Исаак  Мостов  Генеральный  директор  по  России  и  СНГ  AlgoSec  Isaak.mostov@algosec.com  +7-­‐964-­‐7254325

Интеллектуальный  анализ  политик  сетевой  безопасности.  

Очевидное  в  применении  стандартов…  

•  Стандарты  это  хорошо…  •  Чтобы  доказать  другим  (внешним)  своё  соответствие  общепринятому…  •  Чтобы  доказать  своим  (внутри)  где  надо  «подтянуть»  а  где  «в  норме»  

•  Но!  Стандарты  это  хлопотно  •  Надо  проводить  «ликбез»  и  нужны  «специально  обученные  люди»  •  Надо  выделять  ресурсы  

•  На  аудиторов  –  в  штате  или  в  OUTSOURCE •  На  сбор  и  обработку  данных,  на  предоставление  отчётов  •  На  исправление  несоответствий  требованиям  стандартов  

•  Проводится  периодично  •   Чем  больше  хлопот  по  сбору  и  обработке  данных,  тем  реже  

•  Требуют  постоянства,  когда  всё  вокруг  «течёт  и  меняется»  

ConfidenSal 2

Защита  периметра  –  часть  из  требований  стандарта…  

•  Почему?  •  Связь  с  внешним  миром  обязательна  

•  для  доступа  к  информации  •  для  предоставления  услуг,    •  для  работы  бизнес  приложений,    •  для  связи  и  обмена  данных  

•  Но  проблематична    •  угрозы  от  внешних  недоброжелателей  очевидны  

•  Требует  определение  «периметра»,  зон  и  прав  доступа,  построения  «защитного  вала»  •  Не  так  просто  в  эпоху  «облака»  ,  мобильных  устройств  и  удалённых  рабочих  мест  

•  Требует  создания  охраняемых  «ворот»  в  защите,  контроль  доступа  •  В  МСЭ  больше  ALLOW,  чем  DROP…  

ConfidenSal 3

Защита  периметра  –  часть  из  требований  стандарта…  

•  Требуется  полный  цикл    •  Выявления  рисков  и  уязвимостей  •  Определения  политики  ИБ,  

действующих  принципов  защиты  на  внутренние  и  внешние  угрозы  

•  Реализации  в  МСЭ  и  других  устройствах  политик  ИБ  и  стандартов  

•  И  постоянный  мониторинг  •  Состояния  защиты  «периметра»  •  Его  соответствия  политике  ИБ  и  

стандартам  

ConfidenSal 4

Защита  периметра  –  часть  из  требований  стандарта…  •  Требуется  контролируемая  и  

управляемая  реакция  на  изменения  •  Правильный  подход  

•  Изменения  -­‐  часть  жизненного  цикла…  •  Главные  driver-­‐ы  изменений    

•  Доступ  к  бизнес  приложениям  и  услугам  •  Реакция  на  анализ  рисков  и  уязвимость  •  Техническая  оптимизация  

•  Основные  требования  при  изменениях  •  Соблюдение  стандартов  •  Гибкость  и  скорость    •  Точность  и  качество  исполнения  

•  Обязательно  -­‐  доказательства  контроля  процесса  изменений  и  аудита  их  реализации  

ConfidenSal 5

Ну  хорошо,  прошли  первый  аудит,  а  дальше  что?  •  Надо  содержать  и  оптимизировать  защиту  не  нарушая  требований  

стандартов…  •  В  ручную  уже  не  успеть…  надо  автоматизировать  

•  Планирование  изменений    •  Влияние  изменений  на  соответствие  стандартам  •  Документацию  процесса  изменений  •  Сбор  и  обработку  базовых  данных  •  Проверку  соответствия  настроек  требованиям    

•  Основные  факторы  успеха  (success  factor)  •  Прозрачность  взаимосвязей  приложений/услуг  и  деталей  сетевого  доступа    •  Оценка  влияния  изменений  до  их  реализации  •  Правильность  внесения  изменений,  без  противоречий  требованиям  стандартов  •  Координация  всех  участников  процесса  –  ИБ,  APP,  SYS  и  NET  админов,  HD/OPS    

  ConfidenSal 6

А  можно  ли  всё  это  автоматизировать?    И  что  для  этого  надо?    

