Построение эффективной системы информационной безопасности является комплексной и многогранной задачей, включающей в себя как множество точечных прикладных задач, так и построение глобальных процессов. Тщательно продуманная архитектура и глубокая аналитика формируют рабочие механизмы, которые в совокупности с экспертизой трансформируются в полноценные процессы информационной безопасности.
Зависимость бизнес-экосистем от стабильной работы цифровой инфраструктуры делает компании крайне уязвимыми перед киберугрозами. Эффективность атак при этом растет, так как злоумышленники вооружаются современными цифровыми технологиями. Симметричным ответом становится развитие решений с применением передовых технологий защиты сетей, данных, конечных устройств, доступа, приложений, облаков и пр.
Инструменты киберзащиты применяются все более активно, что дает возможность эффективнее находить бреши в инфраструктуре, быстрее предвосхищать атаки и точнее ранжировать риски. Рассмотрим это на примере решений и технологий Cisco.
Почему именно Cisco? В первую очередь, ее широкий охват. Компания прекрасно чувствует себя в сегменте сетевой безопасности и во всем, что связано с этим направлением. Поэтому, если говорить о защите периметра, внутренней сети, облака, мобильных устройств, то здесь решения Cisco охватывают весь спектр задач.
Компания обладает наиболее широкой линейкой по всем сетевым решениям, от рынка SOHO до провайдерских решений, от небольших, но функциональных маршрутизаторов, до систем управления сетями крупных предприятий.
Многие привыкли защищать корпоративные и ведомственные сети, активно выстраивая эшелонированную оборону на периметре. Но как бороться с угрозами, которые приходят не через традиционный периметр? Речь идет о внешних накопителях и различного рода беспроводных сетях передачи данных (Wi-Fi, 3G, 4G, 5G и др.). Способов попасть во внутреннюю сеть множество и перед специалистами стоит задача построения надежных систем защиты.
Первое, что приходит в голову, это конечно же, стандартный инструмент безопасности — Firewall (брандмауэр). Однако традиционные решения уже не обладают тем уровнем защиты, которые присуще брандмауэрам нового поколения. Именно они являются единственными межсетевыми экранами, которые могут обеспечить надлежащую защиту. Они лучше распознают новейшие угрозы в системе и блокируют потенциально опасный трафик.
Межсетевые экраны Cisco представлены в широком ассортименте. Тем не менее, вне зависимости от выбора аппаратных, программных или смешанных комплектов, коммуникациям будет обеспечена достойная защита. Устанавливаемые на границе сети решения Firewall производят мониторинг входящего и исходящего трафика. Любая подозрительная активность своевременно выявляется и устраняется.
Концепции защиты корпоративных инфраструктур и создания сетей претерпевают серьезные изменения. Из-за широкомасштабного использования облачных приложений, увеличения числа удаленных сотрудников и разрастания сетей филиалов единая модель защиты в локальной среде становится невыгодной. Прямой доступ к интернету — это удобно, экономично и эффективно, поэтому при развертывании сетей все чаще предпочтение отдается новому децентрализованному подходу. Однако вместе с изменениями приходят риски и новые проблемы безопасности. Организациям требуется более комплексный набор средств защиты, которые не только выполняют свое основное назначение, но и упрощают управление.
Стоит обратить внимание на Cisco Umbrella — это облачная платформа, которая ежедневно обрабатывает миллиарды запросов миллионов пользователей, чтобы выявить шаблоны и выявить злоумышленников. Umbrella блокирует подозрительные ссылки, независимо от подключения сотрудника к корпоративной сети. Все данные в режиме реального времени передаются в базу данных и пропускаются через алгоритмы безопасности. Таким образом Umbrella обнаруживает вредные источники (IP-адреса, домены) во всей глобальной сети интернет.
Использование Cisco Umbrella — это наиболее простой способ организации системы безопасности с минимальными затратами времени. Скорость развертывания обеспечивается благодаря применению облачных решений, полностью исключает необходимость установки собственного оборудования и модернизации ПО.
В систему Umbrella загружаются аналитические отчеты Cisco Talos, одной из крупнейших в мире коммерческих организаций по анализу угроз, где работает более 300 исследователей.
Сisco Talos — самая крупная база знаний об угрозах, способная ежедневно обрабатывать 16 млрд. веб-запросов, 600 млрд. электронных сообщений и 18,5 млрд. запросов AMP.
