Главная

 

          Cisco ISE – платформа следующего поколения для управления контроля доступа и идентификации. Позволяет организациям обеспечить соблюдение нормативных требований, при этом повысив уровень защищенности корпоративной ИТ-инфраструктуры и упростить управление работой сетевых сервисов. В режиме реального времени платформа получает контекстную информацию о устройствах в сети и принимает решение о предоставлении доступа на основе единых политик доступа, как для проводных, так и для беспроводных сегментов сети решает допускать устройство или нет.

         В рамках единой платформы Cisco ISE предоставляет высокопроизводительное и гибкое решение, предоставляющее сервисы аутентификации и учета, контроля доступа с учетом контекста, профилирование, оценку состояния и управление гостевым доступом. Администраторы будут иметь полную осведомленность о устройствах, находящихся в сети, при этом управляя политиками доступа к сети. Платформа ISE способна автоматически отслеживать оконечные устройства, прим этом классифицируя их и обеспечивая соответствие оконечных устройств, путем оценки их состояния защищенности перед предоставлением доступа к корпоративной ИТ-инфраструктуре.

 

ВОЗМОЖНОСТИ

 

         Cisco Identity Service Engine предоставляет следующие возможности:

 

• Внедрение средств аутентификации и авторизации пользователей и устройств, подключенных к беспроводным сетям и сетям VPN, обеспечивая соблюдение согласованной политики в масштабах всего предприятия
• Защита корпоративных активов и предотвращение несанкционированного доступа к сети
• Управление гостевым доступом
• Поддержка настраиваемых порталов и возможность публикации web-страниц для упрощения работы пользователей
• Обеспечение полномасштабного мониторинга
• Устранение уязвимостей на компьютерах пользователей путем проверки и корректировки их состояния, что позволяет нейтрализовать вирусы, черви и шпионские программы
• Соблюдение политик безопасности за счет блокировки и изоляции несоответствующих устройств, а также их обновление без привлечения администратора
• Поддержка встроенной консоли мониторинга, отчетности и устранения неполадок для упрощения работы специалистов службы поддержки и администраторов
• Активное сканирование устройств для повышения точности профилирования
• Управление доступом оконечных устройств к сети с помощью сервиса защиты оконечных устройств (EPS).

ПРЕИМУЩЕСТВА

 

         Cisco Identity Service Engine – это платформа предоставляющая ряд серьезных преимуществ:

 

• Развёртывание сложных, индивидуализированных политик доступа
• Снижение операционных расходов
• Уменьшение перебоев в работе сети и сокращение времени простоя
• Обеспечение соответствия нормативным требованиям

 

ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ

 

Для активации сервисов на платформе Cisco ISE требуется лицензия, их существует три типа:

• ISE BASE – используется для активации базовых сервисов, таких как: сервисы аутентификации, авторизации, гостевого доступа, мониторинга и устранения неполадок.
• ISE ADVANCED - Используется для активации расширенных сервисов, таких как оценка состояния оконечного узла, сервис профилирования, поддержки SGA и EPS. Для установки лицензии ISE ADVANCED требуется лицензия ISE BASE.
• ISE WIRELESS - Позволяет активировать все сервисы ISE, но только для устройств, подключенных к беспроводной сети.

         Существуют два варианта реализации устройств: аппаратные и виртуальные.

 

         Виртуальные устройства поддерживаются в VMware ESX/ESXi 4.x. Минимальные требования к виртуальной машине – это объем оперативной памяти не менее 4 Гбайт и не менее 200 Гбайт пространства на жестком диске.

 

Функция ISE	Cisco Express Bundle	Стандартная лицензия
Веб-аутентификация (локальная, центральная, регистрация устройства)	Да	Да
Гостевой портал и спонсорские услуги	Да	Да
API передачи (мониторинга) представительного состояния	Да	Да
Лицензия на ISE VM включена	Да	Да
Максимальное количество узлов на развертывание	1	50
Максимальные конечные точки на развертывание	5000	50000
Администрирование устройства (TACACS +)	Нет	Да
Cisco pxGrid	Нет	Да
Интеграция управления мобильностью предприятия и управления мобильными устройствами (EMM и MDM)	Нет	Да
Регистрация устройства (портал My Devices) и подготовка к работе ( для BYOD)	Нет	Да

Доля оконечного оборудования в любой современной мультимедийной сети составляет более 95% от общего числа сетевых устройств, и именно эти устройства в основном, являются конечной мишенью атак информационной безопасности. Хранение на них приватной информации (персональные данные, рабочие документы) с одной стороны, и фактическое ослабление контроля со стороны администраторов за поддержанием должного уровня защищенности – с другой - в комплексе, создают «питательную среду» для жизнедеятельности вредоносного ПО. Программное обеспечение FortiClient представляет собой продукт по обеспечению безопасности оконечных устройств (endpoints). Данный программный комплекс сочетает в себе мощное решение для обеспечения безопасности и простоту в использовании. При этом жесткие требования к ресурсам отсутствуют, и программа может быть установлена на устройство с минимальной производительностью. Для внедрения FortiClient нет никакой необходимости удалять другие приложения, борющиеся с вредоносным ПО, так как они будут все работать в комплексе.   Инструмент может использоваться на сервере управления (EMS) для обеспечения централизованного управления Endpoint-защиту, а также работать как самостоятельное решение, обеспечивая качественную защиту. Что представляет из себя FortiClient С точки зрения пользователя, FortiClient – это программа, устанавливаемая на компьютер, сервер или смартфон. Она предназначена для обеспечения защиты от широкого спектра угроз информационной безопасности. Помимо традиционных средств защиты имеется также ряд дополнительных возможностей, среди которых: VPN-клиент, система фильтрации веб-контента, контроль приложений, что заметно повышает надежность системы. [caption id="attachment_1369" align="aligncenter" width="300"] Веб-фильтр[/caption] Программное обеспечение FortiClient предназначено для защиты компьютеров и ноутбуков с ОС Windows, MacOSX, Linux, Ubuntu, Red Hat, CentOS, а также имеет версии для мобильных устройств и планшетов на базе операционных систем Android и iOS. Данные версии являются бесплатными и предоставляют базовую защиты от уязвимостей без ограничений. Версия для iOS ограничена функциями веб-фильтрации и клиента VPN, так считается, что Apple обеспечивает достаточную защиту от прочих угроз силами самой iOS. [caption id="attachment_1368" align="aligncenter" width="300"] Статистика блокируемых ресурсов[/caption] Однако для корпоративных пользователей необходимо приобрести FortiClient Enterprise Management Server (EMS), который имеет многоуровневые настройки обслуживания как абонентских, так и сетевых служебных устройств. Функциональные возможности FortiClient предназначен для обеспечения всесторонней защиты конечных точек (end points) от различных видов угроз. [caption id="attachment_1367" align="aligncenter" width="300"] Категории веб-фильтрации с обновлением в реальном времени[/caption] Защита от вредоносных программ обеспечивается за счет антивирусного ядра, который был разработан компанией Fortinet. Антивирусная защита осуществляется работой антивирусного монитора. Есть возможность создания расписания для проверки. [caption id="attachment_1366" align="aligncenter" width="300"] Результаты сканирования уязвимостей на компьютере Windows[/caption] Также FortiClient обеспечивает антивирусную проверку почтового трафика по протоколам POP3 и SMTP. Кроме этого в программе реализовано эвристическое сканирование и функция определения интернет-червей. В программе существует карантин, в который помещаются все подозрительные объекты (включается в настройках). Пользователь может посмотреть их в любой момент, отправить разработчикам для тестирования или сообщить о ложном срабатывании или добавить данный файл и/или папку в исключение для проверки их антивирусом. [caption id="attachment_1365" align="aligncenter" width="300"] Статистика попыток исполнения злонамеренного кода (Malware)[/caption] В FortiClient реализован персональный межсетевой экран, который обеспечивает защиту компьютера от сетевых атак и несанкционированных подключений. Существует возможность создания произвольного количества сетевых зон и их подразделения на несколько типов с определением отдельных правил для каждого типа. Для детектирования и блокировки сетевых атак, в файрволле есть система обнаружения вторжений (IPS). VPN-клиент является одной из ключевых особенностей FortiClient. С его помощью можно подключаться к корпоративным сервисам с использованием технологий IPSec и SSL. FortiClient обеспечивает защищенную виртуальную частную сеть с шифрованием, и поддержку нескольких шлюзов для одного туннеля. [caption id="attachment_1361" align="aligncenter" width="480"] Настройки Forticlient для Android[/caption] В данном продукте есть система блокировки спама, которая не требует никакой настройки, так как данный антиспам работает на основе подготовленных разработчиками правил, которые регулярно обновляются. Веб-фильтрация позволяет выборочно блокировать и мониторить веб-траффик на основе категорий интернет-сайтов. Позволяет настраивать опции безопасного поиска и списка исключений, а также предоставляет облачный рейтинг URL. [caption id="attachment_1364" align="aligncenter" width="561"] Настройки Forticlient для Apple iOS. Отсутствует все, кроме веб-фильтрации[/caption] WAN-оптимизация. Функция, которая реализована в FortiClient и оптимизирует WAN-соединения, что ускоряет работу различных сетевых приложений. Данная функция работает, когда доступ к WAN осуществляется через устройство Fortigate. [caption id="attachment_1362" align="aligncenter" width="300"] Настройки антивирусной защиты[/caption] Централизованное управление FortiManager позволяет управлять всеми политиками безопасности, что необходимо в корпоративных информационных системах. Для реализации используется продукт FortiManager. Он позволяет управлять программными и аппаратно-программными средствами защиты. FortiClient ведет подробный журнал своей работы, который можно посмотреть с помощью консоли управления. Кроме того, можно воспользоваться FortiAnalyzer, который позволит собирать информацию со всех средств защиты Fortinet, работающих в сети. Вывод данной информации происходит в удобном для просмотра виде. FortiClient Enterprise Management Server FortiClient Enterprise Management Server (EMS) – это решение, ориентированное на корпоративных пользователей и обладает несколько большим функционалом в отличии от бесплатной версии. Отличия от бесплатной версии: централизованное управление при наличии FortiManager, централизованный просмотр логов и генерации отчетов при наличии FortiAnalyzer, WAN-оптимизация при наличии FortiGate, техническая поддержка и частота обновлений баз данных (1 час у платной/ 1 день у бесплатной версии) Для того, чтобы функции EMS были реализован в полной мере необходима интеграция с другими продуктами Fortinet: FortiGate, FortiManager, FortiAnalyzer. Управление данным сетевым оборудованием производится с помощью FortiOS и обеспечивает безопасность в сети организации. FortiOS – это специализированная операционная система, которая является программной основой FortiGate и устанавливается на линейку сетевого оборудования Fortinet. Эта операционная система предлагает набор функций, позволяющий обеспечить безопасность в сети. Интеграция Компонент FortiClient изначально интегрирован с FortiSandbox. FortiClient автоматически отправляет файлы в «песочницу» для анализа в режиме реального времени. Данные об угрозах в режиме реального времени мгновенно распространяются по всей сети предприятия. FortiClient делится телеметрическими данными конечных точек с корпоративными межсетевыми экранами (МЭ) FortiGate для обеспечения соответствия требованиям безопасности конечных точек. Данные телеметрии повышают рейтинг безопасности. Централизованное управление FortiGate + EMS осуществляет регистрацию, проверку соответствия и оповещения новых конечных точек. Позволяет развернуть FortiClient с подготовленным профилем на конечной точки, проводить мониторинг узлов. Интеграция с FortiAnalyzer/FortiManager/FortiSIEM Вместе с телеметрией конечных точек FortiClient отправляет свои журналы событий, в том числе данные об уязвимостях, трафике и событиях, с центр управления сетью и центр управления безопасности для экспертного анализа угроз. FortiAnalyzer предоставляет сводки по узлам, по угрозам, отчеты антивируса, веб-фильтра, угрозы по времени, угрозы по устройству/пользователю, отчеты по VPN. Интеграция с FortiAuthenticator обеспечивает безопасный вход и двухфакторную проверку подлинности. Таким образом, FortiClient является одним из лучших решений для защиты конечных устройств от продвинутых атак, сочетая в себе простоту и надежность:

• Доступен для множества ОС таких как Windows, Linux, iOS, Android и др.
• Выявление и подавление продвинутых угроз
• Масштабируемое централизованное управление
• Интеграция с другими сетевыми устройствами Fortinet

 

Cisco AMP: Платформа для борьбы с вредоносным кодом Развитие киберпреступности в мировой информационной среде происходит параллельно с развитием технологий создания вредоносного программного обеспечения (ВПО). На сегодняшний день, ранее неплохо показавшая себя концепция сигнатурного анализа уже не обеспечивает должной степени защищенности (скорости и качества обнаружения угроз). Широкая распространенность бесфайлового вредоносного ПО, использующего уязвимости программ, также затруднила использование традиционных методов анализа угроз. В центре внимания – анализ угроз! Жизненный цикл атаки имеет три стадии и важно обеспечить комплексную защиту в каждой из них

• До атаки (исследование, внедрение политик, укрепление)
• Во время атаки (обнаружение, блокирование, защита)
• После атаки (локализация, изолирование, восстановление)

Что известно о вредоносном ПО?

• Это сложные программные продукты, разработанные квалифицированными программистами.
• Имеют высокий уровень доработки.
• Внедрение одного модуля вредоносного ПО приведет к внедрению других уникальных модулей.
• Развитая индустрия создания вредоносного ПО с большими бюджетами и высокой заинтересованностью.
• Лучшие методы разработки и отладки.

  Cisco Advanced Malware Protection (AMP): обзор и детали             Программное обеспечение Cisco Advanced Malware Protection (AMP) предназначено для предотвращения атак на всем их жизненном цикле. АМР проводит точечное обнаружение, проверяя репутацию файла и анализируя его поведение, а также обеспечивает ретроспективную безопасность для непрерывной защиты. Сisco AMP имеет следующие основные преимущества:

• Защита на всех стадиях жизненного цикла атаки (до атаки, во время атаки, после атаки)
• Защита на нескольких рубежах (сеть, хосты, контент)
• Различные механизмы обнаружения (точечное, ретроспективная безопасность)

Cisco AMP обеспечивает полную защиту среды

• Защита сетей. Сетевая платформа использует индикаторы компрометации, анализ файлов и траекторию файла, чтобы показать перемещение вредоносного файла по сети и кого он успевает заразить. Реализуется как отдельное устройство или включением AMP на устройствах FirePower или ISR G2/4k. Идеально подходит для пользователей NGIPS/NGFW и ISR.
• Защита оконечных устройств. Платформа для оконечных устройств показывает траекторию и обеспечивает гибкий поиск и контроль атак. Устанавливается на стационарные и мобильные устройства, включая виртуальные. Подходит для Windows, Mac, Android, VM.
• Защита Web и Email. Платформа для средств конечной фильтрации обеспечивает гибкий поиск и контроль атак в почтовом и web-трафике. Подходит для пользователей решений Cisco для защиты электронной почты и обеспечения безопасности веб-трафика.

  Cisco Advanced Malware Protection (AMP): детали Cisco AMP защищает с помощью репутационной фильтрации и анализа поведения файла.   Фильтрация по репутации основывается на трех функциях:

1. Идентичная сигнатура.

Сначала сигнатура неизвестного файла анализируется и отправляется в облако. Если известно, что сигнатура файла является вредоносной, то ей запрещается доступ в систему. Если доступ в систему пытается получить модификация того же файла, то при сравнении сигнатур они оказываются аналогичными и доступ в систему так же запрещается.

2. Нечеткие идентифицирующие метки

Метаданные неизвестного файла отправляется в облако для анализа и если они признаются потенциально опасными, то файл сравнивается с известным вредоносным ПО и подтверждается как вредоносный. Если метаданные аналогичны известному безопасному файлу, то файл подтверждается как безопасный.

3. Машинное обучение.

Неизвестный файл проанализирован и обнаружены признаки саморазмножения. Эти данные передаются в облако. Об этих действиях сообщается пользователю для идентификации файла как потенциально вредоносного. Машинное обучение автоматизирует классификацию файлов на основе общих сложных признаков, а также позволяет находить и классифицировать то, что не под силу человеку, из-за возможности анализа больших объемов данных.             Поведенческое обнаружение основывается на четырех функциях:

1. Признаки вторжения.

Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде.

2. Динамический анализ

Проводится анализ файла на основе информации о неопознанном ПО от устройств фильтрации по репутации и на основе контекста для неизвестного ПО на основе коллективной пользовательской базы. Если было идентифицировано вредоносное ПО, то оно добавляется в новую сигнатуру в пользовательской базе.

