УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
рынок иб вчера и сегодня рекомендации и практика микротест
1. Современные тенденции на рынке ИБ.
Рекомендации и практика Микротест
Бизнес-направление информационной безопасности Департамент системной интеграции
2. О чем пойдет речь?
Услуги от «Микротест»
• «Традиционные» услуги
• «Новые» услуги
• Сертификация и аттестация
Решения от «Микротест»
• Для операторов связи
• Для ЦОД
• Для Enterprise
Опыт Микротест
О компании
2
3. Какие вопросы ИБ актуальны сегодня?
Аудиты:
• Аудит на соответствие стандартам и требованиям законодательства (№ 152-ФЗ, № 98-ФЗ, СТО БР ИББС,
КСИИ, PCI DSS, ISO 27001, ISO 22301 и др.)
• Анализ организационно-распорядительной документации
• Тестирование на проникновение (penetration testing)
• Аудит информационной безопасности ИТ-инфраструктуры
Оценка соответствия нормативным требованиям:
• Сертификация средств защиты информации
• Аттестация объектов информатизации по требованиям безопасности информации
Инфраструктурные проекты
• Обследование и аудит, проектирование, поставка, внедрение, испытания и ввод в эксплуатацию
подсистем обеспечения ИБ
• Создание ситуационных центров и SOC
Аудиты:
• Аудит на соответствие требованиям закона
«О Национальной платежной системе»
• Аудит информационной безопасности в АСУ ТП
3
4. «Традиционные» решения
Защита периметра
• Межсетевое экранирование (Firewall)
• Site2Site VPN
• Remote Access VPN
Cisco, Check Point, Juniper, ViPNet, Континент, S-Terra, Astaro/Sophos …
• Сетевые системы обнаружения и предотвращения вторжений (IDS, IPS)
Cisco IPS, Check Point, Juniper IDP/SRX, Astaro/Sophos …
• Безопасность контента: E-Mail Security, Web Security, сетевой антивирус, URL-
фильтрация
Cisco IronPort Web/E-Mail, Blue Coat, SafeNet, WebSense, Astaro/Sophos,
TrendMicro, McAfee …
• Защита от DDoS-атак на уровне сети оператора связи
Arbor Peakflow SP
5. «Традиционные» решения
Внутренняя защита и защита рабочих мест
• Антивирусные решения
Касперский, DrWeb, ESET, McAfee, Symantec, TrendMicro, Microsoft …
• Системы предотвращения вторжений на уровне системы
Код Безопасности, McAfee, Symantec, Agnitum …
• Контроль доступа в сеть
Cisco NAC/ISE, Juniper, Microsoft …
• Защита от НСД
SecretNet, Dallas Lock, сертифицированный ФСТЭК ОС Windows и Linux,
сертифицированные ФСТЭК СУБД и приложения
Общие решения
• Управление политиками ИБ
• Мониторинг и управление событиями ИБ (SIEM)
ArcSight, Qradar, IBM Tivoly (ISS), Symantec SIM …
• Анализ защищённости, Compliance
Positive Technologies MaxPatrol, Cisco NCM …
6. «Новые» решения
Решения для операторов связи
• Родительский контроль, защита детей, URL-фильтрация, категорирование сайтов,
Value Added Services
Cisco SCE + ЦАИР + VAS решения по контентной фильтрации
• Защита от DDoS-атак
Arbor Peakflow SP
Защита ЦОД
• Защита от DDoS-атак
Arbor Peakflow SP, Arbor Pravail APS
• Защита серверов приложений и баз данных
Imperva WAF и DBF
Защита периметра Enterprise и SMB
• Защита от DDoS-атак на уровне Enterprise
Arbor Pravail APS
• «Инновационная» защита периметра
Palo Alto Частные
• политики ИБ
Комплекс решений по сетевой безопасности и контролю каналов связи
Blue Coat
• Универсальное решение по сетевой безопасности, соответствующее требованиям 152-ФЗ
StoneSoft StoneGate
• Защита серверов приложений и баз данных
Imperva
7. «Новые» решения
Внутренняя защита сети
• Комплексный мониторинг трафика и угроз информационной безопасности
Arbor Pravail NSI
• Контроль за утечкой конфиденциальной информации
McAfee DLP, Symantec DLP, Infowatch
• Мониторинг действий пользователей
FalconGaze / SearchInform
Защита виртуальной среды и облачных сервисов
• Антивирусная защита и защита от атак
TrendMicro Deep Security
Частные
• ТехнологическоеИБ
политики сотрудничество VMWare и партнеров для обеспечения безопасности
виртуальных машин
VShield
8. Операторам связи и их абонентам: URL-фильтрация,
защита от вирусов, контроль контента
Архитектура и принципы работы
• Архитектура Cisco SEF (Cisco Service Exchange Framework). На
базе данной архитектуры операторы ШПД могут определять тарифные
планы с дифференциацией трафика различных приложений, а также
внедрять дополнительные услуги, такие как «Родительский Контроль»,
«Турбо-кнопка» и «Безопасный Веб-серфинг».