Интеллектуальный анализ Cisco Talos позволяет эффективно обнаруживать и блокировать большую часть современных угроз. Если какой-либо заказчик Cisco обнаруживает реальную угрозу, она будет автоматически заблокирована, нейтрализована или помещена в карантин в сетях остальных заказчиков и клиентов по всему миру буквально за считаные минуты. Но что еще важнее — заказчик получает защиту Talos с каждым продуктом или сервисом Cisco.
И так, благодаря этим данным Umbrella во время атак выявляет и блокирует множество вредоносных доменов, IP и URL-адресов, а также файлов. Кроме того, анализируются огромные объемы информации об активности в сети интернет, преобразуя их в статистические модели и алгоритмы машинного обучения, поэтому Umbrella позволяет обнаруживать и новые, только готовящиеся, атаки.
Безопасный межсетевой экран Cisco серии 3100
Cisco Secure Firewall 3100 Series — это семейство из четырех устройств безопасности, предназначенных для обеспечения отказоустойчивости бизнеса и защиты от угроз. Каждая модель предлагает производительность для нескольких вариантов использования межсетевого экрана. Межсетевые экраны серии 3100 помогают обеспечить высокую окупаемость инвестиций, обеспечивают в 7 раз более высокую пропускную способность проверки и качество обслуживания (QoS) на основе приложений, позволяя пользователям безопасно проводить видеоконференции с высоким качеством.
В серии 3100 используется технология машинного обучения для пассивной идентификации пользовательских приложений и потенциальных угроз в зашифрованном трафике без расшифровки, чтобы обнаруживать больше вредоносных программ.
Новым решением, способным анализировать трафик в режиме реального времени, реагировать на выявляемую вредоносную активность и вести детальный лог пакетов для последующего разбора инцидентов, является система предотвращения атак Snort3.
Язык описания правил для Snort3 является стандартом для описания сетевых атак и составной частью системы предотвращения вторжений Cisco Firepower, среди основных возможностей и преимуществ которой можно отметить очень быстрое обнаружение и блокировку угроз, глубокий анализ трафика, фильтрация URL-адресов, защита от усовершенствованного вредоносного ПО и т.д.
В ветке Snort3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort3: упрощение настройки и запуска, автоматизация конфигурирования, автоматическое определение всех протоколов, предоставление оболочки для управления из командной строки, а также активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.
На самом деле это система анализатора пакетов, которая будет собирать копии сетевого трафика для анализа. Однако у инструмента есть и другие режимы, и один из них — обнаружение вторжений. В режиме обнаружения вторжений Snort3 применяет «базовые политики», которые являются основой правил обнаружения и делают это решение гибким, расширяемым и адаптируемым.
Cisco Identity Services Engine (ISE) — повышение уровня безопасности инфраструктуры сети
Это инструмент для централизованного управления политиками в рамках решения Cisco TrustSec. Он позволяет эффективно определять политики информационной безопасности и управлять ими в масштабе всей организации.
Cisco ISE различает корпоративные и личные пользовательские устройства, автоматизирует функции обеспечения информационной безопасности по всей организации с помощью средств контроля доступа и шифрования, реализованных на уровне сети, упрощает повседневную работу IT-подразделения и т.д.
Применение ISE позволяет создавать доверенную среду в масштабе всей организации на основе единой, централизованной политики информационной безопасности для любых типов пользователей, устройств и подключений.
Функционал ISE позволяет также внедрить концепцию использования собственных устройств (BYOD — Bring Your Own Device) среди сотрудников или организовать более безопасный доступ к ресурсам центра обработки данных. Благодаря уникальной архитектуре решения предприятия могут в режиме реального времени получать из сетей, от пользователей и устройств контекстную информацию, необходимую для принятия упреждающих решений по предоставлению доступа. Все решения принимаются на основе единой политики доступа, распространяющейся на проводные и беспроводные сегменты сети, а также на подключения удаленного доступа. Таким образом, ISE помогает обеспечить надежный контроль над соблюдением нормативных требований, повышает уровень безопасности инфраструктуры и оптимизирует операции по обслуживанию сети.
