Архитектура сетевой безопасности TrustSec, адаптивные устройства, технология самозащищающихся сетей и средства защиты от спама, вирусов и шпионского ПО корпорации Cisco и ее партнеров.

Компания Cisco Systems — признанный лидер рынка сетевых технологий, в том числе в сегменте информационной безопасности, где ее доля, по разным оценкам, составляет 38—42%. Ежегодные расходы Cisco на исследования и разработки в этом направлении (более 360 млн долл.) превышают годовой оборот многих зарубежных компаний, работающих в данном сегменте. В результате Cisco регулярно выводит на рынок востребованные решения и продукты, обеспечивающие самый высокий уровень защиты информации. В прошлом году компания впервые организовала в России конференцию Cisco Security Summit, посвященную вопросам информационной безопасности. В рамках саммита, который был рассчитан на корпоративных заказчиков и партнеров Cisco, прошли мероприятия, ориентированные на бизнес- и техническую аудиторию. В рамках потока для заказчиков участникам было предложено разобраться в базовых проблемах отрасли: связи информационной безопасности с бизнес-стратегией компании и оценке безопасности в понятных бизнесу величинах. Выступавшие отметили, что информационная безопасность — единственная область современных технологий, где год за годом наблюдается заметный рост. Как показывают исследования Gartner, инвестиции в сетевую безопасность растут независимо от масштаба компании. Это относится и к предприятиям, насчитывающим всего 10 сотрудников (здесь самый заметный рост), и к гигантам со штатом в десятки тысяч человек. Важность средств информационной безопасности сегодня очевидна всем, от руководителей компаний до рядовых сотрудников.

Докладчики подчеркивали, что понятие «информационная безопасность» не ограничивается техническими решениями — межсетевыми экранами, антивирусами, системами предотвращения атак и т. п. Очень важно правильно интегрировать существующие средства защиты не только в ИТ-архитектуру, но и в архитектуру всего предприятия. Большинство специалистов, однако, до сих пор трактует понятие «информационная безопасность» упрощенно, воспринимая его как защищенность обрабатываемой информации от внутренних либо внешних угроз. При этом, к сожалению, не принимаются во внимание аспекты, столь важные для руководителя любой организации: учет требований и целей бизнеса, обоснование и оценка эффективности процессов безопасности в бизнес-метриках. Между тем необходимо помнить, что топ-менеджмент компании интересуют прежде всего такие позиции, как соответствие требованиям (compliance), повышение конкурентоспособности, рост доходов, снижение издержек и т. п. Поэтому термин «информационная безопасность» необходимо понимать как процесс, демонстрирующий во времени, как связанные с безопасностью изменения и инвестиции обеспечивают достижение бизнес-целей. Было также отмечено, что вся деятельность в области информационной безопасности должна быть очерчена четкими рамками, выход за которые недопустим. Иными словами, необходимо соблюдать жизненный цикл информационной безопасности, который имеет начало, но не имеет конца, так как безопасность — не состояние, а процесс, причем непрерывный.

Особое внимание на конференции было уделено архитектуре информационной безопасности. Будучи неотъемлемой частью ИТ-архитектуры и архитектуры предприятия, она позволяет вывести информационную безопасность на качественно новый уровень и предоставить базу для совместной работы руководителей бизнес-подразделений, ИТ-менеджеров и экспертов по информационной безопасности. Фактически архитектура безопасности позволяет построить предприятие, способное реагировать на все риски в реальном времени, не допуская негативного влияния на бизнес.

В рамках технического потока Cisco Security Summit ведущие специалисты компании рассказали о направлениях развития отдельных продуктов и технических решениях в области защиты информации, а также рассмотрели типичные проблемы, с которыми сталкиваются заказчики, и способы их решения с помощью продуктов Cisco.

Сенсор для предотвращения сетевых вторжений

Чтобы обрабатывать трафик разных видов и соответствовать постоянно ужесточающимся требованиям к безопасности корпоративных сетей, Cisco расширила свой портфель решений для предотвращения сетевых вторжений, который считается одним из лучших на рынке. В этом семействе появился самый высокопроизводительный IPS-сенсор — Cisco IPS 4270. Он разработан для сетевой среды, где передаются большие объемы медийного и транзакционного трафика, и удовлетворяет требованиям безопасности, предъявляемым к современным корпоративным сетям, где работают приложения для групповой работы, системы голосовой и видеосвязи, а также социальные сетевые средства. Сложность и разнообразие современного трафика требуют все более сложных и мощных средств борьбы с сетевыми вторжениями. Устройство Cisco IPS 4270 решает эти проблемы, предоставляя системам безопасности широкую полосу пропускания без ущерба для текущей инспекции трафика. Сенсор Cisco IPS 4270 работает со скоростью до 4 Гбит/с в среде с интенсивными потоками медиатрафика, включая мультимедийный Web-контент и видео. В сетях с большими объемами транзакционного трафика (сети электронной коммерции, решения для торговых точек, средства мгновенного обмена сообщениями и услуги «голос поверх IP») новое устройство работает со скоростью до 2 Гбит/с, поддерживая обработку до 20 тыс. транзакций в секунду.

Все устройства Cisco IPS помогают ИТ-специалистам распознавать уязвимые места в сетевых системах и эффективно ликвидировать их с помощью правил (политик), не допускающих прорыва хакеров в корпоративную сеть. Очень высокая производительность устройств Cisco IPS 4270 позволяет надежно защищать опорные сети компаний, работающие с большими объемами трафика. Помимо высокой производительности, Cisco IPS 4270 обладает рядом других характеристик, которые отлично подходят для среды дата-центров. Поскольку для центров обработки данных характерна высокая сложность (каждое предприятие создает уникальную архитектуру для поддержки своих уникальных требований), устройство Cisco IPS 4270 должно отличаться высокой гибкостью и поддерживать функции виртуализации. Это устройство позволяет ИТ-отделам «виртуализовать» процессы инспекции и внедрения правил, привязывая услуги предотвращения вторжений к конкретной архитектуре конкретного центра обработки.