• Совместное решение Cisco SCE и ЦАИР (Центр анализа
Интернет-ресурсов) - фильтрация трафика путем интеграции функций
DPI на Cisco SCE с внешней базой категоризированных URL - ЦАИР.
Динамически обновляемая БД URL используется для фильтрации без
ручного вмешательства.
• Cisco SCE позволяет пересылать выбранный трафик в соответствии
с политикой безопасности для конкретного пользователя на устройства
сторонних производителей, реализующие дополнительные сервисы -
Value Added Services (VAS), например, удаление запрещённого
содержимого web-страниц, сетевые антивирус и IPS.
Услуга по фильтрации контента позволит провайдеру:
• Получить конкурентное преимущество за счет расширения
спектра предоставляемых услуг
• Увеличить ARPU (average revenue per user) за счет продажи новой
дополнительной услуги
• Выполнить требования законодательства по блокированию
доступа к запрещённым web-сайтам
9. Защита от DDoS-атак для ISP и ЦОД: Arbor Peakflow SP
Архитектура и принципы работы
• Архитектура Arbor Peakflow SP: уровень управления
и мониторинга (Peakflow CP, FS, PI, BI) и уровень
фильтрации трафика (Peakflow TMS). Информация
о трафике поступает в систему по протоколам flow-
экспорта, BGP, SNMP. Устройство Peakflow TMS стоит
в разрыве канала или «в стороне». На основании
анализа трафика и маршрутизации принимается
решение о фильтрации атаки средствами Peakflow TMS.
• Обнаружение DDoS-атак и аномалий производится
методом профилирования и анализа поведения,
а также с использованием сигнатур ATLAS.
• Для подавления атак используется множество настраиваемых шаблонов, которые позволяют фильтровать
трафик по установленным профилям и по широкому спектру критериев.
• Полный мониторинг трафика и маршрутизации в сети провайдера, широкие возможности по генерации отчётов
• Имеется возможность осуществлять URL-фильтрацию трафика абонентов по предопределённому
«черному списку» URL (не требуется отдельно использовать решение DPI)
• Самая большая в мире и постоянно актуализируемая база знаний по видам DDoS-атак и ботнет-сетям
(ATLAS) и команда профессионалов (ASERT), данные поступают и обрабатываются от множества
операторов связи по всему миру
Услуга по защите от DDoS-атак позволит провайдеру:
• Получить конкурентное преимущество за счет расширения спектра предоставляемых услуг
• Повысить репутацию надежного поставщика услуг связи с широким спектром услуг
• Приобрести дополнительных клиентов, для которых услуга защиты от DDoS-атак является актуальной
• Выполнить требования законодательства по блокированию доступа к запрещённым web-сайтам
10. Защита от DDoS-атак для Enterprise и ЦОД:
Arbor Pravail APS
Функциональные возможности
• Мониторинг сетевого трафика с целью
обнаружения аномалий и DDoS-атак
• Визуализация атак в режиме реального времени
• Предоставление подробных данных
о характере атак и возможных способах их
подавления, расследование инцидентов
• Подавление DDoS-атак в ручном или
автоматическом режиме
Ключевые особенности
• Защита от новых, активно развивающихся DDoS-атак уровня приложений,
благодаря инспекции пакетов до 7-го уровня модели OSI
• Автоматическое обнаружение и защита от DDoS-атак практически без участия оператора
• Простота установки и настройки – решение готово к работе сразу же, с минимальными усилиями
пользователя по настройке – так называемая защита «из коробки» ("Out-of-the-box")
• Возможность обработки от 500Мб/сек до 10Гб/сек сетевого трафика, в зависимости от модели
и типа установленной лицензии
• Самая большая в мире и постоянно актуализируемая база знаний по видам DDoS-атак и ботнет-сетям
(ATLAS) и команда профессионалов (ASERT), данные поступают и обрабатываются от множества
операторов связи по всему миру
Для кого?