Мониторинг сетевого трафика с помощью Cisco Secure Network Analytics
Известное ранее как Stealthwatch, Cisco Secure Network Analytics является решением, обеспечивающим непрерывный мониторинг всего сетевого трафика по всем направлениям онлайн. Оно значительно повышает прозрачность сети и ускоряет реагирование на вызывающие подозрение инциденты. Создается эталон нормальной веб- и сетевой активности для узла сети, далее применяется анализ на основе контекста для автоматического обнаружения аномального поведения.
Для выявления аномального поведения при использовании встроенных поведенческих сигнатур решению Cisco Secure Network Analytics не требуется мониторить копию всего трафика и сравнивать его с известными образцами атак, как это происходит в классических IPS (Intrusion Prevention System), что при распределенной филиальной сети заказчика является важным преимуществом. Также в современных реалиях удаленной работы и размытого периметра организации может быть полезной возможность собирать телеметрическую информацию непосредственно с оконечных устройств пользователей. Дополнительное преимущество — выявление вредоносного поведения в зашифрованных по протоколу TLS соединениях, криптомайнинг. В качестве SOAR-системы (Security Orchestration, Automation and Response) может выступить решение Cisco SecureX, право на использование которого заказчик получает с приобретением лицензий на любой продукт Cisco по информационной безопасности.
Платформа безопасности Cisco SecureX
Облачная платформа Cisco SecureX позволяет связать между собой несколько решений Cisco по кибербезопасности, ускорить процедуру расследования и автоматизировать реагирование на инцидент. В совокупности данная система позволяет выявлять зараженные компьютеры, скрытые сканирования и предотвратить распространение шифровальщиков, тем самым снизив риски для организации. Помимо решения задач информационной безопасности, система позволяет обнаруживать аномалии в работе сети, осуществлять непрерывный мониторинг производительности сети, выявлять ошибки либо нарушения сетевой сегментации, обеспечивать полноценную видимость и осведомленность о происходящих в сети процессах, коммуникациях. Благодаря SecureX можно быть осведомленным о потенциальных угрозах и своевременно отражать кибератаки, получая при этом приятный бонус в виде аналитики и автоматизации рабочих процессов.
Платформа SecureX предоставляет пользователям возможность полнофункционального использования всех продуктов информационной безопасности и инфраструктуры. Она отвечает за формирование общей прозрачной среды, выявляющей малоизвестные угрозы и автоматизирующей работы. На основе этого укрепляется внутрисетевая безопасность. Защищенными становятся все уровни сети, начиная с облачных сервисов и заканчивая опубликованными приложениями.
Надежная и безопасная сетевая инфраструктура является ключевым элементом бизнеса, от которой зависит бесперебойная работа любой компании. Высокоскоростной интернет, беспроводные сети — все это становится благодатной почвой для расширения площади кибератак. Обеспечение информационной безопасности на современном этапе требует комплексного подхода, поскольку в условиях новых вызовов и рисков защита данных обретает критически важную значимость. Компаниям, планирующим успешное будущее, необходимо учитывать действующие тенденции рынка и корпоративные процессы. Чем лучше они синхронизированы между собой, тем проще будет идти в ногу со временем.
C детальной информацией о решениях Cisco по безопасности можно ознакомиться на официальной странице компании по ссылке http://cs.co/ciscosecurity.
О компании Gulfstream Distribution
Gulfstream Distribution является одним из крупнейших IT-дистрибьюторов на рынке Азербайджана, а также генеральным партнером одного из мировых лидеров в области дистрибуции IT-решений и оборудования ABRIS Distribution в стране. Компания использует максимальный спектр современных информационных технологий и управленческих подходов для решения задач своих партнеров. Основная задача компании — повышать эффективность бизнеса, создавая прочную основу для его дальнейшего развития. С этой целью Gulfstream Distribution предоставляет широкий выбор продуктов и решений от мировых производителей, а также разработчиков программного обеспечения для предприятий малого, среднего и корпоративного уровня.
О компании Cisco
Cisco — мировой лидер в области информационных технологий с более чем 35-летней историей. Глобальная компания с 1984 года способствует развитию экосистемы сбора, передачи, анализа, хранения и защиты информации. Сотрудники, партнеры и решения Cisco обеспечивают безопасное цифровое взаимодействие, помогая воспользоваться всеми преимуществами новейших информационных технологий.