ОСНОВНЫЕ ПОЛОЖЕНИЯ

Многие организации расширили свои сети для взаимодействия с центрами обработки данных, удаленными сотрудниками, находящимися в командировках, и деловыми партнерами, обеспечив более высокую производительность за счет повышения доступности сетей. Однако расширение сетевых взаимодействий приводит к появлению новых возможностей хищения критически важной информации, представляющей собой интеллектуальную собственность. Сотрудники и доверенные лица зачастую (подчас бессознательно) оказываются виновниками хищения информации. Cisco Systems® предлагает не имеющие аналогов интегрированные системы информационной безопасности, обеспечивающие защиту сетей организаций от хищения информации как снаружи так и извне на основе существующих инвестиций в вычислительные процессы, сети и платформы безопасности.

СОСТОЯНИЕ В СФЕРЕ БЕЗОПАСНОСТИ

Компьютерные и сетевые технологии позволили организациям повысить эффективность деловых операций и качество обслуживания клиентов. Однако повышение мобильности и доступности современных деловых сетей порождает новые проблемы в сфере безопасности. Беспроводные сети, рабочие станции и домашние компьютеры сотрудников являются потенциальными точками проникновения в сеть злоумышленников или вредоносного кода.

Сетевая безопасность является относительно новой сферой, поэтому поиск квалифицированных специалистов по безопасности является сложной задачей. Кроме того, непростой задачей для организаций является определение объема дополнительных инвестиций в безопасность. Затраты на организацию сети и информационные технологии обычно оцениваются на основе расчета возврата инвестиций (ROI), при этом не все организации уделяют достаточное внимание безопасности сети, что обычно считается дорогостоящим делом. Понимание приходит с опытом, когда руководство организации осознает, что более совершенная система защиты обеспечивает повышенную надежность и эффективность деловых операций во всей сетевой инфраструктуре. В перспективе надежная защита сети позволяет сэкономить денежные средства организации.

ПРОБЛЕМЫ ХИЩЕНИЯ ИНФОРМАЦИИ

Многие атаки хищения информации из сетей организаций связаны с хищением корпоративных данных, являющихся интеллектуальной собственностью, и осуществляются для продажи секретов фирмы конкурентам с целью наживы. По данным, полученным от ряда организаций*, хищение информации приводит к наиболее серьезным финансовым потерям вследствие нарушений безопасности сетей, которые в среднем составляют 2,7 миллиона долларов на одно нарушение. К другим корыстным целям, которые преследуют злоумышленники, относится хищение идентификационной информации, такой как номера социального страхования или данные кредитных карт клиентов. По данным последних исследований, более 70% опрошенных считают хищение номера банковского счета, номера социального страхования и данных кредитной карты очень серьезной проблемой**.

Существует много разновидностей компьютерных воров. Одни могут быть хакерами, находящимися вне организации и предпринимающими попытку обхода внешних сетевых средств защиты. Другие могут пройти в здание организации под видом сотрудников и предпринять попытку хищения информации с помощью собственного или компьютера компании. Компьютерными ворами могут оказаться штатные сотрудники, подрядчики, деловые партнеры или другие доверенные лица, осуществляющие хищение информации для получения финансовой выгоды или с целью отмщения. По данным отраслевых отчетов, 70% случаев несанкционированного доступа к информационным системам происходит по вине сотрудников организации, и более 95% вторжений приводят к финансовым убыткам*. Организациям необходимо постоянно и последовательно принимать меры предосторожности и защиты от каждого из этих вариантов хищения информации.

Для отражения и предотвращения атак хищения информации организациям необходимо перейти к новому взгляду на безопасность доверительных отношений, исключающему полное доверие. Нельзя больше считать абсолютно всех сотрудников доверенными пользователями сети. Перед реализацией новой системы доверительных отношений руководству организаций необходимо обеспечить выполнение следующих действий:

• Создание и обеспечение соблюдения одной или нескольких корпоративных политик безопасности.
• Запрос к пользователю для проверки считать его доверенным.
• Предоставление и назначение прав и привилегий доступа доверенным аутентифицированным пользователям.
• Защита конечных узлов сети (например, настольные и портативные компьютеры, серверы) от проникновения.
• Защита сетевых ресурсов от внутренних и внешних атак (например, маршрутизаторы, коммутаторы, точки беспроводного доступа).
• Безопасные каналы передачи данных и голоса для гарантирования секретности и конфиденциальности доверенных пользователей.

