cisco securex in russia

1/40 © Cisco, 2010. Все права защищены.

Cisco SecureX Объединяет лучшие в мире технологии ИБ с требованиями российских регуляторов

Алексей Лукацкий, менеджер по развитию бизнеса

© Cisco, 2010. Все права защищены. 2/40

Смена ожиданий бизнеса


66% 45% 59% 45% 57%

Согласятся на

снижение

компенсации

(10%), если

смогут работать

из любой точки

мира

Готовы

поработать на

2-3 часа в день

больше, если

смогут сделать

это удаленно

Хотят

использовать

на работе

личные

устройства

ИТ-

специалистов

не готовы

обеспечить

бóльшую

мобильность

сотрудников

ИТ-специалистов

утверждают, что

основной задачей

при повышении

мобильности

сотрудников

является

обеспечение

безопасности


7 млрд новых беспроводных устройств к 2015 г.

50% предприятий-участников

опроса разрешают использовать личные

устройства для работы

40% заказчиков планируют внедрить

распределенные сетевые сервисы («облака»)

К 2013 г. объем рынка «облачных вычислений» составит 44,2 млрд

долларов США

“Энтузиасты совместной работы” в среднем

используют 22 средства для общения с коллегами

45% сотрудников нового поколения пользуются социальными сетями


Украденный ноутбук больницы: 14 000 историй болезни

Более 400 угроз для мобильных устройств,

к концу года – до 1000

становятся причинами появления новых угроз

Skype = возможность вторжения

Системы IM могут обходить механизмы защиты

Новые цели атак: виртуальные машины и гипервизор

Отсутствие контроля над внутренней виртуальной сетью

ведет к снижению эффективности политик безопасности


B • Защита ВКС, IP-телефонии (голос, данные)

• Удаленная и мобильная работа

• Персонал

• Защита обмена данными между учреждениями

Внутренние

• СТР-К

• ФЗ-152 о ПДн

• ФЗ-210 о госуслугах

• ПП-424, приказ ФСБ/ФСТЭК 416/489

• Указ Президента 351

Нормативные

• Кибершпионаж – в 2008 году в США зарегистрировано 18 050 нарушений безопасности (по России данных нет)

• Утечки данных и деятельность хакеров

• ГП «Информационное общество»

Внешние


B • Защита систем совместной работы ВКС, IP-телефонии (голос, данные)

• Защита обмена данными между подразделениями


• Ведомственные требования по ИБ



• Утечки данных и деятельность хакеров

• Безопасность Mobility

• Мониторинг и реагирование

• Реформа силовых ведомств

Внешние


B • Защита приложений

• Удаленная и мобильная работа

• Использование легитимной криптографии


• СТО БР ИББС


• PCI DSS

• ФЗ о НПС

• УЭК


• Дистанционное банковское обслуживание

• DDoS-атаки

• ЭЦП

• Банкоматы

Внешние


B • Агрессивные среды

• Проприетарные протоколы и закрытые разработки

• Длительный срок эксплуатации

• Проектирование без вопросов ИБ


• СТО Газпрома

• Требования ФСТЭК для КСИИ


• ISA SP99 и другие


• АСУ ТП

• Удаленный доступ для поддержки

• Сегментирование / зонирование

• Управление инцидентами

Внешние


B • Проприетарные протоколы и закрытые разработки






• NERC

• ISA SP99 и другие


• Доступность и надежность Smart Grid

• АСУ ТП

• Управление энергопотреблением

• ЦОД

• Home Energy

Внешние


B • Проприетарные протоколы и закрытые разработки






• ФЗ о коммерческой тайне


• Распределенные операции

• SCM и ERP

• Аутсорсинг

• BCP

• Защита ноухау

Внешние


B • Высокие скорости

• Профилирование поведения абонентов

• Managed Services



• ГК РФ ч.4

• ФЗ «О связи»

• СОРМ


• DDoS

• Детская порнография

• Экстремизм

• Нарушение интеллектуальной собственности

• Спам

Внешние


B • 48% нарушений безопасности: внутренние

• Копирование кредитных карт в точке продаж

• Атаки на беспроводные устройства


• Payment Card Industry Data Security Standards (PCI DSS)


• ФЗ о НПС


• Средняя стоимость нарушения безопасности: 6,7 млн долл. США

• Кража данных о кредитных картах и ПДн покупателя

• Электронная коммерция уязвима для мошенников

Внешние


B • Защищенный мобильный доступ для большого числа студентов и преподавателей

• Интернет – использование web-ресурсов как рабочего инструмента

• Вредоносное ПО • Файлообменные сети



• ГК РФ ч.4

• PCI-DSS


• Безопасность и конфиденциальность данных: Взлом: 45% случаев раскрытия данных Кража ноутбуков: 49% инцидентов

