ОСНОВНЫЕ ПОЛОЖЕНИЯ

Электронная информация уязвима к атакам хищения, осуществляемым как внешними, так и внутренними нарушителями с целью промышленного шпионажа, вымогательства, поддержки преступных организаций, вандализма, отмщения или хвастовства. Эти атаки представляют серьезную опасность: В 2004 году только в США потери организаций в результате хищения секретной информации составили более 11,4 миллионов долларов.¹

Данные уязвимы к хищению во время хранения, передачи и обработки. Для хищения данных во время хранения злоумышленник может, например, скопировать их на съемный носитель или применить атаку «отказ в обслуживании», вызвав перезагрузку сервера и несанкционированно проникнув в систему перед запуском программного обеспечения системы безопасности. Для хищения данных во время передачи злоумышленник может использовать инструментальные средства, позволяющие инициировать атаку «человек по середине» для перехвата конфиденциальной информации, такой как пароли, данные кредитных карт или голосовые переговоры. И, наконец, для хищения данных во время обработки злоумышленник может воспользоваться шпионской программой, тайком установленной на компьютере, для сбора информации по мере ввода. Это всего лишь часть способов хищения информации в проводных и беспроводных сетях.

Первым шагом к предотвращению хищения информации является оценка деловых рисков, связанных с хищением данных различного типа. К категории повышенного риска относятся корпоративные финансовые данные, персональная информация клиентов и сотрудников, описания производственных процессов, химические формулы и процессы, секретные данные правительственных учреждений, планы сбыта продукции, а также данные об операциях слияния и поглощения компаний. К рискам относятся финансовые потери, утрата интеллектуальной собственности и конкурентных преимуществ, потеря репутации компании и привлечение к ответственности за нарушение установленных правовых норм.

Следующий шаг – определение и реализация политики безопасности, включающей средства административного, физического и технического контроля для защиты от хищения информации. Рассматриваемые в настоящем официальном документе средства технического контроля должны обеспечивать контроль доступа, защиту периметра, защищенный удаленный доступ, защиту конечных узлов и защиту от внутреннего хищения информации. Эти средства контроля применимы как для проводных, так и беспроводных сетей.

Стратегия самозащищающейся сети обеспечивает многоуровневую защиту от хищения информации, а также позволяет предотвращать эпидемии и отражать распределенные DoS атаки. Подход на основе самозащищающейся сети обеспечивает упреждающую, а не защиту, основанную на реакции. Например, программа-агент безопасности Cisco Security Agent позволяет не только предотвратить перехват нажатия клавиш шпионским программным обеспечением, но также избежать установки этого ПО на компьютер пользователя. Аналогичным образом, система предотвращения вторжений не только оповещает о попытках вторжения, но также автоматически обнаруживает аномальное поведение, связанное с хищением информации, и отбрасывает аномальный трафик, используя современные алгоритмы снижения числа ложных срабатываний.

Цель настоящего официального документа – рассмотрение технологий предотвращения хищения информации, как в проводных, так и беспроводных сетях. В начале рассматриваются деловые риски. Далее приводится краткое описание стратегии самозащищающейся сети Cisco. Документ заканчивается описанием разработанных специалистами Cisco технологий предотвращения хищения информации с помощью контроля доступа, защиты периметра, защищенного удаленного доступа, защиты конечных узлов и защиты от внутреннего хищения информации.

¹- Институт защиты информации, «Опрос по компьютерным преступлениям и безопасности CSI/ФБР, 2004 г.»

СТРАТЕГИЯ САМОЗАЩИЩАЮЩЕЙСЯ СЕТИ CISCO

Системы предотвращения хищения информации Cisco составляют часть стратегии самозащищающейся сети. Самозащищающаяся сеть построена на трех принципах:

• Интегрированность – Каждый элемент в сети представляет собой точку обороны. Коммутаторы, маршрутизаторы, устройства, точки беспроводного доступа и конечные узлы объединяют в себе функции межсетевого экрана, VPN, доверия и идентификации и другие функции защиты. Интеграция также касается технологий используемых для безопасной эксплуатации этих сетевых устройств, таким как защита уровня контроля маршрутизатора, а также загрузки центрального процессора и памяти.
• Взаимодействие – Разнообразные элементы сети работают совместно для предоставления новых средств защиты. Таким образом, безопасность становится системой, обеспечивающей совместную работу различных конечных узлов и элементов сети, а также контроль соблюдения политик безопасности. Механизм управления доступом в сеть Network Admission Control (NAC) является примером принципа совместности. Доступ к сети разрешается только тем конечным узлам, которые соответствуют политике безопасности, действующей на таких сетевых устройствах, как маршрутизаторы, коммутаторы и точки беспроводного доступа.
• Адаптивность – Сеть автоматически блокирует новые виды угроз по мере их появления за счет обнаружения аномального поведения сетевых процессов или приложений и применения средств контроля. Это позволяет повысить эффективность системы безопасности, обеспечить упреждающую защиту от неизвестных угроз и снижение рисков нарушения защиты за счет противодействия угрозам на разных уровнях сети.