3. Расширенная аналитика

Сопоставляет потоки устройств и производит мониторинг источника и приемника, входящего/исходящего трафика в сети. При обнаружении неизвестного файла, связанного с определенным IP-адресом, то проводиться проверка внешнего IP-адреса. Если IP-адрес подтвержден как вредоносный, то файлы от него будут идентифицироваться как вредоносные.

4. Сопоставление потоков устройств

Мониторятся внутренние и внешние сети, обновляются данные по репутации IP-адресов. Позволяет блокировать или предупреждать о любых сетевых действиях.   Cisco AMP обеспечивает ретроспективную защиту Ретроспективная защита имеет следующие функции:

1. Ретроспективное отслеживание событий

Ретроспективная защита основана на анализе при первом обнаружении файлов и дальнейшем анализе файла, чтобы видеть изменение ситуации. Обеспечивает контроль пути, действий или связей конкретного элемента ПО.

2. Создание цепочек атак

Анализирует данные, собранные ретроспекцией файлов, процессов и связи для обеспечения нового уровня интеллектуальных средств мониторинга угроз. С помощью связывания цепочки атак Cisco AMP способна распознать шаблоны и действия указанного файла и идентифицировать действия, производя поиск в среде.

3. Поведенческие признаки вторжения

Анализ поведения неизвестного файла, изучение его траектории, способом распространения, входной точки и затронутых систем.             Аналитики изолированной зоны переделяют что файл вредоносный и уведомляют все устройства.

4. Траектория

Запись траектории перемещения файла на устройстве и запись основной причины, происхождения и действия файла в системе. Эти данные позволяют указать точную причину и масштаб вторжения на устройство.

5. Поиск нарушений

Позволяет производить быстрый поиск поведения неизвестного файла, давая возможность определить вредоносные файлы. Работает поиск нарушений с помощью использования индикаторов, для мониторинга и поиска конкретного поведения в среде. Варианты реализации Cisco AMP Вариант реагирования на обнаруженный вредоносный код зависит от варианта реализации Cisco AMP:  

• AMP for Endpoints

Режим аудита- разрешить запускать вредоносный код

Пассивный режим- не ждать ответа из облака и запускать вредоносный код (блокировать после)

Активный режим- ждать ответа из облака, не запуская файл

• AMP for Content Security

Пропустить, заблокировать или поместить в карантин

 

• AMP for Networks

Пропустить, заблокировать или сохранить вредоносный код

    Расследование и реагирование на инциденты с помощью Cisco AMP Файлы, передаваемые по сети, можно захватывать и сохранять для дальнейшего анализа. Можно посмотреть полную информацию о вредоносном коде. Помимо анализа уязвимостей, в AMP for Endpoints реализован механизм анализа уязвимого ПО на узлах (оконечных устройствах). Ретроспективный анализ файлов позволяет определить какие системы были инфицированы, кто был инфицирован, когда и почему это произошло. Помимо этого, можно узнать, что было отправной точкой заражения. Ретроспективный анализ процессов позволяет определить, как угроза попала на узел, что происходит на узле, как угроза взаимодействует с внешними узлами и какова последовательность событий. Есть возможность ручного анализа, так как нередко возникает необходимость проанализировать файлы на различных носителях, а также проводить более глубокий анализ вредоносных программ.   Cisco AMP Threat Grid Cisco AMP Threat Grid – это платформа для глубокого анализа вредоносного кода. Позволяет проводить детальный анализ вредоносного ПО и использовать типовые сценарии, интегрировать и автоматизировать механизмы обеспечения безопасности. Развернуть Cisco AMP Threat Grid можно вне облака, а на территории заказчика, что позволяет проводить локальный анализ вредоносного ПО с полной поддержкой облака. Все данные остаются на территории заказчика. Непрерывный однонаправленный поток данных из облака для актуализации контекста.   Cisco AMP Private Cloud В обычном варианте развертывания, обезличенный "отпечаток" файла с мета-данными  данные пользователя и признаками компрометации помещается для анализа в облачную базу данных центра безопасности Cisco Systems.  В том случае ,если политики безопасности компании не позволяют пересылать содержимое частных файлов ,или если каналы интернет не позволяют этого сделать из-за небольшой пропускной способности, компания Cisco предлагает развернуть на площадке компании "частное облако" FireAMP Private Cloud.  В данном случае можно локально управлять политиками, траекторией файлов, траекторией процессов, пользовательскими сигнатурами, анализировать инциденты, генерировать отчеты, кешировать вердикты и управлять персональными данными.            

Cisco Next Generation Firewall (NGFW) Серия межсетевых экранов Cisco NGFW представляет собой программно-аппаратный комплекс - межсетевой экран нового поколения с унифицированным управлением и активной защитой от угроз до атаки, во время нее и после сетевой атаки. Cisco NGFW занимает лидирующие позиции среди мировых производителей межсетевых экранов. Центр исследования угроз и информационной безопасности Cisco Talos Intelligence Group является одним из крупнейших центров исследования и защиты от угроз безопасности. В помощь команде разработчиков и инженеров используется непревзойденная система сбора и обработки телеметрии, сложные системы для создания точного, быстрого и действенного анализа угроз для клиентов, продуктов и услуг Cisco. Cisco Talos Intelligence Group защищает оборудование клиентов от известных и возникающих угроз, обнаруживает новые уязвимости в обычном программном обеспечении и блокирует угрозы на свободе, прежде чем они смогут нанести дальнейший вред Интернету в целом. Talos поддерживает официальные наборы правил Snort.org, ClamAV и SpamCop, а также выпускает множество исследований с открытым исходным кодом.ежедневно блокирует более 20 миллиардов угроз. Работа центра позволяет автоматизировать процесс обнаружения и исключения угроз безопасности. Cisco Next Generation Firewall является лидером в отрасли безопасности и имеет высокие оценки аналитиков. Время для обнаружения успешного нарушения составляет примерно 4.6 часов, когда у других на это уходит примерно 100 дней. При этом автоматизация безопасности позволяет уже за первый год сэкономить большую часть средств.

Модельный ряд Cisco NGFW

ASA 5500-X c сервисами FirePower- подходит для малого бизнеса, небольших офисов, распределенных предприятий. · Пропускная способность межсетевого экрана и осмотр угрозы от 256 до1750 мегабайт. · Содержит следующие логические модули: межсетевой экран, AVC, NGIPS, AMP, URL фильтры.

Cisco FirePower 2100 Series – это решение преимущественно для небольших центров обработки данных. · Пропускная способность и стабильная работа с проверкой угроз на скоростях от 2.0 до 8.5 гигабайт. · Содержит те же логические модули, что и ASA 5500-X: AVC, NGIPS, AMP, URL фильтры.

Cisco FirePower 4100 Series – продукт, позиционируемый преимущественно для высокопроизводительных корпоративных сетей. · Пропускная способность и осмотр угрозы от 20 до 60 гигабайт. · Имеет межсетевой экран, AVC, NGIPS, AMP, URL фильтрацию, DDoS (Radware vDP).

Cisco FirePower 9300 Security Appliance- подходит для поставщиков услуг, центров обработки данных. · Пропускную способность 225 гигабайт и проверку угроз до 90 гигабайт. · Имеет межсетевой экран, AVC, NGIPS, AMP, URL фильтры, DDoS (Radware vDP)

   

Управление NGFW

Управление осуществляется с помощью следующих программных продуктов:

- Cisco FirePower Management Center (FMC) - обеспечивает централизованное управление в Cisco FirePower NGFW (FTD OS), Cisco ASA c FirePower Services, Cisco FirePower NGIPS и Cisco AMP for Networks. Firepower Management Center рекомендован для более чем одного NGFW или NGIPS устройства. Используется в случае, если есть потребность в отслеживании корреляции событий безопасности, расширенной отчетности, автоматизированном реагировании на угрозы. Продукт позволяет создавать многопользовательские иерархические схемы управления, обеспечивает единообразие и наследование политик.

- Cisco Security Manager (CSM) - обеспечивает централизованное управление для Cisco ASA 5500 Series appliances и различных приборов от Cisco (ASA OS).

- FirePower Device Manager (FDM) программный продукт, приходящий на смену Cisco Adaptive Security Device Manager (ASDM). Данное программное обеспечение работает, как тонкий клиент, и не использует Java. Веб-управление через браузер позволит быстро ввести в действие новый межсетевой экран при помощи ответов на вопросы мастера настройки. Имеет простой и интуитивный интерфейс с единой панелью мониторинга.