Стоит отметить, что Cisco IPS 4270 имеет избыточный блок питания, допускающий горячую замену, и масштабируемый интерфейс с высокой плотностью медных портов и волоконно-оптических портов Gigabit Ethernet. Это устройство поддерживает тысячи интерфейсов виртуальных локальных сетей (VLAN). Оно хорошо интегрируется с системами Cisco IPS Device Manager и работает вместе с ними в автономном режиме. В более широкой среде сенсор Cisco IPS 4270 интегрируется с системами Cisco Security Manager и Cisco Security MARS (система мониторинга и реагирования), обеспечивая централизованное управление всей инфраструктурой сетевой безопасности.

Архитектура сетевой безопасности Cisco TrustSec

Для обеспечения безопасности и удовлетворения нормативных требований в каждой сети нужно знать, кто из пользователей получает доступ к тем или иным сетям и приложениям и какие действия он с ними выполняет. Чтобы получить эти сведения, нужна архитектура безопасности, которая учитывает роль каждого сотрудника предприятия и способна надежно опознать его. Новая архитектура сетевой безопасности Cisco Trusted Security (TrustSec) интегрирует функции идентификации и учета должностных обязанностей сотрудников в масштабе всей корпоративной сети. Архитектура Cisco TrustSec, внедренная в масштабе предприятия, отвечает нормативным требованиям к безопасности глобальных и мобильных рабочих групп и повышает гибкость и безопасность сетевой инфраструктуры. Кроме того, Cisco сотрудничает с компаниями Intel и Ixia, с тем чтобы расширить совместимость новой архитектуры.

Cisco TrustSec создает «доверенную сеть предприятия», которая включает коммутаторы Cisco, маршрутизаторы Cisco и контроллеры унифицированной беспроводной сети, выполняющие функции аутентификации пользователей, распределения ролей, соблюдения правил доступа и защиты конфиденциальности сетевого трафика. Архитектура Cisco TrustSec поддерживает следующие функции:

Безопасный доступ с учетом должностных обязанностей пользователя. Доступ к сети предоставляется в масштабе предприятия, в любом месте и в любое время, но с учетом должностных обязанностей сотрудника. Тем самым сотруднику предоставляется доступ только к тем ресурсам, которые нужны ему для выполнения служебных обязанностей, независимо от используемого им устройства и канала связи (проводного, беспроводного, мобильного, компьютерного и т. д.).

Конвергентная система поддержки правил безопасности. Множество систем аутентификации интегрируются в единый централизованный механизм, определяющий правила (политики) безопасности и динамически взаимодействующий со всей коммутационной инфраструктурой. Этот механизм обеспечивает единый подход к правилам безопасности в масштабе предприятия и резко упрощает идентификацию пользователей в инфраструктуре, использующей разные методы опознавания.

Целостность и конфиденциальность. Высокий уровень целостности и конфиденциальности данных поддерживается во всех точках сети. Обеспечивается защита от утечек данных, соблюдение нормативных требований и повышение уровня безопасности сети.

Стандарты и совместимость

Cisco готова сотрудничать с лидерами отрасли, чтобы обеспечить совместимость своей архитектуры с их сетевыми устройствами. Cisco и Intel объявили о совместной поддержке стандарта IEEE 802.1AE, который помогает сети интеллектуально приоритезировать данные с учетом целей и задач бизнеса, не нарушая целостность шифрованных данных. Кроме того, корпорация Intel решила поддержать подход Cisco к обеспечению взаимодействия сетевых компонентов IEEE 802.1AE при обработке шифрованных данных с одновременной поддержкой всех сетевых услуг. Это поможет добиться полной совместимости между коммутаторами Cisco TrustSec и контроллерами Intel Ethernet, поддерживающими стандарт IEEE 802.1AE. Cisco также объявила, что испытательное оборудование Ixia, глобального поставщика решений для оценки производительности IP-систем, будет поддерживать линейные карты IEEE 802.1AE с функциями шифрования, что позволит заказчикам тестировать коммутаторы Cisco TrustSec.

Соответствие нормативным и законодательным требованиям

Законодательство требует от предприятий разрешать или запрещать сотрудникам, подрядчикам и гостям доступ к информации и приложениям в соответствии с четко определенными правилами. Архитектура Cisco TrustSec позволяет предприятию защитить доступ к информации с помощью идентификационных данных пользователей и учета их должностных обязанностей в данной организации. Кроме того, она защищает инвестиции заказчика, используя аппаратные ресурсы существующих коммутаторов Cisco Catalyst.

Сети с повсеместной идентификацией

Cisco TrustSec создает сети с высоким уровнем безопасности, которые надежно идентифицируют пользователя и управляют доступом к информации в масштабе всего предприятия. Эта архитектура делает проще внедрение и поддержку правил безопасности, снижая число ошибок, связанных с ручной работой, и тем самым повышая эффективность защиты данных. Пользователь получает от Cisco TrustSec единый непротиворечивый набор правил, не зависящий от технологии доступа к сети и надежно защищающий обмен данными и работу как новых, так и традиционных приложений.

Адаптивные устройства безопасности

Развитие Интернета и разработка приложений Web 2.0 привели к появлению на рынке множества устройств новых типов и к широкому использованию сложного мультимедийного контента, что создало большие трудности для существующих систем безопасности, которые зачастую не обеспечивают высокую скорость обработки транзакций и не способны поддерживать правила защиты информации, необходимые в современной сетевой среде. В результате ИТ-специалистам приходится тратить время и силы на поддержку самых элементарных услуг безопасности, уделяя мало внимания борьбе с более сложными угрозами и задачам мониторинга, аудита и удовлетворения нормативных и законодательных требований. Чтобы удовлетворить ненасытный аппетит предприятий к высокопроизводительным и масштабируемым системам сетевой безопасности, Cisco вывела на рынок новое адаптивное устройство Cisco ASA 5580 (Adaptive Security Appliance), которое стало самым высокопроизводительным устройством компании в области сетевой безопасности. Cisco ASA 5580 представляет собой платформу безопасности, которая одинаково хорошо подходит для работы в качестве масштабируемого межсетевого экрана с пропускной способностью до 20 Гбит/с и в качестве концентратора удаленного доступа в сетях SSL/IPSec VPN на 10 тыс. пользователей.

Высокая производительность для центров обработки данных

Решение Cisco ASA 5580 предназначено для защиты мультимедийных транзакционных приложений, которые чувствительны к задержкам и работают в корпоративных центрах обработки данных и Интернет-шлюзах. Это решение обладает лучшей на рынке пропускной способностью, самой высокой в отрасли скоростью соединений, очень низкой латентностью и поддерживает разнообразные конфигурации. В результате Cisco ASA 5580 отлично подходит для защиты организаций, использующих ресурсоемкие приложения для передачи голоса, видео и данных, резервирования информации, научных и Grid-вычислений и финансовых операций.

