cisco secure borderless network
DESCRIPTION
TRANSCRIPT
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 1/77
Сеть без границЧто движет современной ИБ
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 2/77
Тенденции угроз, бизнеса, регуляторов и ИТ
Сеть без границ(Borderless Network)
Дополнительная информация
О чем пойдет речь?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 3/77
Что движет безопасностью?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 4/77
Различные типы вредоносного ПО
Рост числа троянских коней, browser helper objects (BHO) и шпионского ПО –основная угроза современного мира
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 5/77
В Австралии была зарегистрирована
новая сеть ботнет psyb0t, заражающая
червем роутеры и DSL-модемы.
Было заражено уже более 100 тыс.
устройств
В банкоматах Росбанка,
Петрокоммерц и Бин-банка
обнаружен троян, ворующий
информацию о кредитных
карточках
Новые объекты для заражения
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 6/77
CNN: Десятки миллионов ПК инфицированы и входят в состав различных ботнетов
http://www.cnn.com/2006/TECH/internet/01/31/furst/
Symantec Internet Security Report – Июнь ‘05
10,000+ новых зомби добавляется каждый день
Рост DoS-атак с 119 до 927 в день —рост на 679%
Большой % DDoS-атак создаются ради вымогательства
Рост ботнетов
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 7/77
Большинство провайдеров второго уровня и контент-провайдеров (85%) фиксируют атаки преимущественно на скоростях 500 Мбит/сек – 1 Гбит/сек.
Многие респонденты говорят в среднем о 10-ти и более атаках в месяц, которые нарушают доступность сетей клиентов (среднее число атак в месяц - 40)
Атак, которые влияют непосредственно на инфраструктуру провайдеров, стало меньше – в среднем 1-2 в месяц
Источник: Arbor Networks Worldwide ISP Security Report
Размер и частота DoS-атак
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 8/77
10 000 0000 зараженных компьютеров за одну неделю
Червь Conficker
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 9/77
Рост числа вредоносного ПОучаствующего в построение ботнетов и краже данных
# уникальных сигнатур в 2006: 972K
# уникальных сигнатур в 2007: 5.5M
Уникальные сигнатуры вредоносного ПО
500% рост за 12 месяцев
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 10/77
Утечки данных через E-mail и Web
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 11/77
230,441,730
Source: www.privacyrights.org
ОБЩЕЕ число записей, содержащих персональные данные в утечках, зафиксированных в США начиная с января 2005.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 12/77
100%-й рост спама
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 13/77
Спам угроза?
Фишинг
Фарминг
Мошенничество
SPLOG (spam over blog)
SPIT (spam over IP-telephony)
SMS vishing
Spear phishing
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 14/77
Спам нового поколения
Рост интеллекта
Целенаправленный
Скрытые email и web
Новые вектораатак, включая SMSvishing
Активноеиспользованиесоциальногоинжиниринга
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 15/77
Новый тип фишинга
В кампании «Spear-phishing» (точечный фишинг) участвует всего несколько получателей писем, но это и позволяет быть более сфокусированными и получать «лучший» эффект
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 16/77
Угрозы
Угрозы носят заказной и криминальный характер
Угрозы и криминалитет становятся быстрее, умнее & неуловимее
Точечные (даже лучшие в своем классе) решения не справляются в одиночку с ростом угроз
Заказчики не могут защищать свои ресурсы в режиме 24х7
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 17/7717
Мобильность ипользователи
Мобильность и пользователи
ВзаимодействиеВиртуализацияСоответствиеПеревод CAPEXв OPEX
Взаимодействие СоответствиеВиртуализация
ИТ и ИБ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 18/77
Регуляторы в области ИБ
ИБ
ФСТЭК
ФСБ
Минком-связь
МО
СВР
ФСО
ЦБPCI
Council
Газпром-
серт
Энерго-
серт
РЖД
Рос-
стандарт
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 19/77
Пример: нефтяные компании
НККСИИ
ФЗ-152
ФСБ
Междуна-родные
требования
Газпром
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 20/77
Пример: банки
НКPCI DSS
ФЗ-152
ФСБ
СТО БР ИББС 1.0
Росинформ-технологии
Национальная платежная
система
Фин-Мониторинг
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 21/77
Сроки поджимают
Невыполнение многих нормативных актов влечет за собой наказание
Административное, уголовное или дисциплинарное
Удар по репутации, если об этом станет известно