- Cisco Defense Orchestrator (CDO) - предлагает облачное централизованное управление системы для последовательного управления политикой на ASA устройствах в пределах распределенных предприятий. Cisco Defense Orchestrator позволяет упростить и унифицировать политики для NGFW, Umbrella и Web Security Appliance (WSA). Имеет функционал для создания шаблонов политик и моделирования политик перед их внедрением. Удобен для выявления ошибок в конфигурации. Оперативно реагирует на угрозы. Оркестрация изменений в политиках из единого центра.

- Cisco Adaptive Security Device Manager (ASDM) - продукт с длинной историей, на протяжении многих лет обеспечивающий веб-управление для межсетевого экрана ASA. Новый продукт ASDM с сервисами Firepower – это быстрый и удобный способ для перехода на сервисы Firepower с сохранением ASA OS. Автономное решение для настройки политик и правил обеспечения безопасности.

          Операционная система Firepower Threat Defense – это обновленная операционная система для Cisco ASA, включающая в себя как функции Cisco ASA, так и службы FirePOWER. Из функций стоит упомянуть следующие:

• Ориентированный на защиту от угроз модуль Next Generation IPS;
• Мониторинг и контроль приложений (AVC);
• Фильтрация URL;
• Защита от усовершенствованного вредоносного ПО Advanced Malware Protection (AMP);
• МСЭ с контролем состояния сеансов (Stateful Firewall);
• NAT, ACL, VPN, маршрутизация RIP, OSPF, BGP;
• Инспекция протоколов SSL;
• Интеграция со службами ISE (ААА, порталы входа).

Основные возможности NGFW

Мониторинг и контроль приложений (AVC). База знаний Cisco насчитывает более 4000 приложений и способна видеть и понимать риски, контролировать приложения, контролировать приоритет трафика и поддерживать собственные приложения.

Расшифрование и инспектирование SSL. Блокирует зашифрованный трафик, инспектирует или расшифровывает его. Расшифровка на базе URL категорий и проверка расшифрованных пакетов. Ведение журналов для SSL сессий.

Контроль веб-трафика и защита от угроз. Классификация более 280М URLs, веб-фильтрация более 80 категорий, управление белыми/черными списками и блокировка подозрительных URL.

Предотвращение вторжений (NG IPS) с учетом контекста и приложений. Проводится анализ сетевого трафика, корреляция данных, обнаружение скрытых угроз, реагирование на основные степени риска угрозы.

Защита от продвинутого вредоносного ПО. Блокирование известного вредоносного кода, анализ файлов в безопасной среде (облачная «песочница»), обнаружение новых угроз, реагирование на угрозы.

Cisco Threat Intelligence Detector (CTID). Собирает данные об угрозах, коррелирует события от сенсоров, подготавливает обширные отчеты об инцидентах, уточняет состояние безопасности.

Алгоритм использования знаний об угрозах. Сбор информации об угрозах из внешних источников, автоматическое блокирование угроз с использованием индикаторов компрометации. Используется единая консоль для интеграции с TAXII и CSV источниками.

Варианты управления межсетевым экраном Cisco NGFW Существует несколько вариантов управления: централизованное, автономное, облачное.

• - Централизованное. Управление политиками, событиями и устройствами с помощью Firepower Management Center (FMC), а также аналитика, адаптированные рекомендации для политик и автоматизация.
• - Автономное. Простое автономное решение для типовых настроек политик и правил обеспечения безопасности с помощью Firepower Device Manager (FDM) и ASDM with FirePower services.
• - Облачное. Централизованное облачное управление политиками для NGFW, WSA, Umbrella с помощью Cisco Defense Orchestrator (CDO).

  Особенности флагманских моделей Firepower 4100 и 9300. Оптимизация и повышение производительности Разгрузка потока Flow Offload На FirePower 4100 и 9300 используется программируемый Smart NIC, траффик полностью исключается из процесса проектирования, разработан специально для больших продолжительных потоков. Применяется в доверенном трафике, например, резервное копирование. Поддерживает до 4 млн offloaded stateful соединений. Access Control: Действие Trust Трафик исключается только из процесса глубокого инспектирования и процесса discovery. Возможны следующие функции, связанные с трафиком:

• Аутентификация пользователей
• Ограничение полосы пропускания

Intelligent Application Bypass (IAB) IAB идентифицирует приложения, которым вы доверяете проходить через межсетевой экран без последующего инспектирования в случае повышения преднастроенного порога производительности, потоков (flow) и пакетов. Варианты Bypass

• Flow Offload. Политика Prefilter, правило с действием Fastpath – трафик полностью исключается из процесса инспектирования
• Trust. Политика Access Control, правило с действием Trust – трафик исключается только из процесса глубокого инспектирования и discovery. Возможны функции: аутентификация пользователей, ограничение полосы пропускания
• IAB. Политика Access Control, функция Intelligent, Application Bypass – идентификация приложения и передача без последующей инспекции в случае повышения преднастроенного порога производительности, потоков (flow) и пакетов

Режим: Turbo Performance На Firepower 9300 этот режим включается автоматически. Позволяет увеличить производительность FTD OC и ASA OC. Все х86 CPU ядра временно повышают тактовую частоту:

• Включение, когда 25% Data Plane ядер загружены на 80%
• Отключение, когда нагрузка падает ниже 60%
• Прирост производительности 10-20%

  Режимы работы NGFW  

- Routed Mode- традиционный маршрутизируемый режим. Самый распространенный вариант для защиты границы сети. Два или более сетевых интерфейсов разделяют L3 домены – МСЭ, маршрутизаторы или шлюзы по умолчанию.

- Transparent Mode- МСЭ функционирует как мост и работает на L2. Прозрачный режим может использоваться на границе сети, чаще в центрах обработки данных, кампусных сетях, там, где нельзя добавить L3 hop и изменить логическую топологию сети.

- Режим NGIPS- ЦОД с Pass-through режимом для VLAN и типичный IDS режим там, где требуется анализ SPAN трафика, например, периметр.

- Integrated Routing и Bridging (IRB) комбинирует маршрутизируемый и прозрачный режимы работы МСЭ. Используется как «программный коммутатор» в маршрутизируемом режиме, например, для хостов в периметре DMZ.

Защита от SSL Resign RFC 7469 Public Key Pinning for HTTP: механизм обеспечения безопасности от MITM, использующий HTTP заголовок для защиты HTTPS сервера и его пользователей. Пользователь заходит на легитимный веб-сайт, идет проверка сертификатов. Цепочка содержит как минимум один ожидаемый pinned certificate. Пользователь заходит на вес-сайт злоумышленника. Цепочка сертификатов не содержит ни одного pinned certificate. Политики на основе репутационных списков IP & URL IP & URL динамические репутационные списки. Источники: динамические списки TALOS и сторонние поставщики. Категории: DGA, Exploit Kit, Suspicious, Malware, Phishing, CnC, открытые прокси и т.д. Реакция: Allow, Monitor, Block, Interactive Block Использование тегов IoC. Белые и черные списки. Security Intelligence: репутационные списки IP & URL Категория и описание:

• Attacker – активные сканеры и узлы из черного списка известные исходящей злонамеренной активностью
• Malware- сайты, на которых размещаются вредоносные программы (malware) или exploit kits
• Phishing- сайты, на которых размещены phishing страницы
• Spam- Почтовые узлы, рассылающие спам
• Bots- сайты, на которых размещены malware droppers
• CnC- серверы управления botnet-сетями
• Open Proxy- открытые прокси/ прокси анонимайзеры
• Open Relay- открытые почтовые Relay
• Tor Exit Node- точки выхода Tor
• Bogon- сети Bogon и нераспределенные IP-адреса

Контроль DNS Функции:

• Динамические интеллектуальные репутационные списки.
• Сети взломанных компьютерных систем с публичными записями DNS (fast-flux домены).
• DNS списки: C&C, Spam, Malware, Phishing и т.д.
• Реагирование: блокировка, Sinkhole- ловушка, мониторинг.
• Индикаторы компрометации.

Дополнительные категории для безопасности DNS:

• DGA- алгоритмы, используемые для генерации большого количества доменных имен (для распространения вредоносного ПО), действующих как точки рандеву с их серверами управления
• Exploit Kit- инструменты, предназначенные для выявления уязвимостей программного обеспечения на клиентских компьютерах
• Response- списки IP/URL -адресов, которые, активно участвуют в злонамеренной / подозрительной деятельности
• Suspicious- узлы с подозрительными файлами, характеристики которых схожи с известными вредоносными программами

  Сценарии развертывания NGFW Site-to-Site VPN и Remote Access VPN Site-to-Site VPN: Центральная и удаленные площадки. Поддержка динамических IP адресов для удаленных устройств, резервные каналы. Удаленный защищенный доступ с FirePower. Безопасный SSL/IPsec AnyConnect доступ к корпоративной сети. Все возможности для защиты мобильных пользователей. Интуитивный мастер настройки RA VPN Wizard. Инструмент для мониторинга проверки работоспособности (Troubleshooting). Удаленный защищенный доступ с использованием Cisco AnyConnect VPN Сценарии использования:

• Split или Full tunnel
• Гибкие профили
• Аутентификация имя/пароль и/или сертификат

FirePower – это надежное решение для защиты корпоративной сети использующее передовые возможности для зашиты от продвинутых угроз.    