На рынке доступны три модели Cisco ASA 5580: устройства безопасности Cisco ASA 5580-40 и 5580-20 и концентратор удаленного доступа к виртуальным частным сетям Cisco ASA 5580-20 Remote Access VPN Concentrator. Старшая модель Cisco ASA 5580-40 поддерживает до 2 млн одновременных соединений и 750 тыс. правил безопасности и имеет пропускную способность межсетевого экранирования до 10 Гбит/с с возможностью расширения до 20 Гбит/с, что крайне необходимо для ресурсоемких приложений, связанных с обменом видеоконтентом и хранением данных в сетях SAN. Обе модели Cisco ASA 5580-20 поддерживают до 1 млн одновременных соединений и имеют пропускную способность до 5 Гбит/с. Все модели поддерживают лучшую в отрасли скорость обработки соединений (150 тыс. соединений в секунду), имеют очень низкий уровень задержки (30 мс) и хорошо работают даже в сложной сетевой среде со смешанным трафиком. Таким образом, ИТ-отделы получают высокую производительность без ущерба для эффективности и надежности.

Устройства Cisco ASA 5580 быстро справляются с самыми сложными проблемами безопасности с помощью новой технологии Cisco NetFlow v9, которая опирается на 11-летний опыт Cisco в области сетевой телеметрии, включает новые средства борьбы с угрозами, резко сокращает количество и объем сообщений о событиях в сфере безопасности и упрощает агрегацию событий. Сообщения о событиях могут передаваться из системы NetFlow v9 в коллектор Cisco NetFlow, в системы агрегации других компаний, поддерживающих технологию NetFlow v9, или (в недалеком будущем) в систему мониторинга, анализа и реагирования Cisco, которая реализует самые современные функции корреляции событий и отчетности. Технология NetFlow v9 позволяет устройствам Cisco ASA 5580 надежно управлять событиями безопасности и обеспечивает полный мониторинг этих событий в соответствии с самыми строгими законодательными и нормативными требованиями в самой сложной высокоскоростной среде.

Масштабируемое решение для удаленного доступа

Cisco ASA 5500 — единственное в отрасли семейство продуктов с полной поддержкой протокола IPsec, а также клиентского, бесклиентского и портального удаленного доступа SSL VPN. В сочетании с высокопроизводительным межсетевым экранированием такая функциональность делает платформу Cisco ASA 5580 единым устройством, способным надежно защитить распределенные корпоративные центры обработки данных, удаленные офисы и мобильных пользователей. Заказчик имеет право добавить функции удаленного доступа по технологии виртуальных частных сетей (VPN) к любой модели Cisco ASA 5500, однако помимо самого устройства в комплект поставки концентратора Cisco ASA 5580-20 Remote Access VPN Concentrator изначально входит лицензия SSL на одновременную поддержку 10 тыс. пользователей на единой платформе. Кластеры Cisco ASA 5580 поддерживают до 100 тыс. удаленных пользователей.

Высокая гибкость и масштабируемость устройств Cisco ASA 5580 дают возможность использовать любые оконечные клиентские устройства (в том числе работающие под управлением ОС Microsoft Windows Vista, Windows Mobile и т. д.), а также клиентские и бесклиентские сети SSL VPN, обеспечивающие удаленным сотрудникам и партнерам доступ к критически важным корпоративным данным в любом месте в любое время. Платформы Cisco ASA 5580 поддерживают самые разные методы удаленного доступа, включая TLS (Transport Layer Security), Datagram TLS, IPsec и бесклиентские коммуникации, что значительно расширяет возможности заказчика. Унифицированный графический интерфейс управления облегчает управление и контроль, а также предоставляет ИТ-специалистам удобное устройство для обработки больших потоков трафика.

Технология безопасности Cisco в «ГидроОГК»

При оснащении нового здания московского офиса управляющей компании «ГидроОГК» компания «АйТи» реализовала беспроводную сеть на базе оборудования Cisco Aironet и установила в целях безопасности систему Cisco Location Appliance. Эта система, впервые внедренная в России, контролирует беспроводную сеть и отслеживает местоположение всех мобильных коммуникационных устройств в помещениях офиса «ГидроОГК», а также определяет наличие мошеннических точек доступа.

Cisco Location Appliance (сервер определения местоположения) — это часть решения Cisco Location Solution, первого в индустрии решения, которое позволяет одновременно отслеживать местоположение более чем 2000 объектов (радиоустройств стандарта 802.11) в рамках централизованной беспроводной Wi-Fi-архитектуры. Добавление сервисов определения местоположения в архитектуру централизованного решения для предоставления доступа Wi-Fi делает решение более прозрачным, управляемым и безопасным. Сервер определения местоположения объектов Location Appliance выполняет привязку угроз к географической карте радиопокрытия и сохраняет историю перемещения объектов. Сервер интегрируется с системой управления беспроводным доступом Wireless Control System. Имеется возможность интеграции по API с внешними приложениями, что делает решение гибким и адаптируемым к бизнес-процессам конкретного заказчика.

Cisco Location Appliance определяет местоположения мобильных устройств в помещениях офиса «ГидроОГК» с точностью меньше 10 м в 90% случаев и меньше 5 м — в 50% случаев. В системе Location Appliance работает «движок», реализующий математические алгоритмы, которые позволяют по набору данных о RSSI (они забираются с радиоконтроллеров) вычислить местоположение того или иного объекта (технология RF Fingerprinting). В системе Location Appliance также хранится калибровочная информация о местоположении точек радиодоступа, «привязанных» к проводному сегменту сети, — таблица соответствия координат радиоточек на карте радиопокрытия их реальному физическому местоположению. Эта информация служит основой для построения модели затухания сигнала и определения координат подвижных объектов.

Решения Cisco для физической безопасности

Средства физической защиты начинают тесно интегрироваться с IP-сетями, создавая новые возможности для отрасли. Сеть становится платформой для соединения систем физической безопасности всех типов с другими корпоративными системами. Это позволяет претворить в жизнь концепцию конвергентной безопасности.