Нормативное требование
Дата введения в действие
Дата начала наказаний
ФЗ-152 Январь 2007С момента вступления
Шестикнижие Февраль 2008 1 января 2011
СТО БР ИББС-1.0
Май (?) 2010 -
PCI DSS Январь 2005 1 октября 2010
ПП-957 Декабрь 2007С момента вступления
КСИИ (ФСТЭК) Май 2007 н/д
КТ (ФСТЭК) Декабрь 2006 -
СТР-К (ФСТЭК) Август 2002С момента вступления
(для госорганов)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 22/77
Ужесточение нормативных требований
ФЗ «О персональных данных»
PCI DSS
СТО БР ИББС-1.0
Ключевые системы информационной инфраструктуры
ФЗ «О национальной платежной системе»
Электронные государственные услуги
И т.д.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 23/77
Интересы бизнеса
Рост (доли рынка, маржинальности, доходности…)
Экспансия (новые рынки, новые целевые аудитории)
Рост продуктивности сотрудников
Соответствие требованиям
Инновации и новые бизнес-практики
Реинжиниринг бизнес-процессов
Взаимоотношения с клиентами (лояльность)
…
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 24/77
Сеть без границЭволюция подходаCisco
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 25/77
Традиционный периметр
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры ЗаказчикиПартнеры
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 26/77
Мобильность и взаимодействиерастворяют Интернет-периметр
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильный
пользователь Партнеры
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 27/77
Cloud Computing растворяетграницу ЦОД
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
КафеЗаказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a ServiceX
as a ServiceSoftware
as a Service
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 28/77
Пользователи хотят вести бизнес без границ
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
КафеЗаказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a ServiceX
as a ServiceSoftware
as a Service
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 29/77
Bord
erle
ss
Data
Cente
r
3
Bord
erle
ss
Inte
rnet
2
Bord
erle
ss
End Z
ones
1
Концепция Cisco: cеть без границ
Политика
Периметр
Филиал
Приложения и
данные
Офис
Политика(Access Control, Acceptable Use, Malware, Data Security)4
Дом
ХакерыКафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a ServiceX
as a ServiceSoftware
as a Service
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 30/77
Один из сценариевУдаленный доступ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 31/77
Работа происходит везде
В ДОРОГЕ (отели, аэропорты, бизнес-центры)
280 миллионов бизнес-поездок в год
Спад производительности >60–65%
ДОМА (teleworking)
137 миллионов надомных работников в 2003г.
40% надомных работников в США из крупных компаний и среднего бизнеса
НА РАБОТЕ(филиалы, отделения, партнеры)
E-business требует быстрых сетей
Филиал должен быть там где люди
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 32/77
Трансформация бизнеса
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2000 2005 2010
% работы, зависящей от
группового вклада
Работа в одиночку
В одно время в одном месте
В одно время в разных местах
В разное время в разных местах
Сотрудничество – драйвер роста
Взаимодействие с другими, но не лицом к лицу
Рост продуктивности невозможен без поддержки этой тенденции
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 33/77
Умная маршрутизация трафика оконечных устройств
Элемент 1: Borderless End Zone
Постоянное соединение
Всегда на связи,
определение места
Автоматическое
определение Head-End
IPsec , SSL VPN, DTLS
Расширенная
безопасность
Строгая аутентификация
Быстрая, надежная защита
Контроль политики
Широкое покрытие
Большинство ОС и
протоколов
Windows Mobile
Apple iPhone
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 34/77
Мобильный ИнтернетНовый большой виток вычислений
МобильныйИнтернет
Вычисления2000-х
Интернет+ПКВычисления
1990-х
ПКВычисления
1980-х
МиниВычисления
1960-х
МейнфреймВычиления
1950-х
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 35/77
Всеобщая мобилизация
Пользователи (особенно руководство) хотят получать доступ к корпоративным ресурсам даже с мобильных устройств
Пользователи хотят выбирать мобильные устройства самостоятельно
Спектр выбираемых устройств очень широк
ОС: iPhone, Windows Mobile, Symbian, BlackBerry
Платформа: iPhone, Nokia, HTC, LG, Samsung, BlackBerry
Адекватных средств защиты для мобильных устройств не так много
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 36/77
Вы там, где офис офис там, где Вы?
