Главная

Современная модель занятости сотрудников все чаще подразумевает вовлеченность - пусть даже частичную и точечную - в круг своих рабочих обязанностей, даже в те часы и дни, которые в прошлом веке было принято полностью посвещать отдыху от работы. Справедливости ради следует добавить, что есть множество фирм, где это требовалоь всегда. Предприятия с круглосуточным рабочим циклом, аэропорты, процессинговые центры - во всех компаниях такого рода жизнь не прекращается никогда. Уезжая домой, руководитель пиар-службы держит включенным доступ к рабочей почте и ленте новостей. А уж, то говорить о научных работниках и инженерах, у которых понедельник не прекращается даже в пятницу вечером, и которые вообще не имеют привычки запирать свой мозг на работе. Таким образом, современная реальность требует, чтобы доступ к корпоративным данным той или иной степени важности был обеспечен в любое время и из любого места. Зачастую пользователи мобильных устройств пользуются общедоступными решениями доступа к файлам, не подозревая, что такие приложения могут подвергнуть риску ценную информацию, доступ к которой можно получить с мобильного устройства. Это может быть не только личная информация, хранящаяся на устройство, а также и корпоративные данные, почта, облачные сервисы.   Прогресс не стоит на месте и мобильность пользователя всегда остается актуальной задачей, что и дало ход разработке простого решения по совместной работе с контентом, которое призвано защитить конфиденциальные данные.   Технология политик и рапределения прав доступа VmWare AirWatch обеспечивает безопасный доступ к контенту всегда и везде, надежно защищая конфиденциальные данные, при этом являясь единым приложением для надежного доступа пользователей к самым последним материалам со своих мобильных устройств.    

Обзор

  AirWatch технология VMware для централизованного управления мобильными устройствами и приложениями при любых сценариях. Она обеспечивает поддержку каждого устройства и пользователя из единой консоли управления. Помогает реализовать безопасность компании на всех уровнях, при этом повышая эффективность мобильной работы, предоставляя сотрудникам возможность подключится и работать в любое время, в любой точке, с любого устройства.    

Возможности

Если совсем кратко - AirWatch дает доступ с мобильного устройства (планшета, телефона) к ресурсам корпоративной сети, превратив на это время мобильное устройство в безопасное. Благодаря единой консоли управления, осуществляется управление полным жизненным циклом мобильных устройств на всех основных операционных системах.   Для создания абсолютно защищенной ИТ-среды AirWatch предлагает многоуровневый подход к обеспечению безопасности. Все параметры и политики безопасности настраиваются с помощью единой платформы управления корпоративной мобильной средой для защиты пользователей, конечных устройств, приложений, данных и сети.   Для приложений реализован единый каталог, со встроенной службой единого входа. Администратор сети может разворачивать приложения на каждом устройстве, а также настраивать доступ к приложениям в соответствии с политиками безопасности.   В состав платформы AirWatch входит пакет приложения призванных повысить эффективность работы, предоставляя удобный доступ к бизнес-приложениям и при этом обеспечивая безопасность корпоративного класса. В составе данного пакета входят средства для работы с электронной почтой, социальными сетями, календарем, браузером, контактами и содержимым.   AirWatch предоставляет решение которое, позволяет управлять мобильными устройствами, при этом удовлетворяя все политики безопасности компании. Управление мобильными устройствами происходит централизовано и может быть разграниченным, например, если у компании есть несколько филиалов в разных городах.    

Решение AirWatch

  Решение создано для управления всеми мобильными средствами компании, такими как устройства, приложения и контент.   AirWatch состоит из нескольких модулей:  

• AirWatch Mobile Device Management (MDM)
• AirWatch Mobile Application Management(MAM)
• AirWatch Mobile Email Management(MEM)
• AirWatch Mobile Content Management(MCM)

 

Модуль	Функции
Mobile Device Management	Конфигурация мобильных устройств
	Управление мобильными устройствами
	Применение политик безопасности
Mobile Application Management	Управление приложениями
	Доступ к корпоративному магазину приложений
Mobile Email Management	Управление мольной почтой
	Защита корпоративной почтовой структуры
	Шифрование конфиденциальной информации
Mobile Content Management	Защищенный доступ к рабочим файлам
	Защищенный браузер
	Доступ к офисным файлам на устройствах

 

      Каждый из этих модулей обеспечивает защиту и управление определенным аспектом, а комплексно призваны организовать полную систему работы с мобильными устройствами в корпоративной среде.

 

AirWatch Mobile Device Management (MDM)

  Модуль AirWatch для управления мобильными устройствами позволяет управлять масштабными внедрениями мобильных устройств. AirWatch позволяет моментально инициализировать мобильные устройства для использования в корпоративной среде, конфигурировать их и управлять настройками устройств без подключения их к компьютеру, применять политики безопасности и соответствия стандартами, защищать корпоративные данные при мобильном подключении к ним, а так же удаленно блокировать и стирать память устройств. При этом устройства классифицируются на корпоративные и личные устройства. К корпоративным устройствам можно применить больше настроек, связанных непосредственно с самим устройством, например, выключение, блокировка и изменение настроек устройства, вплоть до настроек потребляемого траффика мобильной сети. Настройки для личных устройств сотрудников нацелены на предоставление доступа к сети, корпоративным данным и приложениям. Например, если устройство не пройдет регистрацию в системе, то ему не будет предоставлен доступ к корпоративным данным, в то время как зарегистрированное устройство может пользоваться приложениями и корпоративными данными в соответствии с настроенными политиками, а администратор системы может мониторить все зарегистрированные устройства.   Все это создано для того, чтобы разделять доступ, устройства и пользователей в корпоративной сети. Благодаря этой системе каждый пользователь получает доступ только к той информации к которой у него есть доступ, при этом сделать он может с любого мобильного устройства, зарегистрированного в системе AirWatch.   AirWatch позволяет управлять устройствами на базе Android, Apple, BlackBerry, MAC OS X, Symbian и Windows через единую консоль управления.    

AirWatch Mobile Application Management (MAM)

  Модуль управления мобильными приложениями позволят управлять внутренними, коммерческими и корпоративными приложениями, настраивая доступ к приложениям в соответствии с политиками безопасности. Например, можно запретить использование приложений таких как мобильный банк или социальные сети, а оставить только те, что необходимы.   В AirWatch реализован специальный корпоративный магазин приложений, который позволяет администраторам системы распространять внутренние приложения компании, обновлять их и разворачивать на мобильных устройствах. В этот каталог приложений также могут входить разрешенные приложения от сторонних разработчиков, которые доступны в AppStore (iOS) или google play (Android) и прочих магазинах приложений.    

AirWatch Mobile Email Management (MEM)

  Модуль управления мобильной почтой – MEM предоставляет функционал для обеспечения высокой защищенности корпоративной почтовой инфраструктуры. AirWatch позволяет контролировать устройства, получающие доступ к почте, предотвращать несанкционированный доступ, шифровать конфиденциальную информацию.    

AirWatch Mobile Content Management (MCM)

  Модуль управления мобильным контентом позволяет осуществлять защищенный доступ к рабочим файлам и документам через специальное мобильное приложение. В модуль AirWatch MCM входят приложения: Secure Content Locker и Secure Browser.   Приложение Secure Content Locker позволяет получать оперативный доступ к офисным документам и прочим файлам, расположенным в общих папках, SharePoint-сайтах и доступных по WebDAV, делая доступными эти файлы на устройствах.   Приложение AirWatch Secure Browser представляет собой защищенный браузер, разработанный для мобильных платформ iOS и Android. Браузер позволяет получить доступ к Интернет-сайтам (внутренним сайтам компании), или создать фильтрованный, или организованный доступ в Интернет с мобильных устройств.  

 

      Стандарт Wi-Fi 6 - это новый стандарт под номером IEEE 802.11ax - появился, как ответ на требования к современной сети передачи данных, а именно:

• требования к надежности.  Более согласованное и надежное сетевое соединение обеспечивает беспроблемную работу для клиентов, IoT и всех приложений, особенно голосовых и видео.
• требования к масштабируемости. Беспроводные сети растут лавинообразно за счет подключения устройств интернета вещей (IoT), и включают в себя все больше и больше устройств.
• требования к производительности. Повсеместный отказ от проводных сетей приводит к тому, что беспроводная сеть должна быть способна передавать видео трафик в реальном масштабе времени и с высоким качеством изображения.

           Стандарт IEEE 802.11ax имеет ряд преимуществ:  

• надежность – обеспечивает бесперебойную работу благодаря постоянному и надежному сетевому соединению
• емкость – обеспечивает передачу большого объема данных большему количеству клиентов по сравнению с предыдущими стандартами Wi-Fi, включая (IoT)
• Ускорение в диапазоне 2.4 ГГц за счет технологий многолучевого приема MIMO и MU-MIMO (линейная скорость передачи данных 1,148 Гбит/с).
• Улучшение производительности сети за счет четырехкратного увеличения средней пропускной способности по сравнению со стандартом 802.11ас
• Сокращение стоимости владения инфраструктурой за счет увеличения срока службы батарей смартфонов, планшетов и устройств IoT. Стандарт 802.11ac идеально подходит для устройств IoT благодаря расширенному покрытию Wi-Fi и поддержке частоты 2.4ГГц.