Системы предотвращения хищения информации Cisco работают в рамках стратегии самозащищающейся сети, образуя единый целый механизм сетевой защиты (рис. 1).

Рис. 1. Системы предотвращения хищения информации Cisco.

Ниже рассматриваются уязвимости, приводящие к хищению информации в проводных и беспроводных сетях и разработанные специалистами Cisco Systems® технологии по снижению этих рисков. Уязвимости рассматриваются в соответствии с областями их возникновения: контроль доступа, доступ к периметру, удаленный доступ, конечные узлы и внутреннее хищение информации. Организация, не принимающая во внимание хотя бы одну из этих областей, остается уязвима к хищению информации. Недостаточно построить эффективную защиту периметра – в отсутствие мощных внутренних средств контроля организации по-прежнему будут уязвимы к хищению информации со стороны недовольных сотрудников.

КОНТРОЛЬ ДОСТУПА

Существенным этапом любой стратегии предотвращения хищения информации является определение и контроль пользователей, которые могут иметь доступ к серверам, содержащим конфиденциальные данные. Из-за допущенных технологических ошибок, а также ошибок контроля внешние и внутренние пользователи могут получить возможность несанкционированного доступа к серверам. Примером технологической ошибки является использование слабых паролей и несвоевременная установка обновлений для устранения уязвимостей операционной системы. Примером ошибки уровня контроля доступа является пренебрежение аутентификацией пользователей локальных и глобальных сетей. Действительно, используемые в сетях многих компаний системы аутентификации, авторизации и учета (AAA) не поддерживают весь комплекс современных протоколов аутентификации и выполняют аутентификацию только пользователей беспроводных локальных сетей и удаленных узлов. Этот недостаток дает ложное основание руководству компаний подозревать внутренних пользователей в причастности к большинству инцидентов, связанных с хищением информации.

Другой ошибкой системы контроля доступа, делающей сеть компании уязвимой к хищению информации, является неспособность определения уровня защищенности конечного узла перед разрешением доступа к сети. Например, заражение компьютера сети медицинского учреждения троянским конем, который позволил бы злоумышленнику получить доступ к базе данных амбулаторных карт, представляет серьезную опасность. Поэтому необходимо разрешать доступ только хорошо защищенным конечным узлам, на которых отсутствует инфекция и установлены последние обновления для операционной системы, антивирусного ПО, персонального межсетевого экрана и другого программного обеспечения системы безопасности.

Эффективная система контроля доступа позволяет предотвратить несанкционированный доступ к серверам. Система контроля доступа позволяет ограничить доступ к сети на основе идентификационной информации запрашивающего разрешение на доступ пользователя, а также уровня защищенности конечного узла.

Решения Cisco для управления доступом

Сервер контроля доступа Cisco ACS предоставляет механизм управления идентификацией, позволяя ИТ-подразделениям управлять доступом к информационным ресурсам. Сервер ACS использует службы RADIUS или TACACS+ на основе AAA для проверки соответствия предоставленной запрашивающим разрешение на доступ пользователем информации действующим политиками безопасности. При осуществлении пользователем попытки доступа к сети, сервер Cisco ACS выполняет аутентификацию на основе имени пользователя и пароля, цифрового сертификата, биометрических характеристик или других методов. Затем сервер определяет, имеет ли пользователь права на выполнение запрошенного действия, например, на доступ к базе данных кредитных карт клиентов. И, наконец, сервер регистрирует событие в учетном журнале, обеспечивая возможность проверки выполненных действий.

Сервер Cisco ACS также аутентифицирует конечные узлы с помощью предлагаемого Cisco Systems механизма контроля доступа к сети NAC (Network Admission Control), позволяющего определить уровень защищенности конечного узла, и который использует сетевую инфраструктуру для контроля соответствия политикам безопасности всех устройств, предпринимающих попытки доступа к вычислительным ресурсам сети. NAC обеспечивает контроль доступа к сети за счет опроса подключающихся к сети устройств с целью определения их соответствия политикам безопасности для антивирусного ПО, персонального межсетевого экрана, обновлений операционной системы и пр. Если какое-либо устройство не соответствует действующим политикам безопасности, сервер Cisco ACS запрещает доступ к запрошенному ресурсу и подключает это устройство к Web-узлу, на котором выполняется приведение в соответствие. За счет сокращения ущерба от вирусов и червей NAC позволяет предотвратить хищение информации, возможное при нарушении безопасности систем.