Сидя в парке
Кейптаун, ЮАР
В кафе
Сидней, Австралия
В офисе
Сан Хосе, Калифорния
Всегда под защитой
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 37/77
ЦОД
CVO
IOS VPN
Предпочтительно AnyConnect
Мобильный пользователь
Штаб-квартира
CVO = Cisco Virtual Office
Доверенная сеть с
помощью CVO и ISR G2 до
дома и филиала
Конвергентная
VPN: IOS VPN
или Cisco ASA
(IPsec и SSL)
Решение Cisco Virtual OfficeОптимальный сценарий удаленного доступа
ISR G2
ASA
Интернет
2G/3G
Wi-FiWired
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 38/77
CCP NetFlow IP SLAРолевой доступ
Управление и контроль состояния
Защищенные сетевые решения
Защищенная голосовая связь
Нормативное соответствие
Защищенная мобильность
Непрерывное ведение бизнеса
Контроль доступак сети
Предотвращение вторжений
Интегрированное управление угрозами
Фильтрация контента 802.1x
Система защиты
основания сети
Гибкие функции
сравнения пакетов (FPM)
011111101010101011111101010101
Защищенные каналы связи
GET VPN DMVPN Easy VPN SSL VPN
Усовершенствован-ный межсетевой
экран
Хороший маршрутизатор хорошей компанииЧто еще нужно чтобы встретить старость ;-)
Cisco ISR G2
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 39/77
Компаниями Cisco Systems и С-Терра СиЭсПи разработан VPN-модуль NME-RVPN, поддерживающий российские криптоалгоритмы
Поддержка Cisco ISR 2800, 2900, 3800 и 3900
Поддержка всей линейки VPN-решений компании S-Terra CSP
Развитием данного модуля является решение NME-RVPN ViPNet, разработанное совместно с компанией Инфотекс
Поддержка сертифицированного ФСБ ПО ViPNet для организации VPN
Cisco и S-Terra CSP / ИнфоТеКС
http://www.infotecs.ru/
http://www.s-terra.com/
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 40/77
Компаниями Cisco Systems и Лабораторией Касперского создан модуль «антивирус + антиспам» для маршрутизаторов Cisco
Поддержка маршрутизаторовCisco ISR 1800, 1900, 2800, 2900,3800, 3900, а также 800 Series
Форм-фактор
AXP-NME
AXP-AIM
Cisco + Лаборатория Касперского
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 41/77
Всегда под защитой
Традиционная VPN
Защищенный Незащищенный
Cisco Borderless Network Security
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 42/77
Защита мобильных пользователейВыбор реализации: облако или на предприятии
News Email
Social Networking Enterprise SaaS
Cisco Web Security Appliance
Обмен информацией между ASA и WSA
Corporate AD
ASAAnyConnect
Как угодно+(Переход к AnyConnect)
Факт: Мобильные пользователи только 17% времени в Интернет проводят в
VPN. Как контролировать 83% оставшегося времени?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 43/77
Совместноерешение
Облачная безопасность Cisco
Защита ПК
«Движки» контроля
Интеграция в сеть
Identity
Защита от угроз
Специальная платформа
Глобальное представление
Хостинг
Защита от новых угроз
Ориентация на SP
Усиление стратегии Cisco в области безопасности
Надежная защита Расширенноесканирование
Гибридное SaaS «Умные» политики
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 44/77