Протокол WPA3

Протокол WPA 3 - это усиленный протокол аутентификации, который пришел на смену скомпрометированному протоколу WPA2.          WPA – это режим защищенного доступа к сети Wi-Fi.   WPA 2 – это стандарт безопасности который определяет, что происходит при подключении к закрытой сети Wi-Fi с помощью пароля. WPA 2 определяет протокол, который маршрутизатор и клиентское устройство используют для выполнения «рукопожатия», позволяющего им безопасно подключаться и взаимодействовать.   WPA3 добавляет четыре функции которые не присутствуют в WPA2. Эти функции: конфиденциальность в общественных сетях Wi-Fi, защита от атак перебора пароля, легкий процесс соединения устройств без дисплея, более высокая безопасность для крупных организаций.         Конфиденциальность в общественных сетях Wi-Fi. Защита открытых беспроводных сетей на данный момент оставляет желать лучшего. Так как они открыты это позволяет подключиться любому пользователю, трафик, передаваемый через них, вообще не шифруется. Все передается в виде обычного текста, так что любой пользователь может перехватить ваш трафик. Появление зашифрованных HTTPS-соединений немного улучшило ситуацию, но не сильно. WPA3 призвано исправить данную ситуацию благодаря «индивидуальному шифрованию данных». При подключении к открытой Wi-Fi сети трафик между устройством и точкой доступа будет зашифрован. Это позволит сделать публичные сети более частными и не позволит злоумышленникам шпионить без фактического взлома шифрования.         Защита от атак перебора пароля (brute-force). При подключении устройства к точке доступа, устройство выполняет «Рукопожатие», которое гарантирует использование правильного пароля для подключения и для защиты соединения. Но «Рукопожатие» оказалось уязвимым. WPA3 определяет новое рукопожатие, что позволит обеспечить более надежную защиту, даже при выборе пароля пользователем, т.е. даже при использовании слабого пароля, стандарт WPA3 защитит от атак перебора пароля.         Легкий процесс соединения устройств без дисплея. В наше время появляются устройства, которые могут подключиться к беспроводной сети и при этом они не имеют дисплея, а также клавиатуры для ввода данных. WPA3 включает в себя функцию, которая позволит упростить процесс настройки безопасности для устройств, которые не имеют дисплея. На сегодняшний день, что-то похожее есть в Wi-Fi Protected Setup, которая включает в себя нажатие кнопки на маршрутизаторе для подключения устройства.         Более высокая безопасность для крупных организаций. WPA3 будет включать в себя «192-битный набор безопасности, в соответствии с коммерческими алгоритмом национальной безопасности (CNSA). Он предназначен для государственного, оборонного и промышленного применения. Комитет по системам национальной безопасности (CNSS) является частью агентства национальной безопасности США, поэтому изменение добавляет функцию, запрошенную правительством США, что позволяет реализовать более сильное шифрование на критически важных сетях Wi-Fi. На всех устройствах компании Cisco которые были перечислены в данной статье есть поддержка WPA3, но не стоит забывать, чтобы пользоваться WPA3 нужны совместимые устройства с этим протоколом. Так что некоторые устройства будут подключаться как раньше к WPA2, а другие через WPA3.  

Преимущества решений от Cisco Systems

  С точками доступа Cisco и беспроводными контроллерами можно получить ряд преимуществ:  

• Получение собранной и проанализированной информации для более эффективного использования сети.
• Автоматическое отделение и защита IoT- устройств от сети предприятия с помощью ПО Cisco Access.
• С помощью специализированной интегральной микросхемы Cisco (ASIC) для приложений расширяйте возможности беспроводного доступа с помощью интеллектуальных функций и получите комплексную защиту с помощью классификации уровня устройства 1 и защиты от вторжений.

Точки доступа Cisco Catalyst 9100 могут решать проблемы сети следующего поколения. Точки доступа являются отказоустойчивыми, интеллектуальными и обеспечивают интегрированную защиту для мобильных клиентов и устройств IoT.   Беспроводные решения Cisco отличаются отказоустойчивостью, имеют необходимую интегрированную защиту и используют адаптивный и проницательный интеллект, обеспечивающий полезную информацию о вашей сети. Благодаря основанным на намерениях сетям, построенным на архитектуре цифровой сети Cisco, наши беспроводные решения выходят за рамки новейшего стандарта Wi-Fi 6 (802.11ax) и готовы к растущим ожиданиям пользователей, устройствам IoT и облачным приложениям следующего поколения.   Благодаря способности обрабатывать увеличенный мобильный трафик, а также поддерживать IoT в масштабах, первые точки доступа Cisco Wi-Fi 6 с передовыми радиочастотными инновациями расширят беспроводной доступ с интеллектуальными возможностями и обеспечат безопасное и надежное высококачественное беспроводное взаимодействие для всех сетей. Компонентами беспроводной сети являются: точки доступа, контроллеры, командный центр, Cisco DNA Spaces.  

Технические характеристики

 

Точки доступа Cisco

  Cisco Catalyst 9130  

• Предназначен для крупного предприятия
• с четырьмя приёмопередатчиками (2,4 ГГц и 5 ГГц), FRA, IOT-ready (BLE и Zigbee) и оптимизирован для стандарта Wi-Fi 6
• Оснащен интегральной схемой Cisco RF ASIC для обеспечения обнаружения CleanAir, WIPS, DFS и поддерживает до 500 клиентов.

Cisco Catalyst 9120  

• Предназначен для средних и крупных предприятий
• с четырьмя приёмопередатчиками (2,4 ГГц и 5 ГГц), FRA, поддержкой IOT (BLE, Zigbee, Thread) и оптимизирован для стандарта Wi-Fi 6
• Оснащен интегральной схемой Cisco RF ASIC для обеспечения обнаружения CleanAir, WIPS, DFS и поддерживает до 500 клиентов.

Cisco Catalyst 9117  

• идеально подходит для небольших или средних развертываний
• Три радиомодуля (2,4 ГГц, 5 ГГц и BLE), соответствующие стандарту Wi-Fi 6
• поддерживает до 500 клиентов и доступен с внутренней антенной

Cisco Catalyst 9115 (на данный момент только эта серия сертифицирована в России).  

• идеально подходит для небольших и средних предприятий
• Три радиомодуля (2,4 ГГц, 5 ГГц и BLE) соответствуют стандарту Wi-Fi 6.
• Поддерживает до 500 клиентов и доступен с внутренней или внешней антенной

Cisco Aironet 4800  

• Целевое развертывание - крупные корпоративные организации, которым необходим критически важный трафик
• Оснащен четырьмя приёмопередатчиками (2,4 ГГц и 5 ГГц), встроенными BLE и FRA, интеллектуальным захватом, Hyperlocation и поддерживает 802.11ac Wave 2
• Поддерживает до 400 клиентов и может работать без контроллера через Mobility Express

Cisco Aironet 3800  

• отлично подходит для средних и крупных предприятий, требующих критически важных трафика
• Оснащен тремя приёмопередатчиками (2,4 ГГц и 5 ГГц) и FRA, способностью разрабатывать конкретные приложения с помощью отдельной платформы разработчика и поддерживает стандарт 802.11ac Wave 2.
• Поддерживает до 400 клиентов и может работать без контроллера через Mobility Express

Cisco Aironet 2800  

• Предназначен для средних и крупных предприятий, требующих расширенных функций
• Оснащен тремя приёмопередатчиками (2,4 ГГц и 5 ГГц) и FRA и поддерживает 802.11ac Wave 2
• Поддерживает до 400 клиентов и может работать без контроллера через Mobility Express

Cisco Aironet 1800  

• Четыре различных точки доступа на выбор, все идеально подходит для малого и среднего бизнеса
• Оснащен двумя приёмопередатчиками (2,4 ГГц и 5 ГГц), которые поддерживают стандарт 802.11ac Wave 2
• Поддерживает до 400 клиентов и может работать без контроллера через Mobility Express

Беспроводные контроллеры Cisco

  Cisco Catalyst 9800-80  

• отлично     подходит для крупных предприятий и сетей поставщиков услуг
• Соответствует стандарту Wi-Fi 6 с пропускной способностью 80 Гбит / с
• поддерживает 6000 точек доступа и 64 000 клиентов

Cisco Catalyst 9800-40  

• идеально подходит для средних и крупных предприятий
• поддерживает стандарт Wi-Fi 6 с пропускной способностью 40 Гбит / с
• поддерживает 2000 точек доступа и 24 000 клиентов

Cisco Catalyst 9800-L  

• Идеально подходит для малых и средних развертываний и предлагает две разные версии: медные и оптоволоконные каналы связи
• поддерживает стандарт Wi-Fi 6 с пропускной способностью 5 Гбит / с
• поддерживает 250 точек доступа и 5000 клиентов

Cisco Catalyst 9800-CL  

• Виртуальный контроллер беспроводной связи, который имеет несколько вариантов масштабирования, развертывание в общедоступном или частном облаке и доступен VMWare ESXi, KVM, Cisco ENCS, Amazon Web Services и Google Cloud Marketplace
• Wi-Fi 6, совместимый с пропускной способностью 2 Гбит / с
• Может поддерживать до 6000 точек доступа и 64 000 клиентов

Встроенный беспроводной контроллер Cisco на AP

   

• Нулевой вариант без физического устройства
• Простота развертывания и управления через веб-интерфейс или мобильное приложение.
• Может поддерживать до 100 точек доступа и 2000 клиентов

Cisco Catalyst 9800, встроенный в коммутатор Catalyst 9000  

• Устанавливается на коммутаторы Cisco Catalyst 9300 и идеально подходит для небольших кампусов или распределенных филиалов.
• Оптимизирован для стандарта Wi-Fi 6
• поддерживает 200 точек доступа и 4000 клиентов

Контроллер беспроводной локальной сети Cisco 8540  

• Отлично подходит для масштабного развертывания в сфере предоставления услуг, для предприятий и крупных кампусов.
• поддерживает стандарт 802.11ac Wave 2 с пропускной способностью 40 Гбит / с
• поддерживает 6000 точек доступа и 64 000 клиентов

Контроллер беспроводной локальной сети Cisco 5520  

• Предназначен для средних и крупных предприятий и кампусов
• 802.11ac Wave 2, совместимый с пропускной способностью 20 Гбит / с
• Поддержка 1500 точек доступа и 20 000 клиентов

Контроллер беспроводной локальной сети Cisco 3504  

• Идеально подходит для малого и среднего бизнеса
• Оптимизирован для 802.11ac Wave 2 с пропускной способностью 4 Гбит / с
• поддерживает 150 точек доступа и 3000 клиентов

 

          Cisco ISE – платформа следующего поколения для управления контроля доступа и идентификации. Позволяет организациям обеспечить соблюдение нормативных требований, при этом повысив уровень защищенности корпоративной ИТ-инфраструктуры и упростить управление работой сетевых сервисов. В режиме реального времени платформа получает контекстную информацию о устройствах в сети и принимает решение о предоставлении доступа на основе единых политик доступа, как для проводных, так и для беспроводных сегментов сети решает допускать устройство или нет.

