Современные тенденции на рынке ИБ. Рекомендации и практика Микротест

Бизнес-направление информационной безопасности Департамент системной интеграции

О чем пойдет речь?

2

Услуги от «Микротест»

• «Традиционные» услуги

• «Новые» услуги

• Сертификация и аттестация

Решения от «Микротест»

• Для операторов связи

• Для ЦОД

• Для Enterprise

Опыт Микротест

О компании

Какие вопросы ИБ актуальны сегодня?

3

Аудиты: • Аудит на соответствие стандартам и требованиям законодательства (№ 152-ФЗ, № 98-ФЗ, СТО БР ИББС,

КСИИ, PCI DSS, ISO 27001, ISO 22301 и др.)

• Анализ организационно-распорядительной документации

• Тестирование на проникновение (penetration testing)

• Аудит информационной безопасности ИТ-инфраструктуры

Оценка соответствия нормативным требованиям: • Сертификация средств защиты информации

• Аттестация объектов информатизации по требованиям безопасности информации

Инфраструктурные проекты • Обследование и аудит, проектирование, поставка, внедрение, испытания и ввод в эксплуатацию

подсистем обеспечения ИБ

• Создание ситуационных центров и SOC

Аудиты: • Аудит на соответствие требованиям закона

«О Национальной платежной системе»

• Аудит информационной безопасности в АСУ ТП

«Традиционные» решения

Cisco, Check Point, Juniper, ViPNet, Континент, S-Terra, Astaro/Sophos …

Защита периметра

• Межсетевое экранирование (Firewall)

• Site2Site VPN

• Remote Access VPN

• Сетевые системы обнаружения и предотвращения вторжений (IDS, IPS)

Cisco IPS, Check Point, Juniper IDP/SRX, Astaro/Sophos …

• Безопасность контента: E-Mail Security, Web Security, сетевой антивирус, URL-фильтрация Cisco IronPort Web/E-Mail, Blue Coat, SafeNet, WebSense, Astaro/Sophos, TrendMicro, McAfee …

• Защита от DDoS-атак на уровне сети оператора связи

Arbor Peakflow SP

«Традиционные» решения

Касперский, DrWeb, ESET, McAfee, Symantec, TrendMicro, Microsoft …

Внутренняя защита и защита рабочих мест • Антивирусные решения

• Системы предотвращения вторжений на уровне системы

Код Безопасности, McAfee, Symantec, Agnitum …

• Контроль доступа в сеть

Cisco NAC/ISE, Juniper, Microsoft …

• Защита от НСД

SecretNet, Dallas Lock, сертифицированный ФСТЭК ОС Windows и Linux, сертифицированные ФСТЭК СУБД и приложения

Общие решения • Управление политиками ИБ

• Мониторинг и управление событиями ИБ (SIEM)

ArcSight, Qradar, IBM Tivoly (ISS), Symantec SIM …

• Анализ защищённости, Compliance

Positive Technologies MaxPatrol, Cisco NCM …

Частные политики ИБ

«Новые» решения

Решения для операторов связи • Родительский контроль, защита детей, URL-фильтрация, категорирование сайтов,

Value Added Services

• Защита от DDoS-атак

Защита ЦОД • Защита от DDoS-атак

• Защита серверов приложений и баз данных

Защита периметра Enterprise и SMB • Защита от DDoS-атак на уровне Enterprise

• «Инновационная» защита периметра

• Комплекс решений по сетевой безопасности и контролю каналов связи

• Универсальное решение по сетевой безопасности, соответствующее требованиям 152-ФЗ

• Защита серверов приложений и баз данных

Cisco SCE + ЦАИР + VAS решения по контентной фильтрации

Arbor Peakflow SP

Arbor Peakflow SP, Arbor Pravail APS

Imperva WAF и DBF

Arbor Pravail APS

Palo Alto

Blue Coat

StoneSoft StoneGate

Imperva

Частные политики ИБ

«Новые» решения

Внутренняя защита сети

• Комплексный мониторинг трафика и угроз информационной безопасности

• Контроль за утечкой конфиденциальной информации

• Мониторинг действий пользователей

Защита виртуальной среды и облачных сервисов

• Антивирусная защита и защита от атак

• Технологическое сотрудничество VMWare и партнеров для обеспечения безопасности виртуальных машин