• Уязвимости

«облачных» сервисов

Внешние


B • Копирование данных

кредитных карт при расчете

• 48% нарушений безопасности: внутренние

• Незащищенные медицинские устройства способствуют атакам



• PCI DSS


• Нарушение врачебной тайны

• 169 краж данных, 3,5 млн жертв

• Доступ к сети посторонних лиц

• Безопасность Mobility

Внешние


«Заплаточный» подход к защите – нередко

в архитектуре безопасности используются

решения 20-30 поставщиков

Защита данных в «облаке»/виртуальных машин

Новые риски, вызванные использованием

пользовательских устройств

Защита периметра без границ и подключений

Несогласованные политики доступа

к проводному и беспроводному

сегментам сети


ИНФРАСТРУКТУРА

БЕЗОПАСНОСТЬ УСТРОЙСТВА

УСТРОЙСТВО

БЕЗОПАСНОСТЬ КОНТЕНТА/ДАННЫХ

БЕЗОПАСНОСТЬ СЕТИ

ЗАЩИЩЕННЫЕ СИСТЕМЫ

УПРАВЛЕНИЕ СЕТЬЮ/СИСТЕМОЙ

Управление ресурсами

Анти- вирус

Блокировка/ очистка памяти

Новые атаки Шифрование

Устройство Вычисления Хранение

ДОВЕРЕННАЯ СИСТЕМА

Сеть Физич.

уровень

Тревоги Журналы Мониторинг

Web-приложение Написание

защищенного кода Вторжение

БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЯ

Каталоги

«Облака» Мобильность Виртуализация Совместная работа

Удаленный доступ

* На основании типовых отраслевых моделей (ЦБ, SANS Institute и др.) и опросов заказчиков

= Cisco

Управление

данными

Управление

сервисами

Аудит

Политика

Идентифи-

кация

Расследование

инцидентов

Интерфейсы

API VPN МСЭ IDS / IPS

Email Web DLP Шифрование


Управление Услуги Партнеры

Интерфейсы API

Защ

ищ

енная

ви

рту

ал

иза

ци

я и

«обл

ака

»

Защ

ита

око

нечны

х

устр

ой

ств

Ко

нтр

ол

ь д

оступа

Ко

нтр

ол

ь д

оступа

Политика с учетом контекста

Управление Мониторинг Контекст

Сеть

Инфраструктура Cisco «Облако» Интеграция Аддитивность

Обеспечение выполнения политики


Масштабирование средств мониторинга сети

и средств обеспечения выполнения политик

безопасности в масштабах всей сети

Поддержка политики с учетом контекста на основании

данных об идентификации, результатов оценки

состояния, сведений о местоположении, типе

устройства и времени

Внедрение средств контроля доступа в сеть

Обеспечение сквозного шифрования взаимодействия

для защиты любого устройства, подключения или

потока данных

Поддержка глобального анализа угроз


Блокировка вредоносного

ПО

Защита легитимных

объектов

Обеспечение соответствия нормативным требованиям

Обеспечение работоспо- собности

критически важных

сервисов

Поддержка производи-тельности

и инноваций

Блокировка вредоносного

ПО

Защита легитимных

объектов

Обеспечение соответствия нормативным требованиям

Обеспечение работоспо- собности

критически важных

сервисов

Поддержка производи- тельности

и инноваций


Безопасность сети

Контроль доступа

Защищенная мобильность

Защищенные «облака» и виртуализация

Безопасность контента

Глобальный анализ угроз: SIO

• Защита от угроз

путем учета контекста

• Интеграция в сетевую

инфраструктуру

• При необходимости:

аддитивные решения

• Обеспечение

безопасности

приложений и web-

трафика с учетом

контекста

• Данные об угроза

поступают из SIO

• Правила на базе

политики с учетом

контекста

• Согласованные

политики

безопасности для

любого устройства

• Безопасность сети

и контента на основе

данных SIO

• Правила на базе

политики с учетом

контекста

• Для контроля доступа

используются политики

с учетом контекста

• Средства контроля

доступа в каждой

точке подключения

• Сеть обеспечивает

мониторинг, учет

контекста и

управление


Безопасность сети

Контроль доступа

Защищенная мобильность

Защищенные «облака» и виртуализация

Безопасность контента

ASA,

ASA для Catalyst,

VSG,

ASA с IPS,

IPS 4200,

средства

безопасности IOS

(ISR), ASR, CSM

NAC,

Identity Services

Engine,

Access Control Server,

TrustSec

ASA SSL VPN,

ASA IPSEC VPN,

адаптивная IPS для

беспроводных сетей,

Cisco Virtual Office,

AnyConnect

IronPort ESA,

IronPort WSA,

ScanSafe Web

Security

Глобальный анализ угроз: SIO


РЕШЕНИЕ CISCO

• Крупнейшая система анализа угроз и база данных, SensorBase, комплексная защита

• Глобальная корреляция, оперативные обновления, повышение точности отражения атак