Cisco расширила семейство продуктов для физической безопасности под названием Cisco Connected Physical Security. Теперь эта продуктовая линейка включает новые функции IP-видеонаблюдения и электронного контроля доступа, которые облегчают конвергенцию ИТ- и физических систем безопасности, что позволяет заказчикам интегрировать существующие системы физической защиты в ИТ-инфраструктуру. Компания намерена активно продвигать на рынок новые IP-камеры и свои первые системы управления физическим доступом. Совместное использование этих продуктов дает возможность четко отслеживать ситуацию и принимать эффективные решения. Расширенный портфель продуктов Cisco для безопасности поможет заказчикам строить лучшие в своем классе экономичные мобильные инфраструктуры физической защиты, отличающиеся высокой гибкостью и совместимостью.

Новейшие системы физической безопасности Cisco отражают стратегию компании, которая направлена на разработку единого пакета решений, позволяющего интегрировать все функции безопасности в единой IP-сети. Превращение сети в единую масштабируемую платформу для интеграции функций безопасности дает пользователям целый ряд преимуществ, среди которых высокая оперативная гибкость, более надежная защита, низкая совокупная стоимость владения и минимизация риска.

Новые IP-камеры Cisco, работающие в режимах высокого и стандартного разрешения, передают видеоизображения высокого качества, которые можно использовать в разных условиях. Компания предлагает несколько моделей таких камер.

Cisco Video Surveillance 4500 IP Camera — это IP-камера высокого разрешения с функциями видеокомпрессии и интеллектуальным сигнальным процессором (DSP). В ней используется алгоритм сжатия H.264 и система записи с разрешением 1920x1080 на скорости 30 кадров в секунду. Кроме того, в каждую камеру этого типа можно встраивать опционный высокопроизводительный процессор DSP, полностью выделенный для интеллектуальных видеофункций (например, видеоаналитики).

Cisco Video Surveillance 2500 IP Camera — это камера стандартного разрешения с электропитанием по каналам связи (Power-over-Ethernet, POE) или от источника постоянного тока через внешний блок питания. Она также может работать в беспроводном режиме по стандартам 802.11b/g/n.

Интерфейс новых камер работает как браузер, что значительно облегчает установку и управление, а также обеспечивает высокое качество при разных условиях освещения. Камеры стандартного разрешения поддерживают DVD-качество (D1) на скорости до 30 кадров в секунду и работают по двум потокам, что позволяет в любой момент настраивать частоту кадров и разрешение, тем самым контролируя качество видео для разных условий. Обе модели поддерживают функцию уведомления. Они могут сканировать определенный участок местности и автоматически уведомлять пользователя или приложение о любой активности, превышающей установленное пороговое значение.

Решение Cisco IP Video Surveillance хорошо интегрируется с другими приложениями и системами безопасности, упрощая взаимодействие и управление, а также предоставляет удобный доступ к записанным и текущим видеоизображениям в локальном и удаленном режиме по сети IP.

Специалисты Cisco также разработали полномасштабное IP-решение для управления физическим доступом (Physical Access Control, PAC), которое использует IP-сеть как платформу для поддержки интегрированных функций безопасности. Продукт включает аппаратные и программные компоненты и представляет собой решение для электронного контроля доступа по IP-каналам. Новая система работает вместе с дверными датчиками, замками и биометрическими устройствами, охраняя входы в комплексы зданий и офисные помещения. В состав решения входит аппаратный компонент — шлюз доступа Cisco Access Gateway. Это модульная масштабируемая платформа для подключения различных датчиков, считывающих устройств и других систем ввода и вывода информации. Новое решение Cisco хорошо масштабируется и может защищать от одного до многих тысяч входов. Программный компонент, Cisco Physical Access Manager (Cisco PAM), управляет аппаратной частью и обеспечивает интеграцию с другими ИТ-системами. Cisco PAM интегрируется с решением Cisco для видеонаблюдения (Cisco Video Surveillance) и добавляет к нему множество новых функций, сокращая при этом общую стоимость владения.

Развитие технологии самозащищающихся сетей

По мнению руководства Cisco, предлагаемые компанией решения для безопасности считаются лучшими в отрасли, поскольку они основаны на самых современных технологиях, и при их создании компания выходит за рамки точечных продуктов, работая на уровне целостной системы. В рамках этой стратегии на рынок выводятся продукты и функции, расширяющие системный подход к безопасности. Новаторские решения резко расширяют прозрачность и управляемость систем защиты.

Стремясь удовлетворить растущий спрос на корпоративные решения для управления ИТ-рисками, защиты данных и соблюдения нормативных требований, компания Cisco объявила о расширении своих предложений в данной области и превращении сетевого решения Self-Defending Network (самозащищающаяся сеть) в более широкое системное решение, обеспечивающее общую защиту сетей, а также самых разных оконечных устройств, приложений и контента. Новые решения Cisco для безопасности расширяют возможности защиты корпоративных ИТ-инфраструктур от вредоносных программ и решают проблемы, связанные с потерей данных, соблюдением корпоративных правил безопасности и законодательных и нормативных требований.

Сегодня, когда сеть становится платформой для самых разных устройств, приложений и данных, целостная защита всей сетевой системы приобретает особое значение. Cisco совершенствует защиту оконечных устройств, систем предотвращения вторжений, межсетевых экранов и средств экранирования приложений, средств мониторинга и анализа безопасности, решений для централизованного управления корпоративными правилами, а также многих других аппаратных и программных средств защиты. Среди них Cisco Security Agent 6.0, Intrusion Prevention System 6.1, Security Monitoring Analysis Response System 6.0, Security Manager 3.2, включение функций Web-фильтрации в маршрутизаторы Cisco ISR, модернизация модулей межсетевых экранов Cisco Firewall Services для коммутаторов, новые функции межсетевого экрана Cisco Web Application Firewall и поддержка голоса в межсетевом экране Cisco IOS Firewall.

Безопасность сетей

Системы предотвращения вторжений (IPS). Cisco упростила управление своими системами IPS, чтобы сделать их доступными для компаний любого размера. Решение Cisco IPS 6.1 дает заказчику более глубокое представление о "здоровье" его сети и включает в себя новое комплексное приложение Cisco IPS Manager Express для активации функций IPS, мониторинга и отчетности. Кроме программных усовершенствований, Cisco создала новый модуль IPS для продуктов Adaptive Security Appliance с производительностью до 650 Мбит/с и разработала услуги для защиты унифицированных коммуникаций (данные, голос и видео), более эффективного распознавания угроз в одноранговых (peer-to-peer) соединениях и повышения безопасности в среде Microsoft.