СТРАТЕГИЯ САМОЗАЩИЩАЮЩЕЙСЯ СЕТИ CISCO

Хищение информации обычно происходит незаметно для персонала службы информационной безопасности или сети. Следовательно, необходимо обеспечить возможность быстрой и автоматической реакции системы безопасности на подозрительную сетевую активность. Для предоставления возможности сети и ее администраторам распознавать подозрительную активность, определять опасность угроз и быстро предпринимать соответствующие ответные действия по блокированию попытки хищения информации необходимо полностью интегрировать компоненты системы безопасности на всех участках сети. Стратегия самозащищающейся сети позволяет создать комплексную систему защиты от хищения информации. На основе имеющихся капиталовложений в платформы маршрутизации, коммутации, беспроводной связи и защиты организации могут развернуть самозащищающуюся сеть, которая позволяет обнаруживать, предотвращать и адаптироваться как к внутренним, так и внешним угрозам безопасности. Только Cisco предлагает не имеющий аналогов системный подход к защите бизнес процессов на основе разумного объединения сетевых решений, технологий защиты и служб безопасности.

Самозащищающаяся сеть состоит из трех компонентов (систем), каждый из которых выполняет конкретные функции (рис. 1). Эти системы работают совместно для обнаружения и блокирования попыток хищения корпоративной информации.

Рис. 1. Компоненты самозащищающейся сети Cisco

Система безопасных соединений Cisco

Обеспечение конфиденциальности информации является важной задачей для любой организации. Пользователи требуют обеспечения конфиденциальности при передаче данных и голоса по каналам связи, а также принятия мер по предотвращению несанкционированного доступа к персональной информации. Технология виртуальных частных сетей (VPN) позволяет системе безопасных соединений Cisco пресекать попытки хищения данных, видео и голоса в IP-сетях, обеспечивая целостность и конфиденциальность информации, передаваемой через общедоступные и частные сети.

Система защиты от угроз Cisco

Сети должны иметь возможность противостоять как внешним, так и внутренним атакам. С целью предотвращения хищения информации система защиты от угроз Cisco обеспечивает защиту от злонамеренной активности, нацеленной на конечные узлы, такие как настольные компьютеры и серверы, и, используя логический механизм, выполняет обнаружение, распознавание и блокирование подозрительного поведения в любой точке сети.

Система доверия и идентификации Cisco

Первая линия защиты сети организации - определить пользователей и устройства, которые имеют доступ к сети, проверить состояние таких устройств и уточнить права и привилегии, позволяющие этим устройствам получить доступ к ресурсам. Система доверия и идентификации Cisco препятствует хищению информации, предоставляя доступ к корпоративной сети только доверенным пользователям и устройствам, причем эти пользователи и устройства не могут получить доступ к запрещенным для них информационным ресурсам.

ПРЕДОТВРАЩЕНИЕ ХИЩЕНИЯ ИНФОРМАЦИИ ИЗВНЕ

Хищение информации происходило испокон веков. В настоящее время возможности сети Интернет позволяют злоумышленникам осуществлять хищение информации, не переступая порога здания компании. Способов хищения информации как извне, так и изнутри организации или сети существует великое множество. Например, хакер может предпринять попытку перехвата передаваемой через общедоступные сети информации с помощью так называемой атаки «человек-посредник». Кроме того, хакер может тайно установить на узел корпоративной сети вредоносное программное обеспечение, позволяющее открыть брешь в системе защиты для доступа к настольным системам и серверам. Широкое распространение беспроводных локальных сетей, охватывающих комплекс зданий, позволяет хакерам запускать атаки через незащищенные точки беспроводного доступа, которые могут существовать в непосредственной близости от зданий. Интегрированные системы информационной безопасности Cisco предоставляют многосторонний подход к защите корпоративных сетей от внешних угроз.

Проверка доверенных пользователей и полномочий доступа

Первый шаг к организации защищенной сетевой среды –это проверка идентичности и полномочий доступа пользователей. Система доверия и идентификации Cisco обеспечивает идентификацию пользователей с помощью стандартных протоколов и технологий аутентификации, таких как протокол 802.1X и технология аутентификации, авторизации и учета (AAA), интегрированных в коммутаторы Cisco Catalyst® и маршрутизаторы Cisco. После проверки идентичности пользователя ему можно предоставить привилегии доступа. Сервер Cisco ACS (Cisco Secure Access Control Server) управляет настройкой политик и доступом в сеть. Сервер Cisco ACS позволяет администраторам контролировать доступ пользователей к различным сегментам сети, разрешать использование различных сетевых служб отдельным пользователям или группам пользователей и регистрировать все действия пользователей в журнале.