• Центры обработки данных
• Банки, авиакомпании, Интернет-магазины, торговые площадки, СМИ
• Все организации, для которых бесперебойная работа Интернет-ресурса критична для деятельности
11. Защита приложений и БД: Imperva
Функции
• Комплексное решение для защиты web-, СУБД и файловых серверов
• Анализ защищенности (сетевой и системный сканер)
• Compliance (PCI DSS, СТО БР и т.д.)
Особенности
• Режим In-Line или Traffic Mirror
• Корреляция событий
• Динамическое профилирование
• Виртуальный “патчинг”
• Идентификация пользователей
в 3-х звенной архитектуре
• Анализ консольных и telnet/SSH
запросов к БД
• Защита от внутреннего и внешнего
нарушителя
• Защита данных, а не хоста
Для кого?
• Интернет-магазины, авиакомпании, аукционы
• Банки с ДБО, банки без ДБО, финансовые организации
• Популярные web-проекты
• Крупные предприятия, эксплуатирующие базы данных и web-приложения (ERP, CRM)
12. Защита приложений и БД: Imperva
Аудит
Защита от атак
использования
Виртуальные Управление
обновления правами
Контроль по Контроль доступа,
репутации защита от НСД
Результат?
• Минимизация рисков атак на базы данных и web-порталы, возможного ущерба
• Контроль и мониторинг действий пользователей и администраторов
13. Высокоэффективная доставка приложений: Palo Alto
Internet
Firewall нового поколения
• Все функции в одной платформе: Firewall, Site-to-site VPN, SSL VPN, IPS, AV, Proxy, Web Security, URL
filtering, контроль IM, DLP
• Идентификация приложений вне зависимости от используемых протоколов и способов маскировки
• Различные механизмы идентификации и аутентификации пользователей, интеграция с MS AD и DHCP
• Гранулированное управление контентом и полосой пропускания
• Работа в режиме L2 или L3, возможность использования в архитектуре Cisco SEF
Частные
• Аппаратная реализация значительной части логики, высокая производительность, различные модели
политики ИБ
Результат: Требования
• Полный спектр функций современного многофункционального шлюза безопасности в одном устройстве
к процедурам ИБ
• Эффективное управление использованием Интернет-канала, гранулированный контроль
пользователей и приложений
• Подавление различных атак, снижение рисков ущерба ИТ-инфраструктуре, репутационных рисков
14. Высокоэффективная доставка приложений: Palo Alto
ИДЕНТИФИКАЦИЯ КАТЕГОРИЗАЦИЯ КОНТРОЛЬ
• по приложениям, а не по • по приложениям • Приоритизация приложений по правилам политики
портам и протоколам • по типу приложений • Управление приложениями по правилам политики
• по пользователям • по получателям • Блокировка приложений по правилам политики
и группам, а не по IP • по контенту • Обнаружение и блокировка вредоносного ПО
• путем анализа контента, • по пользователям и группам • Обнаружение и предотвращение попыток вторжения
а не по имени файла
Хаос приложений. Пользователи/
Их так много группы ПОЛИТИКА
на порту 80
Palo Alto
Частные
политики ИБ
Свидетельства деятельности Viruses Spyware
по обеспечению ИБ
Worms Botnets
15. Корпоративная безопасность и оптимизация
от BlueCoat – единое гибридное решение
Reporter
WebPulse Proxy AV DLP Traffic Shaper Optimization
Bandwidth Mgmt
+ все Icap DPI Protocol Optimiz.
Kaspersky (Infowatch, Layer7+ Caching/Acceler.