Модуль межсетевого экрана. Модуль Cisco Firewall Service Module 4.0 (для коммутаторов) делает более быстрой безопасную доставку больших объемов конфиденциальной информации, например, в ходе резервного копирования и передачи больших файлов. Этот модуль ускоряет «доверенные потоки данных» и позволяет доверенным хост-системам обмениваться информацией со скоростями от 20 до 50 Гбит/с.

Виртуальные частные сети (VPN). Cisco включила технологию шифрованного транспорта GET VPN в систему Cisco 7200 VPN Services Adapter, что позволило увеличить ее производительность на 300%. GET VPN представляет собой технологию VPN нового типа, которая шифрует данные для безопасной передачи по глобальным сетям WAN. Она дает возможность обойтись без туннелей «точка-точка» и распространить корпоративные сети VPN на тысячи удаленных офисов с одновременной поддержкой интеллектуальных функций, имеющих критически важное значение для качества голоса и видео, качества услуг, маршрутизации и многоадресной передачи (мультикастинга). Поскольку приложения GET VPN работают главным образом в сетях с многопротокольной коммутацией по меткам (MPLS), они позволяют заказчикам гибко распоряжаться функциями защиты своих сетей и выполнять их самостоятельно через операторскую глобальную сеть WAN или передавать на аутсорсинг внешним провайдерам.

Безопасность оконечных устройств

Cisco Security Agent 6.0, программный агент, предназначенный для защиты оконечных устройств (серверов, ноутбуков и т. д.), помогает распознавать угрозы и управляет доступом к конфиденциальной информации. Версия 6.0 впервые в отрасли включает защиту оконечных устройств от неизвестных атак, функции предотвращения потери данных и антивирусную защиту по сигнатурам в рамках единого хорошо управляемого приложения. Обновление вирусных сигнатур происходит автоматически и не требует дополнительной оплаты. Сочетание этих функций обеспечит компаниям надежную защиту от известных и новых угроз и позволит внедрить эффективные правила пользования данными и соблюдения нормативных требований.

Безопасность приложений

Межсетевой экран Web Application Firewall решает проблемы безопасности, связанные с технологией Web 2.0 и социальными сетями. Он защищает конфиденциальную информацию компаний и частных лиц в Web-приложениях. Web Application Firewall поставляется как отдельное устройство или встраивается в шлюз Cisco ACE XML Gateway. Он обеспечивает защиту доступа к приложениям, инспектирует Web-трафик HTML и XML, определяет типовые сигнатуры атак и помогает компаниям удовлетворять требования PCI в области Web-безопасности.

Безопасность контента

Cisco расширила функции безопасности популярных интегрированных сервисных маршрутизаторов Cisco ISR. Сегодня в мире установлено почти 4 млн устройств этого семейства. Теперь они включают функцию фильтрации контента от компании Trend Micro, что поможет корпоративным заказчикам блокировать доступ к Web-сайтам, которые известны как источники вредоносных программ, ограничивать доступ к непристойному контенту и внедрять приемлемые для сотрудников правила пользования Интернетом.

SIP-защита для унифицированных коммуникаций — еще одно полезное добавление к функциям безопасности. Оно состоит в использовании протокола SIP в межсетевом экране Cisco IOS Firewall для защиты голосовой связи. Это новшество позволит компаниям принять концепцию распределенного предприятия, повысить производительность труда и минимизировать угрозы, связанные с передачей голоса.

Управление безопасностью

Система Cisco Security MARS (Monitoring Analysis Response System) 6.0 позволяет следить за функциями безопасности в реальном времени. Она распознает угрозы, агрегируя информацию, поступающую от устройств Cisco и других компаний, и определяет оптимальные способы отражения атак. Кроме того, Cisco Security MARS составляет отчеты по собранным данным для соблюдения нормативных требований. В версии 6.0 появилась система поддержки новых устройств, дающая пользователям и внешним партнерам возможность встраивать свои устройства в инфраструктуру Cisco Security MARS и тем самым распространять интеллектуальные функции безопасности на всю корпоративную сеть, в том числе на устройства, которые MARS в настоящее время не поддерживает. Новая версия Cisco Security MARS — первая система подобного типа, которая принимает лог-файлы в формате syslog и Cisco NetFlow Version 9 от устройств Cisco ASA 5580 и маршрутизаторов Cisco ASR 1000.

Система Cisco Security Manager 3.2 эффективно управляет безопасностью на предприятии, централизуя настройку корпоративных правил и систем безопасности Cisco. Версия 3.2 повышает эффективность операций, значительно сокращает сроки диагностики и устранения проблем, а также упрощает управление сигнатурами IPS. Это достигается за счет тесной интеграции и взаимодействия с системой Cisco Security MARS. Security Manager 3.2 повышает ценность самозащищающейся сети, расширяя поддержку настольных и стоечных коммутаторов и устройств Cisco ASA 5580.

Стратегическое сотрудничество

Рынок безопасности данных очень сильно фрагментирован. Заказчикам предлагаются отдельные решения для каждого сетевого уровня и ИТ-стека, и в результате возникает весьма сложная инфраструктура, которой трудно управлять. Компании Cisco и EMC объявили о намерении расширить стратегическое сотрудничество и предложить заказчикам целостные решения для защиты данных, которые охватывают разные уровни ИТ-инфраструктуры, включая системы хранения, серверы, сети и центры обработки данных. Компании планируют совместно разрабатывать интегрированные продукты, услуги и передовые практики, опирающиеся на ресурсы и технологии Cisco, EMC и RSA (подразделение ЕМС, отвечающее за решения для безопасности). Новые решения помогут заказчикам распознавать, защищать, отслеживать и использовать конфиденциальные данные, хранимые в центрах обработки данных, на настольных ПК и серверах, а также защищать информацию, передаваемую по корпоративным сетям.