Arbor Pravail NSI

McAfee DLP, Symantec DLP, Infowatch

FalconGaze / SearchInform

TrendMicro Deep Security

VShield

Операторам связи и их абонентам: URL-фильтрация, защита от вирусов, контроль контента

Архитектура и принципы работы • Архитектура Cisco SEF (Cisco Service Exchange Framework). На

базе данной архитектуры операторы ШПД могут определять тарифные планы с дифференциацией трафика различных приложений, а также внедрять дополнительные услуги, такие как «Родительский Контроль», «Турбо-кнопка» и «Безопасный Веб-серфинг».

• Совместное решение Cisco SCE и ЦАИР (Центр анализа Интернет-ресурсов) - фильтрация трафика путем интеграции функций DPI на Cisco SCE с внешней базой категоризированных URL - ЦАИР. Динамически обновляемая БД URL используется для фильтрации без ручного вмешательства.

• Cisco SCE позволяет пересылать выбранный трафик в соответствии с политикой безопасности для конкретного пользователя на устройства сторонних производителей, реализующие дополнительные сервисы - Value Added Services (VAS), например, удаление запрещённого содержимого web-страниц, сетевые антивирус и IPS.

Услуга по фильтрации контента позволит провайдеру: • Получить конкурентное преимущество за счет расширения

спектра предоставляемых услуг

• Увеличить ARPU (average revenue per user) за счет продажи новой дополнительной услуги

• Выполнить требования законодательства по блокированию доступа к запрещённым web-сайтам

Защита от DDoS-атак для ISP и ЦОД: Arbor Peakflow SP

Архитектура и принципы работы • Архитектура Arbor Peakflow SP: уровень управления

и мониторинга (Peakflow CP, FS, PI, BI) и уровень фильтрации трафика (Peakflow TMS). Информация о трафике поступает в систему по протоколам flow-экспорта, BGP, SNMP. Устройство Peakflow TMS стоит в разрыве канала или «в стороне». На основании анализа трафика и маршрутизации принимается решение о фильтрации атаки средствами Peakflow TMS.

• Обнаружение DDoS-атак и аномалий производится методом профилирования и анализа поведения, а также с использованием сигнатур ATLAS.

• Для подавления атак используется множество настраиваемых шаблонов, которые позволяют фильтровать трафик по установленным профилям и по широкому спектру критериев.

• Полный мониторинг трафика и маршрутизации в сети провайдера, широкие возможности по генерации отчётов

• Имеется возможность осуществлять URL-фильтрацию трафика абонентов по предопределённому «черному списку» URL (не требуется отдельно использовать решение DPI)

• Самая большая в мире и постоянно актуализируемая база знаний по видам DDoS-атак и ботнет-сетям (ATLAS) и команда профессионалов (ASERT), данные поступают и обрабатываются от множества операторов связи по всему миру

Услуга по защите от DDoS-атак позволит провайдеру: • Получить конкурентное преимущество за счет расширения спектра предоставляемых услуг

• Повысить репутацию надежного поставщика услуг связи с широким спектром услуг

• Приобрести дополнительных клиентов, для которых услуга защиты от DDoS-атак является актуальной

• Выполнить требования законодательства по блокированию доступа к запрещённым web-сайтам

Защита от DDoS-атак для Enterprise и ЦОД: Arbor Pravail APS

Функциональные возможности • Мониторинг сетевого трафика с целью

обнаружения аномалий и DDoS-атак

Ключевые особенности • Защита от новых, активно развивающихся DDoS-атак уровня приложений,

благодаря инспекции пакетов до 7-го уровня модели OSI

• Автоматическое обнаружение и защита от DDoS-атак практически без участия оператора

• Простота установки и настройки – решение готово к работе сразу же, с минимальными усилиями пользователя по настройке – так называемая защита «из коробки» ("Out-of-the-box")

• Возможность обработки от 500Мб/сек до 10Гб/сек сетевого трафика, в зависимости от модели и типа установленной лицензии

