Новые измерения информационной безопасности Новые измерения информационной безопасности Шерстобитов С.П. Заместитель коммерческого директора

Тенденции Развиваются хакеры – Продвинутые атаки (APT – advanced persistent threats) – Основная цель - обогащение Развиваются приложения – Приложения для WEB2.0/Enterprise2.0 – Сетевые приложения умеют обходить МЭ Пользователи мобилизируются Ресурсы видоизменяются – Виртуализация – Облачные сервисы

Новые измерения информационной безопасности Чтобы реагировать на изменения в технологиях, традиционные средства должны обеспечивать лучшую видимость и прозрачность По аналогии со средствами физической защиты: Двери – Понимать: кто, куда и зачем проходит – Разъяснять и вовлекать пользователей Камеры наблюдения – Понимание ситуации – Расследования

Двери (межсетевые экраны)

Приложения меняются, межсетевые экраны тоже… МСЭ расположены в уникальном месте – весь трафик проходит через них, но часто они слепы и неэффективны Нужно восстанавливать способность МСЭ видеть, понимать и контролировать происходящее на периметре Нужны новые измерения: Порты Приложения IP адреса Пользователи Пакеты Содержимое

Приложения Enterprise 2.0 и риски Отчет по использованию приложений и рискам (более 1 млн. пользователей в 723 организациях): - Все больше и больше enterprise 2.0 приложений используются для личных и бизнес-задач - Туннелирование и смена портов распространяются все больше и больше - Основной вывод: у всех есть фаеровлы, у большинства IPS, прокси и URL фильтры – но ни одна из организаций не может контролировать, какие приложения могут присутствовать в их сети

Заставить МСЭ делать свою работу Новые требования к межсетевым экранам 1. Определять приложения вне зависимости от портов, протоколов, техник обхода или SSL 2. Определять пользователей вне зависимости от IP адресов 3. Защищать в реальном масштабе времени от угроз, вне зависимости от приложения 4. Тонкая настройка политики для доступа приложений/функционала 5. Много гигабитное внедрение без влияния на производительность

Контроль в фаерволах предыдущего поколения

Межсетевые экраны нового поколения Page 9 | © 2011 Palo Alto Networks. Proprietary and Confidential. App-ID Идентификация приложений User-ID Идентификация пользователей Content-ID Проверка контента

Check Point: помочь пользователям разбираться в политике безопасности Традиционные фаерволы и DLP- системы: Доступ пользователям запрещается без объяснения причин Пользователи не могут повлиять на результат Подход Check Point Информировать пользователя о причинах Дать возможность разрешить проблему самостоятельно

Защита мобильных пользователей Check Point Mobile Access Blade – легкий доступ к электронной почте и приложениям: Приложение для мобильных гаджетов SSL VPN Portal (для web-приложений) SSL Network Extender (для остальных приложений)

Безопасность в мобильном измерении Простота в использовании: Тап по иконке CheckPoint Mobile Ввести логин и пароль Получить безопасный доступ к информации!

Камеры наблюдения (понимание происходящего в сети и расследование инцидентов)

Даже с хорошей дверью, нужно понимать, что происходит в доме » Есть ли у меня в сети запакованные, запароленные или видоизмененные файлы, которые мне угрожают могут привести к утечке информации? Какие инциденты пропускают мои антивирусы и IDS? » Меня беспокоит, получаю ли я адресные вредоносные программы и подвержен ли я APT – как я могу их различить и проанализировать? » Я хочу лучше понимать и управлять рисками, связанными с инсайдерами – как мне обеспечить прозрачность и понимание действий конечных пользователей? » Как мне уменьшить время расследования компьютерных инцидентов? » Возможно ли мне исследовать критические инциденты так, будто у нас есть видеокамера, которая записывает все происходящее? » Как мне не бегать и не покупать новые решения по безопасности каждый раз когда на рынке появляются новые угрозы? Меня беспокоит, получаю ли я адресные вредоносные программы и подвержен ли я APT – как я могу их различить и проанализировать? Я хочу лучше понимать и управлять рисками, связанными с инсайдерами – как мне обеспечить прозрачность и понимание действий конечных пользователей? Как мне уменьшить время расследования компьютерных инцидентов? Возможно ли мне исследовать критические инциденты так, будто у нас есть видеокамера, которая записывает все происходящее? Как мне не бегать и не покупать новые решения по безопасности каждый раз когда на рынке появляются новые угрозы? » Какие инциденты пропускают мои антивирусы и IDS? Есть ли у меня в сети запакованные, запароленные или видоизмененные файлы, которые мне угрожают могут привести к утечке информации? Понимать происходящее, иметь доказательства