Предотвращение потери данных. Cisco и RSA сотрудничают в различных областях, связанных с технологией DLP (Data Loss Prevention — предотвращение потери данных), чтобы предложить корпоративным заказчикам широкий набор профессиональных DLP-услуг. Cisco намерена интегрировать технологию классификации данных из решения RSA DLP Suite с функциями Cisco DLP, работающими на уровне сети, настольных систем и серверов. В свою очередь, RSA встраивает в решение RSA DLP Suite функции определения и обязательного исполнения правил безопасности Cisco. Кроме того, система RSA DLP Enterprise Manager будет управлять правилами DLP как в решениях RSA, так и в решениях Cisco. Cisco и RSA также будут сотрудничать в области оконечных сетевых систем, чтобы обеспечить интегрированную защиту хост-машин, управление правилами безопасности и надежную защиту информации, хранимой на настольных системах, мобильных компьютерах (ноутбуках) и серверных платформах. В качестве первого шага Cisco планирует расширить функции DLP в приложении Cisco Security Agent, добавив к ним технологию классификации данных RSA. Управлять новой функциональностью можно будет через центр управления Cisco (Security Agent Management Center) или RSA (DLP Enterprise Manager).

Защита дата-центров, шифрование и управление ключами. Cisco и RSA продолжат сотрудничество в области защиты центров обработки, шифрования и управления ключами. Теперь заказчики могут шифровать данные, хранимые на магнитных лентах (в том числе виртуальных) с помощью интегрированных систем Cisco MDS 9000 Storage Media Encryption (SME) и RSA Key Manager. Таким образом, корпоративные заказчики получают возможность шифровать конфиденциальные данные прямо на ленточных накопителях. Cisco и RSA будут вместе расширять функции безопасности Cisco TrustSec для шифрования передаваемых данных с помощью платформы Cisco Nexus 7000. Чтобы защитить данные в системе электронной почты, RSA намерена добиться совместимости с технологией Cisco Registered Envelope Service, что позволит шифровать конфиденциальные сообщения электронной почты, обнаруженные в сети RSA DLP Network.

Расширение архитектуры PCI. Cisco и RSA расширяют типовую архитектуру PCI (PCI Reference Architecture). В результате заказчики получили возможность проверять свои системы и генерировать отчеты, которые помогут соблюдать правила PCI (Payment Card Industry). Более широкая типовая архитектура безопасности помогает распознавать и отслеживать конфиденциальную информацию и применять к ней необходимые меры защиты. Решение Cisco Lean Retail, уже сегодня включающее пять решений RSA PCI, в очередной раз расширено. В его состав входит межсетевой экран Cisco ACE Web Application Firewall, который будет проверять и защищать все данные Web-приложений, включая запросы HTML, XML и Web-сервисов. Тем самым полностью удовлетворяются требования для межсетевых экранов, которые стали обязательными для всех систем платежных карт PCI с июня 2008 г.

Спам, вирусы и шпионские программы

IronPort Systems, дочерняя компания Cisco, поставщик средств защиты предприятия от спама, вирусов и шпионских программ, выделила главные тенденции развития систем безопасности и предложила способы защиты от угроз нового поколения, которые могут появиться в Интернете в будущем.

Как отмечают эксперты, время любительских решений прошло навсегда. Только аналитики подумали, что развитие шпионских программ достигло своего пика и ничего более страшного уже не появится, как в сети стали обнаруживаться небывалые ранее способы атак. Некоторые из них настолько сложны, что их, безусловно, создавали не новички и не любители; они не могли появиться на свет иначе как в современных мощных лабораториях. До поры до времени антишпионские средства довольно эффективно сдерживали атаки, поэтому хакерам пришлось изменить свои подходы. Многие вредоносные программы претерпели значительные изменения, а шпионские средства стали гораздо более незаметными и сложными.

Информация как валюта нового мира

Спам, вирусы и шпионские программы наносят большой финансовый ущерб компаниям и индивидуальным пользователям. В среднем каждый человек тратит на обработку и удаление спама от 5 до 10 мин в день. Очистка одного компьютера от шпионских программ стоит около 500 долл., еще дороже обходится потеря данных. Потеря информации в результате целенаправленной атаки и непреднамеренной ошибки наносит огромный ущерб торговым маркам, сокращает рыночную капитализацию компании, подрывает ее репутацию и престиж. На современном предприятии потеря данных происходит главным образом в электронных и мобильных каналах связи. Существующие межсетевые экраны и другие решения для сетевой безопасности, как правило, не обеспечивают надежной защиты данных, передаваемых по мобильным сетям в удаленном режиме. В них отсутствуют такие важные функции, как сканирование контента, блокировка и шифровка сообщений, содержащих конфиденциальную информацию. Всего за 13 месяцев около 60 млн человек допустили потерю своих личных данных, а затраты на очистку компьютерных систем и преодоление последствий атак составили 20 млрд долл. Около 60% корпоративных данных находятся на незащищенных настольных и мобильных компьютерах. Кроме того, 48% организаций не уведомляют клиентов о том, что их персональные данные подвергаются риску.

Социальные шпионские программы

Современные шпионские программы пользуются характеристиками социальных сетей и систем групповой работы, связанных с технологией Web 2.0. Это групповые, адаптивные, одноранговые интеллектуальные программы (яркий пример — троян Storm). Они могут оставаться незамеченными и «жить» на корпоративных или домашних компьютерах в течение многих месяцев и даже лет. Новые варианты «троянских коней» и шпионских программ будут бить точно в цель и жить гораздо меньше, что намного затруднит их обнаружение. Старая присказка «с глаз долой — из сердца вон» уже не действует; быстро появляющиеся и исчезающие программы будут стремиться собрать из сети всю конфиденциальную информацию — номера кредитных карт, данные о доходах, планы разработки новых продуктов. Хакеры разворачивают все более сложные одноранговые сети для сбора данных, и эти сети все сложнее распознать. Службы информационной безопасности должны следить за появлением в своей сети шпионского трафика и использовать самые современные средства защиты, такие как распознавание атак на уровне сети и управление сетевым доступом.