Различные методы управления доступом в сеть

Сервер Cisco ACS поддерживает протоколы аутентификации для широкого спектра конечных узлов и методов соединения, включая проводной доступ к порту уровня 2, беспроводной доступ, а также межстанционные и удаленные соединения. Это создает дополнительное препятствие для злоумышленников, поскольку им приходится проходить процедуру аутентификации независимо от используемого метода доступа. К методам аутентификации относятся:

• Аутентификация на основе протокола IKE для удаленного доступа через IPSec VPN
• Аутентификация на основе протокола EAP и 802.1X для беспроводного доступа
• Сквозная аутентификация для доступа через межсетевые экраны и соединения глобальных сетей

Другим важным преимуществом сервера Cisco ACS, позволяющим предотвращать хищение информации, является возможность осуществления администраторами тщательного контроля над данными и устройствами, к которым сотрудникам организации разрешен или запрещен доступ. Большинство систем контроля доступа позволяют администраторам осуществлять контроль только над устройствами и приложениями, к которым конкретный пользователь имеет доступ. Сервер Cisco ACS также позволяет администраторам осуществлять контроль над отдельными командами, которые может выполнять пользователь. Например, администратор системы может разрешить администратору сети изменить пароли для маршрутизаторов Cisco, но не IP-адреса.

ЗАЩИТА ПЕРИМЕТРА

Защита периметра заключается в определении внешней и внутренней области корпоративной сети. Злоумышленник, получивший доступ к сети компании через Интернет может осуществить хищение информации, принадлежащей как самой компании, так и ее клиентам. В результате может произойти потеря интеллектуальной собственности и конкурентных преимуществ, а также привлечение к ответственности за нарушение установленных норм, например, в случае хищения данных кредитных карт или историй болезни пациентов. Следовательно, с целью предотвращения хищения информации необходимо создать и задействовать на периметре сети четко определенные политики безопасности для контроля пользователей и устройств, которые могут получить доступ к ресурсам.

Современные бизнес приложения с применением сетей и Web усложняют задачу построения защиты периметра – точно определить периметр бывает довольно трудно. Компании обмениваются информацией с внешними партнерами и клиентами с помощью CRM приложений, интерактивной обработки заказов, управления поставками и пр. Вместе с повышением эффективности деловых операций с применением сетей компаниям приходится решать задачу по управлению возросшим риском хищения информации в случае нарушения безопасности периметра.

Системы Cisco для защиты периметра

Cisco предоставляет многоуровневый подход к защите периметра используя возможности межсетевых экранов и систем предотвращения вторжений (IPS).

Возможности межсетевого экрана Cisco

Рассматриваемые ниже возможности обеспечиваются устройствами защиты Cisco PIX, устройствами адаптивной защиты Cisco ASA и коммутаторами Cisco Catalyst с модулем межсетевого экрана Cisco FWSM.

Базовые функции межсетевого экрана – межсетевые экраны Cisco позволяют ограничить число портов, которыми могут воспользоваться злоумышленники для несанкционированного доступа к сети, использующей отдельные протоколы. Доступ в периметр обычно ограничивается портом 80 для HTTP-трафика.

Контроль уровня приложений и модуль управления безопасностью – Устройства защиты Cisco используют данные о более чем 30 протоколах, разработанных рабочей группой IETF, для обнаружения аномального поведения, связанного с атаками хищения информации. Примером такого аномального поведения является неправильно заданный заголовок пакета протокола для использования уязвимости серверного приложения или операционной системы. Устройства защиты Cisco также отслеживают состояния приложений для обнаружения и блокирования нелегитимного использования протоколов – еще одного показателя злонамеренной активности.

Контроль приложений – Межсетевые экраны Cisco позволяют администраторам не только контролировать доступ приложений к определенному порту, но также действия этих приложений. Для предотвращения хищения информации можно разрешить пользователям просматривать Web-страницы, но запретить их сохранение или печать. С целью обеспечения более эффективного контроля компании могут задействовать датчики Cisco IPS (также доступные в виде модулей для устройств адаптивной защиты семейства Cisco ASA 5500 или коммутаторов семейства Cisco Catalyst 6500), позволяющие работать Интернет пейджерам (IM-приложениям), но запрещающие пересылку файлов-вложений. Следует отметить, что устройства адаптивной защиты семейства Cisco ASA 5500 предоставляют эту возможность при подключении модуля AIP SSM.

Службы трансляции сетевых адресов и адресов портов (NAT и PAT) – Для хищения информации с главного узла злоумышленнику сначала требуется узнать его IP-адрес. Следовательно, скрытие IP-адресов главных узлов от глаз злоумышленника усложняет задачу хищения информации. Входящие в состав межсетевого экрана Cisco службы NAT и PAT позволяют транслировать внутренние IP-адреса компании в один или несколько глобальных внешних IP-адресов, использование которых не позволит злоумышленнику получить доступ к конкретному устройству.