Что  надо  для  автоматизации  аудита  соответствия…  •  Архитектура  

•  Для  работы  на  уровне  всей  сети,  её  сегмента  или  одного  устройства.  •  Способную  к  масштабированию  на  все  сетевые  устройства  •  Способную  работать  в  географическом  распределении  •  С  поддержкой  high-­‐availability  

•  Сбор  данных  •  Об  устройствах  защиты  периметра  и  топологии  сети  

•  настройки,  политики  и  правила  фильтрации,  таб.  маршрутизации,  данные  трафика,  и  т.п.      

•  Об  изменениях  в  устройствах  защиты  периметра  •  мониторинг  и  документация  изменений  

•  Периодический  •  В  минутном  режиме  для  мониторинга,  ежедневный  для  анализа  

•  Гибкий  и  разно  уровневый  •  Напрямую  с  устройств,  с  систем  управления,  с  syslog-­‐а,  online  и  offline  

ConfidenSal 8

Что  надо  для  автоматизации  аудита  соответствия…  

•  Анализ  данных  •  На  основе  стандартов  и  баз  накопленных  знаний  по  рискам  и  проблемам.  •  С  cross-­‐reference  проблем  и  требований  стандартов  •  Ежедневный  и  «по  востребованию»  

•  Отчёты  •  Соответствующие  требованиям  стандартов  

•  с  указанием  соответствующей  секции  применимого  стандарта  •  С  «живым»  переходом  для  выявления  деталей  проблем  

•  до  уровня  устройства  и  настройки  или  правила  в  нём  •  On-­‐line  и  в  других  форматах  (PDF,  XML,  CSV)  •  С  программируемой  рассылкой  по  почте  

ConfidenSal 9

Что  надо  для  автоматизации  аудита  соответствия…  

•  Поддержка  всего  жизненного  цикла  изменений  настроек  •  От  просьбы/заявки  на  изменение  и  до  проверки  правильной  реализации  

изменения  на  устройствах.  •  В  соответствии  с  согласованными  организационными  бизнес  процессами    •  Для  всех  видов  изменений  –  добавление,  модификация,  удаление  правил  и  

объектов  •  Проверка,  что    требуемые  изменения  не  нарушают  целостности  защиты  и  

соответствия  стандартам    •  Оценка  рисков  и  нарушений  требований  стандартов  до  имплементации  заявок  

•  Соблюдение  оптимального  состояния  политик  и  правил  ИБ  •  Документация  всех  шагов  и  решений,  связанных  с  изменениями  

•  До  уровня  истории  всех  изменений  в  определённом  правиле  на  определённом  устройстве.      

•  Для  всех  типов  изменений  –  по  просьбе  бизнеса  или  для  технической  оптимизации  

ConfidenSal 10

Использования  систем  управления  МСЭ    в  том  числе  и  для  соблюдения  требований  стандартов  

ConfidenSal 11

Source:  the  Ogren  Group    

Пример    ежедневной    автоматической    проверки  на  соответствие  стандарту  PCI-­‐DSS  системы  защиты  периметра    (сети  МСЭ  и  фильтрующих  роутеров)          

Чем  AlgoSec  может  помочь?    -­‐  кто  такой  AlgoSec  -­‐  что  такое  AlgoSec  Security  Management  Suite  (ASMS)  -­‐  что  ASMS  умеет  делать      

Расширение  бизнеса  -­‐    55%  ежегодного  роста  в  2010-­‐12  гг.  

Коротко  про  AlgoSec  

ConfidenSal 18

1000+  клиентов  в  50  странах,    В  том  числе  15  из  списка    Fortune  50  

Лидер  в  инструментарии  для  автоматизации  работы  с  политиками  ИБ  

“Обсесия”  с  темой    Customer    Sa�sfac�on  

Технологическое  партнёрство  с  ведущими  производителями  на  рынке    

Международное  признание    AlgoSec  Security    Management    Suite  

Частичный  список  пользователей  AlgoSec  

19

Financial   Telecom   MSSP   Energy   Consultant   Other  …  

Инфраструктура  сетевой  ИБ  

Бизнес  Приложения  

Чем  AlgoSec  может  помочь…  

ConfidenSal 20

Ответственные  за    бизнес  приложения   Ответственные  за  ИБ  Администраторы  сети  и  операционных  систем  

Своевременные  настройки  доступа  для  бизнес  приложений  

Улучшенное  взаимодействие  команд  ИТ  и  ИБ  

Возврат  инвестиций  в  течении  одного  года!  

