Московский офис Cisco рассказал о стратегии корпорации в направлении разработки средств обеспечения и построения корпоративной информационной безопасности (ИБ).

Как сообщил бизнес-консультант по безопасности Cisco Алексей Лукацкий, ИБ остается в числе наивысших приоритетов деятельности корпорации, более того, это направление, ранее рассматривавшееся в корпорации как направление технологий, инструментов и средств, встраиваемых в разрабатываемые ею продукты, отныне выделено в основное, пятое по счету, наряду с направлениями решений для операторов связи, корпоративных сетей, ЦОДов и унифицированных коммуникаций. При этом Cisco продолжает сосредоточивать свои усилия на направлении, в котором особенно сильна, а именно на сетевой безопасности, включая безопасность сетевой инфраструктуру ЦОДов и облаков.

По словам Алексея Лукацкого, направления, в которых действует Cisco в области ИБ сегодня, продиктованы следующими аспектами:

• изменениями бизнес-моделей корпоративных пользователей, связанными с мобильностью подключений к корпоративным ресурсам, распространением облачных технологий, ростом разнообразия устройств, подключаемых к Интернету и корпоративным сетям (всеобъемлющий Интернет);

• непрерывно меняющимся ландшафтом угроз, что заставляет обновлять базы данных средств защиты информации (СЗИ) не реже, чем раз в несколько минут, и выстраивать защиту от целевых атак (APT), представляющих в настоящее время для компаний основную угрозу;

• сложностью и фрагментированностью СЗИ, что требует использования унифицированных платформ построения системы корпоративной ИБ, способной предоставить возможность консолидации данных, поступающих от СЗИ, и централизованного управления корпоративной ИБ.

Изменившиеся внешние и внутренние условия указывают компаниям на необходимость перехода к новой корпоративной модели ИБ-угроз, которая, как подчеркнул Алексей Лукацкий, должна предусматривать не только предотвращение атак, но и быть нацелена на реагирование на атаки в процессе их проведения в целях возможно быстрого блокирования и минимизации причиненного ими ущерба, а также на устранение последствий атак.

С возрастающей сложностью корпоративной системы обеспечения ИБ (продиктованной сложностью ландшафта угроз) трудно справиться без повышения интеллектуальности СЗИ, без обеспечения контроля состояния ИБ по всему спектру используемых СЗИ и без реагирования на инциденты по возможности в реальном времени.

Для борьбы с современными угрозами, особенно APT, нужны контекстные механизмы контроля ИБ-событий с широким набором контролируемых параметров и ИБ-политики, динамически меняющиеся согласованно с изменением параметров, описывающих, кто (или что), с какой конфигурацией средств доступа, к каким ресурсам, по каким каналам, когда и откуда получает тот или иной доступ к корпоративным ресурсам.

Современная корпоративная ИБ-система, как считают в Cisco, должна также обеспечивать возможность проведения ретроспективного анализа ИБ-инцидентов в целях выявления причин их возникновения и внесения изменений в ИБ-систему для исключения этого в дальнейшем.

В прошлом году Cisco анонсировала новую модель построения корпоративной ИБ, к реализации которой приступила у себя и которую стала рекомендовать другим компаниям. Суть модели заключается в комплексной реализации всех упомянутых выше концептуальных положений через интеграцию различных ИБ-технологий при защите разных точек корпоративной инфраструктуры — на уровне периметра корпоративной сети, в ЦОДах, на мобильных устройствах, в облачной инфраструктуре партнеров и провайдеров.

В рамках реализации этой модели Cisco предлагает использовать на этапе предотвращения вторжений VPN-решения, межсетевые экраны, средства контроля доступа, аутентификации и идентификации, системы обнаружения и предотвращения атак...; в процессе реализации вторжения — технологии обнаружения и предотвращения вторжений, антивирусы, контентную фильтрацию трафика...; после реализации вторжения — технологии обнаружения аномальной активности, системы управления ИБ-событиям, технологии поддержки расследования ИБ-инцидентов...

Новая модель находит свое отражение в формировании продуктового портфеля Cisco, прежде всего той его части, которая предназначается для построения корпоративной ИБ. При этом каждая ИБ-технология реализуется в разных продуктах в зависимости от того, для защиты какой точки сетевой инфраструктуры она используется.

Эффективное использование такого широкого спектра ИБ-средств требует унифицированных платформ, разработка которых, как пояснил Алексей Лукацкий, ведется в Cisco по трем основным направлениям: безопасности корпоративной сети, стационарных и мобильных устройств и безопасности в провайдерских (в том числе публичных) облаках. По ИБ-функциональности все эти платформы одинаковы независимо от того, обслуживают они традиционную корпоративную сеть, сеть в ЦОДе, облачные фрагменты сетевой инфраструктуры или оконечные устройства, подключенные к сети (в том числе и мобильные).

Мозгом используемой Cisco и предлагаемой ею заказчикам архитектуры ИБ в корпорации считают облачную структуру Security Intelligence Operations (SIO), которая осуществляет сбор, обработку и анализ обезличенной информации с сетевых устройств и СЗИ, размещенных как в сетевой инфраструктуре самой Cisco, так и на стороне ее заказчиков и партнеров. Эта информация позволяет выявлять глобальную картину ИБ-событий — с каких адресов распространяется спам, DDoS-атаки или иная подозрительная сетевая активность, неспецифичная для данных сетевых адресов...