Одна из основных ИТ-проблем в современной крупной компании – это большое количество разнообразных автоматизированных систем, созданных и поддерживаемых различными производителями. Некоторые из этих систем  используются непосредственно для производства, продаж и поддержки бизнес-решений, часть из них нужна для решения вспомогательных задач (работа с персоналом, логистика, маркетинг), но абсолютно у всех них без исключения есть ряд общих свойств, затрудняющих как взятие новых бизнес-высот компанией, так и удержание имеющихся:

• Каждую из систем необходимо поддерживать в актуальном состоянии;
• Для каждой из систем необходимо управлять правами пользователей.

Обилие инструментов управления для каждой из систем приводит к необходимости содержать штат технических специалистов, которые будут заниматься мониторингом, управлением, отслеживанием тенденций и поддержкой систем. Отдельную трудность представляет тот факт, что действия различных специалистов в адрес обслуживаемых ими систем должны обязательно быть согласованы между собой.

Система информационной безопасности в компании является точно таким же камнем преткновения для бизнеса, местом приложения усилий, сил и средств, к тому же требующее от персонала разнообразной и высокой квалификации. И, пожалуй, самое неразрешимое противоречие для специалистов кроется в том, что в рамках решения «боевых» задач им необходимо коммуницировать друг с другом и согласовывать свои действия, к чему технические специалисты чаще всего совершенно не приспособлены, и делают это неохотно.  Потребность в постоянном арбитраже и согласованности действий администраторов приводит к замедлению работы инфаструктуры в целом и ведёт к большим неудобствам работы пользователей.

В системе информационной безопасности указанные проблемы осложняются тем, что по современным стандартам безопасности обязательным условием функционирования системы является журналирование ее работы. Обилие журналируемой информации, поступающей  от всех систем, приводит к снижению уровня осведомленности сетевых администраторов,  усилению непрозрачности инфаструктуры по мере её роста. По мере увеличения количества несогласованных между собой инструментов управления безопасности, управляемость системы драматически падает.

Таким образом, охарактеризовать традиционную систему безопасности в крупной компании в целом можно следующим образом:

• Вместо проактивного (упреждающего) реагирования на инциденты безопасности приходится реагировать реактивно, то есть, по факту свершившегося инцидента (потеря управления компьютером в результате атаки ransomware, заражение компьютеров ботнетами, фишинг данных);
• Основной ресурс персонала используется для поддержки тех или иных систем.
• Сбор данных о работе систем (журналирование) происходит, но в отсутствии централизованных инструментов аналитики, автоматизированных средств корреляции событий, информация остается незадействованной, так как вручную выполнять эту работу невозможно.

Все указанные факторы повышают сложность обнаружения инцидентов безопасности, и своевременного реагирования на них.

Если говорить в целом об управлении данными и информационными технологиями, обычно в компаниях встречается смесь двух традиционных подходов: «Операционный» и «Безопасность».

При «Операционном» способе управления все усилия административного персонала сосредоточены на обеспечение максимально эффективной работы инфраструктуры. Основной упор делается на скорость, надежность передачи данных внутри сетевой инфаструктуры, а также, что гораздо важнее, быстрого и беспрепятственного доступа к данным по упрощенной схеме (листочек с паролем на мониторе). Данный подход безусловно, снимает все препоны по доступу к данным для персонала компании, и ему остается лишь выполнять свои рабочие обязанности, не отвлекаясь на трудности доступа к данным. К сожалению, в этом случае доступ к данным облегчен не только персоналу компании…

При превалировании концепции «Безопасность», упор делается на обеспечение максимального уровня защищенности критичных данных, в ущерб производительности и простоте доступа к ним.

Два этих подхода всё время конкурируют между собой. Если IT-персонал делает упор на то, что функции безопасности являются вторичными по отношению к надежности и скорости передачи данных, то «безопасники» считают что необходимо обеспечить безопасность, а надежностью и скоростью можно пожертвовать. Такой подход ведёт к рассогласованию работы инфаструктуры, замедлению её работы и к сложностям в реагировании на возникающие инциденты.

Современный подход к построению систем управления инфраструктуры в целом, на базе «Центр управления сетью - Центр управления безопасностью», или NOC-SOC (Network Operation Center – Security Operation Center), был сформирован и принят ведущими производителями программного и аппаратного обеспечения, базирующимся на следующих постулатах:

• Оптимизация только процессов управления инфраструктурой оставляет нас незащищенными;
• Оптимизация лишь процессов обеспечения безопасности делает инфраструктуру слишком «медленной» и весьма неудобной для использования;
• Оптимизация обоих процессов в отдельности друг от друга нецелесообразна, так как процессы обеспечения безопасности и процессы доступа к данным тесно связаны друг с другом.

Концепция NOC-SOC – это попытка оптимизировать как операционную деятельность по предоставлению доступа к данным, так и деятельность по обеспечению безопасности. Получившаяся после объединения единая панель управления позволяет повысить эффективность работы инфаструктуры практически по всем направлениям, от защищенности до надежности передачи данных и скорости расследования инцидентов для обнаружения уязвимости и их устранения.

Современный NOC-SOC может быть реализован, в частности, с использованием продуктов Fortinet. Программные инструменты FortiManager, FortiAnalyzer, FortiSIEM позволяют обеспечить возможность совместного управления, как операционной деятельностью, так и деятельностью безопасности, централизованно собирать и хранить журналируемые данные с различных систем, и управлять ими. Такой подход позволит повысить прозрачность, осведомленность о состоянии инфаструктуры в целом, исключить критичные сбои и неполучение событий. Функция мониторинга и управления угрозами также получает единую

точку, в которой будут мониториться и отображаться всевозможные угрозы внутри инфаструктуры.  Это весьма удобно для управления и также снижает время на обнаружения расследования. Использование единой панели управления позволяет снизить  возможность ошибок конфигурирования систем из-за человеческого фактора, повысит скорость реагирования на инциденты безопасности. При возникновении сбоя, реакция системы ответственной за противодействие будет более быстрой и эффективной.

Программное обеспечение FortiAnalyzer : глубокая аналитика

Программный продукт FortiAnalyzer представляет собой автоматизированную систему управления, хранения и журналирования информации в рамках сетевой инфаструктуры. Система позволяет собирать данные с таких устройств как FortiGate, FortiSwitch, FortiAP, FortiClient, FortiMail, FortiSandbox, FortiWeb, FortiAuthenticator, FortiDDoS и FortiManager.

Межсетевой экран FortiGate, наряду с клиентским защитным программным обеспечением FortiClient, является основным источником данных для FortiAnalyzer. Занимается сбором и сохранением данных телеметрии (трафик, событиями безопасности, статусу оконечного устройства).

Основные возможности FortiAnalyzer:

• Сбор и централизованное хранение телеметрии, данных об оконечных устройствах и трафике;
• Мониторинг уязвимостей оконечных устройств, включая инциденты безопасности, отсутствие обновлений программных продуктов, и степень соответствия оконечных устройств заданным правилам безопасности;
• Журналирование информации о событиях в сети;
• Многочисленные отчеты по безопасности с возможностью перевода шаблонов отчетов на русский язык;
• Активность в режиме реального времени и отслеживание тенденций (трендов), визуализация, приоритизация процессов мониторинга.
• Сервисы обнаружения индикаторов компрометации, как средство ускорения обнаружения уязвимости, быстро оповещает персонал об обнаруженных уязвимостях.

Программно аппаратный комплекс (ПАК) FortiAnalyzer  включает в себя 7 различных моделей, производительность хранения от 200 ГБ до 8.3 ТБ логов в сутки, встроенные хранилища от 12 ТБ 240 ТБ.

Виртуальные машины – 3 модели VM, лицензирование по кол-ву ГБ журналов в сутки и максимальному размеру хранилища, постоянная лицензия.