• Самая большая в мире и постоянно актуализируемая база знаний по видам DDoS-атак и ботнет-сетям (ATLAS) и команда профессионалов (ASERT), данные поступают и обрабатываются от множества операторов связи по всему миру

Для кого? • Центры обработки данных

• Банки, авиакомпании, Интернет-магазины, торговые площадки, СМИ

• Все организации, для которых бесперебойная работа Интернет-ресурса критична для деятельности

• Визуализация атак в режиме реального времени

• Предоставление подробных данных о характере атак и возможных способах их подавления, расследование инцидентов

• Подавление DDoS-атак в ручном или автоматическом режиме

Защита приложений и БД: Imperva

Функции • Комплексное решение для защиты web-, СУБД и файловых серверов

• Анализ защищенности (сетевой и системный сканер)

• Compliance (PCI DSS, СТО БР и т.д.)

Особенности • Режим In-Line или Traffic Mirror

• Корреляция событий

• Динамическое профилирование

• Виртуальный “патчинг”

• Идентификация пользователей

в 3-х звенной архитектуре

• Анализ консольных и telnet/SSH запросов к БД

• Защита от внутреннего и внешнего нарушителя

• Защита данных, а не хоста

Для кого? • Интернет-магазины, авиакомпании, аукционы

• Банки с ДБО, банки без ДБО, финансовые организации

• Популярные web-проекты

• Крупные предприятия, эксплуатирующие базы данных и web-приложения (ERP, CRM)

Результат? • Минимизация рисков атак на базы данных и web-порталы, возможного ущерба

• Контроль и мониторинг действий пользователей и администраторов

Защита приложений и БД: Imperva

Аудит

использования

Контроль доступа,

защита от НСД

Управление

правами

Защита от атак

Контроль по

репутации

Виртуальные

обновления

Частные политики ИБ

Требования к процедурам ИБ

Высокоэффективная доставка приложений: Palo Alto

Firewall нового поколения • Все функции в одной платформе: Firewall, Site-to-site VPN, SSL VPN, IPS, AV, Proxy, Web Security, URL

filtering, контроль IM, DLP

• Идентификация приложений вне зависимости от используемых протоколов и способов маскировки

• Различные механизмы идентификации и аутентификации пользователей, интеграция с MS AD и DHCP

• Гранулированное управление контентом и полосой пропускания

• Работа в режиме L2 или L3, возможность использования в архитектуре Cisco SEF

• Аппаратная реализация значительной части логики, высокая производительность, различные модели

Результат: • Полный спектр функций современного многофункционального шлюза безопасности в одном устройстве

• Эффективное управление использованием Интернет-канала, гранулированный контроль пользователей и приложений

• Подавление различных атак, снижение рисков ущерба ИТ-инфраструктуре, репутационных рисков

Internet

Частные политики ИБ

Свидетельства деятельности по обеспечению ИБ

Высокоэффективная доставка приложений: Palo Alto

ИДЕНТИФИКАЦИЯ КАТЕГОРИЗАЦИЯ КОНТРОЛЬ • по приложениям, а не по

портам и протоколам • по пользователям

и группам, а не по IP • путем анализа контента,

а не по имени файла

• по приложениям • по типу приложений • по получателям • по контенту • по пользователям и группам

• Приоритизация приложений по правилам политики • Управление приложениями по правилам политики • Блокировка приложений по правилам политики • Обнаружение и блокировка вредоносного ПО • Обнаружение и предотвращение попыток вторжения

Хаос приложений. Их так много на порту 80

Пользователи/ группы ПОЛИТИКА

Viruses Spyware

Worms Botnets

Palo Alto

Корпоративная безопасность и оптимизация от BlueCoat – единое гибридное решение

Политики Производительность Аутентификация Единая точка контроля

ProxySG Director

WebFilter

WebPulse

ProxyClient

Proxy AV

Kaspersky Sophos McAfee Panda TrendMicro

DLP

+ все Icap (Infowatch, McAfee, Symantec)