Более 600 специалистов SIO занимаются выявлением угроз и разработкой способов защиты от них. По результатам их деятельности примерно раз в 3–5 минут подключенные к SIO ресурсы обновляют черные и белые списки URL и IP-адресов, сигнатуры для антивирусов и систем IDS/IPS, правила для систем контентной фильтрации, списки адресов управляющих серверов и рядовых членов ботнетов. Таким образом оперативно актуализируется состояние ИБ-средств, которые Cisco предлагает своим партнерам, заказчикам и клиентам, в соответствии с состоянием ландшафта ИБ-угроз. Одновременно с этим они получают рекомендации, как бороться с обнаруженными угрозами.

После приобретения Cisco в 2013 г. компании Sourcefire функционал SIO пополнился репутационными механизмами для отдельных файлов при работе пользователей через различные каналы передачи информации (Интернет, корпоративная сеть), стационарные и съемные носители данных.

Приобретение в 2012 г. компании Cognitive Security позволило Cisco облегчить работу специалистов SIO за счет автоматизации поведенческого анализа. Это упростило обнаружение продвинутых киберугроз при использовании Интернета. В феврале этого года корпорация анонсировала запуск облачного сервиса автоматизированного обнаружения угроз при работе в Интернете — Cognitive Threat Analytics. В нем используются те же технологии Cognitive Security. Клиентам этого сервиса, по словам г-на Лукацкого, с вероятностью не ниже 99,999% гарантируется отсутствие заражений в посещаемых ими интернет-ресурсах.

Перешедшее вместе с Sourcefire в Cisco решение Advanced Malware Protection (AMP) реализовало автоматизацию обнаружения угроз для внутрипериметровых сетевых обменов данными. Объявленная в феврале этого года стратегия Cisco AMP Everywhere выражает намерение Cisco реализовать технологии автоматического обнаружения вредоносных кодов (в том числе и неизвестных) для расширенной сети, т. е. не только внутри классического сетевого периметра, но и для внешних мобильных подключений, виртуализированных ИКТ-ресурсов и облачных архитектур. Cisco AMP Everywhere будет располагать и возможностями ретроспективного анализа (которому, как уже упоминалось, Cisco придает большое значение в условиях невозможности гарантированного предотвращения вторжений).

Как отметил г-н Лукацкий, технологии AMP пока работают только через внешнее (по отношению к клиентам) облако Cisco. Для того чтобы удовлетворить тех клиентов, которых такая ситуация по тем или иным причинам не устраивает, и реализовать эти технологии внутри корпоративного периметра, Cisco приобрела в начале июня этого года компанию ThreatGRID. Ее технологические разработки которой реализуют в виде размещаемых внутри сети устройств функционал, схожий с функционалом AMP: обратная связь с ИБ-устройствами осуществляется через эти устройства, и центры принятия решения о наличии или отсутствии заражений находятся не во внешнем облаке, а внутри периметра. На осень 2014 г. намечено завершение интеграции решений ThreatGRID и Cisco AMP, что обеспечит пользователям Cisco AMP возможность использовать устройства, размещаемые внутри корпоративного периметра (т. е. и в частном облаке) для поддержки функционала ThreatGRID.

Учитывая рост требований к квалификации ИБ-специалистов (в связи с усложнением обеспечения корпоративной ИБ) и дефицит таковых (общую нехватку ИБ-специалистов в мире г-н Лукацкий, ссылаясь на аналитические данные других компаний, оценивает примерно в 1 млн.), Cisco начала предоставлять ИБ-сервис Managed Threat Defense, включающий ИБ-подготовку сетевой инфраструктуры клинетов, сервисы обнаружения угроз и реагирования на угрозы. При предоставлении этой услуги СЗИ клиентов подключаются к специализированной инфраструктуре Cisco, которая в круглосуточном режиме позволяет силами специалистов компании оказывать перечисленные выше сервисы.

Несмотря на выделение ИБ в отдельное высоко приоритетное направление, подчеркнул г-н Лукацкий, ИБ остается неотъемлемой встроенной частью любого продукта Cisco. Реализуемая в них доверенная архитектура базируется на технологии безопасного программирования Cisco Security Development Life Circle. В целях поддержки принципов доверенной архитектуры Cisco также разработала технологии защиты своих продуктов от «серого» импорта, исключающие возможность несанкционированных разработок аналогов и их продажи под другими торговыми марками. Этим же целям служат поддержка стандартов и регулятивных требований (в том числе требований российских регуляторов ФСТЭК и ФСБ), механизмы защищенного хранения ключей управления ИБ на устройствах, защиты от несанкционированного внесения изменений в операционную систему IOS, защищенной загрузки ПО оборудования и т. д.

Чтобы максимально соответствовать требованиям к ИБ со стороны российских пользователей, отметил г-н Лукацкий, Cisco, ориентируясь на спрос и объективные возможности, расширяет локальное производство в России (что исключает возможность внесения изменений в продукцию при ее продвижении по логистическим цепочкам), сертифицирует востребованное в нашей стране оборудование на соответствие требованиям ФСТЭК и ФСБ (включая проверку на отсутствие недекларированных возможностей), консультирует специалистов российских регуляторов и участвует в разработке и экспертных оценках российских федеральных и отраслевых нормативных актов.


Версия для печати (без изображений)