 

 

Программное обеспечение FortiManager : единая среда управления

Fortimanager позиционируется как продукт единой системы управления для всеми устройствами  FortiNet в составе сетевой инфраструктуры, а именно: Access Points, FortiSwitch, FortiClient, FortiClient, FortiAnalyzer, VPN Manager, Fortigate.

С помощью Fortimanager можно осуществлять конфигурирование межсетевых экранов FortiGate индивидуально или в составе шаблонов политик и групп, управление построением VPN, отслеживание текущего статуса устройств.

Возможна интеграция FortiManager с FortiAnalyzer, когда все функции в том числе: FortiView, NOC, Log View, Event Manager, Reports появляются в составе FortiManager и таким образом пользователь системы получает единую консоль управления. Эта консоль включает в себя: Device Manager, Policy & Objects, AP Manager, FortClient Manager, VPN Manager, FortiGuard, System Settings, FortiSwitch Manager. FortiManager может выступать, как единая точка обновления для всех устройств подключенных к нему.   FortiAnalyzer добавляется как управляемое устройство к FortiManager, дальше появляется в составе управляемых устройств, указывается его IP-адрес и учётные данные для доступа. После чего производится синхронизация данных между Analyzer и Manager и в дальнейшем ведётся управление только через FortiManager.

Модельный ряд FortiManager

Как и в случае с FortiAnalyzer он доступен в виртуальном, так и в аппаратном исполнении.

ПАК: 6 моделей, управление от 30 до 100000 устройств, объемы встроенного хранилища от 1 ТБ до 48 ТБ

Виртуальные машины: 3 модели, лицензирование по количеству управляемых устройств с возможностью масштабирования, постоянная лицензия

Масштабирование: до 100000 устройств 1

Как сильно успешность малого бизнеса зависит от кибербезопасности? Владельцу малого бизнеса бывает трудно определить, что именно представляет собой достаточный комплекс мер по обеспечению безопасности, а что будет являться избыточным.

Постановка задачи на оптимизацию безопасности в малом бизнесе обычно выглядит следующим образом: сохранить конфиденциальные данные о бизнесе и клиентах, не вкладывая при этом большие деньги в системы кибербезопасности.

Реальность сегодняшнего дня состоит в том, что каждая компания нуждается в кибербезопасности, независимо от того, насколько они маленькие. И на самом деле, малый бизнес - популярная цель для киберпреступников; Мало того, что малые предприятия имеют больше ИТ-уязвимостей, они также имеют ценные данные клиентов и точки доступа к крупным компаниям, с которыми они работают.

Однако это не означает, что киберпреступники тратят часы, пытаясь взломать ваш малый бизнес. В большинстве случаев, хакеры действуют при помощи автоматизированных средств, предпринимая бесчисленные попытки проникновения вредоносных программ, фишинг-атак и перебора паролей, надеясь получить хоть какой-нибудь доступ к внутренней инфраструктуре, и затем проверить безопасность на степень эшелонированности.

Какие риски несет небольшая компания с точки зрения ИБ?

I Персональные данные

Любая компания, в которой есть хоть один сотрудник, является оператором персональных данных. Согласно Федеральному закону РФ номер ФЗ-152 "О персональных данных», компания-оператор обязана должным образом обеспечить сбор, хранение, доступ и утилизацию персональных данных. Нарушение данных условий регламентируется статьей 13.12 КоАП. Наиболее важные пределы ответственности в случае нарушения установленного законом порядка следующие:

• Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных (пример: киберпреступник получил доступ к личным листкам кадрового департамента)  – до 30 тысяч рублей для юридических лиц;

• Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ – до 50 тысяч рублей.

            II Данные по контрагентам

Сроки, условия, стоимость договоров, использованные ноу-хау, участвующие в договорах стороны – все это как правило, служит предметом конфиденциальности между контрагентами. Вся ответственность за нарушение конфиденциальности в данном случае, зависит от воли сторон, заключивших договор, и в случае нарушения штраф может достигать практически, любых сумм.

Как киберпреступники нападают на малый бизнес

E-mail

Большинство проникновений в сети малого предприятия осуществляются в форме мошенничества с электронной почтой. В большинстве случаев это вредоносное ПО, скрытое во вложении электронной почты, хотя малые предприятия могут также пострадать от фишинга.

Ransomware

Одна из проблем, являющаяся актуальной для владельцев бизнеса любого размера. Путями для эксплуатации данной уязвимости являются незащищенные удаленные рабочие столы.  Возможность для, эксплуатации появляется в случаях, когда есть удаленный доступ к компьютерам извне, (скажем, в компаниях, которые передают ИТ-работу на аутсорсинг), и в компании отсутствует политика установки обновлений программного обеспечения.

Достаточные меры

Минимальный набор средств безопасности для компании, относящейся к сегменту малого бизнеса, может включать следующие средства обеспечения безопасности:

• Создать политику информационной безопасности предприятия

Все информационные ценности, подлежащие защите, должны быть названы поименно, и к ним должен быть определен доступ. Сотрудники, имеющие доступ, должны четко представлять себе, что именно они получают, и какие меры предосторожности они должны предпринимать в рамках своих должностных обязанностей. Эту краеугольную часть защиты – политику – должен разработать, или как минимум, утвердить, сотрудник, отвечающий за результаты ее применения – генеральный директор, или собственник.

• Установить межсетевой экран нового поколения

Современный межсетевой экран нового поколения (NGFW) обычно предлагает комплексную защиту от всех основных видов угроз. Поскольку через МСЭ проходит весь трафик пользовательских компьютеров, данный вид защиты на сегодняшний день является наиболее действенным. В этот список обычно не входят глубокая проверка с целью защиты от “атак нулевого дня” (Zero Day Attacks) – такую процедуру выполняют при помощи облачного сервиса «песочница», и структурированная защита от DDoS-атак. Обе службы могут быть реализованы в виде отдельного аппаратно-программного комплекса. Мы приводим примерную стоимость и функции для двух производителей межсетевых экранов - Cisco и Fortinet.

• Защитить трафик, приходящий извне

Некриптостойкое шифрование слабым ключом (DES, 3DES) как пользовательских сессий, так и межплощадочных соединений (центр==филиалы) является для обычной компании, у которой бизнес не связан с информационными технологиями, основной уязвимостью и потенциальной брешью в информационной структуре. На начало 2019 года криптостойкими считаются алгоритмы AES-128, AES-256, и есть смысл использовать именно их.

• Защитить серверы

Четко обозначенный доступ к серверам только тем сотрудникам и только к тем ресурсам, которые им необходимы – ключ к предсказуемому поведению сетевой инфраструктуры и к усилению защиты ресурсов.

• Использовать безопасные серверы имен (DNS)

Это наилучший способ защиты от подменных сайтов, действующих с целью выманивания (фишинга) данных кредитных карт, и прочих персональных данных.

• Обучение сотрудников

Поразительно, какое влияние в развитых странах имеет надпись в конце электронного письма, сообщающая о том, что данное письмо содержит коммерческую тайну, и если оно попало тем, кому не следует его читать, то читать его и не нужно. Очень немногие из людей решатся на квест «знаю, но нарушаю». Поскольку в основной своей массе, сотрудники – люди добросовестные, и пришли в компанию зарабатывать деньги, а не наносить ущерб, игра по известным правилам устроит всех. Поэтому четкое знание сотрудником того, к каким критичным ресурсам компании он имеет доступ, как это должно выглядеть, кому можно передавать данную информацию, как должно быть защищено устройство, с которого он осуществляет доступ, в конечном итоге дает выигрыш всем сторонам бизнес-процессов.

Правильный ответ на нарушение защиты

            Без фильтрации электронной почты ничто не мешает вредоносным письмам попадать в почтовые ящики сотрудников. А без образования в области практики кибербезопасности сотрудники, вероятно, станут почти каждым четвертым, кто нажимает на фишинговые ссылки. Надежные брандмауэры и антивирусное программное обеспечение предотвращают заражение ваших систем вредоносными программами, но они не помешают неинформированному сотруднику вводить учетные данные для входа в систему на поддельном сайте или передавать пароли злоумышленнику-хакеру, выступающему в роли ИТ-специалиста. Чтобы предотвратить нарушения, владельцы бизнеса должны активно защищать сети и информировать сотрудников о рисках кибербезопасности.