         В рамках единой платформы Cisco ISE предоставляет высокопроизводительное и гибкое решение, предоставляющее сервисы аутентификации и учета, контроля доступа с учетом контекста, профилирование, оценку состояния и управление гостевым доступом. Администраторы будут иметь полную осведомленность о устройствах, находящихся в сети, при этом управляя политиками доступа к сети. Платформа ISE способна автоматически отслеживать оконечные устройства, прим этом классифицируя их и обеспечивая соответствие оконечных устройств, путем оценки их состояния защищенности перед предоставлением доступа к корпоративной ИТ-инфраструктуре.

 

ВОЗМОЖНОСТИ

 

         Cisco Identity Service Engine предоставляет следующие возможности:

 

• Внедрение средств аутентификации и авторизации пользователей и устройств, подключенных к беспроводным сетям и сетям VPN, обеспечивая соблюдение согласованной политики в масштабах всего предприятия
• Защита корпоративных активов и предотвращение несанкционированного доступа к сети
• Управление гостевым доступом
• Поддержка настраиваемых порталов и возможность публикации web-страниц для упрощения работы пользователей
• Обеспечение полномасштабного мониторинга
• Устранение уязвимостей на компьютерах пользователей путем проверки и корректировки их состояния, что позволяет нейтрализовать вирусы, черви и шпионские программы
• Соблюдение политик безопасности за счет блокировки и изоляции несоответствующих устройств, а также их обновление без привлечения администратора
• Поддержка встроенной консоли мониторинга, отчетности и устранения неполадок для упрощения работы специалистов службы поддержки и администраторов
• Активное сканирование устройств для повышения точности профилирования
• Управление доступом оконечных устройств к сети с помощью сервиса защиты оконечных устройств (EPS).

ПРЕИМУЩЕСТВА

 

         Cisco Identity Service Engine – это платформа предоставляющая ряд серьезных преимуществ:

 

• Развёртывание сложных, индивидуализированных политик доступа
• Снижение операционных расходов
• Уменьшение перебоев в работе сети и сокращение времени простоя
• Обеспечение соответствия нормативным требованиям

 

ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ

 

Для активации сервисов на платформе Cisco ISE требуется лицензия, их существует три типа:

• ISE BASE – используется для активации базовых сервисов, таких как: сервисы аутентификации, авторизации, гостевого доступа, мониторинга и устранения неполадок.
• ISE ADVANCED - Используется для активации расширенных сервисов, таких как оценка состояния оконечного узла, сервис профилирования, поддержки SGA и EPS. Для установки лицензии ISE ADVANCED требуется лицензия ISE BASE.
• ISE WIRELESS - Позволяет активировать все сервисы ISE, но только для устройств, подключенных к беспроводной сети.

         Существуют два варианта реализации устройств: аппаратные и виртуальные.

 

         Виртуальные устройства поддерживаются в VMware ESX/ESXi 4.x. Минимальные требования к виртуальной машине – это объем оперативной памяти не менее 4 Гбайт и не менее 200 Гбайт пространства на жестком диске.

 

Функция ISE	Cisco Express Bundle	Стандартная лицензия
Веб-аутентификация (локальная, центральная, регистрация устройства)	Да	Да
Гостевой портал и спонсорские услуги	Да	Да
API передачи (мониторинга) представительного состояния	Да	Да
Лицензия на ISE VM включена	Да	Да
Максимальное количество узлов на развертывание	1	50
Максимальные конечные точки на развертывание	5000	50000
Администрирование устройства (TACACS +)	Нет	Да
Cisco pxGrid	Нет	Да
Интеграция управления мобильностью предприятия и управления мобильными устройствами (EMM и MDM)	Нет	Да
Регистрация устройства (портал My Devices) и подготовка к работе ( для BYOD)	Нет	Да

Доля оконечного оборудования в любой современной мультимедийной сети составляет более 95% от общего числа сетевых устройств, и именно эти устройства в основном, являются конечной мишенью атак информационной безопасности. Хранение на них приватной информации (персональные данные, рабочие документы) с одной стороны, и фактическое ослабление контроля со стороны администраторов за поддержанием должного уровня защищенности – с другой - в комплексе, создают «питательную среду» для жизнедеятельности вредоносного ПО. Программное обеспечение FortiClient представляет собой продукт по обеспечению безопасности оконечных устройств (endpoints). Данный программный комплекс сочетает в себе мощное решение для обеспечения безопасности и простоту в использовании. При этом жесткие требования к ресурсам отсутствуют, и программа может быть установлена на устройство с минимальной производительностью. Для внедрения FortiClient нет никакой необходимости удалять другие приложения, борющиеся с вредоносным ПО, так как они будут все работать в комплексе.   Инструмент может использоваться на сервере управления (EMS) для обеспечения централизованного управления Endpoint-защиту, а также работать как самостоятельное решение, обеспечивая качественную защиту. Что представляет из себя FortiClient С точки зрения пользователя, FortiClient – это программа, устанавливаемая на компьютер, сервер или смартфон. Она предназначена для обеспечения защиты от широкого спектра угроз информационной безопасности. Помимо традиционных средств защиты имеется также ряд дополнительных возможностей, среди которых: VPN-клиент, система фильтрации веб-контента, контроль приложений, что заметно повышает надежность системы. [caption id="attachment_1369" align="aligncenter" width="300"] Веб-фильтр[/caption] Программное обеспечение FortiClient предназначено для защиты компьютеров и ноутбуков с ОС Windows, MacOSX, Linux, Ubuntu, Red Hat, CentOS, а также имеет версии для мобильных устройств и планшетов на базе операционных систем Android и iOS. Данные версии являются бесплатными и предоставляют базовую защиты от уязвимостей без ограничений. Версия для iOS ограничена функциями веб-фильтрации и клиента VPN, так считается, что Apple обеспечивает достаточную защиту от прочих угроз силами самой iOS. [caption id="attachment_1368" align="aligncenter" width="300"] Статистика блокируемых ресурсов[/caption] Однако для корпоративных пользователей необходимо приобрести FortiClient Enterprise Management Server (EMS), который имеет многоуровневые настройки обслуживания как абонентских, так и сетевых служебных устройств. Функциональные возможности FortiClient предназначен для обеспечения всесторонней защиты конечных точек (end points) от различных видов угроз. [caption id="attachment_1367" align="aligncenter" width="300"] Категории веб-фильтрации с обновлением в реальном времени[/caption] Защита от вредоносных программ обеспечивается за счет антивирусного ядра, который был разработан компанией Fortinet. Антивирусная защита осуществляется работой антивирусного монитора. Есть возможность создания расписания для проверки. [caption id="attachment_1366" align="aligncenter" width="300"] Результаты сканирования уязвимостей на компьютере Windows[/caption] Также FortiClient обеспечивает антивирусную проверку почтового трафика по протоколам POP3 и SMTP. Кроме этого в программе реализовано эвристическое сканирование и функция определения интернет-червей. В программе существует карантин, в который помещаются все подозрительные объекты (включается в настройках). Пользователь может посмотреть их в любой момент, отправить разработчикам для тестирования или сообщить о ложном срабатывании или добавить данный файл и/или папку в исключение для проверки их антивирусом. [caption id="attachment_1365" align="aligncenter" width="300"] Статистика попыток исполнения злонамеренного кода (Malware)[/caption] В FortiClient реализован персональный межсетевой экран, который обеспечивает защиту компьютера от сетевых атак и несанкционированных подключений. Существует возможность создания произвольного количества сетевых зон и их подразделения на несколько типов с определением отдельных правил для каждого типа. Для детектирования и блокировки сетевых атак, в файрволле есть система обнаружения вторжений (IPS). VPN-клиент является одной из ключевых особенностей FortiClient. С его помощью можно подключаться к корпоративным сервисам с использованием технологий IPSec и SSL. FortiClient обеспечивает защищенную виртуальную частную сеть с шифрованием, и поддержку нескольких шлюзов для одного туннеля. [caption id="attachment_1361" align="aligncenter" width="480"] Настройки Forticlient для Android[/caption] В данном продукте есть система блокировки спама, которая не требует никакой настройки, так как данный антиспам работает на основе подготовленных разработчиками правил, которые регулярно обновляются. Веб-фильтрация позволяет выборочно блокировать и мониторить веб-траффик на основе категорий интернет-сайтов. Позволяет настраивать опции безопасного поиска и списка исключений, а также предоставляет облачный рейтинг URL. [caption id="attachment_1364" align="aligncenter" width="561"] Настройки Forticlient для Apple iOS. Отсутствует все, кроме веб-фильтрации[/caption] WAN-оптимизация. Функция, которая реализована в FortiClient и оптимизирует WAN-соединения, что ускоряет работу различных сетевых приложений. Данная функция работает, когда доступ к WAN осуществляется через устройство Fortigate. [caption id="attachment_1362" align="aligncenter" width="300"] Настройки антивирусной защиты[/caption] Централизованное управление FortiManager позволяет управлять всеми политиками безопасности, что необходимо в корпоративных информационных системах. Для реализации используется продукт FortiManager. Он позволяет управлять программными и аппаратно-программными средствами защиты. FortiClient ведет подробный журнал своей работы, который можно посмотреть с помощью консоли управления. Кроме того, можно воспользоваться FortiAnalyzer, который позволит собирать информацию со всех средств защиты Fortinet, работающих в сети. Вывод данной информации происходит в удобном для просмотра виде. FortiClient Enterprise Management Server FortiClient Enterprise Management Server (EMS) – это решение, ориентированное на корпоративных пользователей и обладает несколько большим функционалом в отличии от бесплатной версии. Отличия от бесплатной версии: централизованное управление при наличии FortiManager, централизованный просмотр логов и генерации отчетов при наличии FortiAnalyzer, WAN-оптимизация при наличии FortiGate, техническая поддержка и частота обновлений баз данных (1 час у платной/ 1 день у бесплатной версии) Для того, чтобы функции EMS были реализован в полной мере необходима интеграция с другими продуктами Fortinet: FortiGate, FortiManager, FortiAnalyzer. Управление данным сетевым оборудованием производится с помощью FortiOS и обеспечивает безопасность в сети организации. FortiOS – это специализированная операционная система, которая является программной основой FortiGate и устанавливается на линейку сетевого оборудования Fortinet. Эта операционная система предлагает набор функций, позволяющий обеспечить безопасность в сети. Интеграция Компонент FortiClient изначально интегрирован с FortiSandbox. FortiClient автоматически отправляет файлы в «песочницу» для анализа в режиме реального времени. Данные об угрозах в режиме реального времени мгновенно распространяются по всей сети предприятия. FortiClient делится телеметрическими данными конечных точек с корпоративными межсетевыми экранами (МЭ) FortiGate для обеспечения соответствия требованиям безопасности конечных точек. Данные телеметрии повышают рейтинг безопасности. Централизованное управление FortiGate + EMS осуществляет регистрацию, проверку соответствия и оповещения новых конечных точек. Позволяет развернуть FortiClient с подготовленным профилем на конечной точки, проводить мониторинг узлов. Интеграция с FortiAnalyzer/FortiManager/FortiSIEM Вместе с телеметрией конечных точек FortiClient отправляет свои журналы событий, в том числе данные об уязвимостях, трафике и событиях, с центр управления сетью и центр управления безопасности для экспертного анализа угроз. FortiAnalyzer предоставляет сводки по узлам, по угрозам, отчеты антивируса, веб-фильтра, угрозы по времени, угрозы по устройству/пользователю, отчеты по VPN. Интеграция с FortiAuthenticator обеспечивает безопасный вход и двухфакторную проверку подлинности. Таким образом, FortiClient является одним из лучших решений для защиты конечных устройств от продвинутых атак, сочетая в себе простоту и надежность:

• Доступен для множества ОС таких как Windows, Linux, iOS, Android и др.
• Выявление и подавление продвинутых угроз
• Масштабируемое централизованное управление
• Интеграция с другими сетевыми устройствами Fortinet

 

Cisco AMP: Платформа для борьбы с вредоносным кодом Развитие киберпреступности в мировой информационной среде происходит параллельно с развитием технологий создания вредоносного программного обеспечения (ВПО). На сегодняшний день, ранее неплохо показавшая себя концепция сигнатурного анализа уже не обеспечивает должной степени защищенности (скорости и качества обнаружения угроз). Широкая распространенность бесфайлового вредоносного ПО, использующего уязвимости программ, также затруднила использование традиционных методов анализа угроз. В центре внимания – анализ угроз! Жизненный цикл атаки имеет три стадии и важно обеспечить комплексную защиту в каждой из них

• До атаки (исследование, внедрение политик, укрепление)
• Во время атаки (обнаружение, блокирование, защита)
• После атаки (локализация, изолирование, восстановление)

Что известно о вредоносном ПО?

• Это сложные программные продукты, разработанные квалифицированными программистами.
• Имеют высокий уровень доработки.
• Внедрение одного модуля вредоносного ПО приведет к внедрению других уникальных модулей.
• Развитая индустрия создания вредоносного ПО с большими бюджетами и высокой заинтересованностью.
• Лучшие методы разработки и отладки.

  Cisco Advanced Malware Protection (AMP): обзор и детали             Программное обеспечение Cisco Advanced Malware Protection (AMP) предназначено для предотвращения атак на всем их жизненном цикле. АМР проводит точечное обнаружение, проверяя репутацию файла и анализируя его поведение, а также обеспечивает ретроспективную безопасность для непрерывной защиты. Сisco AMP имеет следующие основные преимущества:

• Защита на всех стадиях жизненного цикла атаки (до атаки, во время атаки, после атаки)
• Защита на нескольких рубежах (сеть, хосты, контент)
• Различные механизмы обнаружения (точечное, ретроспективная безопасность)

Cisco AMP обеспечивает полную защиту среды

• Защита сетей. Сетевая платформа использует индикаторы компрометации, анализ файлов и траекторию файла, чтобы показать перемещение вредоносного файла по сети и кого он успевает заразить. Реализуется как отдельное устройство или включением AMP на устройствах FirePower или ISR G2/4k. Идеально подходит для пользователей NGIPS/NGFW и ISR.
• Защита оконечных устройств. Платформа для оконечных устройств показывает траекторию и обеспечивает гибкий поиск и контроль атак. Устанавливается на стационарные и мобильные устройства, включая виртуальные. Подходит для Windows, Mac, Android, VM.
• Защита Web и Email. Платформа для средств конечной фильтрации обеспечивает гибкий поиск и контроль атак в почтовом и web-трафике. Подходит для пользователей решений Cisco для защиты электронной почты и обеспечения безопасности веб-трафика.

  Cisco Advanced Malware Protection (AMP): детали Cisco AMP защищает с помощью репутационной фильтрации и анализа поведения файла.   Фильтрация по репутации основывается на трех функциях:

1. Идентичная сигнатура.

Сначала сигнатура неизвестного файла анализируется и отправляется в облако. Если известно, что сигнатура файла является вредоносной, то ей запрещается доступ в систему. Если доступ в систему пытается получить модификация того же файла, то при сравнении сигнатур они оказываются аналогичными и доступ в систему так же запрещается.

2. Нечеткие идентифицирующие метки

Метаданные неизвестного файла отправляется в облако для анализа и если они признаются потенциально опасными, то файл сравнивается с известным вредоносным ПО и подтверждается как вредоносный. Если метаданные аналогичны известному безопасному файлу, то файл подтверждается как безопасный.

3. Машинное обучение.

Неизвестный файл проанализирован и обнаружены признаки саморазмножения. Эти данные передаются в облако. Об этих действиях сообщается пользователю для идентификации файла как потенциально вредоносного. Машинное обучение автоматизирует классификацию файлов на основе общих сложных признаков, а также позволяет находить и классифицировать то, что не под силу человеку, из-за возможности анализа больших объемов данных.             Поведенческое обнаружение основывается на четырех функциях:

1. Признаки вторжения.

Неизвестные файлы загружаются в облако, где механизм динамического анализа запускает их в изолированной среде.

2. Динамический анализ

Проводится анализ файла на основе информации о неопознанном ПО от устройств фильтрации по репутации и на основе контекста для неизвестного ПО на основе коллективной пользовательской базы. Если было идентифицировано вредоносное ПО, то оно добавляется в новую сигнатуру в пользовательской базе.

3. Расширенная аналитика

Сопоставляет потоки устройств и производит мониторинг источника и приемника, входящего/исходящего трафика в сети. При обнаружении неизвестного файла, связанного с определенным IP-адресом, то проводиться проверка внешнего IP-адреса. Если IP-адрес подтвержден как вредоносный, то файлы от него будут идентифицироваться как вредоносные.

4. Сопоставление потоков устройств

Мониторятся внутренние и внешние сети, обновляются данные по репутации IP-адресов. Позволяет блокировать или предупреждать о любых сетевых действиях.   Cisco AMP обеспечивает ретроспективную защиту Ретроспективная защита имеет следующие функции:

1. Ретроспективное отслеживание событий

Ретроспективная защита основана на анализе при первом обнаружении файлов и дальнейшем анализе файла, чтобы видеть изменение ситуации. Обеспечивает контроль пути, действий или связей конкретного элемента ПО.

2. Создание цепочек атак

Анализирует данные, собранные ретроспекцией файлов, процессов и связи для обеспечения нового уровня интеллектуальных средств мониторинга угроз. С помощью связывания цепочки атак Cisco AMP способна распознать шаблоны и действия указанного файла и идентифицировать действия, производя поиск в среде.

3. Поведенческие признаки вторжения

Анализ поведения неизвестного файла, изучение его траектории, способом распространения, входной точки и затронутых систем.             Аналитики изолированной зоны переделяют что файл вредоносный и уведомляют все устройства.

4. Траектория

Запись траектории перемещения файла на устройстве и запись основной причины, происхождения и действия файла в системе. Эти данные позволяют указать точную причину и масштаб вторжения на устройство.