Ядро ScanSafe
1 млрд. Web-запросов в день
28М уникальных JavaScript в день
560К уникальных PDF в день
244 уникальных ShockWave в день
2 антивирусных движка (Symantec+ЛК)
False Positive \ False Negative rate < 0,0004%
Гарантированная доступность – 99,999%
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 45/77
КонтрольдоступаУправлениесервисами и
приложениями
ДопустимоеиспользованиеФильтрация контента, управление контентом
Защитаданных
Защита информации и доступа
Защита от угроз
Противодействие ВПО и атакам
Модули обеспечения безопасности
Платформы
Управляемая
На объекте, полностью
управляемая
"Облако"SaaS-
инфраструктура на базе "облака"
ГибриднаяСочетание решений
на объекте и в "облаке"
ПО VM
Образы VM на объекте заказчика
Устройства
Выделенные устройства на
объекте заказчика
Безопасность любого подключения
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 46/77
Расширенный анализ трафика
Анализ приложений
Анализ сигнатур
Криптоанализ
Лексический анализ
Анализ контекста
Единые механизмы анализа для разного трафика
Web-трафик Email-трафик
Сетевой трафик
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 47/77
Identity ПриложенияJob Sites
Instant Message
P2P
Streaming Media
Human Resource
No FileTransfer
Все
100 kbps/User
Email Карантин
Устройство Место
Объект Приоритет
Понимание контекста
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 48/77
HTTP – это новый TCP
Instant Messaging
Peer to Peer
File Transfer
Protocol
Понимание Web-трафика48
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 49/77
Расширенный анализ контента
49
Номер паспорта
или ИНН
Обнаружено
совпадение
Совпадение уникальных правил
Обнаружение
совпадение
Определение
имени
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 50/77
App
Server
Database
Server
Web
Server
Физическое устройство
Virtual Contexts
App
Server
Database
Server
Web
Server
Hypervisor
Физическое устройство
Virtual ContextsVIRTUAL SECURITY
App
Server
Database
Server
Web
Server
Hypervisor
Подключение физических устройств к VM через специальные архитектуры
2Защищенная физическая инфраструктура
1Встроенная безопасность в свитчи виртуализации
3
Service Chaining
Элемент 3: Виртуализация, ЦОД и ИБ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 51/77
Кто? Что? Когда? Откуда? Как?
3Политики на периметре, на устройствах, на XaaS
2Динамические политики
1Политики доступа
Элемент 4: Полный, но прозрачный контроль на основе политик
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 52/77
Вопросы доступа в современных сетях
Авторизованный доступ
Кто в моей сети?
Могу я управлять рисками ПК в своей сети?
Общие правила доступа когда я в сети, дома или в дороге?
ПК соответствуют политике?
Гостевой доступ
Могу я дать гостям доступ только к Интернет?
Как управлять гостевым доступом?
Они могут работать через Wi-Fi или Wired?
Как мониторитьактивности гостей?
Неуправляемые устройства
Как отслеживать неуправляемые устройства?
Как определить что они делают?
Могу я контролировать их доступ?