Optimization

Bandwidth Mgmt Protocol Optimiz. Caching/Acceler. Stream Splitting

Reporter

Traffic Shaper

DPI Layer7+

StoneSoft

Особенности • Оптимальное решение для защиты

персональных данных и АС 1Г

• «Всё в одном» - МЭ, IPS, VPN, AV

• Сертификация ФСТЭК и ФСБ для всех компонентов

• Сертификация по контролю отсутствия НДВ

Функции • Site-to-site и Remote Access VPN

• SSL VPN на отдельном устройстве

• Кластеризация FW и SSL VPN в режиме балансировки нагрузки

• Резервирование каналов связи с балансировкой нагрузки (MultiLink)

• Поддержка 3G, ADSL, WiFi в младших моделях

• Аутентификация пользователей по одноразовым паролям (e-mail, SMS)

• Отдельный сервер централизованной аутентификации SG Authentication Server

Мобильный защищённый доступ: StoneGate SSL VPN

Особенности • Защищённое подключение к корпоративной сети с использованием Web-браузера и протокола HTTPS

• Не нужно устанавливать на компьютер VPN-клиент

• Можно обойтись без прав администратора на компьютере

• Любая операционная система и любое устройство: ноутбуки, планшеты, коммуникаторы, телефоны, тонкие клиенты

• Протокол https разрешён у всех Интернет-провайдеров в любой точке мира

• Интеграция с различными технологиями аутентификации – токенами, сертификатами, одноразовыми паролями и т.п.

Задачи • Защищённый мобильный

удалённый доступ к корпоративной сети

• Защита ПДн до 1 класса включительно

StoneSoft

Сертификация межсетевых экранов StoneGate FW • ФСТЭК как межсетевой экран по 2 классу защиты

• ФСТЭК по контролю отсутствия НДВ (4 уровень контроля)

• ФСТЭК на ТУ: единый комплекс, включающий IPS, AV, SMC, VPN Client

• ФСБ на СКЗИ класса КС1 и КС2 – до конца 2012 г.

• Сертифицировано производство (а не партия!)

Сертификация StoneGate IPS • ФСТЭК на ТУ с описанием функций систем обнаружения вторжений

• ФСТЭК как межсетевой экран по 3 классу защиты

• ФСТЭК по контролю отсутствия НДВ (4 уровень контроля)

• Сертифицировано производство (а не партия!)

Сертификация StoneGate SSL VPN • ФСТЭК как межсетевой экран по 3 классу защиты

• ФСТЭК по контролю отсутствия НДВ (4 уровень контроля)

• ФСБ на СКЗИ класса КС1 и КС2

• Сертифицировано производство (а не партия!)

Единственный западный вендор в данном классе решений, который прошел сертификацию ФСТЭК по контролю отсутствия НДВ и сертификацию ФСБ

Частные политики ИБ

Требования к процедурам ИБ

Мониторинг трафика и угроз ИБ: Arbor Pravail NSI (Peakflow X)

Функциональные возможности • Мониторинг характера и эффективности

использования сетевого трафика

• Мониторинг трафика с точки зрения ИБ

• Мониторинг и картина для всей сети, сбор информации: traffic mirror и flow-экспорт

• Корреляция и анализ сетевого трафика на предмет выявления аномалий, подозрительной или несанкционированной сетевой активности (участие в botnet-сетях, обращение к фишинговым или другим нежелательным серверам и т.д.)

• Сигнатурный анализ на предмет соответствия правилам ATF, постоянно обновляемым и актуализируемым лабораторией ASERT

• Обработка и представление информации о характере использования и объемах сетевого трафика внутри организации

Результат: • Мониторинг всей сети

• Подробная информация по трафику в сети

• Расследование инцидентов

• Обнаружение несанкционированных и скрытых действий, аномалий, нарушений ИТ- и ИБ- политик