Меры противодействия уклонению от обнаружения атак – Лица, занимающиеся хищением информации, обычно используют набор инструментальных средств и методов, позволяющих скрыть злонамеренную деятельность от обнаружения. Межсетевые экраны Cisco используют меры противодействия, позволяющие обнаруживать и разоблачать попытки уклонения.

Возможности систем предотвращения вторжений Cisco

Возможности предотвращения вторжений дополняют возможности межсетевых экранов Cisco. В то время как межсетевой экран контролирует соблюдение политик безопасности, определяющих протоколы и приложения, которым разрешен доступ к заданному порту, устройства предотвращения вторжений Cisco IPS выполняют проверку проходящих через сеть потоков данных на злонамеренную активность независимо от места их происхождения – внутри периметра или за его пределами. Предусмотрена возможность определения допустимого поведения для каждого приложения. Например, в компании, имеющей Web-сервер, межсетевые экраны обычно настраиваются на открытие порта 80 для HTTP-трафика. Если какие-либо другие средства защиты периметра сети компании отсутствуют, хакер может использовать протокол HTTP для запуска атаки «переполнение буфера» с целью захвата контроля над Web-сервером. После этого хакер может осуществить хищение информации с этого сервера или использовать его в качестве «плацдарма» для хищения информации с других серверов. Устройства Cisco IPS предотвращают этот метод хищения информации за счет обнаружения и автоматического блокирования атак «переполнение буфера», скрытых в потоках данных. Аналогичным образом, устройства Cisco IPS могут обнаруживать и блокировать атаки типа «отказ в обслуживании» (DoS), используемые злоумышленниками для отключения сервера с целью проникновения в него до перезагрузки программного обеспечения системы безопасности.

В отличие от антивирусной системы, выполняющей поиск атак по известным сигнатурам, устройства Cisco IPS и модули IPS устройств семейства Cisco ASA 5500 выполняют поиск любой аномальной активности независимо от того, встречалась она раньше или нет. Это позволяет обнаруживать вредоносный трафик, даже если он является частью неизвестной атаки. Для обнаружения вредоносного трафика в устройствах Cisco IPS применяются разнообразные методы и алгоритмы сопоставления сигнатур.

Характерные особенности системы защиты периметра Cisco

Поддержка широкого набора протоколов – Межсетевые экраны Cisco предоставляют более 30 подсистем проверки, поддерживающих большинство протоколов любого межсетевого экрана. Эти подсистемы проверки предоставляют ИТ-подразделениям возможность контроля над использованием сотрудниками организации приложений типа Интернет пейджеров, клиентов файлообменных сетей и программ туннелирования, предотвращая передачу конфиденциальной информации во внешнюю сеть.

Контроль уровня приложений – эта возможность также называется тщательной проверкой пакетов; доступна как для межсетевых экранов, так и для систем обнаружения вторжений Cisco. Данная возможность позволяет ИТ-подразделениям разрешить доступ к конкретному приложению одним пользователям и запретить его другим. Для предотвращения хищения информации ИТ-подразделения могут разрешить передачу трафика приложениям типа Интернет пейджерам, но запретить использовать вложения файлов, которые могут содержать конфиденциальные данные. Также ИТ-подразделениями могут быть запрещены все потоки данных, предположительно исходящие от шпионских программ и средств навязывания рекламы.

Значение рейтинга риска – Устройства предотвращения вторжений первого поколения производили оценку опасности событий по простой шкале – «высокая, средняя, низкая», повышая вероятность ложных срабатываний или отбрасывая легальный трафик, принимая его за вредоносный. Чрезмерно упрощенная оценка приводит к увеличению риска, поскольку ИТ-подразделение может потратить много времени, предпринимая действия в ответ на сигнал высокой опасности, угрожающей серверу, который не является уязвимым к запущенной атаке, вместо обработки сигнала средней опасности от атаки, которая может оказаться успешной и приведет к хищению информации. Устройства Cisco IPS учитывают несколько показателей для оценки общего риска, предоставляя гораздо более эффективный метод оценки по сравнению с прежними методами:

• Точность сигнатуры (Signature Fidelity) – Показатель, позволяющий определить, что обнаруженная подозрительная активность скорее всего является атакой, а не безвредным событием. Учитывая как уровень срабатывания сигнала тревоги, так и оценку риска, ИТ-подразделения могут более эффективно использовать защитные ресурсы. В ряде случаев важнее проанализировать сигнал средней опасности с риском 90%, а не сигнал высокой опасности с риском 5%.
• Attack Relevance (Значимость атаки) – Показатель, определяющий чувствительность цели к конкретной атаке. Если запущенная злоумышленником атака использует уязвимость операционной системы Microsoft 2000, а на сервере установлена ОС Linux или необходимая обновление, атака не является релевантной и не приводит к хищению информации. Следовательно, в этом случае ИТ-подразделениям не придется расходовать ограниченные ресурсы на отражение атаки.
• Target Asset Value (Значимость объекта) – Значение этого параметра для сервера, на котором хранятся данные кредитных карт и историй болезни пациентов выше значения для персонального портативного компьютера. Учитывая показатель значимости объекта в оценке риска, ИТ-подразделения могут использовать ресурсы там, где это больше всего необходимо.
• Meta-Event Generator (Генератор событий) – Входящий в состав ПО Cisco IPS Sensor генератор событий выполняет корреляцию событий, которые по отдельности не представляют опасности, но в совокупности становятся вредоносными. Например, генератор событий эффективен против червей. Черви могут быть использованы для инсталляции «черного входа» на сервер, которая в дальнейшем позволит хакеру осуществить хищение информации. Другие черви, например, на основе атаки переполнение буфера могут привести к перезапуску сервера, позволяя хакеру получить к нему доступ до повторной загрузки программного обеспечения системы безопасности. Для распространения червя обычно необходимо выполнение последовательности действий, таких как сканирование портов, эхо-тестирование (ping sweep) и переполнение буфера. ПО Cisco IPS Sensor распознает эту последовательность действий и блокирует атаку. Хотя большинство систем IPS распознает данную последовательность действий после ее выполнения, Cisco IPS делает это заблаговременно и блокирует атаку до осуществления хищения информации.

УДАЛЕННЫЙ ДОСТУП

Удаленный доступ, осуществляемый сотрудниками филиала, деловыми партнерами, а также мобильными и надомными работниками предоставляет злоумышленникам возможность хищения информации, даже если данные сеанса защищены шифрованием IPSec или SSL. Одной из уязвимостей, предоставляющей эту возможность, является наличие на удаленном компьютере вируса, червя или троянского коня, который может вызвать заражение других сетевых ресурсов и вывести из строя их защитные механизмы. Кроме того, на удаленном компьютере может быть установлена система автоматической регистрации, которой может воспользоваться злоумышленник для воспроизведения сеанса связи, или программное обеспечение для перехвата нажатия клавиш, позволяющее получить имена пользователей и пароли. Наконец, законный пользователь, подключающийся к корпоративной сети с общедоступного компьютера по протоколу SSL, может по неосмотрительности оставить после себя конфиденциальную информацию, например, загруженные документы, сохраненные в папке временных файлов или вложений электронной почты. Риск, связанный с подобными действиями, особенно велик для организаций, которым необходимо следовать постановлениям о соблюдении конфиденциальности. Например, медицинское учреждение может быть привлечено к ответственности за нарушение установленных норм, если работающему на дому врачу предоставляется доступ через сеть VPN, но не обеспечивается полное удаление историй болезни пациентов с домашнего компьютера врача по завершении сеанса связи. То же самое справедливо для организаций, разрешающих своим сотрудникам, таким как биржевые брокеры и финансовые консультанты, доступ к финансовой информации клиентов с домашних или общественных компьютеров.

Системы предотвращения хищения информации при удаленном доступе Cisco

Системы Cisco VPN и Cisco NAC, рассмотренные выше в разделе «Контроль доступа», обеспечивают предотвращение хищения корпоративной информации при удаленном доступе. Совместное использование систем VPN и NAC Cisco позволяет предотвратить хищение информации; при этом необходимо принять следующие меры:

• Определение принадлежности заданного конечного узла корпоративной или общедоступной сети (в последнем случае узел является неуправляемым). В некоторых компаниях доступ с общедоступных узлов запрещается. В других компаниях этот доступ может быть полным или ограниченным; при этом принимаются дополнительные меры предосторожности.
• Удостоверение в отсутствии на конечном узле инфекций, а также проверка его соответствия корпоративным политикам безопасности для персонального межсетевого экрана, антивирусного ПО, обновлений операционной системы и пр.
• Удаление любой информации о сеансе связи с общедоступных конечных узлов, включая журнал посещенных Web-страниц, файлы cookie, а также загруженные файлы и данные.

В зависимости от используемой в корпоративной сети системы – SSL VPN или IPSec VPN, Cisco предлагает различные методы предотвращения хищения информации при удаленном доступе.

Решения для SSL VPN

Компании, в сетях которых используется удаленный доступ на базе SSL VPN, могут избежать хищения информации с помощью ПО для защиты настольных компьютеров Cisco, предоставляемого системами Cisco VPN. Возможности VPN предоставляются концентраторами семейства Cisco VPN 3000, устройствами адаптивной защиты Cisco ASA 5500 и модулями служб SSL для коммутаторов Cisco Catalyst. При попытке соединения с корпоративной сетью по протоколу SSL, например, из Интернет-кафе, система VPN загружает на компьютер пользователя ПО для защиты настольных компьютеров Cisco в виде ActiveX-, Java- или exe-файла.