Sophos McAfee, Stream Splitting
ProxyClient
McAfee Symantec)
Panda
TrendMicro
WebFilter
Политики Производительность Аутентификация Единая точка контроля
ProxySG Director
16. StoneSoft
Особенности
• Оптимальное решение для защиты
персональных данных и АС 1Г
• «Всё в одном» - МЭ, IPS, VPN, AV
• Сертификация ФСТЭК и ФСБ
для всех компонентов
• Сертификация по контролю
отсутствия НДВ
Функции
• Site-to-site и Remote Access VPN
• SSL VPN на отдельном устройстве
• Кластеризация FW и SSL VPN
в режиме балансировки нагрузки
• Резервирование каналов связи
с балансировкой нагрузки (MultiLink)
• Поддержка 3G, ADSL, WiFi в младших моделях
• Аутентификация пользователей
по одноразовым паролям (e-mail, SMS)
• Отдельный сервер централизованной аутентификации SG Authentication Server
17. Мобильный защищённый доступ: StoneGate SSL VPN
Особенности
• Защищённое подключение к корпоративной сети с использованием Web-браузера и протокола HTTPS
• Не нужно устанавливать на компьютер VPN-клиент
• Можно обойтись без прав администратора на компьютере
• Любая операционная система и любое устройство: ноутбуки, планшеты, коммуникаторы,
телефоны, тонкие клиенты
• Протокол https разрешён у всех Интернет-провайдеров в любой точке мира
• Интеграция с различными технологиями аутентификации – токенами, сертификатами,
одноразовыми паролями и т.п.
Задачи
• Защищённый мобильный
удалённый доступ
к корпоративной сети
• Защита ПДн до
1 класса включительно
18. StoneSoft
Сертификация межсетевых экранов StoneGate FW
• ФСТЭК как межсетевой экран по 2 классу защиты
• ФСТЭК по контролю отсутствия НДВ (4 уровень контроля)
• ФСТЭК на ТУ: единый комплекс, включающий IPS, AV, SMC, VPN Client
• ФСБ на СКЗИ класса КС1 и КС2 – до конца 2012 г.
• Сертифицировано производство (а не партия!)
Сертификация StoneGate IPS
• ФСТЭК на ТУ с описанием функций систем обнаружения вторжений
• ФСТЭК как межсетевой экран по 3 классу защиты
• ФСТЭК по контролю отсутствия НДВ (4 уровень контроля)
• Сертифицировано производство (а не партия!)
Сертификация StoneGate SSL VPN
• ФСТЭК как межсетевой экран по 3 классу защиты
• ФСТЭК по контролю отсутствия НДВ (4 уровень контроля)
• ФСБ на СКЗИ класса КС1 и КС2
• Сертифицировано производство (а не партия!)
Единственный западный вендор в данном классе решений, который прошел
сертификацию ФСТЭК по контролю отсутствия НДВ и сертификацию ФСБ
19. Мониторинг трафика и угроз ИБ:
Arbor Pravail NSI (Peakflow X)
Функциональные возможности
• Мониторинг характера и эффективности
использования сетевого трафика
• Мониторинг трафика с точки зрения ИБ
• Мониторинг и картина для всей сети, сбор
информации: traffic mirror и flow-экспорт
• Корреляция и анализ сетевого трафика на
предмет выявления аномалий, подозрительной
или несанкционированной сетевой активности
(участие в botnet-сетях, обращение к фишинговым
или другим нежелательным серверам и т.д.)