• Инструмент как для ИТ-, так и для ИБ- служб

Мониторинг действий пользователей: FalconGaze / SearchInform

Сообщения в ICQ, MSN, Mail.Ru

Агент, Miranda, QIP Infium, Google

Talk и других мессенджерах

Сообщения в чатах, блогах, форумах,

социальных сетях, передаваемые

файлы, загружаемые страницы

Голосовые сообщения,

мессенджер, sms и звонки

в программе Skype

Внешние устройства (USB-устройства,

съёмные носители), CD/DVD

Сообщения электронной почты,

включая вложения

Перемещение файлов по сети,

на общих корпоративных ресурсах

Файлы, выводимые

на печать

Файлы, передаваемые по FTP

Файлы, выводимые

на экран (cкриншоты)

Файлы, перемещаемые

на рабочее место

Контроль ноутбуков и

мобильных устройств

(полный функционал)

DLP (McAfee / Symantec / InfoWatch)

Источники данных

Применяемая политика

Сохраненные

Используемые

При передаче

данных

Действия пользователя

Копировать

на устройство

Записать

на диск

Вырезать,

копировать,

вставить

Печать

Выгрузить

Шифровать

Feedback

Отслеживать

Блокировка

Карантин

Переадресация

Защита виртуальной инфраструктуры: Trend Micro Deep Security

Агент Virtual Appliance

Глубокий пакетный анализ (DPI)

IDS / IPS на ОС

Защита Web-приложений

Контроль приложений

Анализ событий

Контроль целостности

Антивирус

Межсетевой экран

• «Trend Micro Enterprise Security 10.0» (включая Deep Security 7.0) сертифицирован по требованиям безопасности информации на соответствие техническим условиям (ТУ) и на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля.

• Пакет продуктов Trend Micro может быть использован при построении АС класса защищенности до 1Г включительно и подходит для построения информационных систем персональных данных (ИСПДн) до 1 класса включительно

Защита облачных и виртуальных сервисов

Опыт Микротест

Опыт

• На рынке ИБ свыше 10 лет

• Реализовано более 100 проектов в области ИБ из них не менее 20 по аудиту и №152-ФЗ

Поддержка

• Сервисный центр

• Круглосуточная поддержка

• Услуги аутсорсинга

• Регионально-распределённый учебный центр

Этическая чистота при проведении аудита

• Сертификационный аудит (ISO27k, PCI DSS) проводится независимым партнером, за счет чего обеспечивается независимая оценка качества выполненных работ

Экспертиза

• Специалисты по проведению тестов на проникновение (White hacking)

• Юристы

• Сертифицированные специалисты (CISA, CISSP, CISM, CCIE Security, JNCIS-FW, JNCIA-IDP и т.п.)

Промышленность • General Motors • Toyota Motors • VOLVO • Coca Cola • Oriflame • GlaxoSmithKline • КАМАЗ • Объединенная Авиастроительная

Корпорация • Корпорация «Тактическое

ракетное вооружение»

Операторы связи • Транстелеком • Мегафон • Вымпелком • Sky Link • Уралсвязьинформ • Южная Телеком- муникационная компания • РТКом • Петерстар

Государственные учреждения • МЧС • Министерство Транспорта • Министерство Внутренних Дел • Прокуратура РФ • Федеральная Служба Исполнения

Наказаний • Пенсионный Фонд РФ • Администрация ХМАО • Администрация Екатеринбурга

Финансы и страхование • Raiffeisen Bank • BSGV • ABN-AMRO • City Bank • Банк России • Внешторгбанк • Промсвязьбанк • Россельхозбанк • Сибакадембанк • РОСНО • Прогресс-гарант • НБД-Банк • СК Макс

Транспорт • Российские Железные

Дороги • Трансконтейнер • Мострансавто • Метрополитен

Екатеринбург • Аэропорт

Шереметьево

ТЭК • Газпром • Газпромнефть • ЛУКОЙЛ • ТНК-ВР • Салым Петролеум • ЕСО ЦДУ • Таманьнефтегаз

Торговые компании • Азбука Вкуса • Le Future • Рольф • Красный Куб • Кенгуру • Фамилия

Заказчики Микротест

СПАСИБО ЗА ВНИМАНИЕ!

Илья Яблонко, CISSP,

заместитель руководителя направления ИБ

Микротест

iyablonko@microtest.ru

+7 965 545 09 66 +7 495 787-20-58

info@microtest.ru