Блокирование атак нового типа

В последнее время стали распространяться атаки, использующие функции Google, Yahoo! и AOL для передачи спама через адрес URL в теле сообщения. Этот тип спама содержит одну специально подготовленную ссылку на адрес URL, который выглядит вполне безобидно и должен выводить пользователя на обычный сайт. Однако в данном случае запрос с обычного сайта автоматически пересылается на спам-сайт с помощью функций Open Redirect (открытая переадресация) или Unprotected Forwarder (незащищенная переадресация). Кроме того, для переадресации вызова на свой сайт спамеры используют функцию Google под названием I’m Feeling Lucky. Для этого содержащаяся в сообщении ссылка URL препарируется таким образом, чтобы активировать функцию I’m Feeling Lucky в поисковой машине Google. В результате пользователь автоматически попадает на нужный спамеру сайт. Для тех же целей используются механизмы открытой переадресации Yahoo и AOL, причем в последние месяцы количество этих атак постоянно растет. Уже сегодня примерно 1% всех спам-сообщений содержит зараженные ссылки, причем атаки данного типа встречаются все чаще, и с помощью этой методики злоумышленник может направить пользователя на сайт, заражающий компьютеры вредоносными программами. Система защиты электронной почты IronPort email security appliance и система защиты Интернета IronPort Web security appliance успешно блокируют атаки этого типа, защищая заказчиков от угроз, связанных с использованием методов социальной инженерии.

Факты и статистика

Общая тенденция развития спама и шпионских программ состоит в разработке все более целенаправленных, сложных и трудно обнаруживаемых атак. Вот некоторые цифры и факты.

Объем спама за год увеличивается на 100%. Ежедневно по сети передается более 120 млрд нежелательных сообщений, т. е. по 20 сообщений в день на каждого жителя планеты. По данным IronPort, корпоративные пользователи получают от 100 до 1000 нежелательных сообщений в день.

Спам концентрирует усилия не на продаже продуктов, а на развертывании спам-сетей. Раньше нежелательные сообщения в основном рекламировали те или иные продукты (лекарства, кредиты с низкой процентной ставкой и т. д.). Современный спам передает ссылки на сайты, через которые распространяются шпионские программы. Эти программы включают зараженный компьютер в шпионскую сеть и делают его разносчиком спама. В 2007 г., по данным IronPort, объем «грязного спама» (т.е. спама со ссылками на опасные сайты) вырос на 253%. Это значит, что хакеры используют для своих атак сочетание технологий Интернета и электронной почты.

Вирусные атаки стали менее «шумными», но более многочисленными. Мировые пандемии, такие как Netsky и Bagel, сменились распространением полиморфных вирусов и развертыванием очень сложных хакерских сетей (Feebs, Storm). К примеру, только за одну неделю центр сетевых угроз IronPort обнаружил более шести вариантов вируса Feebs, каждый из которых экспоненциально развивался, прежде чем был обнаружен и обезврежен.

Атаки стали гораздо менее продолжительными. В прежние годы хакеры могли пользоваться одной и той же вредоносной технологией (например, встроенными изображениями) в течение многих месяцев. Новейшие методы атак (например, спам MP3) живут примерно три дня, но их количество многократно возросло. Спам с использованием графики появился в 2006 г., а уже через год обнаружили более 20 типов графических приложений, которые использовались для разнообразных краткосрочных целенаправленных атак.

Стоит отметить, что в отчете аналитической компании IDC под названием Worldwide Messaging Security 2007—2011 Forecast and 2006 Vendor Shares: DLP, Encryption, and Hosted Services Heating Up подтверждается правильность стратегии IronPort. Лидерство IronPort на рынке средств безопасности для электронной почты признает и ведущая отраслевая аналитическая фирма Radicati Group. В «рыночном квадрате» Radicati компании делятся на четыре категории: «зрелых игроков» (Mature Players), «специалистов» (Specialists), «первопроходцев» (Trail Blazers) и «лидеров» (Top Players). Radicati назвала IronPort лидером соответствующего рыночного сегмента, подчеркнув ведущую роль устройства IronPort C-Series и воздав компании должное за высокую производительность, отвечающую требованиям крупных предприятий. Особой похвалы аналитиков Radicati удостоилась система SenderBase, которая эффективно отфильтровывает спам и защищает корпоративные сети от множества других угроз. Лидерство IronPort в «рыночном квадрате» Radicati говорит о том, что компании принадлежит наибольшая доля этого рынка и что она предлагает лучшее устройство для защиты электронной почты. Этот сетевой элемент останавливает потоки спама и отражает множество атак, организуемых хакерами через почтовые каналы.

Высокой оценки компания IronPort удостоилась и у аналитиков Gartner Group, поместивших ее в зону лидеров «магического квадрата», оценивающего рынок шифрования электронной почты (Magic Quadrant for Email Encryption, 2007). Комментируя это решение Gartner Group, вице-президент IronPort по маркетингу Том Джиллис заявил, что технология шифрования IronPort PXE соответствует всем законодательным требованиям и обеспечивает заказчикам существенные деловые преимущества. IronPort предоставляет единственную технологию шифрования сообщений электронной почты, сочетающую универсальную доступность с простотой использования. Эта технология успешно работает в критически важных системах, защищающих до 30 млн пользователей. Действительно, технология шифрования IronPort PXE, установленная вместе с фильтрами нового поколения на системах защиты электронной почты IronPort C-Series, полностью удовлетворяет условиям HIPAA, SOX, GLB и другим нормативным требованиям, предусматривающим шифрование сообщений электронной почты на основе определенных правил (политик) с возможностью отслеживания предыдущих действий. Решения IronPort дают возможность любому пользователю передавать и принимать зашифрованные сообщения без помощи специалистов. Чтобы расшифровать сообщение, адресату не нужно устанавливать никаких нестандартных программных средств, независимо от того, каким почтовым клиентом он пользуется. В отличие от традиционных схем PKI, клиентам IronPort не приходится заранее обмениваться ключами шифрования, что делает систему IronPort оптимальным решением для безопасного обмена электронными сообщениями с другими компаниями и частными лицами.

Интеграция антивирусного ПО со шлюзами безопасности

«Лаборатория Касперского», производитель систем защиты от вредоносного ПО, хакерских атак и спама, подписала соглашение с компанией «С-Терра СиЭсПи», разработчиком продуктов сетевой информационной безопасности на основе стандартов защиты IP-сетей и технологическим партнером Cisco Systems. Компании объединили свои усилия для разработки решения, обеспечивающего конфиденциальность данных при их передаче, изоляцию корпоративного информационного пространства и «чистоту» транслируемого в нем контента. В соответствии с соглашением «С-Терра СиЭсПи» интегрирует антивирусное ПО «Лаборатории Касперского» в шлюзы сетевой безопасности. На первом этапе сотрудничества создан шлюз фильтрации вредоносного ПО и спама на базе модуля NME-RVPN (Russia VPN Network Module) и маршрутизаторов серий Cisco 2800 и 3800 Integrated Services Routers. В дальнейшем антивирусное ПО будет поставляться со всеми продуктами линейки CSP VPN Gate компании «С-Терра СиЭсПи».