Политика доступа
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 53/77
Авторизация (контроль доступа)
Другие условияИнформация о пользователях
Other Conditions
+Группа:
Контрактник
Группа:
Сотрудник
Группа:
Гость
Аутентификация и авторизация
Полный доступ
Ограничения доступа
Гость/Internet
Запрет доступа
Карантин
Время и дата
Тип доступа
МестоСтатус
Контроль иотчетность
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 54/77
Есть и другие сценарииАрхитектурный подход
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 55/77
«Технологические» проблемы…
Отсутствие стандартизации и унификации технологий, продуктов, методов и подходов
Рост операционных затрат
Сложность поддержки и интеграции
Повтор и избыточность
Не путать с резервированием
Нехватка ресурсо-затрат
Упущения неочевидных вещей
Отсутствие планов развития
Нехватка гибкости и адаптивности к новым требования
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 56/77
…приводят к глобальным проблемам…
Финансирование по остаточному принципу
Неудовлетворенность пользователей, снижение их продуктивности и рост цены их поддержки
Потенциальные наезды со стороны регуляторов
Неэффективность ИБ в виду забывчивости в отношении некоторых направлений бизнеса
Несогласованность отделов
Дизайн и архитектура
• 1Х
Внедрение
• 5Х
Тесты интеграции
• 10Х
Бета-тестирование
• 15Х
Боевой запуск
• 30Х
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 57/77
Принципы построения защищенной сети
Принципы ИТ
• Модульность /поэтапность
• Снижение TCO
• Стандартизация / унификация
• Гибкость
• Надежность
• Поддержка новых проектов
• Адаптивность / автоматизация
• Масштабируемость
Принципы ИБ
• Безопасность как свойство, а не опция
• Цель – любое устройство, сегмент, приложение
• Эшелонированная оборона
• Независимость модулей
• Двойной контроль
• Интеграция в инфраструктуру
• Соответствие требованиям
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 58/77
Фрагмент дизайна – Интернет-периметрУровень БлокАгрегация
функций
Отказоустойчивость и резервирование
Разделениефункций
Лучшие в отрасли
Модуль
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 59/77
ПартнерWAN
WAN
Internet
Internet
E-Commerce
Ядро
Офисная сеть
ЦОД
Центр управления сетью
Cisco Virtual Office
Удаленный пользователь
Филиал / отделение
SiSi
SiSi SiSi
SiSi
SiSi
SiSi
SiSi
SiSi
SiSi
Архитектура защищенной сети
SensorBase
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 60/77
SAFE в современной сети
Data
CenterCampus
WAN
EdgeBranch
Internet
Edge
E-comm-
erce
Cisco
Teleworker
Virtual
User
Partner
Sites
Сервисы
Policy and
Device
Manageme
nt
Решения по ИБ PCI
DLP
Threat Control
Сетевые устройства Routers
Servers
Switches
Identify
Monitor
Correlate
Harden
Isolate
Enforce
Видимость Контроль
Secured Mobility, Unified Communications, Network Virtualization
Network Foundation Protection
Устройства ИБ VPNs
Monitoring
Admission Control
Intrusion Prevention
Firewall
Email Filtering
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 61/77
Вертикальные архитектурыРешение Cisco для СТО БР ИББС-1.0
Примечание! Отображена реализация не всех элементов
Сервер
процессинга
Допофис / отделение Периметр Интернет
ISRCatalyst
ASA
6500FWSM
CS-MARS
NAC
Главныйофис
6500 Switch
WAP
Интернет-банк
ASA
7200
NCM
WAP
POS-терминалМобильный
POS
Киоск
ПК
банковского
работника
Блок управления
ЦОД
ACS
WAP
Internet
Беспроводноеустройство
CSM
ASA
Процессинг
ПлатежныйсегментATM
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 62/77
Вертикальные архитектурыРешение Cisco для PCI DSS
Примечание! Отображена реализация не всех требований
Credit Card
Storage
(PCI 1,3,5,6,7)
Удаленная площадка Периметр Интернет
ISR(PCI 4)
Catalyst
ASA(PCI 1,4)
6500FWSM
CS-MARS(PCI 10)
NAC
Главныйофис
6500 Switch
WAP
E-commerce (PCI 1,3,5,6,7)
ASA(PCI 1,4)
7200
CSA MC(PCI 10,12)
WAP
POS Cash Register
(PCI 1,3,5,6,7)Мобильный
POS POS сервер
(PCI 1,3,5,6,7)
ПК
магазинного
работника
(PCI 1,3,5,6,7)
Блок управления
ЦОД
ACS(PCI 2, 10,12)
WAP
Internet
Беспроводноеустройство
CSM(PCI 10,12)
ASA
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 63/77
Вертикальные архитектурыРешение Cisco для АСУ ТП (SCADA)
Уровень 5SiSiSiSiSiSi
SiSiSiSiSiSiКорпоративная
ЛВС
LAN/WAN
Internet/
Intranet/
ТФОП/WAN
Уровень 2
Уровень 0
Уровень 1
Уровень 3
Уровень 4
DMZ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 64/77
Соответствие решений Cisco требованиям по безопасности
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 65/77
Блиц-анализ технических требований
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)Специфичные
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 66/77
Что Cisco может обеспечить?