• Более 700 тысяч сенсоров, 3 млрд web-запросов/день, 5 млрд сообщений/день,

телеметрия угроз оконечным устройствам

• Анализ репутации приложений (8 000 приложений в день)

ПРОБЛЕМЫ

• Быстрое изменение угроз

• Необходимость формирования

подробных инструкций по ИБ

Ограничения сигнатурного подхода

Локальные данные ограничивают возможности

по превентивной защите

Бюллетени

по устранению

угроз

Исследователи,

аналитики,

разработчики

IPS ASA ESA WSA

Операторы

связи,

партнеры,

сенсоры

Глобальная корреляция


РЕШЕНИЯ CISCO

• Политика безопасности с учетом контекста, основанная на сведениях об идентификации,

устройстве, приложении, местоположении, времени и репутации

• Гибридные решения для защиты web-трафика и электронной почты обеспечивают защиту

с учетом контекста

• Интеллектуальные средства ИБ, внедренные в сетевую инфраструктуру, обеспечивают

управление сетью

ПРОБЛЕМЫ

«Индустриализация андерграунда» – усложнение атак

Успешный обход сигнатурных решений

Хакер

Мобильный

сотрудник

Вредоносное

ПО

Интернет

Сеть

комплекса

зданий

Внутренний

злоумышленник

Вредоносное

ПО в сети

Защита контента:

IronPort ESA и WSA

Cisco ASA, IPS

и TrustSec.

Глобальный центр

анализа угроз SIO

Слабая координация действий устройства безопасности и сети


ПРОБЛЕМЫ

• Ограниченное число специалистов в филиале

• Нет унификации ИТ-инфраструктуры филиалов

• Нормативные требования

• Рост затрат

Филиалы ScanSafe

на ISR G2

VPN «сеть-сеть» (GetVPN DMVPN)

38xx

28xx

18xx

ASR

ASR

Центральный офис


• Гибкие варианты организации VPN (IPSEc, GET VPN, DMVPN, SSL, …)

практически для любого сценария

• Интегрированное решение: снижение TCO, поддержка МСЭ, IPS, ScanSafe и многого другого

• Уникальная интеграция средств обеспечения ИБ, оптимизации работы приложений в WAN,

организации WLAN и подключения к WAN для упрощения развертывания


Мобильный сотрудник + клиент

AnyConnect

Интернет

Cisco ASA

Коммутатор Cisco Catalyst

+ TrustSec

Identity Services Engine

Active Directory

Сеть комплекса

зданий

Коммутатор Cisco Nexus

Switch + TrustSec

Защищенные сетевые ресурсы

ПРОБЛЕМЫ

• Мобильным сотрудникам требуется доступ к сети и «облачным» сервисам

• На множестве пользовательских устройств используются как пользовательские, так и корпоративные профили

• Множество защищенных и незащищенных точек и методов доступа

РЕШЕНИЕ CISCO

• Единственное в отрасли решение на базе унифицированного клиента

• Решение для обеспечения защищенного доступа с учетом контекста: поддерживаются проводные, беспроводные и VPN-подключения

• Средства шифрования обеспечивают конфиденциальность передаваемых данных

(интеграция MACsec)


ПРОБЛЕМЫ

• Управление доступом: ролевая модуль и

учет данных идентификации

• Гостевой доступ

• Обеспечение выполнения политик

на любом пользовательском устройстве

• Защита конфиденциальности во всей сети


• Согласованные политики с учетом сведений об идентификации, лучшее соответствие

политик бизнес-потребностям

• Распространение политик и интеллектуальных средств по всей ИТ-инфраструктуре

• Технология SGT для масштабируемого обеспечения

выполнения политик с учетом контекста

Конечный пользователь


Identity Services Engine

Active Directory

Сеть комплекса

зданий

Защищенные сетевые ресурсы

Устройства

Точка управления политиками

(входящий трафик)

? ?