5. Поиск нарушений

Позволяет производить быстрый поиск поведения неизвестного файла, давая возможность определить вредоносные файлы. Работает поиск нарушений с помощью использования индикаторов, для мониторинга и поиска конкретного поведения в среде. Варианты реализации Cisco AMP Вариант реагирования на обнаруженный вредоносный код зависит от варианта реализации Cisco AMP:  

• AMP for Endpoints

Режим аудита- разрешить запускать вредоносный код

Пассивный режим- не ждать ответа из облака и запускать вредоносный код (блокировать после)

Активный режим- ждать ответа из облака, не запуская файл

• AMP for Content Security

Пропустить, заблокировать или поместить в карантин

 

• AMP for Networks

Пропустить, заблокировать или сохранить вредоносный код

    Расследование и реагирование на инциденты с помощью Cisco AMP Файлы, передаваемые по сети, можно захватывать и сохранять для дальнейшего анализа. Можно посмотреть полную информацию о вредоносном коде. Помимо анализа уязвимостей, в AMP for Endpoints реализован механизм анализа уязвимого ПО на узлах (оконечных устройствах). Ретроспективный анализ файлов позволяет определить какие системы были инфицированы, кто был инфицирован, когда и почему это произошло. Помимо этого, можно узнать, что было отправной точкой заражения. Ретроспективный анализ процессов позволяет определить, как угроза попала на узел, что происходит на узле, как угроза взаимодействует с внешними узлами и какова последовательность событий. Есть возможность ручного анализа, так как нередко возникает необходимость проанализировать файлы на различных носителях, а также проводить более глубокий анализ вредоносных программ.   Cisco AMP Threat Grid Cisco AMP Threat Grid – это платформа для глубокого анализа вредоносного кода. Позволяет проводить детальный анализ вредоносного ПО и использовать типовые сценарии, интегрировать и автоматизировать механизмы обеспечения безопасности. Развернуть Cisco AMP Threat Grid можно вне облака, а на территории заказчика, что позволяет проводить локальный анализ вредоносного ПО с полной поддержкой облака. Все данные остаются на территории заказчика. Непрерывный однонаправленный поток данных из облака для актуализации контекста.   Cisco AMP Private Cloud В обычном варианте развертывания, обезличенный "отпечаток" файла с мета-данными  данные пользователя и признаками компрометации помещается для анализа в облачную базу данных центра безопасности Cisco Systems.  В том случае ,если политики безопасности компании не позволяют пересылать содержимое частных файлов ,или если каналы интернет не позволяют этого сделать из-за небольшой пропускной способности, компания Cisco предлагает развернуть на площадке компании "частное облако" FireAMP Private Cloud.  В данном случае можно локально управлять политиками, траекторией файлов, траекторией процессов, пользовательскими сигнатурами, анализировать инциденты, генерировать отчеты, кешировать вердикты и управлять персональными данными.            

Cisco Next Generation Firewall (NGFW) Серия межсетевых экранов Cisco NGFW представляет собой программно-аппаратный комплекс - межсетевой экран нового поколения с унифицированным управлением и активной защитой от угроз до атаки, во время нее и после сетевой атаки. Cisco NGFW занимает лидирующие позиции среди мировых производителей межсетевых экранов. Центр исследования угроз и информационной безопасности Cisco Talos Intelligence Group является одним из крупнейших центров исследования и защиты от угроз безопасности. В помощь команде разработчиков и инженеров используется непревзойденная система сбора и обработки телеметрии, сложные системы для создания точного, быстрого и действенного анализа угроз для клиентов, продуктов и услуг Cisco. Cisco Talos Intelligence Group защищает оборудование клиентов от известных и возникающих угроз, обнаруживает новые уязвимости в обычном программном обеспечении и блокирует угрозы на свободе, прежде чем они смогут нанести дальнейший вред Интернету в целом. Talos поддерживает официальные наборы правил Snort.org, ClamAV и SpamCop, а также выпускает множество исследований с открытым исходным кодом.ежедневно блокирует более 20 миллиардов угроз. Работа центра позволяет автоматизировать процесс обнаружения и исключения угроз безопасности. Cisco Next Generation Firewall является лидером в отрасли безопасности и имеет высокие оценки аналитиков. Время для обнаружения успешного нарушения составляет примерно 4.6 часов, когда у других на это уходит примерно 100 дней. При этом автоматизация безопасности позволяет уже за первый год сэкономить большую часть средств.

Модельный ряд Cisco NGFW

ASA 5500-X c сервисами FirePower- подходит для малого бизнеса, небольших офисов, распределенных предприятий. · Пропускная способность межсетевого экрана и осмотр угрозы от 256 до1750 мегабайт. · Содержит следующие логические модули: межсетевой экран, AVC, NGIPS, AMP, URL фильтры.

Cisco FirePower 2100 Series – это решение преимущественно для небольших центров обработки данных. · Пропускная способность и стабильная работа с проверкой угроз на скоростях от 2.0 до 8.5 гигабайт. · Содержит те же логические модули, что и ASA 5500-X: AVC, NGIPS, AMP, URL фильтры.

Cisco FirePower 4100 Series – продукт, позиционируемый преимущественно для высокопроизводительных корпоративных сетей. · Пропускная способность и осмотр угрозы от 20 до 60 гигабайт. · Имеет межсетевой экран, AVC, NGIPS, AMP, URL фильтрацию, DDoS (Radware vDP).

Cisco FirePower 9300 Security Appliance- подходит для поставщиков услуг, центров обработки данных. · Пропускную способность 225 гигабайт и проверку угроз до 90 гигабайт. · Имеет межсетевой экран, AVC, NGIPS, AMP, URL фильтры, DDoS (Radware vDP)

   

Управление NGFW

Управление осуществляется с помощью следующих программных продуктов:

- Cisco FirePower Management Center (FMC) - обеспечивает централизованное управление в Cisco FirePower NGFW (FTD OS), Cisco ASA c FirePower Services, Cisco FirePower NGIPS и Cisco AMP for Networks. Firepower Management Center рекомендован для более чем одного NGFW или NGIPS устройства. Используется в случае, если есть потребность в отслеживании корреляции событий безопасности, расширенной отчетности, автоматизированном реагировании на угрозы. Продукт позволяет создавать многопользовательские иерархические схемы управления, обеспечивает единообразие и наследование политик.

- Cisco Security Manager (CSM) - обеспечивает централизованное управление для Cisco ASA 5500 Series appliances и различных приборов от Cisco (ASA OS).

- FirePower Device Manager (FDM) программный продукт, приходящий на смену Cisco Adaptive Security Device Manager (ASDM). Данное программное обеспечение работает, как тонкий клиент, и не использует Java. Веб-управление через браузер позволит быстро ввести в действие новый межсетевой экран при помощи ответов на вопросы мастера настройки. Имеет простой и интуитивный интерфейс с единой панелью мониторинга.

- Cisco Defense Orchestrator (CDO) - предлагает облачное централизованное управление системы для последовательного управления политикой на ASA устройствах в пределах распределенных предприятий. Cisco Defense Orchestrator позволяет упростить и унифицировать политики для NGFW, Umbrella и Web Security Appliance (WSA). Имеет функционал для создания шаблонов политик и моделирования политик перед их внедрением. Удобен для выявления ошибок в конфигурации. Оперативно реагирует на угрозы. Оркестрация изменений в политиках из единого центра.

- Cisco Adaptive Security Device Manager (ASDM) - продукт с длинной историей, на протяжении многих лет обеспечивающий веб-управление для межсетевого экрана ASA. Новый продукт ASDM с сервисами Firepower – это быстрый и удобный способ для перехода на сервисы Firepower с сохранением ASA OS. Автономное решение для настройки политик и правил обеспечения безопасности.

          Операционная система Firepower Threat Defense – это обновленная операционная система для Cisco ASA, включающая в себя как функции Cisco ASA, так и службы FirePOWER. Из функций стоит упомянуть следующие:

• Ориентированный на защиту от угроз модуль Next Generation IPS;
• Мониторинг и контроль приложений (AVC);
• Фильтрация URL;
• Защита от усовершенствованного вредоносного ПО Advanced Malware Protection (AMP);
• МСЭ с контролем состояния сеансов (Stateful Firewall);
• NAT, ACL, VPN, маршрутизация RIP, OSPF, BGP;
• Инспекция протоколов SSL;
• Интеграция со службами ISE (ААА, порталы входа).

Основные возможности NGFW

Мониторинг и контроль приложений (AVC). База знаний Cisco насчитывает более 4000 приложений и способна видеть и понимать риски, контролировать приложения, контролировать приоритет трафика и поддерживать собственные приложения.

Расшифрование и инспектирование SSL. Блокирует зашифрованный трафик, инспектирует или расшифровывает его. Расшифровка на базе URL категорий и проверка расшифрованных пакетов. Ведение журналов для SSL сессий.

Контроль веб-трафика и защита от угроз. Классификация более 280М URLs, веб-фильтрация более 80 категорий, управление белыми/черными списками и блокировка подозрительных URL.

Предотвращение вторжений (NG IPS) с учетом контекста и приложений. Проводится анализ сетевого трафика, корреляция данных, обнаружение скрытых угроз, реагирование на основные степени риска угрозы.

Защита от продвинутого вредоносного ПО. Блокирование известного вредоносного кода, анализ файлов в безопасной среде (облачная «песочница»), обнаружение новых угроз, реагирование на угрозы.