Все (почти) технические требования мы можем выполнить
Вплоть до мандатного разграничения доступа
ПДн СТР-К КСИИPCI DSS
СТО БРИББС
На базе одних и тех же решений!
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 67/77
450+ сертификатов ФСТЭК
Сертификация одиночных образцов, партий и производства
Тесное взаимодействие с ФСБ по линии шифрования
Соответствие требованиям по ПДн, КСИИ, СТР-К, СТО БР ИББС, ISO 2700x, COBIT, ITIL, PCI DSS
Сертификация по НДВ (закладки)
Соответствие требованиям по ИБ
Сертификация по РД, ТУ, ГОСТ Р ИСО 15408, Минкомсвязь
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 68/77
Сертификация производства
МСЭ
Cisco Pix 501, 506, 515, 525, 535
Cisco FWSM
Cisco ISR 1800, 2800, 3800
Cisco ISR 1700, 2600, 3600, 3700
Cisco 7200, 7300, 7500, 7600 Router
Многофункциональные средства защиты
Cisco ASA 5510, 5520, 5540
Cisco ASA 5505
Коммутаторы
Catalyst 2960
Catalyst 2970, 3550, 3560, 45xx, 65xx
IPS
Cisco IPS 4200
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 69/77
Что еще сертифицировано?
Cisco Security Agent
Cisco IDSM
Catalyst 2950, 3560, 3750, 40xx, 60xx
Cisco GSR
Cisco MARS
Cisco Security Manager
Список всех сертифицированных продуктов можно найти на портале my.cisco.ru или сайте www.cisco.ru
© 2005 Cisco Systems, Inc. All rights reserved.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 70/77
Заключение
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 71/77
Повестка дня CISO сегодня
Учет регулятивных требований (баланс рисков выполнения/невыполнения)
Выбор стратегии защиты широкого спектра мобильных устройств и удаленного доступа
Фокус смещается на прикладной уровень
Анализ рисков «облачных вычислений»
Разработка и подписание Security SLA
Контроль исполнения Security SLA
Vendor Relations Management
Бизнес-обоснование
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 72/77
сеть – это платформа для реализации поставленных бизнес-целей защищенным образом в соответствие с требованиями регуляторов
=
NEW PHOTO
Лидер в области безопасности
39% мирового рынка ИБ,
21% российского рынка ИБ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 73/77
Дополнительная информация
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 74/77
Новые документы
Каталог продуктов по ИБ (8-е издание)
WP «Решения Cisco для защиты персональных данных»
WP «Решения Cisco для СТО БР ИББС-1.0-2008»
WP «Стратегия и архитектура Cisco в области ИБ»
WP «Информационная безопасность в условиях кризиса. Рекомендации Cisco»
FAQ по использованию шифрования в продукции Cisco
И многое другое на my.cisco.ru
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 75/77
Онлайн-ресурсы Cisco по ИБ
Cisco Security Center
http://www.cisco.com/security
PCI Compliance Advisor
http://www.pcicomplianceadvisor.com/
Security Business Advisor
http://www.securitybusinessadvisor.com/
Security Solution Designer
http://www.ciscowebtools.com/designer/
Cisco SenderBase
http://www.senderbase.org/
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 76/77
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 (495) 961-1410
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSecurity Trends 77/77