Полная  прозрачность  и  контроль  правил  и  политик  МСЭ  

AlgoSec  Security  Management  Suite  (ASMS)  

FireFlow   Firewall  Analyser  BusinessFlow  

Функционал  AlgoSec  Firewall  Analyzer    

ConfidenSal 21

Определение  топологии   Мониторинг  изменений  

Проверка  Рисков  

Оптимизация  правил   Проверка  настроек  

МСЭ  нового  поколения   Анализ  роутеров  

Аудит  

Функционал  AlgoSec  FireFlow  

ConfidenSal 22

Автоматизация  процессов   Планирование  изменений  

Анализ  рисков   Установка  политик  

Change  ValidaSon   Интеграция  с  CMS  

Отчёты  по  SLA   Работа  с  Web  Gateways  

Функционал  AlgoSec  BusinessFlow  

ConfidenSal 23

Портал  доступности   Управление  тр.  доступа  

Вывод  из  эксплуатации  

Аудит  изменений   Определение  связей  

Проверка  связей  

Почему  AlgoSec    -­‐  почему  покупают  AlgoSec  -­‐  результаты  применения  -­‐  что  говорят  клиенты      

AlgoSec    покупают  по  3  причинам  

ConfidenSal 25

ConfidenSal 25

Повышение  безопасности  Автоматизация  соответствия  

стандартам  аудита  Повышение  операционной  

эффективности  

“Причины  более  95%  «дыр»  в  МСЭ  лежат  в  области  ошибок  конфигурации  а  не  в  недоработках  самих  МСЭ”  

“Проведение  «в  ручную»  аудитов  МСЭ  в  современных  сетях  стало  практически  невозможным”  

“С  продуктами  AlgoSec  нам  берет  половину  времени  внедрить  изменения  в  МСЭ,  чем  раньше”  

А  Вам  это  надо?  Вопросы  для  сомневающихся      

1.  Какие  из  перечисленных  МСЭ  используются  в  Вашей  среде?    □  Check  Point  □  Cisco  □  Juniper  □  ForSnet  □  Palo  Alto  □  McAfee  □  Other    

2.  Сколько  МСЭ,  фильтрующих  роутеров  и  других  устройств  ИБ  Вы  используете?    

3.  Из  скольких  правил  состоит  самая  большая  политика  МСЭ?        

4.  Растёт  ли  Ваша  база  правил?    

5.  Нужно  ли  Вам  устранять  старые  правила\дубли  для  оптимизации  действующих  политик?    

6.  Хотели  бы  Вы  найти  и  урезать  слишком  разрешающие  правила  (т.к.  использование  “ANY”)?    

7.  Сколько  изменений  в  политики  МСЭ  Вы  вносите  еженедельно?    

8.  Сколько  времени  занимает  обработка  запроса  на  изменение?    

9.  Используется  ли  у  Вас  управление  изменениями  для  МСЭ?    Довольны  ли  Вы  им?    

10.  Есть  ли  у  Вас  проблемы  с  непрерывностью  бизнеса  из-­‐за  неверных  настроек  МСЭ  и  неправильно  выполненных  изменений  в  правилах  МСЭ?      

ConfidenSal 26

Если  у  Вас  МСЭ  нескольких  производителей  Если  у  Вас  «куча»  МСЭ,  роутеров  и  устройств  ИБ  

Если  Вы  хотите  знать,  что  происходит  с  удалёнными  устройствами  ИБ  Если  у  Вас  больше  правил  фильтрации,  чем  помнят  Ваши  sysadmin-­‐ы  Если  процесс  изменения  политик  МСЭ  приносит  Вам  «головную  боль»  

 Вам  нужен  AlgoSec  Suite  

Реальные  результаты  применения  AlgoSec  Suite  

•  Повышение  производительности  и  взаимодействия  разных  команд  ИТ  и  ИБ  •  Настройки  ИБ  производятся  в  2-­‐4  быстрее  •  Повышение  устойчивости  к  кибер  атакам  благодаря  более  правильным  настройкам  МСЭ.  •  Снижение  количества  проблем  из-­‐за  неправильных  настроек,  снижение  времени  на  

определение  проблем  доступа  к  услугам  из-­‐за  проблем  МСЭ  –  до  15%  в  среднем.  •  Продление  жизни  существующим  МСЭ  –  до  10%.  •  До  80%  снижения  в  стоимости    подготовки  и  проведения  аудита  МСЭ  соответствия  стандартам  –  

внутренним  и  внешним  •  До  60%  снижения  в  стоимости  внедрения  изменений  в  сети  МСЭ  

•  Снижение  до  50%  в  сроках  отработки  заявок  на  изменение  благодаря  автоматизации  процессов  •  Своевременное  выявление  заявок,  которые  не  требуют  изменений  в  правилах  обработки  трафика  –  до  

внесения  ненужных  изменений…  •  Снижение    на  ~5%  в  объёме  работ  по  изменениям  благодаря  уменьшению  ошибок  (и  работ  по  их  

исправлению)  в  исполнении  заявок  по  изменению  правилах  обработки  трафика.  