Cisco Threat Intelligence Detector (CTID). Собирает данные об угрозах, коррелирует события от сенсоров, подготавливает обширные отчеты об инцидентах, уточняет состояние безопасности.

Алгоритм использования знаний об угрозах. Сбор информации об угрозах из внешних источников, автоматическое блокирование угроз с использованием индикаторов компрометации. Используется единая консоль для интеграции с TAXII и CSV источниками.

Варианты управления межсетевым экраном Cisco NGFW Существует несколько вариантов управления: централизованное, автономное, облачное.

• - Централизованное. Управление политиками, событиями и устройствами с помощью Firepower Management Center (FMC), а также аналитика, адаптированные рекомендации для политик и автоматизация.
• - Автономное. Простое автономное решение для типовых настроек политик и правил обеспечения безопасности с помощью Firepower Device Manager (FDM) и ASDM with FirePower services.
• - Облачное. Централизованное облачное управление политиками для NGFW, WSA, Umbrella с помощью Cisco Defense Orchestrator (CDO).

  Особенности флагманских моделей Firepower 4100 и 9300. Оптимизация и повышение производительности Разгрузка потока Flow Offload На FirePower 4100 и 9300 используется программируемый Smart NIC, траффик полностью исключается из процесса проектирования, разработан специально для больших продолжительных потоков. Применяется в доверенном трафике, например, резервное копирование. Поддерживает до 4 млн offloaded stateful соединений. Access Control: Действие Trust Трафик исключается только из процесса глубокого инспектирования и процесса discovery. Возможны следующие функции, связанные с трафиком:

• Аутентификация пользователей
• Ограничение полосы пропускания

Intelligent Application Bypass (IAB) IAB идентифицирует приложения, которым вы доверяете проходить через межсетевой экран без последующего инспектирования в случае повышения преднастроенного порога производительности, потоков (flow) и пакетов. Варианты Bypass

• Flow Offload. Политика Prefilter, правило с действием Fastpath – трафик полностью исключается из процесса инспектирования
• Trust. Политика Access Control, правило с действием Trust – трафик исключается только из процесса глубокого инспектирования и discovery. Возможны функции: аутентификация пользователей, ограничение полосы пропускания
• IAB. Политика Access Control, функция Intelligent, Application Bypass – идентификация приложения и передача без последующей инспекции в случае повышения преднастроенного порога производительности, потоков (flow) и пакетов

Режим: Turbo Performance На Firepower 9300 этот режим включается автоматически. Позволяет увеличить производительность FTD OC и ASA OC. Все х86 CPU ядра временно повышают тактовую частоту:

• Включение, когда 25% Data Plane ядер загружены на 80%
• Отключение, когда нагрузка падает ниже 60%
• Прирост производительности 10-20%

  Режимы работы NGFW  

- Routed Mode- традиционный маршрутизируемый режим. Самый распространенный вариант для защиты границы сети. Два или более сетевых интерфейсов разделяют L3 домены – МСЭ, маршрутизаторы или шлюзы по умолчанию.

- Transparent Mode- МСЭ функционирует как мост и работает на L2. Прозрачный режим может использоваться на границе сети, чаще в центрах обработки данных, кампусных сетях, там, где нельзя добавить L3 hop и изменить логическую топологию сети.

- Режим NGIPS- ЦОД с Pass-through режимом для VLAN и типичный IDS режим там, где требуется анализ SPAN трафика, например, периметр.

- Integrated Routing и Bridging (IRB) комбинирует маршрутизируемый и прозрачный режимы работы МСЭ. Используется как «программный коммутатор» в маршрутизируемом режиме, например, для хостов в периметре DMZ.

Защита от SSL Resign RFC 7469 Public Key Pinning for HTTP: механизм обеспечения безопасности от MITM, использующий HTTP заголовок для защиты HTTPS сервера и его пользователей. Пользователь заходит на легитимный веб-сайт, идет проверка сертификатов. Цепочка содержит как минимум один ожидаемый pinned certificate. Пользователь заходит на вес-сайт злоумышленника. Цепочка сертификатов не содержит ни одного pinned certificate. Политики на основе репутационных списков IP & URL IP & URL динамические репутационные списки. Источники: динамические списки TALOS и сторонние поставщики. Категории: DGA, Exploit Kit, Suspicious, Malware, Phishing, CnC, открытые прокси и т.д. Реакция: Allow, Monitor, Block, Interactive Block Использование тегов IoC. Белые и черные списки. Security Intelligence: репутационные списки IP & URL Категория и описание:

• Attacker – активные сканеры и узлы из черного списка известные исходящей злонамеренной активностью
• Malware- сайты, на которых размещаются вредоносные программы (malware) или exploit kits
• Phishing- сайты, на которых размещены phishing страницы
• Spam- Почтовые узлы, рассылающие спам
• Bots- сайты, на которых размещены malware droppers
• CnC- серверы управления botnet-сетями
• Open Proxy- открытые прокси/ прокси анонимайзеры
• Open Relay- открытые почтовые Relay
• Tor Exit Node- точки выхода Tor
• Bogon- сети Bogon и нераспределенные IP-адреса

Контроль DNS Функции:

• Динамические интеллектуальные репутационные списки.
• Сети взломанных компьютерных систем с публичными записями DNS (fast-flux домены).
• DNS списки: C&C, Spam, Malware, Phishing и т.д.
• Реагирование: блокировка, Sinkhole- ловушка, мониторинг.
• Индикаторы компрометации.

Дополнительные категории для безопасности DNS:

• DGA- алгоритмы, используемые для генерации большого количества доменных имен (для распространения вредоносного ПО), действующих как точки рандеву с их серверами управления
• Exploit Kit- инструменты, предназначенные для выявления уязвимостей программного обеспечения на клиентских компьютерах
• Response- списки IP/URL -адресов, которые, активно участвуют в злонамеренной / подозрительной деятельности
• Suspicious- узлы с подозрительными файлами, характеристики которых схожи с известными вредоносными программами

  Сценарии развертывания NGFW Site-to-Site VPN и Remote Access VPN Site-to-Site VPN: Центральная и удаленные площадки. Поддержка динамических IP адресов для удаленных устройств, резервные каналы. Удаленный защищенный доступ с FirePower. Безопасный SSL/IPsec AnyConnect доступ к корпоративной сети. Все возможности для защиты мобильных пользователей. Интуитивный мастер настройки RA VPN Wizard. Инструмент для мониторинга проверки работоспособности (Troubleshooting). Удаленный защищенный доступ с использованием Cisco AnyConnect VPN Сценарии использования:

• Split или Full tunnel
• Гибкие профили
• Аутентификация имя/пароль и/или сертификат

FirePower – это надежное решение для защиты корпоративной сети использующее передовые возможности для зашиты от продвинутых угроз.    

Одна из основных ИТ-проблем в современной крупной компании – это большое количество разнообразных автоматизированных систем, созданных и поддерживаемых различными производителями. Некоторые из этих систем  используются непосредственно для производства, продаж и поддержки бизнес-решений, часть из них нужна для решения вспомогательных задач (работа с персоналом, логистика, маркетинг), но абсолютно у всех них без исключения есть ряд общих свойств, затрудняющих как взятие новых бизнес-высот компанией, так и удержание имеющихся:

• Каждую из систем необходимо поддерживать в актуальном состоянии;
• Для каждой из систем необходимо управлять правами пользователей.

Обилие инструментов управления для каждой из систем приводит к необходимости содержать штат технических специалистов, которые будут заниматься мониторингом, управлением, отслеживанием тенденций и поддержкой систем. Отдельную трудность представляет тот факт, что действия различных специалистов в адрес обслуживаемых ими систем должны обязательно быть согласованы между собой.

Система информационной безопасности в компании является точно таким же камнем преткновения для бизнеса, местом приложения усилий, сил и средств, к тому же требующее от персонала разнообразной и высокой квалификации. И, пожалуй, самое неразрешимое противоречие для специалистов кроется в том, что в рамках решения «боевых» задач им необходимо коммуницировать друг с другом и согласовывать свои действия, к чему технические специалисты чаще всего совершенно не приспособлены, и делают это неохотно.  Потребность в постоянном арбитраже и согласованности действий администраторов приводит к замедлению работы инфаструктуры в целом и ведёт к большим неудобствам работы пользователей.

В системе информационной безопасности указанные проблемы осложняются тем, что по современным стандартам безопасности обязательным условием функционирования системы является журналирование ее работы. Обилие журналируемой информации, поступающей  от всех систем, приводит к снижению уровня осведомленности сетевых администраторов,  усилению непрозрачности инфаструктуры по мере её роста. По мере увеличения количества несогласованных между собой инструментов управления безопасности, управляемость системы драматически падает.

Таким образом, охарактеризовать традиционную систему безопасности в крупной компании в целом можно следующим образом:

• Вместо проактивного (упреждающего) реагирования на инциденты безопасности приходится реагировать реактивно, то есть, по факту свершившегося инцидента (потеря управления компьютером в результате атаки ransomware, заражение компьютеров ботнетами, фишинг данных);
• Основной ресурс персонала используется для поддержки тех или иных систем.
• Сбор данных о работе систем (журналирование) происходит, но в отсутствии централизованных инструментов аналитики, автоматизированных средств корреляции событий, информация остается незадействованной, так как вручную выполнять эту работу невозможно.

Все указанные факторы повышают сложность обнаружения инцидентов безопасности, и своевременного реагирования на них.

Если говорить в целом об управлении данными и информационными технологиями, обычно в компаниях встречается смесь двух традиционных подходов: «Операционный» и «Безопасность».

