непосредственного участия.

Ключевой компонент разработанной концепции – это SIEM-система. Именно о ней пойдет речь в следующей статье.

Соавтор статьи: Виталий Брайчук, ведущий инженер-консультант департамента телекоммуникаций

В рамках концепции BYOD одна из важных тем - централизованный контроль и управление устройствами в корпоративной сети.

Очевидно, что эта тема весьма емкая и тут необходимо рассматривать целый комплекс различных мер и систем, основная задача которых – управление жизненным циклом устройств (в том числе мобильных), используемых персоналом компаний.

Понятно и то, что внедрение «сложного» решения по управлению сетевыми подключениями подразумевает этапность. Каждый следующий этап строится на основе предыдущего. Подход к реализации BYOD строится по тому же принципу. Конкретная политика доступа реализуется на устройстве благодаря применению комплекса технологий и методов. По ходу возникает вопрос взаимодействия системы доступа с широким спектром стороннего оборудования и сетевых служб. Интеграция установленных систем с системой управления мобильными устройствами в конечном итоге обеспечивают весь процесс управления сетевыми подключениями, который в полной мере и охватывает вопросы оптимизации и обеспечения безопасности.

Как один из возможных примеров, хочу предложить вашему вниманию несколько наблюдений, которые были сделаны при интеграции решения MDM от MobileIron с системой контроля доступа в корпоративную сеть Cisco ISE.

Взаимодействуя по протоколу TLS Cisco Identity Services Engine выгружает ряд дополнительных параметров из MobileIron VSP (основного компонента решения MobileIron), необходимых для более четкого составления политики доступа мобильных устройств в сеть. Практика показывает, что наиболее используемыми являются такие параметры, как:
a. статус соответствия устройства политике MDM
b. статус регистрации устройства в системе MDM
c. статус наличия шифрования носителей устройства
d. статус наличия на устройстве Root доступа
e. статус наличия на устройстве установленного PIN Lock
f. статус доступности сервера MDM
g. производитель, модель, IMEI и операционная система устройства.

Указанные параметры можно задать непосредственно при написании правил доступа в Cisco ISE, используя при этом стандартный функционал системы. Некоторые из перечисленных параметров задействованы в процедуре onboarding’а устройства, которую можно разделить на следующие этапы:

1. При подключении к гостевому SSID пользователь получает уведомление о необходимости авторизации, и на специальной странице вводит свои корпоративные учетные данные.
2. Устройство автоматически получает необходимые настройки (установка сертификатов и профилей доступа к Wi-Fi), и пользователю выводится уведомление о необходимости подключения к защищенному SSID. Процедура onboarding’а в Cisco ISE считается пройденной.
3. Для получения доступа к корпоративным сервисам пользователю необходимо подключиться к защищенному SSID и зайти на любой корпоративный ресурс в браузере, после чего он будет переадресован на страницу с уведомлением о необходимости установки клиента MDM и ссылкой на магазин приложений (в зависимости от платформы устройства).
4. После установки клиента MDM и выполнения в нем входа под своими учётными данными выполняется автоматическая настройка устройства в соответствии с корпоративной политикой безопасности и установка необходимых приложений.
5. При повторной попытке зайти в браузере на внутренний ресурс пользователь получит доступ согласно правам учетной записи, а также на устройстве будут присутствовать все корпоративные приложения и необходимые настройки.

Такие действия пользователь проводит один раз – при первой попытке доступа к сети. В дальнейшем никаких дополнительных шагов, кроме подключения по WiFi или VPN, не требуется. После прохождения процедуры устройство будет зарегистрировано в системе MDM, что обеспечит необходимый удаленный контроль и управление.