            Каждая компания, представляющая собой малый бизнес должна иметь план реагирования на нарушение данных до того, как произойдет кибератака, включая квалифицированную группу реагирования и действенный план реагирования. Для многих малых предприятий это означает заключение контрактов с ИТ-специалистами, специалистами по коммуникациям и юриспруденции, которые обладают знаниями и опытом для того, чтобы вмешиваться и управлять восстановлением утечки данных от имени бизнеса. Несмотря на значительные затраты, своевременный и надлежащий ответ часто влияет на то, восстановится ли малый бизнес после утечки данных или отключится в течение шести месяцев.

Большинству малых предприятий не нужно тратить огромные суммы денег на кибербезопасность. Однако малым предприятиям необходимо вкладывать средства в базовую безопасность сети и постоянное обучение сотрудников для защиты от кибератак. В противном случае владельцы малого бизнеса могут обнаружить - по высокой цене - что они - легкая цель для киберпреступников.

Компания Cisco Systems представила новый перечень совместных разработок, направленных на улучшение производительности, масштабируемости и управляемости инфраструктуры, использующей оборудование Cisco Systems в качестве сетевой/транспортной среды, и оборудование на базе Apple IOS в качестве клиентских устройств. Совместные разработки велись в основном, в области интеграции корпоративных вызовов, предоставления приоритета важным для бизнеса приложениям и оптимизации работы Wi-Fi для iPhone и iPad в сетях Cisco. Итак, в чем же конкретные преимущества совместной инфраструктуры? I Для ускорения передачи данных:

1. Список ближайших точек доступа 802.11k

Стандарт 802.11k позволяет абонентскому устройству iOS ускорить поиск ближайших точек доступа для использования при переходе, создавая оптимизированный список каналов. При ослабевании сигнала текущей точки доступа устройство будет искать точки доступа из этого списка.

2. Ускоренный роуминг 802.11r Когда устройство iOS переходит с одной точки доступа на другую в рамках одной сети, стандарт 802.11r использует функцию FT (Fast Basic Service Set Transition — быстрая передача базового набора служб) для ускорения аутентификации. Функция FT работает с обоими методами аутентификации, PSK (Preshared Key — общий ключ) и 802.1X. В ОС iOS 10 включена поддержка адаптивных точек доступа 802.11r в беспроводных сетях Cisco. Адаптивная точка доступа под управлением Cisco AireOs 8.3 и выше 802.11r предлагает FT без необходимости включать стандарт 802.11r в настроенной беспроводной сети Cisco. То есть точка адаптируется под устройства, и при обмене с устройствами, поддерживающими FT, в кадр маяка beacon frame) включена информация FT. Если же абонентское устройство не поддерживает Fast Transition, обмен с ним производится обычным образом. Таким образом, наряду с функциями высокопроизводдительной сети с улучшенным роумингом, сеть сохраняет совместимость с устаревшими устройствами.

3. Предпочтительный выбор 802.11v</strong> Начиная с версии AireOS 8.3 точка доступа Cisco "знает" о предпочтениях устройств Apple и обеспечивает этим устройствам ассоциирование с приоритетными, с точки зрения устройств Apple, точками, ведущими передачу.

II Для улучшения работы приложений Apple:

1. Управление приложениями Специалистами Cisco и Apple выпущен модернизированный API, который должны будут безальтернативно использовать разработчики приложений для Apple. В рамках функций данного профиля - корректное двунаправленное отображение приоритетов UP IEEE 802.11e в DSCP и классы IEEE 802.11p.

2. "Белый список приложений" Белый список приложений поддерживается административно. При этом приложения из белого списка смогут "выбирать" себе UP и DSCP, прочим предложениям будет предоставлен лишь класс сервиса BE/BK.

3. "Tiny Data" Устройство IOS информирует точку доступа о своем типе устройства и установленной операционной системе, отправляя специальный пакет (802.11K Beacon Report). Таким образом, контроллер доступа, имея информацию и клиентском устройстве, может предложить наилучшую для него точку доступа (как вариант, наименее загруженную, или имеющую свободные ресурсы OoS). Отдельно следует упомянуть о том, что устройства Apple теперь могут посылать при разъединении код причины, что драматически снизит число споров с пользователями на тему "У меня перестал работать WI-FI".

Полностью с подробностями данных технологий можно ознакомиться на страницах сайтов Apple: https://support.apple.com/ru-ru/HT202628 и Cisco: https://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Enterprise_Best_Practices_for_Apple_Devices_on_Cisco_Wireless_LAN.pdf

Изначально спроектированная с обеспечением максимального уровня безопасности, операционная система Apple iOS до сих пор остается наиболее защищенной и мощной основой для бизнеса. Вместе с тем, как и любая другая система, взаимодействующая с человеком, устройство на базе iOS не застраховано от рисков, возникающих при действиях пользователей, а именно: - Попадание на фишинговые сайты при открытии пользователем ссылок, выглядящих достоверными. Сайт типа facelook.com, используя тот же самый значок, что и Facebook, получит от пользователя личные данные, включая логин/пароль. Даже, если пользователь не использует в корпоративных приложениях ту же самую пару "логин/пароль", такое знание добавит +100 к профилю пользователя (модели атакуемого), и не исключено, что эта информация облегчит дальнейший подбор паролей; - Использование недоверенных приложений для доступа к корпоративным данным. Попытка пользователя настроить сбор своей корпоративной почты на свой ящик mail.ru может пройти незамеченной. При этом открытие письма произойдет уже не в клиентской почтовой программе, а в браузере. И даже параноидальная защищенность клиентского устройства в этом случае не поможет - письмо скачивается с сайта, подвергаясь всем тем рискам, которые несет в себе размещение информации н публичном сервере. Компании Cisco и Apple, действуя совместно, предоставили решение, позволяющее минимизировать данные типы рисков. Cisco Security Connector - это приложение, позволяющее защитить пользователей устройства iOS от фишинговых попыток, а также предоставляющее данные для расследования инцидентов информационной безопасности. Программное обеспечение Cisco Security Connector предназначено для установки и управления через систему MDM (Mobile Device Management).

Концепция "Принеси свое устройство" (BYOD), предназначенная для предоставления сотрудникам возможности использовать все возможные личные устройства для работы, в настоящее время является основным способом взаимодействия сотрудников подавляющего большинства предприятий.Благодаря комплексному решению, основанному на соблюдении единой политики и унифицированном управлении конвергентной сетью в проводных и беспроводных средах, предприятие обеспечивает своим сотрудникам доступ к ресурсам корпоративной сети. Комплексный мониторинг BYOD позволяет оптимизировать распределение ресурсов и соблюдать нормативные требования.
Применение BYOD налагает серьезные требования на систему корпоративной безопасности. В частности, необходимо использовать комплексную проверку клиентских устройств на соответствие корпоративным правилам и политикам безопасности, тщательно отслеживать привилегии доступа, вести комплексный мониторинг использования как ресурсов, так и трафика.Использование концепции BYOD запускает еще один важный тренд в построении современных корпоративных сетей. Политики аутентификации и авторизации пользователя становятся глобальными и больше не привязаны к проводной или беспроводной сети.Доступ и хранение данных в облачных сервисах открывает для компании потенциальную угрозу утечки корпоративных данных. Вместе с тем, нельзя игнорировать мировую тенденцию к тому, что все больше услуг, включая информационные услуги для компаний, переходят на аутсорсинг к узкоспециализированным операторам связи, и с усложнением услуг эта тенденция будет только укрепляться.Таким образом, в современном мире есть все предпосылки к использованию концепции BYOD для организации единой информационной защищенной среды. Данная концепция рассматривает применение BYOD в рамках проводной/беспроводной архитектуры, телефонии, центра обработки данных.

Преимущества решения BYOD от компании Cisco Systems:

• Вся информационная среда управляется единым «рулевым колесом» (с единой панели управления), упрощая тем самым управление безопасностью.
• Решение построено на базе централизованного хранилища политик безопасности, тесно интегрированного с корпоративной системой Active Directory и инфраструктурой открытых ключей (Public Key Infrastructure).
• Решение предоставляет единую точку мониторинга и контроля пользователей, устройств, сетей, площадок, повышая управляемость системы и уровень ее безопасности.
• Решение тесно интегрировано с мобильными устройствами и позволяет использовать их в качестве рабочего инструмента сотрудниками на рабочем месте.

Архитектура Cisco BYOD

Базовым элементом решения Cisco BYOD является архитектура Cisco Identity Service Engine (ISE).

Механизм идентификационных сервисов Cisco Identity Services Engine (ISE) дает администраторам возможность формировать единую упрощенную политику для множества методов доступа и типов устройств. ISE позволяет ИТ-отделам внедрять автоматические правила контроля доступа с помощью политики, регулирующей вопросы информационной безопасности, управления устройствами и аутентификацией пользователей независимо от того, через какую сеть: проводную, беспроводную или виртуальную частную, - сотрудники подключаются к корпоративным ресурсам.