• Сигнатурный анализ на предмет соответствия
правилам ATF, постоянно обновляемым
и актуализируемым лабораторией ASERT
• Обработка и представление информации
о характере использования и объемах
сетевого трафика внутри организации
Частные
Результат: политики ИБ
• МониторингТребования
всей сети
• Подробнаяпроцедурам ИБ трафику в сети
к информация по
• Расследование инцидентов
• Обнаружение несанкционированных и скрытых действий, аномалий, нарушений ИТ- и ИБ- политик
• Инструмент как для ИТ-, так и для ИБ- служб
20. Мониторинг действий пользователей:
FalconGaze / SearchInform
Сообщения электронной почты, Перемещение файлов по сети,
включая вложения на общих корпоративных ресурсах
Сообщения в ICQ, MSN, Mail.Ru Файлы, перемещаемые
Агент, Miranda, QIP Infium, Google на рабочее место
Talk и других мессенджерах
Голосовые сообщения, Контроль ноутбуков и
мессенджер, sms и звонки мобильных устройств
в программе Skype (полный функционал)
Сообщения в чатах, блогах, форумах, Файлы, выводимые
социальных сетях, передаваемые на экран (cкриншоты)
файлы, загружаемые страницы
Внешние устройства (USB-устройства, Файлы, передаваемые по FTP
съёмные носители), CD/DVD
Файлы, выводимые
на печать
21. DLP (McAfee / Symantec / InfoWatch)
Источники Действия Применяемая
данных пользователя политика
Шифровать
Копировать
Сохраненные на устройство
Feedback
Записать
на диск
Отслеживать
Используемые Вырезать,
копировать,
вставить Блокировка
Печать
Карантин
При передаче
данных Выгрузить
Переадресация
22. Защита виртуальной инфраструктуры:
Trend Micro Deep Security
Антивирус
Межсетевой экран
Глубокий пакетный
анализ (DPI)
Virtual IDS / IPS на ОС Агент
Appliance Защита Web-приложений
Контроль приложений
Анализ Контроль
событий целостности
• «Trend Micro Enterprise Security 10.0» (включая Deep Security 7.0) сертифицирован
по требованиям безопасности информации на соответствие техническим условиям (ТУ)
и на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля.
• Пакет продуктов Trend Micro может быть использован при построении АС класса
защищенности до 1Г включительно и подходит для построения информационных систем
персональных данных (ИСПДн) до 1 класса включительно
24. Опыт Микротест
Опыт
• На рынке ИБ свыше 10 лет
• Реализовано более 100 проектов в области ИБ из них не менее 20 по аудиту и №152-ФЗ
Поддержка
• Сервисный центр
• Круглосуточная поддержка
• Услуги аутсорсинга
• Регионально-распределённый учебный центр
Этическая чистота при проведении аудита
• Сертификационный аудит (ISO27k, PCI DSS) проводится независимым партнером, за счет чего
обеспечивается независимая оценка качества выполненных работ
Экспертиза
• Специалисты по проведению тестов на проникновение (White hacking)
• Юристы
• Сертифицированные специалисты (CISA, CISSP,
CISM, CCIE Security, JNCIS-FW, JNCIA-IDP и т.п.)
25. Заказчики Микротест
Промышленность Финансы и страхование Государственные
• General Motors • Raiffeisen Bank учреждения
• Toyota Motors • BSGV • МЧС
• VOLVO • ABN-AMRO • Министерство Транспорта
• Coca Cola • City Bank • Министерство Внутренних Дел
• Oriflame • Банк России • Прокуратура РФ
• GlaxoSmithKline • Внешторгбанк • Федеральная Служба Исполнения
• КАМАЗ • Промсвязьбанк Наказаний
• Объединенная Авиастроительная • Россельхозбанк • Пенсионный Фонд РФ
Корпорация • Сибакадембанк • Администрация ХМАО
• Корпорация «Тактическое • РОСНО • Администрация Екатеринбурга
ракетное вооружение»
• Прогресс-гарант
• НБД-Банк
• СК Макс
ТЭК Транспорт Операторы связи Торговые компании
• Газпром • Российские Железные • Транстелеком • Азбука Вкуса
• Газпромнефть
Дороги • Мегафон • Le Future
• ЛУКОЙЛ
• Трансконтейнер • Вымпелком • Рольф
• ТНК-ВР
• Мострансавто • Sky Link • Красный Куб
• Салым Петролеум
• Метрополитен • Уралсвязьинформ • Кенгуру
Екатеринбург
• ЕСО ЦДУ • Аэропорт • Южная Телеком- • Фамилия
• Таманьнефтегаз Шереметьево муникационная
компания
• РТКом
• Петерстар
26. СПАСИБО ЗА ВНИМАНИЕ!
Илья Яблонко, CISSP,
заместитель руководителя направления ИБ
Микротест
iyablonko@microtest.ru
+7 965 545 09 66
+7 495 787-20-58
info@microtest.ru