Функционально решения Cisco ISE и MobileIron MDM реализуют различные процессы, которые, тем не менее, дополняют друг друга. Cisco ISE обеспечивает доступ мобильного устройства к сети передачи данных, а MobileIron MDM, в свою очередь, контролирует функции операционной системы гаджета и выполняет доставку приложений. Осуществляя настройки каждой из систем, необходимо коррелировать права доступа к мобильным приложениям (для определенной группы пользователей) с доступом на сетевом уровне (для корректной работы данных приложений). Например, если для определенной группы пользователей предусмотрена автоматическая установка клиента Cisco Jabber для осуществления звонков (зона ответственности MDM), необходимо предоставить соответствующий доступ на уровне сетевой инфраструктуры (зона ответственности Cisco ISE). Для успешной интеграции этих систем их политики безопасности не должны противоречить друг другу.

Резюмируя, хочу отметить, что, несмотря на достаточно трудоемкий процесс разработки политик безопасности и интеграции систем, внедрение решений по обеспечению мобильности принесёт компании множество преимуществ. В данном случае выгоду получит и сама компания с точки зрения экономической эффективности, сотрудники ИТ и безопасности однозначно будут меньше времени тратить на поддержку и обеспечение работы мобильных устройств сотрудников. Ну и, конечно, сами пользователи непременно будут более лояльны к компании, которая позволяет им пользоваться личными устройствами в рабочих целях.

В пятерку наиболее распространенных киберугроз, направленных на внешний периметр современной организации, как и ранее, входят «malware», атаки типа «Отказ в обслуживании», и конечно же, всевозможные сетевые атаки.

Однако, не смотря на закономерно кажущуюся «стабильность», изменилось многое, а самое главное, изменился потребитель современной сетевой инфраструктуры.

Границы периметра сети размылись, тотальная виртуализация, внутри одного распространенного сетевого протокола могут передаваться сотни других, значительным образом выросли сетевые мощности, всё «изощрённей» становятся киберпреступники. Перечисление можно продолжать и далее, но думаю, вы уже поняли к чему я веду — изменений требовала и отрасль, отвечающая за обеспечение информационной безопасности, и эти изменения имеют место быть.

Появились так называемые устройства нового поколения, получившие приставку NG (Next-Generation) в своем названии. Далее речь пойдет как раз об одном из таких решений по обеспечению информационной безопасности, а именно о системах Intrusion Prevention System нового поколения (NGIPS).

Их предшественники, традиционные системы обнаружения/предотвращения вторжений, как правило, используют сигнатурный анализ обнаружения атак. Для достижения максимальной эффективности и точности срабатывания, данные системы требуют тонкой и тщательной настройки характеристик, особенно, если в сети используются приложения собственной разработки, что значительно усложняет этот процесс, а также увеличивает стоимость владения такими системами для организации. А если при этом еще и отсутствуют встроенные/сопутствующие системы управления и мониторинга, вопрос сбора информации о событиях, её корреляция и анализ становятся чрезмерно трудоёмкими, а порой и невозможными вовсе, что снижает общую эффективность систем безопасности.

Еще один нюанс связан с тем, что для внедрения и корректной эксплуатации систем подобного класса нужен квалифицированный персонал с необходимым опытом. Если вы никогда не имели опыта внедрения таких систем, скорее всего вам будет очень непросто оценить все те возможности, которые присущи системам подобного уровня. И, как ни прискорбно, многие компании упрощая стадию внедрения, останавливаются только на базовых функциях обнаружения атак (IDS), а не их предотвращения (IPS), что значительно уменьшает эффект от внедрения подобного класса систем, а также в некоторой степени дискредитирует уровень подобных решений. Объясняется это тем, что в таких случаях система не работает на полную мощность и является только средством, предоставляющим информацию об угрозах, а не активным инструментом организации защиты и противодействия атакам.

На фоне этого, традиционные решения обеспечения ИБ испытывают недостаток в гибкости, необходимой для успешной защиты от современных сетевых угроз в условиях постоянно изменяющихся сред хранения информации. Мы живем в мире, где сюрпризы являются нормой, где борьба между теми, кто придумывает атаки на системы клиентов и теми, кто обеспечивает их защиту, — постоянная и, порой, непримиримая, и нам необходимы решения, которые будут достаточно гибкими, чтобы адаптироваться к изменениям в сети, постоянно возникающим уязвимостям и сетевым угрозам.