Новая версия Cisco ISE расширяет возможности управления мобильными устройствами (MDM)  и хорошо интегрируется с лучшими отраслевыми решениями, совершенствуя управление мобильными устройствами и создавая единое упрощенное решение для управления политиками.

Список поддерживаемых на настоящий момент платформ MDM выглядит следующим образом:

• Good Technology;
• Airwatch;
• Fiberlink;
• MobileIron;
• SAP/Afaria;
• Citrix/ZenPrize.

В архитектуре ISE каждый управляющий сервер выполняет одну из ролей, приведенных в таблице.

Роль сервера	Значение
Администрирование	Выполняет конфигурирование всех опций, относящихся к аутентификации, авторизации и учету (Accounting).
Сервис политик	Обеспечивает доступ к сети, гостевой доступ, профилирование, оценку состояния устройства
Сервис мониторинга	Собирает журналы событий, устанавливает корреляцию между различными событиями.
Оценка состояния устройства (Posture Assesment Node)	Служит привратником (Gatekeeper) для уже прошедшего авторизацию устройства.

Далее приведены краткие характеристики платформ MDM, поддерживаемых Cisco ISE.

I SAP Afaria

Решение SAP Afaria уменьшает сложность управления мобильными Android устройствами путем установки приложений в режиме over-the-air (OTA) и управление функциональностью мобильных устройств без вмешательства пользователей. В целях упрощения использования пакет Afaria может управляться через различные порты, включая Bluetooth, WiFi, камеру и микрофон. Обеспечение безопасности осуществляется использованием улучшенной политики паролей, новейших функций управления и различными настройками для Exchange Active Sync. Кроме того, решение SAP Afaria включает обновленные функции управления приложениями, включая использование списка запрещенных приложений и предотвращение установки приложений пользователями мобильных устройств.

II MobileIron MyPhone@Work

Решение MobileIron MyPhone@Work представляет собой портал для самоуправления пользователями своими мобильными устройствами. Это решение обеспечивает визуальный контроль за использованием данных на смартфонах, что позволяет администраторам осуществлять мониторинг за мобильными устройствами персонала компании. Простое в установке решение MobileIron обеспечивает профессионалам безопасность их данных и сокращение расходов на контроль без ущерба для конфиденциальности. Кроме того, оно позволяет вам быстро находить и устранять возникшие проблемы и фиксировать затратные или потенциально опасные действия, что обеспечивает лучшую защиту вашего бизнеса.

III Решение AirWatch MDM

Решение AirWatch MDM входит в состав платформы AirWatch Enterprise Mobility Management (EMM) по корпоративной мобильности и состоит из четырех модулей:

• AirWatch Mobile Device Management
• AirWatch Mobile Application Management
• AirWatch Mobile Email Management
• AirWatch Mobile Content Management

Каждый из этих модулей обеспечивает ключевой функционал по защите и управлению определенного аспекта корпоративной мобильности, а все вместе они помогают организовать комплексную систему работы с мобильными устройствами в корпоративной среде.

Решение AirWatch MDM является на сегодняшний день передовым в отрасли решением для простого и эффективного контроля за всеми мобильными устройствами, используемыми в компании. Решение AirWatch позволяет управлять устройствами на базе Android, Apple, BlackBerry, Mac OS X, Symbian и Windows через единую консоль управления, осуществлять поддержку конечных пользователей и обеспечивать сопровождение этих устройств на протяжении всего жизненного цикла.

Это решение обеспечивает безопасность коммуникаций благодаря надежной системе защиты и управления настройками, позволяющими пользователям получать доступ к корпоративным документам. AirWatch MDM дает возможность осуществлять визуальный контроль за всеми устройствами мобильного сегмента, администрировать политики безопасности для всех устройств и легко масштабировать сеть мобильных устройств.

IV AirWatch Mobile Application Management (MAM)

Сотрудники используют мобильные приложения для доступа к корпоративным ресурсам, повышения производительности и совместной работы. Одной из важнейших задач является предоставление доступа к общедоступным и внутренним корпоративным приложениям, которые разрешены к использованию в вашей организации.Модуль AirWatch Mobile Application Management (Управление мобильными приложениями - MAM) позволяет управлять внутренними, коммерческими и корпоративными приложениями на уровне сотрудников, личных и рабочих устройств организации. Специальный Корпоративный магазин приложений AirWatch позволяет удобно распространять, следить, обновлять и защищать корпоративные приложения.

V AirWatch Mobile Email Management (MEM)

Корпоративная почта на мобильных устройствах является наиболее критичной функцией для современных сотрудников. При этом необходимо не просто обеспечить доступ к корпоративной электронной почте, но и гарантировать безопасность этого доступа для избежания утечки информации.Модуль AirWatch Mobile Email Management (Управление мобильной почтой - MEM) предоставляет функционал для обеспечения высокой защищенности корпоративной почтовой инфраструктуры. AirWatch позволяет контролировать устройства, получающие доступ к почте, предотвращать несанкционированный доступ, шифровать конфиденциальную информацию и применять различные политики безопасности и соответствия стандартам.Среди поддерживаемых почтовых серверов - Exchange 2003, 2007 и 2010, а также облачные сервисы Gmail, MS Office365 и BPOS.

VI AirWatch Mobile Content Management (MCM)

Все чаще сотрудники работают с конфиденциальными рабочими документами на своих мобильных устройствах. При этом необходим как защищать корпоративные данные, так и предоставлять сотрудником доступ к актуальным версиям документов на их мобильных устройствах в любое время и в любом месте. Модуль AirWatch Mobile Content Management (Управление мобильным контентом - MCM) позволяет осуществлять защищенный доступ к рабочим файлам и документам через специальное мобильное приложение. В модуль AirWatch MCM входят два приложения: Secure Content Locker и Secure Browser.AirWatch Secure Content Locker позволяет сотрудникам получать оперативный доступ к офисным документам и прочим файлам, расположенным в общих папках, SharePoint-сайтах и доступным по WebDAV, делая доступными эти файлы на мобильных устройствах.

AirWatch Secure Browser является защищенным браузером, разработанным для мобильных платформ Apple iOS и Android. Браузер позволяет получить доступ к Интранет-сайтам (внутренним сайтам компании), либо же организовать фильтрованый или ограниченный доступ в сеть Интернет с мобильных устройств. VII Поддерживаемые платформы: Apple iOS Android, в том числе Kindle Fire, Windows Phone, BlackBerry, Windows Mobile, Windows CE и PPC 2003 Nokia Symbian, Apple Mac OS X, Windows 8 / RT. Расширения и интерфейсы Samsung SAFE и Samsung KNOX. Расширения и интерфейсы HTC, Lenovo, LG.

IEEE 802.11ax, получивший также название HEW (High-Efficiency Wireless), заявил о себе, как о стандарте, задающем оптимальный "в среднем" режим передачи данных c максимальной скоростью 11 Гбит/с, и во второй половине 2019 года мы ожидаем первые устройства с полноценной поддержкой нового стандарта.

Что же кроется внутри 802.11ax:

• ! Самое главное - стандарт предназначен только для использования в условиях централизованного управления, то есть, с использованием контроллера беспроводного доступа;
• Передача данных осуществляется в уже имеющихся и хорошо всем знакомым диапазонам 2,4 ГГц и 5 Ггц;
• Используются многолучевые методы передачи информации MIMO и MU-MIMO (привет отечественным разработчикам фазированных антенных решеток- ФАР :))
• Использование известной модуляции QFDMA с выделением поднесущих отдельным пользователям (интересующимся - можн ознакомиться с техническими деталями здесь: https://en.wikipedia.org/wiki/Orthogonal_frequency-division_multiple_access). Для остальных стоит отметить, что это еще один метод разгрузки эфира для передачи данных.

Кто производит?

• *На момент написания материала стандарт еще не принят.
• Интел. На момент апреля 2018 года Интел анонсировал чипсет Wireless-AX 22560 с подержкой IEE 802.11ax.
• Qualcomm. В начале 2018 объявил о поддержке WCN3998 с оговоркой - 2х2 MIMO.

Материалы:

 

https://www.networkworld.com/article/3048196/mobile-wireless/faq-802-11ax-wi-fi.html

https://www.qualcomm.com/news/releases/2018/02/21/qualcomm-introduces-industrys-first-integrated-80211ax-ready-solution