Интеграция ПО «Лаборатории Касперского» с линейкой продуктов CSP VPN Gate предоставит клиентам не только полномасштабную антивирусную защиту (как почты, так и Интернет-трафика), но и защиту от спама, в которую включена оригинальная технология обнаружения массовых непрошенных рассылок Urgent Detection System, разработанная и поддерживаемая «Лабораторией Касперского». Эта технология позволяет фильтровать известные спам-рассылки практически в режиме реального времени, не дожидаясь обновления баз контентной фильтрации.

Линейка продуктов компании «С-Терра СиЭсПи» предназначена для построения VPN-сетей. Программно-аппаратные комплексы CSP VPN Gate используются для защиты центрального и удаленного офисов, в качестве концентраторов доступа удаленных и мобильных пользователей, для доступа из беспроводных сегментов сети, для защиты потоков данных, голоса и видео. Решения построены на основе международных стандартов IKE/IPSec (RFC 2401 — 2412), совместимы по управлению с аналогичной линейкой продуктов компании Cisco и используют алгоритмы шифрования, хэширования и электронной цифровой подписи, основанные на российских стандартах. Программные комплексы CSP VPN сертифицированы ФСТЭК РФ и могут использоваться в автоматизированных системах класса защищенности 1Г.

Защита от бот-сетей и опасных сайтов

В прошлом году IronPort усовершенствовала фильтры IronPort Web Reputation Filters, введя в их состав новые функции URL Outbreak Detection и Botsite Defense. Теперь новый уровень защиты от вредоносных программ доступен для систем Web-безопасности IronPort S-Series и сетей IronPort SenderBase Network. Анализ сетевых угроз, проведенный специалистами IronPort и Cisco, показал, что Интернет становится излюбленным каналом злоумышленников, через который они распространяют свои программы. В результате компании подвергаются весьма изощренным угрозам, исходящим из множества хорошо скоординированных источников.

Злоумышленники постоянно ищут новые пути распространения атак и повышения их эффективности. Один из таких путей — распространение вредных программ через обычные законопослушные сайты. К примеру, в начале марта 2008 г. сотни обычных сайтов были использованы для переадресации и распространения программных роботов (bots) в рамках крупномасштабной динамической сетевой атаки. Фильтры IronPort Web Reputation Filters распознают факт переадресации и останавливают исполнение запроса до того, как вредная программа проникнет в сеть компании. Простая фильтрация адресов URL здесь не поможет, поскольку атака исходит от обычных сайтов, но фильтры IronPort Web Reputation Filters с функциями Botsite Defense и URL Outbreak Detection распознают зараженные сайты и не позволяют подключаться к ним.

Стоит отметить, что в мире существует более 10 млрд активных Web-страниц. По данным отраслевых аналитиков, от 2 до 10% сайтов таят опасность для пользователей, что создает серьезную угрозу для современных компаний. Шпионские и другие вредные программы, распространяемые с этих сайтов, ведут к потере конфиденциальной информации, вызывают простои сетей и систем, снижают производительность труда и повышают расходы на техническую поддержку. Системы фильтрации IronPort Web Reputation Filters с функциями URL Outbreak Detection и Botsite Defense защищают от зараженных сайтов и быстро мутирующих вредоносных программ.

Одна из наиболее опасных Web-угроз исходит от зараженных хостов (так называемых бот-сайтов), которые выполняют команды управляющей хакерской сети («бот-сети», botnet). Действуя через системы электронной почты с помощью спама, бот-сайты рекламируют и распространяют себя через создаваемые ими самими одноранговые сети. Бот-сети хорошо координируют свою работу друг с другом и генерируют спам со ссылками на зараженные Web-страницы. Система botnet/botsite представляет собой интеллектуальную платформу распространения вредоносных программ, которая использует функции повторного использования и самозащиты. По некоторым оценкам, по меньшей мере 7% компьютеров, подключенных к Интернету (т. е. 75—100 млн машин), уже включены в системы botnet/botsite. Эксперты особо подчеркивают, что интеллектуальность бот-сетей поражает воображение. Так, одна бот-сеть может создать тысячи зараженных бот-сайтов, каждый из которых активно работает от нескольких минут до нескольких часов. Защитить от них может только репутационная Web-услуга, которая распознает обман и фильтрует сайты в упреждающем режиме.

Помимо быстрого распространения вредных бот-сайтов, центр оценки угроз IronPort (Threat Operations Center) наблюдает значительный рост количества адресов URL, через которые распространяются новые вредоносные программы с неизвестными сигнатурами (URL Outbreaks). За последние 12 месяцев количество таких адресов увеличилось на 300%, тогда как предприятия до сих пор не имеют эффективных средств борьбы с ними. Сегодня угрозы исходят главным образом от бот-сайтов, которые служат центрами распространения вредных программ, от спама, в котором содержатся ссылки на вредные адреса URL, от зараженных сайтов Web 2.0 и вредоносной сетевой рекламы.

Существующие решения для традиционной фильтрации адресов URL в этой ситуации малоэффективны, так как во многом полагаются на методы ручной классификации. Зараженные сайты могут относиться к весьма солидным и авторитетным категориям (финансовые, развлекательные, новостные сайты и т. д.), что делает традиционную классификацию и фильтрацию совершенно непригодной. Функция IronPort URL Outbreak Detection распознает и блокирует адреса URL, у которых нет устоявшейся репутации и сигнатуры. Как правило, такие адреса располагаются на бот-сайте, которым управляет бот-сеть.

Сеть IronPort SenderBase Network имеет одну из самых широких в отрасли баз данных с адресами электронной почты и Web-сайтов, что позволяет IronPort быстро находить и блокировать новые адреса URL. Специалисты IronPort Threat Operations Center непрерывно анализируют глобальный Web-трафик в режиме реального времени и заранее подсчитывают репутационный рейтинг новых адресов URL — до того как разработчики антивирусов и антишпионских программ предоставят компании IronPort сигнатуру. В числе последних достижений IronPort — методы моделирования безопасности для динамической защиты от сетевых угроз, направленных против добропорядочных сайтов, а также непрерывно работающие системы, которые распознают инфраструктурные средства, поддерживающие атаку, и быстро блокируют их.