При «Операционном» способе управления все усилия административного персонала сосредоточены на обеспечение максимально эффективной работы инфраструктуры. Основной упор делается на скорость, надежность передачи данных внутри сетевой инфаструктуры, а также, что гораздо важнее, быстрого и беспрепятственного доступа к данным по упрощенной схеме (листочек с паролем на мониторе). Данный подход безусловно, снимает все препоны по доступу к данным для персонала компании, и ему остается лишь выполнять свои рабочие обязанности, не отвлекаясь на трудности доступа к данным. К сожалению, в этом случае доступ к данным облегчен не только персоналу компании…

При превалировании концепции «Безопасность», упор делается на обеспечение максимального уровня защищенности критичных данных, в ущерб производительности и простоте доступа к ним.

Два этих подхода всё время конкурируют между собой. Если IT-персонал делает упор на то, что функции безопасности являются вторичными по отношению к надежности и скорости передачи данных, то «безопасники» считают что необходимо обеспечить безопасность, а надежностью и скоростью можно пожертвовать. Такой подход ведёт к рассогласованию работы инфаструктуры, замедлению её работы и к сложностям в реагировании на возникающие инциденты.

Современный подход к построению систем управления инфраструктуры в целом, на базе «Центр управления сетью - Центр управления безопасностью», или NOC-SOC (Network Operation Center – Security Operation Center), был сформирован и принят ведущими производителями программного и аппаратного обеспечения, базирующимся на следующих постулатах:

• Оптимизация только процессов управления инфраструктурой оставляет нас незащищенными;
• Оптимизация лишь процессов обеспечения безопасности делает инфраструктуру слишком «медленной» и весьма неудобной для использования;
• Оптимизация обоих процессов в отдельности друг от друга нецелесообразна, так как процессы обеспечения безопасности и процессы доступа к данным тесно связаны друг с другом.

Концепция NOC-SOC – это попытка оптимизировать как операционную деятельность по предоставлению доступа к данным, так и деятельность по обеспечению безопасности. Получившаяся после объединения единая панель управления позволяет повысить эффективность работы инфаструктуры практически по всем направлениям, от защищенности до надежности передачи данных и скорости расследования инцидентов для обнаружения уязвимости и их устранения.

Современный NOC-SOC может быть реализован, в частности, с использованием продуктов Fortinet. Программные инструменты FortiManager, FortiAnalyzer, FortiSIEM позволяют обеспечить возможность совместного управления, как операционной деятельностью, так и деятельностью безопасности, централизованно собирать и хранить журналируемые данные с различных систем, и управлять ими. Такой подход позволит повысить прозрачность, осведомленность о состоянии инфаструктуры в целом, исключить критичные сбои и неполучение событий. Функция мониторинга и управления угрозами также получает единую

точку, в которой будут мониториться и отображаться всевозможные угрозы внутри инфаструктуры.  Это весьма удобно для управления и также снижает время на обнаружения расследования. Использование единой панели управления позволяет снизить  возможность ошибок конфигурирования систем из-за человеческого фактора, повысит скорость реагирования на инциденты безопасности. При возникновении сбоя, реакция системы ответственной за противодействие будет более быстрой и эффективной.

Программное обеспечение FortiAnalyzer : глубокая аналитика

Программный продукт FortiAnalyzer представляет собой автоматизированную систему управления, хранения и журналирования информации в рамках сетевой инфаструктуры. Система позволяет собирать данные с таких устройств как FortiGate, FortiSwitch, FortiAP, FortiClient, FortiMail, FortiSandbox, FortiWeb, FortiAuthenticator, FortiDDoS и FortiManager.

Межсетевой экран FortiGate, наряду с клиентским защитным программным обеспечением FortiClient, является основным источником данных для FortiAnalyzer. Занимается сбором и сохранением данных телеметрии (трафик, событиями безопасности, статусу оконечного устройства).

Основные возможности FortiAnalyzer:

• Сбор и централизованное хранение телеметрии, данных об оконечных устройствах и трафике;
• Мониторинг уязвимостей оконечных устройств, включая инциденты безопасности, отсутствие обновлений программных продуктов, и степень соответствия оконечных устройств заданным правилам безопасности;
• Журналирование информации о событиях в сети;
• Многочисленные отчеты по безопасности с возможностью перевода шаблонов отчетов на русский язык;
• Активность в режиме реального времени и отслеживание тенденций (трендов), визуализация, приоритизация процессов мониторинга.
• Сервисы обнаружения индикаторов компрометации, как средство ускорения обнаружения уязвимости, быстро оповещает персонал об обнаруженных уязвимостях.

Программно аппаратный комплекс (ПАК) FortiAnalyzer  включает в себя 7 различных моделей, производительность хранения от 200 ГБ до 8.3 ТБ логов в сутки, встроенные хранилища от 12 ТБ 240 ТБ.

Виртуальные машины – 3 модели VM, лицензирование по кол-ву ГБ журналов в сутки и максимальному размеру хранилища, постоянная лицензия.

 

 

Программное обеспечение FortiManager : единая среда управления

Fortimanager позиционируется как продукт единой системы управления для всеми устройствами  FortiNet в составе сетевой инфраструктуры, а именно: Access Points, FortiSwitch, FortiClient, FortiClient, FortiAnalyzer, VPN Manager, Fortigate.

С помощью Fortimanager можно осуществлять конфигурирование межсетевых экранов FortiGate индивидуально или в составе шаблонов политик и групп, управление построением VPN, отслеживание текущего статуса устройств.

Возможна интеграция FortiManager с FortiAnalyzer, когда все функции в том числе: FortiView, NOC, Log View, Event Manager, Reports появляются в составе FortiManager и таким образом пользователь системы получает единую консоль управления. Эта консоль включает в себя: Device Manager, Policy & Objects, AP Manager, FortClient Manager, VPN Manager, FortiGuard, System Settings, FortiSwitch Manager. FortiManager может выступать, как единая точка обновления для всех устройств подключенных к нему.   FortiAnalyzer добавляется как управляемое устройство к FortiManager, дальше появляется в составе управляемых устройств, указывается его IP-адрес и учётные данные для доступа. После чего производится синхронизация данных между Analyzer и Manager и в дальнейшем ведётся управление только через FortiManager.

Модельный ряд FortiManager

Как и в случае с FortiAnalyzer он доступен в виртуальном, так и в аппаратном исполнении.

ПАК: 6 моделей, управление от 30 до 100000 устройств, объемы встроенного хранилища от 1 ТБ до 48 ТБ

Виртуальные машины: 3 модели, лицензирование по количеству управляемых устройств с возможностью масштабирования, постоянная лицензия

Масштабирование: до 100000 устройств 1

Как сильно успешность малого бизнеса зависит от кибербезопасности? Владельцу малого бизнеса бывает трудно определить, что именно представляет собой достаточный комплекс мер по обеспечению безопасности, а что будет являться избыточным.

Постановка задачи на оптимизацию безопасности в малом бизнесе обычно выглядит следующим образом: сохранить конфиденциальные данные о бизнесе и клиентах, не вкладывая при этом большие деньги в системы кибербезопасности.

Реальность сегодняшнего дня состоит в том, что каждая компания нуждается в кибербезопасности, независимо от того, насколько они маленькие. И на самом деле, малый бизнес - популярная цель для киберпреступников; Мало того, что малые предприятия имеют больше ИТ-уязвимостей, они также имеют ценные данные клиентов и точки доступа к крупным компаниям, с которыми они работают.

Однако это не означает, что киберпреступники тратят часы, пытаясь взломать ваш малый бизнес. В большинстве случаев, хакеры действуют при помощи автоматизированных средств, предпринимая бесчисленные попытки проникновения вредоносных программ, фишинг-атак и перебора паролей, надеясь получить хоть какой-нибудь доступ к внутренней инфраструктуре, и затем проверить безопасность на степень эшелонированности.

Какие риски несет небольшая компания с точки зрения ИБ?

I Персональные данные

Любая компания, в которой есть хоть один сотрудник, является оператором персональных данных. Согласно Федеральному закону РФ номер ФЗ-152 "О персональных данных», компания-оператор обязана должным образом обеспечить сбор, хранение, доступ и утилизацию персональных данных. Нарушение данных условий регламентируется статьей 13.12 КоАП. Наиболее важные пределы ответственности в случае нарушения установленного законом порядка следующие:

• Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных (пример: киберпреступник получил доступ к личным листкам кадрового департамента)  – до 30 тысяч рублей для юридических лиц;

• Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ – до 50 тысяч рублей.

            II Данные по контрагентам

Сроки, условия, стоимость договоров, использованные ноу-хау, участвующие в договорах стороны – все это как правило, служит предметом конфиденциальности между контрагентами. Вся ответственность за нарушение конфиденциальности в данном случае, зависит от воли сторон, заключивших договор, и в случае нарушения штраф может достигать практически, любых сумм.

Как киберпреступники нападают на малый бизнес

E-mail

Большинство проникновений в сети малого предприятия осуществляются в форме мошенничества с электронной почтой. В большинстве случаев это вредоносное ПО, скрытое во вложении электронной почты, хотя малые предприятия могут также пострадать от фишинга.

Ransomware

Одна из проблем, являющаяся актуальной для владельцев бизнеса любого размера. Путями для эксплуатации данной уязвимости являются незащищенные удаленные рабочие столы.  Возможность для, эксплуатации появляется в случаях, когда есть удаленный доступ к компьютерам извне, (скажем, в компаниях, которые передают ИТ-работу на аутсорсинг), и в компании отсутствует политика установки обновлений программного обеспечения.

