Transcript Новые измерения информационной безопасности

Новые измерения
информационной
безопасности
Шерстобитов С.П.
Заместитель коммерческого
директора
Тенденции
• Развиваются хакеры
– Продвинутые атаки (APT – advanced persistent
threats)
– Основная цель - обогащение
• Развиваются приложения
– Приложения для WEB2.0/Enterprise2.0
– Сетевые приложения умеют обходить МЭ
• Пользователи мобилизируются
• Ресурсы видоизменяются
– Виртуализация
– Облачные сервисы
Новые измерения информационной
безопасности
Чтобы реагировать на изменения в технологиях,
традиционные средства должны обеспечивать
лучшую видимость и прозрачность
По аналогии со средствами физической защиты:
• Двери
– Понимать: кто, куда и зачем проходит
– Разъяснять и вовлекать пользователей
• Камеры наблюдения
– Понимание ситуации
– Расследования
Двери
(межсетевые экраны)
Приложения меняются, межсетевые
экраны тоже…
МСЭ расположены в
уникальном месте –
весь трафик проходит
через них, но часто
они слепы и
неэффективны
Нужны новые измерения:
Порты ≠ Приложения
IP адреса ≠ Пользователи
Пакеты ≠ Содержимое
Нужно восстанавливать способность МСЭ видеть, понимать и
контролировать происходящее на периметре
Приложения Enterprise 2.0 и риски
Top 5 Applications
That Can Hop Ports
Отчет по использованию приложений и рискам (более 1 млн.
пользователей в 723 организациях):
-
Все больше и больше enterprise 2.0 приложений используются для личных и
бизнес-задач
Туннелирование и смена портов распространяются все больше и больше
Основной вывод: у всех есть фаеровлы, у большинства IPS, прокси и URL
фильтры – но ни одна из организаций не может контролировать, какие
приложения могут присутствовать в их сети
80%
60%
96%
93%
92%
79%
85%
0%
60%
20%
79%
0%
47%
40%
20%
80%
40%
Frequency of Enterprise 2.0 Applications
100%
100%
12%
Заставить МСЭ делать свою работу
Новые требования к межсетевым
экранам
1. Определять приложения вне
зависимости от портов, протоколов,
техник обхода или SSL
2. Определять пользователей вне
зависимости от IP адресов
3. Защищать в реальном масштабе
времени от угроз, вне зависимости
от приложения
4. Тонкая настройка политики для
доступа приложений/функционала
5. Много гигабитное внедрение без
влияния на производительность
Контроль в фаерволах предыдущего
поколения
Межсетевые экраны нового поколения
•App-ID™
•Идентификация
•приложений
•User-ID™
•Идентификация
•пользователей
•Content-ID™
•Проверка контента
Page 9 |
© 2011 Palo Alto Networks. Proprietary and Confidential.
Check Point: помочь пользователям
разбираться в политике безопасности
Традиционные фаерволы и DLPсистемы:
• Доступ пользователям
запрещается без объяснения
причин
• Пользователи не могут
повлиять на результат
Подход Check Point
• Информировать пользователя
о причинах
• Дать возможность разрешить
проблему самостоятельно
Защита мобильных пользователей
Check Point Mobile Access
Blade – легкий доступ к
электронной почте и
приложениям:
• Приложение для
мобильных гаджетов
• SSL VPN Portal (для
web-приложений)
• SSL Network Extender
(для остальных
приложений)
Безопасность в мобильном измерении
Простота в использовании:
Тап по иконке
CheckPoint Mobile
Ввести логин и
пароль
Получить
безопасный доступ
к информации!
Камеры наблюдения
(понимание происходящего в сети
и расследование инцидентов)
Даже с хорошей дверью, нужно
понимать, что происходит в доме
Есть
ли
у меня
в сети
Я
хочу
лучше
понимать
Как
мне
не
бегать
Возможно ли мне и не и
Меня
беспокоит,
получаю
запакованные,
управлять
рисками,
покупать
новые
решения
Понимать
исследовать критические
ли
ябезопасности
адресные
запароленные
или
связанными
с
по
каждый
Как
мне
уменьшить
время
инциденты
так,
будто
у
происходящее,
вредоносные
программы
видоизмененные
файлы,
инсайдерами
– как
мне
раз
когда
на
рынке
расследования
Какие
инциденты
нас есть видеокамера,
и
подвержен
ли
я APT –
которые
мне
угрожают
обеспечить
прозрачность
появляются
новые
компьютерных
пропускают
мои
котораяиметь
записывает все
как
я могу
ихиразличить
могут
привести
к утечке и
и
понимание
действий
угрозы?
инцидентов?
антивирусы
IDS?
происходящее?
доказательства
проанализировать?