Проверка доверенных устройств

Перед тем, как разрешить устройству доступ в сеть, его необходимо проверить на соответствие политике безопасности для конечных узлов. Система контроля доступа Cisco NAC (Cisco Network Admission Control) сопоставляет данные о состоянии системы устройства с действующей политикой безопасности. Взаимодействуя с отраслевыми партнерами, такими как Trend Micro и IBM, сеть, используя интеллектуальные механизмы Cisco NAC, определяет степень соответствия конечного узла действующим политикам безопасности и на основании полученной информации разрешает или запрещает доступ.

Защита конфиденциальной информации в общедоступных сетях

Удаленный доступ и надомная работа позволяют повысить производительность, но при этом организации сталкиваются с задачей защиты соединений с корпоративной сетью через общедоступную сеть. Система безопасных соединений Cisco обеспечивает конфиденциальность данных, передаваемых через небезопасные сети.

Системы удаленного доступа через сеть Cisco VPN позволяют расширить безопасные соединения корпоративной сети с филиалами и удаленными сотрудниками с помощью стандартных протоколов SSL и IPSec. Эти системы предоставляют самые надежные протоколы аутентификации и шифрования данных, обеспечивая доступ к сети только для законных пользователей. Шифрование трафика не позволяет злоумышленнику прочитать перехваченные пакеты.

Клиент Cisco VPN – это программное обеспечение, совместимое с широким спектром операционных систем, обеспечивающее безопасный удаленный доступ к VPN и поддержку приложений электронной коммерции, мобильных пользователей и терминальных приложений. Данный клиент поддерживается большинством главных платформ, включая маршрутизаторы Cisco, концентраторы семейства Cisco VPN 3000 и устройства защиты Cisco PIX®.

Защита от проникновения в сеть нарушителей

Обычно перед тем, как предпринять попытку проникновения, хакеры сканируют корпоративную сеть для выявления уязвимых точек доступа и устройств. Затем они пытаются получить доступ к сети за счет модификации трафика широко распространенных приложений, например, HTTP-трафика Web-приложений. Сетевые системы обнаружения и предотвращения вторжений (IDS/IPS) анализируют весь проходящий через сеть трафик, обнаруживают попытку сканирования, определяют тип атаки и предпринимают ответные действия для блокирования угрозы. Обычно эти действия позволяют удержать хакера от дальнейшего проникновения в сеть.

Исчерпывающий набор систем предотвращения вторжений Cisco включает встроенные в коммутаторы и точки беспроводного доступа программные функции, специализированные высокопроизводительные аппаратные модули для коммутаторов Cisco Catalyst, а также автономные эффективные устройства. Системы Cisco IPS обеспечивают высокоэффективную защиту от угроз для сетей небольших офисов, филиалов компаний и крупных предприятий.

Защита беспроводных соединений

Организации воспринимают технологию беспроводных локальных сетей как удобное и экономичное решение для организации сетевых сред, охватывающих комплекс зданий. К сожалению, злоумышленник может без труда получить доступ к беспроводной сети. Используемые в большинстве беспроводных сетей методы аутентификации и шифрования данных с применением статических ключей шифрования на основе стандарта 802.1X не обеспечивают защиту от некоторых нарушений, характерных для беспроводных сетей.

Ошибка проектирования или недостаточная осведомленность может стать причиной корректной установки точек беспроводного доступа, в результате чего доступ к сети будет разрешен пользователям не прошедшим аутентификацию. Входящие в состав структурированной беспроводной сети Cisco SWAN (Cisco Structured Wireless-Aware Network) функции обнаружения вторжений позволяют мгновенно обнаруживать несанкционированные точки доступа. Встроенный в точки доступа и модули Cisco Catalyst 6500 механизм Cisco SWAN позволяет определять точное местоположение всех несанкционированных точек беспроводного доступа, предоставляя сетевым администраторам возможность быстрого обнаружения и отключения этих точек.