Достаточные меры

Минимальный набор средств безопасности для компании, относящейся к сегменту малого бизнеса, может включать следующие средства обеспечения безопасности:

• Создать политику информационной безопасности предприятия

Все информационные ценности, подлежащие защите, должны быть названы поименно, и к ним должен быть определен доступ. Сотрудники, имеющие доступ, должны четко представлять себе, что именно они получают, и какие меры предосторожности они должны предпринимать в рамках своих должностных обязанностей. Эту краеугольную часть защиты – политику – должен разработать, или как минимум, утвердить, сотрудник, отвечающий за результаты ее применения – генеральный директор, или собственник.

• Установить межсетевой экран нового поколения

Современный межсетевой экран нового поколения (NGFW) обычно предлагает комплексную защиту от всех основных видов угроз. Поскольку через МСЭ проходит весь трафик пользовательских компьютеров, данный вид защиты на сегодняшний день является наиболее действенным. В этот список обычно не входят глубокая проверка с целью защиты от “атак нулевого дня” (Zero Day Attacks) – такую процедуру выполняют при помощи облачного сервиса «песочница», и структурированная защита от DDoS-атак. Обе службы могут быть реализованы в виде отдельного аппаратно-программного комплекса. Мы приводим примерную стоимость и функции для двух производителей межсетевых экранов - Cisco и Fortinet.

• Защитить трафик, приходящий извне

Некриптостойкое шифрование слабым ключом (DES, 3DES) как пользовательских сессий, так и межплощадочных соединений (центр==филиалы) является для обычной компании, у которой бизнес не связан с информационными технологиями, основной уязвимостью и потенциальной брешью в информационной структуре. На начало 2019 года криптостойкими считаются алгоритмы AES-128, AES-256, и есть смысл использовать именно их.

• Защитить серверы

Четко обозначенный доступ к серверам только тем сотрудникам и только к тем ресурсам, которые им необходимы – ключ к предсказуемому поведению сетевой инфраструктуры и к усилению защиты ресурсов.

• Использовать безопасные серверы имен (DNS)

Это наилучший способ защиты от подменных сайтов, действующих с целью выманивания (фишинга) данных кредитных карт, и прочих персональных данных.

• Обучение сотрудников

Поразительно, какое влияние в развитых странах имеет надпись в конце электронного письма, сообщающая о том, что данное письмо содержит коммерческую тайну, и если оно попало тем, кому не следует его читать, то читать его и не нужно. Очень немногие из людей решатся на квест «знаю, но нарушаю». Поскольку в основной своей массе, сотрудники – люди добросовестные, и пришли в компанию зарабатывать деньги, а не наносить ущерб, игра по известным правилам устроит всех. Поэтому четкое знание сотрудником того, к каким критичным ресурсам компании он имеет доступ, как это должно выглядеть, кому можно передавать данную информацию, как должно быть защищено устройство, с которого он осуществляет доступ, в конечном итоге дает выигрыш всем сторонам бизнес-процессов.

Правильный ответ на нарушение защиты

            Без фильтрации электронной почты ничто не мешает вредоносным письмам попадать в почтовые ящики сотрудников. А без образования в области практики кибербезопасности сотрудники, вероятно, станут почти каждым четвертым, кто нажимает на фишинговые ссылки. Надежные брандмауэры и антивирусное программное обеспечение предотвращают заражение ваших систем вредоносными программами, но они не помешают неинформированному сотруднику вводить учетные данные для входа в систему на поддельном сайте или передавать пароли злоумышленнику-хакеру, выступающему в роли ИТ-специалиста. Чтобы предотвратить нарушения, владельцы бизнеса должны активно защищать сети и информировать сотрудников о рисках кибербезопасности.

            Каждая компания, представляющая собой малый бизнес должна иметь план реагирования на нарушение данных до того, как произойдет кибератака, включая квалифицированную группу реагирования и действенный план реагирования. Для многих малых предприятий это означает заключение контрактов с ИТ-специалистами, специалистами по коммуникациям и юриспруденции, которые обладают знаниями и опытом для того, чтобы вмешиваться и управлять восстановлением утечки данных от имени бизнеса. Несмотря на значительные затраты, своевременный и надлежащий ответ часто влияет на то, восстановится ли малый бизнес после утечки данных или отключится в течение шести месяцев.

Большинству малых предприятий не нужно тратить огромные суммы денег на кибербезопасность. Однако малым предприятиям необходимо вкладывать средства в базовую безопасность сети и постоянное обучение сотрудников для защиты от кибератак. В противном случае владельцы малого бизнеса могут обнаружить - по высокой цене - что они - легкая цель для киберпреступников.

Компания Cisco Systems представила новый перечень совместных разработок, направленных на улучшение производительности, масштабируемости и управляемости инфраструктуры, использующей оборудование Cisco Systems в качестве сетевой/транспортной среды, и оборудование на базе Apple IOS в качестве клиентских устройств. Совместные разработки велись в основном, в области интеграции корпоративных вызовов, предоставления приоритета важным для бизнеса приложениям и оптимизации работы Wi-Fi для iPhone и iPad в сетях Cisco. Итак, в чем же конкретные преимущества совместной инфраструктуры? I Для ускорения передачи данных:

1. Список ближайших точек доступа 802.11k

Стандарт 802.11k позволяет абонентскому устройству iOS ускорить поиск ближайших точек доступа для использования при переходе, создавая оптимизированный список каналов. При ослабевании сигнала текущей точки доступа устройство будет искать точки доступа из этого списка.

2. Ускоренный роуминг 802.11r Когда устройство iOS переходит с одной точки доступа на другую в рамках одной сети, стандарт 802.11r использует функцию FT (Fast Basic Service Set Transition — быстрая передача базового набора служб) для ускорения аутентификации. Функция FT работает с обоими методами аутентификации, PSK (Preshared Key — общий ключ) и 802.1X. В ОС iOS 10 включена поддержка адаптивных точек доступа 802.11r в беспроводных сетях Cisco. Адаптивная точка доступа под управлением Cisco AireOs 8.3 и выше 802.11r предлагает FT без необходимости включать стандарт 802.11r в настроенной беспроводной сети Cisco. То есть точка адаптируется под устройства, и при обмене с устройствами, поддерживающими FT, в кадр маяка beacon frame) включена информация FT. Если же абонентское устройство не поддерживает Fast Transition, обмен с ним производится обычным образом. Таким образом, наряду с функциями высокопроизводдительной сети с улучшенным роумингом, сеть сохраняет совместимость с устаревшими устройствами.

3. Предпочтительный выбор 802.11v</strong> Начиная с версии AireOS 8.3 точка доступа Cisco "знает" о предпочтениях устройств Apple и обеспечивает этим устройствам ассоциирование с приоритетными, с точки зрения устройств Apple, точками, ведущими передачу.

II Для улучшения работы приложений Apple:

1. Управление приложениями Специалистами Cisco и Apple выпущен модернизированный API, который должны будут безальтернативно использовать разработчики приложений для Apple. В рамках функций данного профиля - корректное двунаправленное отображение приоритетов UP IEEE 802.11e в DSCP и классы IEEE 802.11p.

2. "Белый список приложений" Белый список приложений поддерживается административно. При этом приложения из белого списка смогут "выбирать" себе UP и DSCP, прочим предложениям будет предоставлен лишь класс сервиса BE/BK.

3. "Tiny Data" Устройство IOS информирует точку доступа о своем типе устройства и установленной операционной системе, отправляя специальный пакет (802.11K Beacon Report). Таким образом, контроллер доступа, имея информацию и клиентском устройстве, может предложить наилучшую для него точку доступа (как вариант, наименее загруженную, или имеющую свободные ресурсы OoS). Отдельно следует упомянуть о том, что устройства Apple теперь могут посылать при разъединении код причины, что драматически снизит число споров с пользователями на тему "У меня перестал работать WI-FI".

Полностью с подробностями данных технологий можно ознакомиться на страницах сайтов Apple: https://support.apple.com/ru-ru/HT202628 и Cisco: https://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Enterprise_Best_Practices_for_Apple_Devices_on_Cisco_Wireless_LAN.pdf

Изначально спроектированная с обеспечением максимального уровня безопасности, операционная система Apple iOS до сих пор остается наиболее защищенной и мощной основой для бизнеса. Вместе с тем, как и любая другая система, взаимодействующая с человеком, устройство на базе iOS не застраховано от рисков, возникающих при действиях пользователей, а именно: - Попадание на фишинговые сайты при открытии пользователем ссылок, выглядящих достоверными. Сайт типа facelook.com, используя тот же самый значок, что и Facebook, получит от пользователя личные данные, включая логин/пароль. Даже, если пользователь не использует в корпоративных приложениях ту же самую пару "логин/пароль", такое знание добавит +100 к профилю пользователя (модели атакуемого), и не исключено, что эта информация облегчит дальнейший подбор паролей; - Использование недоверенных приложений для доступа к корпоративным данным. Попытка пользователя настроить сбор своей корпоративной почты на свой ящик mail.ru может пройти незамеченной. При этом открытие письма произойдет уже не в клиентской почтовой программе, а в браузере. И даже параноидальная защищенность клиентского устройства в этом случае не поможет - письмо скачивается с сайта, подвергаясь всем тем рискам, которые несет в себе размещение информации н публичном сервере. Компании Cisco и Apple, действуя совместно, предоставили решение, позволяющее минимизировать данные типы рисков. Cisco Security Connector - это приложение, позволяющее защитить пользователей устройства iOS от фишинговых попыток, а также предоставляющее данные для расследования инцидентов информационной безопасности. Программное обеспечение Cisco Security Connector предназначено для установки и управления через систему MDM (Mobile Device Management).