Это ПО предпринимает действия по предотвращению хищения информации до, во время и после сеанса связи. Перед инициализацией сеанса ПО для защиты настольных компьютеров Cisco по разделам реестра определяет принадлежность конечного узла к корпоративной или общедоступной сети. На основе полученной информации ПО для защиты настольных компьютеров Cisco выполняет проверку защищенности конечного узла в соответствии с действующими политиками безопасности, включая проверку отсутствия вредоносных программ и использование последней версии антивирусного ПО, а для корпоративного узла – проверку наличия такого программного обеспечения, как агент безопасности Cisco. Не соответствующим некоторым политикам конечным узлам в доступе может быть отказано; таким образом, обеспечивается предотвращение заражения корпоративной сети и защита конфиденциальной информации от хищения.

После инициализации сеанса ПО для защиты настольных компьютеров Cisco выполняет непрерывный мониторинг активных приложений для проверки того факта, что они не являются программами перехвата нажатия клавиш или другим вредоносным ПО. ПО для защиты настольных компьютеров Cisco также создает на конечном узле виртуальную среду, представляющую собой раздел жесткого диска. Вся поступающая на конечный узел информация шифруются, таким образом, даже если злоумышленник украдет физический носитель во время сеанса связи, он не сможет прочитать данные.

При завершении сеанса ПО для защиты настольных компьютеров затирает данные в виртуальной среде, а затем полностью удаляет их с помощью специализированного алгоритма. Вся информация о сеансе связи – содержимое кэш-памяти, журнал посещенных Web-страниц, пароли, файлы cookie и копии файлов полностью стираются и не подлежат восстановлению. Если пользователь забудет завершить сеанс, сработает функция автоматического тайм-аута.

Решения для IPSec VPN

Компании, в сетях которых используется удаленный доступ на базе IPSec VPN, могут избежать хищения информации за счет объединения систем Cisco VPN (концентратор семейства VPN 3000, коммутатор Cisco Catalyst или устройство адаптивной защиты Cisco ASA) и Cisco NAC. Когда пользователь предпринимает попытку соединения с корпоративной сетью с помощью VPN-клиента, запрос на разрешение доступа сначала передается на систему Cisco VPN. Система VPN выступает в качестве шлюза удаленного доступа, передавая идентификационные данные пользователя на сервер Cisco ACS для подтверждения их подлинности и взаимодействуя с системой NAC для проверки защищенности конечного узла. Если пользователь не является доверенным лицом компании, доступ запрещается; это позволяет избежать просмотр или хищение информации посторонними лицами. Аналогичным образом, если уровень защищенности конечного узла не соответствует действующей политике безопасности, доступ запрещается, а узел перенаправляется на сервер для внесения исправлений. Это обеспечивает предотвращение распространения заражения с удаленного узла на сетевые ресурсы и, следовательно, препятствует нарушению работы функций защиты от хищения информации, предоставляемых этими ресурсами.

Характерные особенности системы предотвращения хищения информации при удаленном доступе Cisco

Cisco является единственной компанией-разработчиком, предлагающей средство защиты удаленного доступа на основе системы SSL VPN – ПО Cisco Secure Desktop, которое не позволяет пользователю общедоступного компьютера просматривать данные предыдущего пользователя созданные в ходе его сеанса работы.

Для защиты удаленного доступа на основе системы IPSec VPN Cisco предоставляет механизм контроля доступа к сети на базе стандарта 802.1X, который использует сетевую инфраструктуру для контроля соответствия политикам безопасности всех устройств, предпринимающих попытки доступа к вычислительным ресурсам сети. Это позволяет предотвращать хищение информации посредством защиты от непреднамеренно или умышленно вносимых в сеть инфекций, нарушающих работу других защитных механизмов.

ЗАЩИТА КОНЕЧНЫХ УЗЛОВ

Злоумышленные пользователи могут осуществлять хищение информации непосредственно с конечных узлов с помощью программ-шпионов, передачи файлов по электронной почте или копирования данных на съемный носитель.

Шпионское программное обеспечение представляет серьезную и постоянно развивающуюся угрозу раскрытия конфиденциальной информации; оно устанавливается на компьютер незаметно от пользователя и осуществляет сбор информации с помощью перехвата нажатия клавиш, а также копирования файлов, отправляя полученные данные своему создателю. По данным опроса, проведенного институтом Харриса (Harris Poll), в 2004 году 92% ИТ-менеджеров сообщили, что в сетях их организаций было обнаружено шпионское программное обеспечение, установленное в среднем на 29% рабочих станций. 40% опрошенных отметили, что число подобных атак имеет тенденцию к росту. Хакеры и лица, занимающиеся хищением идентификационных данных, используют шпионское программное обеспечение для хищения такой информации, как имена пользователей, пароли, номера кредитных карт, проектная документация, подробная информация о согласованных с клиентами ценах на продукцию и пр.