Используемые в современных беспроводных сетях статические ключи шифрования могут быть раскрыты с помощью общедоступных средств взлома. Системы защиты беспроводных сетей Cisco используют промышленный стандарт защищенного доступа на основе технологии Wi-Fi WPA (Wi-Fi Protected Access), который предусматривает шифрование с использованием временных ключей. Системы защиты беспроводных сетей Cisco предоставляют уровень безопасности, который не уступает уровню безопасности проводных сетей. Cisco SWAN и коммутаторы Cisco Catalyst 6500 обеспечивают полную защиту и интеграцию проводных и беспроводных сетей, позволяя упростить процесс конфигурирования, управления и контроля соблюдения политик безопасности.

ПРЕДОТВРАЩЕНИЕ ХИЩЕНИЯ ИНФОРМАЦИИ ИЗНУТРИ

Большинство организаций интенсивно вкладывают инвестиции в средства физической безопасности комплекса зданий, которые включают дверные замки, электронные карточки-ключи и даже камеры наблюдения и вооруженную охрану. Эти средства сдерживают многих нарушителей, но некоторым злоумышленникам удается обойти физическую защиту, попадая в здание под видом сотрудников организации. Хищение информации может быть также совершено самими сотрудниками или другими доверенными лицами, имеющими доступ к конфиденциальным данным. Многоуровневая система защиты эффективно сдерживает неуполномоченных штатных сотрудников, подрядчиков и посетителей от просмотра и хищения корпоративной информации.

Разделение сети на "островки" безопасности

Кроме защиты сети извне, межсетевые экраны играют важную роль в защите от внутренних нарушителей. Межсетевые экраны являются своего рода дверьми с электронными замками и обеспечивают разграничение доступа между группами пользователей сети посредством разделения сети на изолированные участки безопасности – ”островки” безопасности. С помощью межсетевых экранов можно запретить пользователям одной группы доступ к ресурсам пользователей другой группы. Например, можно запретить партнерам и поставщикам во внутренней сети компании доступ к конфиденциальной информации о финансах, сотрудниках и данных учета.

Cisco предоставляет максимально широкий набор функций межсетевого экрана для сетей любого масштаба. Функции межсетевого экрана встроены во все маршрутизаторы Cisco и коммутаторы Cisco Catalyst. Аппаратные модули межсетевого экрана для коммутаторов Cisco Catalyst обеспечивают поддержку высокопроизводительных приложений. Эффективные автономные межсетевые экраны на базе устройств защиты PIX Security Appliances обеспечивают защиту домашних пользователей, филиалов организаций, комплексов зданий и центров обработки информации.

Защита рабочих групп пользователей

Системы доверия и идентификации Cisco позволяют сегментировать пользователей на различные рабочие группы независимо от их местоположения или виртуальные локальные сети (VLAN). Например, в среде, охватывающей комплекс зданий, или в сети филиала организации может потребоваться предоставить посетителям доступ к сети Интернет, но не к корпоративным ресурсам. Обслуживающий сеть персонал может создать гостевую сеть VLAN, обеспечивающую виртуальное отделение посетителей от корпоративной сети за исключением участка, предоставляющего доступ в Интернет. Сети VLAN также могут использоваться для разграничения доступа сотрудников к сетевым ресурсам в зависимости от выполняемых функций. Например, только идентифицированные и аутентифицированные как персонал отдела маркетинга пользователи могут иметь доступ к серверу маркетинга в соответствующей виртуальной локальной сети. Возможности VLAN интегрированы во все коммутаторы Cisco Catalyst.

Блокирование действий, связанных с промышленным шпионажем, подслушиванием и подменой

Доверенные сотрудники могут использовать общедоступное программное обеспечение для отслеживания данных, включая вызовы по IP-телефону и пароли, которые работники организации отправляют и получают по сети. Вредоносные приложения также могут быть непреднамеренно загружены пользователями на настольные/портативные компьютеры и серверы в результате действий червя или троянского коня; эти приложения позволяют злоумышленникам осуществлять хищение корпоративной информации, такой как пароли, номера счетов и персональные данные сотрудников. Другим приемом является обман, например, когда пользователь ”A” выдает себя за пользователя “B” с целью получения доступа к информации пользователя “B”. Коммутатор Cisco Catalyst предоставляет широкий спектр интегрированных функций для защиты от этих атак. Интегрированные функции защиты коммутатора Cisco Catalyst позволяют предотвращать или быстро и успешно отражать атаки хищения информации. Программа-агент Cisco CSA (Cisco Security Agent) также позволяет устранять вредоносные программы с главных узлов сети организации. Внедренная в сеть Cisco CSA информирует пользователей о событиях, связанных с загрузкой и установкой любого ПО на компьютер, в частности, программного обеспечения с аномальным поведением, таким как перехват нажатия клавиш или открытие соединений с внешней сетью. Такие средства, как программа-агент Cisco CSA и интегрированные функции защиты коммутатора Cisco Catalyst обеспечивают защиту от наиболее распространенных видов злонамеренной активности, угрожающей современным предприятиям.