Знаете ли вы о том, что происходит? Нас взломали. Мы не знаем как. Мы не знаем, кто. Мы не знаем, что украли. Мы не знаем, сколько. … Мы ищем следы Нас взломали. МЫ ЗНАЕМ точно, что произошло. Знаем как, кто, что похитили и в каком количестве. … У нас есть доказательства и мы уже принимаем меры Ваша реакция на инцидент:

Революционный подход к сетевому мониторингу: сбор и хранение ВСЕГО сетевого трафика Детальный анализ трафика: воссоздание сессий и глубокий анализ содержимого на всех уровнях Актуальная информация о текущей ситуации: оперативные оповещения и отчетность NetWitness (входит в RSA, подразделение EMC)

Архитектура NetWitness и потоки данных Decoder: Сбор, обработка и хранение сессий Concentrator: Индексы и обработка запросов Broker: Распределение запросов Аналитика: Investigator, Informer, API Network span, tap, or load balancer Агрегация метаданных Агрегация диапазонов сессий

Аппаратная линейка NetWitness Мобильный офис Временный Филиал Фиксированная емкость Дата центр Высокая производительность Сервис провайдер Неограниченная масштабируемость NWA200 Hybrid NWA1200/2400 Decoder NWA50 Eagle Использование: Реакция на инциденты Оперативные расследования Использование: Филиал Услуги по мониторингу Небольшие отделы ИБ Использование: Мониторинг масштаба предприятия SOC Использование: Мониторинг масштаба страны Большие SOC Бессрочное хранение 100Mbps 1TB/день 1Gbps 10TB/день 10Gbps 100TB/день 40Gbps 400TB/день Характеристики: Компактный форм-фактор Зашифрованный /сменный диск Хранилище - 2TB Характеристики: Форм-фактор 1U Фиксированная емкость Хранилище - 8TB NWA100 Broker Характеристики: Форм-фактор 1U / 2U Масштабирование в зависимости от скорости сети Хранилище 12 или 24TB Интеграция с DAS / SAN Производительность Дисковое пространство Характеристики: Форм-фактор 1U / 2U Масштабирование в зависимости от скорости сети Хранилище 12 или 24TB Интеграция с DAS / SAN NWA100 Broker NWA1200/2400 Concentrator 250Mbps 2.5TB/день

BalaBit SCB: увидеть скрытое Shell Control Box: запись действий и контроль администраторов серверов. Поддерживаемые протоколы: SSH Telnet RDP

Новое измерение в обеспечении безопасного администрирования Решение BalaBit SCB позволяет Хранить и предоставлять в удобном для поиска виде терминальные сессии SSH и Telenet (до 500 тыс. часов активности) Хранить в виде видео-файла RDP-сессии (до нескольких недель) Обеспечить усиленную авторизацию доступа к серверам (в «четыре глаза») Реализовать детальный контроль доступа (кто, когда, как, откуда имеет доступ к серверу)

И в заключение…

Новые измерения информационной безопасности Пользователи, приложения, системы, а вслед за ними и хакеры развиваются непрестанно Средства защиты должны обретать новые измерения, чтобы быть впереди и предоставлять бизнесу безопасный путь к первенству: – Знать пользователей и взаимодействовать с ними – Уметь различать и контролировать приложения – Видеть, хранить и понимать происходящее в сетевом трафике в шифрованном трафике

тел: (495) Вопросы? Шерстобитов Сергей