Для борьбы со шпионским программным обеспечением необходимы механизмы обнаружения и предотвращения. Из-за того, что большинство шпионских программ не распространяются посредством электронной почты, использование только антивирусного ПО не обеспечивает обнаружения. Специализированные средства обнаружения шпионского ПО также не являются универсальными, поскольку они используют сигнатурный подход. Поэтому новые и видоизмененные шпионские программы могут избежать обнаружения. Действительно, создатели шпионских программ афишируют возможностью обхода механизмов обнаружения посредством постоянного изменения сигнатур. Устранять шпионские программы зачастую сложнее, чем вирусы, поэтому создание системы обнаружения и предотвращения шпионского ПО является критически важным шагом к защите от хищения информации.

Сотрудники и посетители также могут осуществлять хищение конфиденциальной информации с корпоративных узлов, копируя файлы на подключаемые к порту USB съемные носители и отправляя по электронной почте отдельные файлы, а также зашифрованные и сжатые файлы в архивах. Даже при использовании в сети компании систем информационной безопасности, предотвращающих передачу файлов в качестве вложений электронной почты или с помощью IM-приложений, злонамеренные пользователи могут обойти эти средства защиты за счет размещения конфиденциальной информации в теле сообщений электронной почты. Иногда несанкционированное копирование файлов осуществляется непреднамеренно, например, когда сотрудник случайно копирует не тот файл на съемный носитель и берет его домой.

Системы защиты конечных узлов Cisco

Установленный на конечном узле программа-агент Cisco Security Agent позволяет предотвратить хищение информации с помощью шпионского ПО, электронной почты и простого копирования.

Предотвращение установки и функционирования шпионских программ

Программа-агент Cisco Security Agent обеспечивает защиту от хищения информации с помощью шпионских программ двумя способами. Первый способ заключается в предотвращении установки шпионских программ, которые, как правило, выполняются скрытно от пользователя. Второй способ заключается в предотвращении выполнения установленным шпионским ПО злонамеренных действий, таких как чтение и пересылка конфиденциальной информации. Выполняемая каким-либо приложением операция проверяется агентом безопасности Cisco на соответствие централизованно определенной политике безопасности; на основе результата программа-агент CSA разрешает/запрещает операцию или запрашивает решение у пользователя (рис. 2).

Программа-агент Cisco Security Agent – это единственное из существующих средство защиты от шпионских программ на основе анализа поведения. Вместо поиска запрещенных приложений и сигнатур агент безопасности Cisco выполняет поиск запрещенного поведения, такого как перехват нажатия клавиш. Подход на основе обнаружения аномального поведения позволяет обнаруживать и пресекать не встречавшуюся ранее активность. Кроме того, данный подход не требует длительных и дорогостоящих обновлений баз данных сигнатур.

Рис. 2. Программа-агент Cisco Security Agent может быть настроен на автоматическое блокирование поведения или передачу запроса на принятие решения пользователю.

Предотвращение несанкционированного копирования файлов

Программа-агент Cisco Security Agent обеспечивает защиту от копирования пользователями конфиденциальных файлов следующими способами:

• Контроль доступа приложений к файлам –Cisco Security Agent позволяет определить политику предотвращения хищения информации, задающую множество приложений, которые могут использоваться для открытия файлов. Например, определение политики, в соответствии с которой только приложению Microsoft Office разрешается доступ к файлам Microsoft Office, позволяет предотвратить доступ к этим файлам шпионских программ.
• Предотвращение хищения информации с помощью съемных носителей, узлов сети или буфера обмена – ИТ-подразделения могут определить политику предотвращения хищения информации, запрещающую такие действия, как сохранение файлов на съемных носителях или их копирование на другие узлы сети. Кроме того, политика предотвращения хищения информации обеспечивает контроль над использованием буферов обмена приложений. Для предотвращения копирования конфиденциальной информации из файлов и ее вставки в сообщения электронной почты, руководство компании может определить условия, согласно которым каждое приложение будет иметь свой буфер обмена для загрузки и выгрузки информации.

Также Cisco Security Agent обнаруживает и блокирует любые попытки нарушения целостности операционной системы. Это предотвращает нарушение других уровней защиты злонамеренными пользователями с целью хищения информации.