Точка управления политиками

(исходящий трафик)

Коммутатор Cisco Nexus

Network Compliance Manager

Основной диспетчер совместной работы

MACsec MACsec

Cisco ASA


Контролер WLAN Cisco

МаршрутизаторCisco


ПРОБЛЕМЫ

• Новые области, в которых не проработаны

вопросы безопасности

• Отсутствие наработанных методик

Nexus

7018

Nexus

7018

Уровень распределения ЦОД

ASA

5585-X ASA

5585-X Nexus

1000V VSG NAM

Email Web

IPS МСЭ

Консолидация Виртуализация «Облака»

Unified Computing

System

• Отсутствие средств обеспечения

согласованности и масштабирования


• Высокопроизводительные ASA и VSG, разработанные специально для ЦОД, обрабатывают

подключения существенно быстрее (прирост до 30%)

• «Облачные» сервисы защитьы электронной почты и web-трафика для обеспечения

безопасности с учетом контекста

• Унификация средств безопасности для физических и виртуальных сред: возможность

тонкой настройки политик на основе зон с учетом контекста


Большое количество регуляторов

Легитимный ввоз криптографии в соответствие

с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Собственные отраслевые стандарты

Ориентация на продукты отечественного

производства


Ввоз и использование шифровальных

средств – это два разных

законодательства

Разделение ввозимой

криптографии по длинам ключей и

сферам применения (с 01.01.2010)

Нотификации vs. ввоза по лицензии

Минпромторга (после получения разрешения ФСБ)

Cisco не только ввозит свое оборудование легально, но и

планирует запустить производство оборудования в России


Позиция регулятора (ФСБ) –

использование VPN-решений на

базе отечественных

криптоалгоритмов

Встраивания криптоядра

достаточно для прикладных систем и недостаточно для

VPN-продуктов (разъяснение ФСБ)

Важно знать, что написано в

формуляре на СКЗИ – часто явно

требуется сертификация в

ФСБ

Cisco и С-Терра СиЭсПи имеют сертификат ФСБ на целостное решение для Cisco ISR G2 и

Cisco UCS C-200

© Cisco, 2010. Все права защищены. 32/40 32

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной

платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)


500+ ФСБ НДВ 28 96

Сертификатов

ФСТЭК на

продукцию Cisco

Сертифицировала

решения Cisco

(совместно с С-

Терра СиЭсПи)

Отсутствуют в

ряде

продуктовых

линеек Cisco

Линеек

продукции

Cisco прошли

сертификацию

по схеме

«серийное

производство»

Продуктовых

линеек Cisco

сертифицированы

во ФСТЭК


Россия

Партнер #1

ПАРТНЕРЫ

СISCO

Партнер #2

Партнер #3

Kraftway Corporation PLC

&

AMT

ФСТЭК

Оборудование с

сертификатами

ФСТЭК

Оборудование без

сертификации по

требованиям

ФСТЭК Дистрибуторы

Cisco Systems,

Inc

Партнер #N

производство по

требованиям ФСТЭК

сертификационный

пакет ФСТЭК

Производство за

пределами России


ПК127 ПК3 ТК362 КЦ

АРБ

РГ

ЦБ

«Безопасность

ИТ»

(представитель

ISO SC27 в

России)

«Защита

информации в

кредитно-

финансовых

учреждениях»

«Защита

информации»

при ФСТЭК

Консультации

банков по

вопросам ПДн

Разработка

рекомендаций по

ПДн и СТО БР

ИББС v4


Антивирусный модуль от Лаборатории Касперского в Cisco ISR G2

Интеграция с MaxPatrol от Positive Technologies

Интеграция с Traffic Monitor от Infowatch

Интеграция с Дозор-Джет от Инфосистемы Джет

Антивирусный движок от Лаборатории Касперского в сервисе облачной безопасности ScanSafe

Интеграция с VPN-решениями С-Терра СиЭсПи

Поддержка Dr.Web, Лаборатории Касперского в решениях Cisco NAC Appliance

1

2

3

4

5

6

7


Полномасштабные средства мониторинга сети и сетевого управления: снижение сложности, повышение уровня защищенности

Обеспечение выполнения согласованных политик безопасности с учетом контекста в масштабах всей ИТ-инфраструктуры Уникальные «интеллектуальные» решения для обнаружения угроз следующего поколения и защиты от них Интеграция с сетевыми решениями для создания масштабируемой инфраструктуры информационной безопасности от уровня оконечных устройств до уровня ЦОД Самые современные и инновационные решения и услуги в сфере информационной безопасности – для решения любых задач организаций всех типов и размеров

1

2

3

4

5


Лидер мирового рынка сетевой безопасности. Обширное портфолио продуктов и услуг. Тесная интеграция с сетевой инфраструктурой. Архитектурный подход

Поддержка и защита самых современных ИТ. Контроль качества. Исследования в области ИБ. Обучение и сертификация специалистов. Собственное издательство Сертификация на соответствие российским требованиям по безопасности. Сертифицированная криптография. Сертификация производства. Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ Финансирование проектов по ИБ. Легитимный ввоз оборудования. Круглосуточная поддержка на русском языке. Склады запчастей по всей России. 1000+ партнеров

1

2

3

4

5


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

[email protected]

cisco securex in russia

Technology

cisco api cisco

web cisco

cisco web

trustsec cisco

mobility cisco

cisco nac appliance

cisco catalystanyconnect

csm cisco