информации?
конечных
пользователей?
» Какие инциденты пропускают мои антивирусы и
IDS?
» Есть ли у меня в сети запакованные,
запароленные или видоизмененные файлы, которые
мне угрожают могут привести к утечке информации?
» Меня беспокоит, получаю ли я адресные
вредоносные программы и подвержен ли я APT – как
я могу их различить и проанализировать?
» Я хочу лучше понимать и управлять рисками,
связанными с инсайдерами – как мне обеспечить
прозрачность и понимание действий конечных
пользователей?
» Как мне уменьшить время расследования
компьютерных инцидентов?
» Возможно ли мне исследовать критические инциденты так,
будто у нас есть видеокамера, которая записывает все
происходящее?
» Как мне не бегать и не покупать новые решения по
безопасности каждый раз когда на рынке появляются
новые угрозы?
Знаете ли вы о том, что происходит?
Ваша реакция на инцидент:
Нас взломали. Мы не знаем как.
Мы не знаем, кто. Мы не знаем,
что украли. Мы не знаем, сколько.
… Мы ищем следы
Нас взломали. МЫ ЗНАЕМ точно,
что произошло. Знаем как, кто, что
похитили и в каком количестве.
… У нас есть доказательства и
мы уже принимаем меры
NetWitness
(входит в RSA, подразделение EMC)
Революционный подход
к сетевому мониторингу:
сбор и хранение ВСЕГО
сетевого трафика
Детальный анализ
трафика: воссоздание
сессий и глубокий
анализ содержимого на
всех уровнях
Актуальная
информация о текущей
ситуации: оперативные
оповещения и
отчетность
Знать все. Ответить на любой вопрос.
Архитектура NetWitness и потоки
данных
Аналитика:
Investigator, Informer, API
Broker:
Распределение запросов
Агрегация
диапазонов
сессий
Concentrator: Индексы и
обработка запросов
Агрегация
метаданных
Decoder: Сбор, обработка и
хранение сессий
Network span, tap, or load balancer
Аппаратная линейка NetWitness
Мобильный офис
Филиал
Дата центр
Сервис провайдер
Временный
Фиксированная емкость
Высокая производительность
Неограниченная
масштабируемость
Использование:
Реакция на
инциденты
Использование:
Филиал
Использование:
Мониторинг масштаба
страны
Услуги по мониторингу
Использование:
Мониторинг масштаба
предприятия
Оперативные
расследования
Небольшие отделы ИБ
SOC
Большие SOC
NWA1200/2400 Decoder
Бессрочное хранение
NWA50 “Eagle”
NWA200 Hybrid
NWA1200/2400 Concentrator
NWA100 Broker
NWA100 Broker
Характеристики:
•Компактный форм-фактор
•Зашифрованный /сменный
диск
• Хранилище - 2TB
Производительность
Дисковое пространство
100Mbps
1TB/день
Характеристики:
•Форм-фактор 1U
•Фиксированная емкость
•Хранилище - 8TB
250Mbps
2.5TB/день
Характеристики:
•Форм-фактор 1U / 2U
•Масштабирование в
зависимости от скорости сети
•Хранилище 12 или 24TB
•Интеграция с DAS / SAN
1Gbps
10TB/день
Характеристики:
•Форм-фактор 1U / 2U
•Масштабирование в
зависимости от скорости сети
•Хранилище 12 или 24TB
•Интеграция с DAS / SAN
10Gbps
100TB/день
40Gbps
400TB/день
BalaBit SCB: увидеть скрытое
Shell Control Box: запись действий и контроль
администраторов серверов. Поддерживаемые
протоколы:
• SSH
• Telnet
• RDP
Новое измерение в обеспечении
безопасного администрирования
Решение BalaBit SCB позволяет
• Хранить и предоставлять в удобном для
поиска виде терминальные сессии SSH и
Telenet (до 500 тыс. часов активности)
• Хранить в виде видео-файла RDP-сессии (до
нескольких недель)
• Обеспечить усиленную авторизацию доступа к
серверам (в «четыре глаза»)
• Реализовать детальный контроль доступа (кто,
когда, как, откуда имеет доступ к серверу)
И в заключение…
Новые измерения информационной
безопасности
• Пользователи, приложения, системы, а вслед
за ними и хакеры развиваются непрестанно
• Средства защиты должны обретать новые
измерения, чтобы быть впереди и
предоставлять бизнесу безопасный путь к
первенству:
– Знать пользователей и взаимодействовать с ними
– Уметь различать и контролировать приложения
– Видеть, хранить и понимать происходящее
• в сетевом трафике
• в шифрованном трафике
Вопросы?
Шерстобитов Сергей
тел: (495) 980 23 45
e-mail: [email protected]