ConfidenSal 27 Доказуемый  возврат  инвестиций  –  см.  AlgoSec.com/ROI  

«AlgoSec  делает  для  нас  всю  тяжёлую  работу,  и  это  позволяет  нашим  специалистам  уделить  больше  внимания  на  достижение  повышенной  ИБ,  чем  на  процесс  и  его  изменения»  

Phil  Packman,    General  Manager  Security  Gateway  OperaSons,  BT    

«AlgoSec  помог  нам  снизить  на  80%  время  миграции  настроек  ИБ  наших  приложений  в  рамках  проекта  консолидации  наших  ЦОД-­‐в»  

Bruno  Rolleau,    Network  Security  Architect,  Sanofi    

«мы  смогли  использовать  AlgoSec  для  доказательства  соответствия  стандартам  в  очень  короткое  время  с  существенно  меньшей  тратой  ресурсов  на  аудит»  

Peter  Erceg,    Head  of  IT  Security,    T-­‐Mobile    

«с  AlgoSec  мы  сумели  снизить  время  внедрения  изменений  в  МСЭ  на  50%  и  достигли  существенную  экономию  ресурсов»  

Vincent  Laurent,    Head  of  IT  Security,    Dexia  Technology  Services      

Что  говорят  клиенты  про  AlgoSec  

ConfidenSal 28

Security  Management  Maturity  Model  

ConfidenSal 29

•  Нет  чёткого  и  полного  понимания  причин  создания  для  каждого  МСЭ  правила  

•  Ручное  управление  изменениями,  некоторые  изменения  требуют  переработки  

•  Ограниченная  прозрачность  влияния  изменений  на  трафик  

•  Затяжные  и  дорогие  аудиты  •  Правила  не  удаляются  из-­‐за  опасений  что-­‐то  «сломать»  

•  Оценка  рисков  МСЭ  «вручную»  

•  Мониторинг  и  авто-­‐оповещение  об  изменениях  в  политиках  МСЭ  

•  Прозрачность  топологии  сети  МСЭ  –  в  режиме  реальных  изменений  

•  Автоматизированные  отчёты  соответствия  стандартам  

•  Автоматическая  оптимизация    и  анализ  политик  МСЭ  

•  Нет  через-­‐чур  открытых  правил  (т.к.  ANY)  в  МСЭ  

•  Управление  изменениями  «вручную»,  с  ошибками  и  переработками  изменений  

•  Автоматизированные  процессы  управления  изменениями  соответствуют  требованиям  гибкости  бизнеса  

•  Постоянное  соответствие  требованиям  стандартов  с  про-­‐активным  анализом  рисков  заявок  на  изменения  в  МСЭ  

•  Изменения,  проведённые  «вне  процедур»  искореняются,  заявки  на  ненужные  изменения  автоматически  определяются  и  закрываются  без  изменений  МСЭ  

•  Чёткое  разделение  обязанностей  и  ответственности  в  процедурах  управления  изменениями  МСЭ  

•  Частичная,  ручная  документация  ресурсов  доступа  к  бизнес  приложениям  (Word,  Excel)  

•  Быстрое  и  эффективное  управление  доступом  к  бизнес  приложениям  

•  Полное  понимание  и  документация  ресурсов,  требуемых  для  бизнес  приложений  

•  Полная  координация  работы  и  информации  между  командами  ИБ,  сетевыми  админами  и  ответственными  за  эксплуатацию  бизнес  приложений  

•  Безопасный  вывод  из  эксплуатации  приложений,  без  нанесения  вреда  доступу  к  другим  приложениям  и  услугам  

•  Без  проблем  доступа  к  бизнес  приложениям  из-­‐за  ошибок  конфигурации  МСЭ  

Уровень  1  - Ini�al  Уровень  2  -  Emerging  

Уровень  3  -  Advanced  Уровень  4  -  Visionary  

Подключайтесь  к  AlgoSec    на:  

www.AlgoSec.com    

Управление  ИБ  со  скоростью  бизнеса