МОНИТОРИНГ И УПРАВЛЕНИЕ СОСТОЯНИЕМ БЕЗОПАСНОСТИ СЕТИ

В крупных распределенных сетях общее представление всех сетевых устройств, а также устройств и функций защиты позволяет ИТ-персоналу эффективно выполнять мониторинг сети. Благодаря интегрированным функциям защиты Cisco информация от всех маршрутизаторов, коммутаторов, систем обнаружения и предотвращения вторжений, межсетевых экранов, устройств VPN и защищенных конечных узлов собирается и анализируется системой CiscoWorks SIMS (CiscoWorks Security Information Management Solution), позволяющей персоналу службы информационной безопасности быстро обнаруживать угрозы и предпринимать соответствующие ответные действия.

Кроме того, система CiscoWorks VMS (CiscoWorks VPN/Security Management Solution) позволяет повысить производительность организации за счет объединения инструментальных средств на основе Web для централизованного конфигурирования, мониторинга и устранения неполадок виртуальных частных сетей, межсетевых экранов и систем обнаружения вторжений. Правила и конфигурации можно применять ко всей сети, что существенно упрощает процесс использования общесетевых политик безопасности.

ПРЕДОТВРАЩЕНИЕ ХИЩЕНИЯ ИНФОРМАЦИИ С ПОМОЩЬЮ САМОЗАЩИЩАЮЩИХСЯ СЕТЕЙ CISCO

Хищение информации является наиболее дорогостоящим нарушением безопасности для современных организаций. Согласно имеющимся данным, за 2003 год ущерб от хищения информации из сетей организаций США составил в среднем 2,7 миллиона долларов на одно нарушение***. В действительности общий ущерб гораздо больше приведенной суммы, полученной в результате глобальной оценки.

Хищение информации зачастую приводит к очень серьезным последствиям – от падения производительности до финансовых убытков.

Большое число нарушений, связанных с хищением информации, происходит внутри организаций, поэтому руководству необходимо обеспечить наличие средств как внешней, так и внутренней сетевой защиты. Интегрированные системы информационной безопасности Cisco позволяют организациям реализовать самозащищающиеся сети на основе существующих инвестиций в сетевую инфраструктуру и опыта сотрудников. Стратегия самозащищающейся сети Cisco обеспечивает сеть интеллектуализацией и предоставляет возможность защиты корпоративных ресурсов с использованием существующей инфраструктуры и сохранением совокупных затрат на владение (TCO) на заданном уровне. В результате персоналу службы информационной безопасности предоставляются более гибкие возможности, позволяющие идентифицировать подключенных к сети пользователей и определять, к каким информационным ресурсам они пытаются получить доступ; таким образом, персонал службы информационной безопасности может уделять больше времени вопросам повышения эффективности и производительности сети.

Cisco является лидером в производстве сетевых систем и систем защиты. Только Cisco предлагает не имеющий аналогов системный подход к защите деловых процессов на основе интеллектуального объединения сетевых технологий, технологий безопасности и служб защиты. Cisco предлагает исчерпывающий набор интегрированных систем информационной безопасности, включая системы безопасных соединений, защиты от угроз, а также доверия и идентификации, призванных обеспечить наиболее эффективную защиту сетей организаций любого масштаба от хищения информации.

Более подробную информацию о защите от хищения корпоративной информации, а также дополнительные сведения о стратегии самозащищающейся сети Cisco см. по адресу: http://www.cisco.com/go/selfdefend


* Источник: CSI/FBI Security Study, 2003
** Источник: Gartner Research, 2004
*** Источник: 2004 CSI/FBI Computer Crime and Security Survey