Индустрия систем предотвращения атак идет в ногу со временем и должна соответствовать актуальным требованиям к безопасности. Компания SourceFire (приобретена компанией Cisco в конце 2013 года) стала основателем класса решений NG IPS (Next Generation IPS). Создателем компании является автор всемирно известного open-source IPS решения SNORT — Мартин Рош (Martin Roesch).

Класс решений NG IPS включает в себя весь функционал традиционных систем IPS, существенно его расширяя. Опираясь на концепцию безопасности Agile Security, решения SourceFire (Cisco) позволяют обеспечить полный цикл слежения за континуумом атаки: до, во время и после.

Данная концепция строится на четырёх основных принципах:

1. Видеть: вы не можете защититься от того, чего не видите. AgileSecurity позволяет обеспечить видимость всего трафика, который проходит по сети, выполнить анализ окружающей ИТ-инфраструктуры и всех возникающих в ней сетевых атак.

2. Учиться: способность системы к обучению предоставляет возможность понимания всей динамики процессов, происходящих в сети, тем самым, облегчая процесс принятия решений о блокировании угроз.

3. Адаптироваться: возможность адаптировать свою защиту к непрерывно меняющимся угрозам и условиям эксплуатации.

4. Действовать: как следствие, система должна обеспечить комплексную защиту ИТ-инфраструктуры и предложить гибкие автоматизированные инструменты реагирования на события безопасности.

Связывая все компоненты инфраструктуры безопасности организации от сетей до рабочих станций, концепция Agile Security позволяет непрерывно контролировать процессы взаимодействия, коррелируя их между собой, сокращая, таким образом, время реакции на возникающие угрозы.

Технология визуального управления приложениями позволяет обеспечить видимость тысяч приложений, работающих по одинаковым протоколам, например, http. Автоматическая система рекомендаций по политикам безопасности, основанная на контекстной осведомлённости о состоянии сети значительно сокращает время на развёртывание и уменьшает стоимость владения системой, а просмотр всех изменений сетевых узлов, приложений и пользователей в режиме реального времени позволяет всегда получать актуальную и необходимую информацию о сетевой инфраструктуре.

По мнению независимых экспертов, решения компании SourceFire (Cisco) обладают на сегодняшний день самым точным механизмом обнаружения, а также мощными инструментами автоматизации и интеграции с облачными сервисами обработки данных, что обеспечивает максимально возможный уровень защиты в сети передачи данных.

Как и предыдущая итерация развития данных систем, получивших возможность синхронизации с глобальными системами, решение SourceFire NGIPS также имеют облачный сервис SourceFire Collective Security Intelligence, который обеспечивает взаимодействие локальной системы безопасности с облачными базами данных, обладающими актуальной информацией по последним угрозам и вирусам, а также, репутационными базами для URL фильтрации.

В Украине представлено три класса решений компании SourceFire: NGFW (Next Generation Firewall), NGIPS (Next Generation Intrusion Prevention System), AMP (Advanced Malware Protection), отличительной особенностью которых является единая унифицированная система управления — платформа fireSIGHT. Как следствие все три продукта могут функционировать, под единой политикой безопасности, обеспечивая защиту по всему периметру.

Подводя итоги, отмечу, что решение действительно заслуживает особого внимания, что подтверждается:

1. Признанием общественности. Продукт аккумулировал в себе громадный опыт, т.к. вырос из open-source проекта.

2. Признанием индустрии. Продукт длительное время находится на лидирующих позициях аналитических компаний.

3. Целостностью решения. Производитель специализируется исключительно на системах обеспечения информационной безопасности и предлагает не просто продукт, а законченную и управляемую архитектуру.