Характерные особенности системы защиты конечных узлов Cisco

• Защита на основе обнаружения аномального поведения – Cisco Security Agent блокирует новые и неизвестные шпионские программы, не требуя обновления баз данных сигнатур. Не требующая обновлений технология предотвращения позволяет сократить произвольные затраты на загрузку обновлений и снизить риск, связанный с задержками в процессе установки этих обновлений.
• Универсальная защита – Cisco Security Agent сочетает в себе функции защиты от шпионских программ с функциями защиты от других видов атак, включая сканирование портов, атаки «переполнение буфера», троянских коней, искажение пакетов, злонамеренные HTML-запросы, червей, распространяющихся в письмах электронной почты, и пр.
• Предотвращение установки шпионских программ – Cisco Security Agent не только блокирует злонамеренную активность шпионского ПО, но и, непосредственно, его установку. При попытке самопроизвольной установки шпионской программы незаметно для пользователя, Cisco Security Agent выдаст сообщение с запросом о том, не предпринимает ли пользователь попытку загрузки или установки программного обеспечения. В случае отрицательного ответа попытка скрытой установки блокируется.
• Объединение механизмов защиты и проверки – Кроме защиты от хищения информации Cisco Security Agent ведет учет выполняемых действий, дающих представление о том, какие пользователи получали доступ к заданным файлам. Для получения всех этих возможностей без Cisco Security Agent компаниям понадобилось бы приобрести и обеспечить сопровождение трех отдельных систем: персонального межсетевого экрана, средства ограничения копирования файлов на съемные носители и системы аудита.

СРЕДСТВА ЗАЩИТЫ ОТ ВНУТРЕННЕГО ХИЩЕНИЯ ИНФОРМАЦИИ

Безопасность периметра не обеспечивает защиту от хищения информации внутренними нарушителями. Хищение может быть преднамеренным, например, когда сотрудник копирует конфиденциальные файлы на съемный носитель или осуществляет хищение паролей с целью просмотра финансовой информации или историй болезни пациентов, или непреднамеренным, например, когда сотрудник, подключив портативный компьютер к сети, по неосмотрительности заносит в нее вирус, червя или шпионскую программу. Это ставит конфиденциальную информацию под угрозу раскрытия посредством взлома системы хранения данных.

Системы предотвращения внутреннего хищения информации Cisco

Как показано в таблице 1, технологии, используемые для предотвращения хищения информации извне, применяются также для защиты конфиденциальных данных от внутренних нарушителей.

Таблица 1. Технологии Cisco, обеспечивающие предотвращение хищения информации внутренними нарушителями

Риск внутреннего хищения информации	Технология Cisco
Несанкционированный доступ к сети	Сервер Cisco ACS
Использование несоответствующих установленным нормам устройств, которое может привести к нарушению безопасности сетевых ресурсов и сделать их уязвимыми к атакам хищения информации	Cisco NAC
Такие атаки, как DDoS или «переполнение буфера», которые могут нарушить безопасность сетевых ресурсов	Датчики устройства Cisco IPS или устройства адаптивной защиты Cisco ASA с модулем IPS
Легальные пользователи сети, выполняющие доступ к конфиденциальной информации, такой как базы данных историй болезни пациентов или финансовых счетов, на просмотр которой у них нет разрешения	Решения Cisco VPN, включая устройства адаптивной защиты Cisco ASA. Поддержка виртуальных межсетевых экранов устройствами адаптивной защиты Cisco, например, использование отдельных виртуальных межсетевых экранов с различными правами доступа для защиты историй болезни пациентов, финансовой информации и проектных данных. Возможность виртуальных локальных сетей коммутатора Cisco Catalyst, позволяющая ограничить доступ пользователей к серверам отдела.
Атаки «человек по середине»	В проводных сетях: Возможности коммутатора Cisco Catalyst, такие как слежение за протоколом DHCP, динамическая проверка ARP-пакетов и защита исходных IP-адресов. В беспроводных сетях: точки беспроводного доступа Cisco Aironet® с клиентскими устройствами Cisco или совместимая с устройствами Cisco аппаратура, работающая под управлением системы WPA или WPA2
Копирование конфиденциальных файлов на съемные носители, передача их по сети или вставка содержимого буфера обмена в сообщение электронной почты	Программа-агент Cisco Security Agent

Предотвращение атак «человек по середине»

В ходе осуществления атаки «человек по середине» внутренний нарушитель выполняет подмену IP-адреса маршрутизатора или конечного узла с целью слежения за исходящим и входящим трафиком для получения паролей, конфиденциальных данных, прослушивания разговоров и пр. После копирования необходимой информации нарушитель направляет трафик законному получателю, таким образом, ни отправитель, ни получатель не знают о факте хищения. На рис.3 представлены различные виды атак «человек в середине», которые используются для хищения информации.

Рис. 3. Атаки «человек в середине»

Злоумышленные пользователи (узел D) могут осуществить хищение информации тремя способами: 1) Попытка выдать свой узел за DHCP-сервер для перенаправления через него всего сетевого трафика. 2) Перехват всего трафика, поступающего от узла A, посредством изменения находящихся в кэш-памяти коммутатора данных протокола ARP об отображении IP-адресов в MAC-адреса. 3) Подмена IP-адреса узла A. Коммутаторы Cisco Catalyst позволяют предотвращать атаки «человек по середине» за счет снижения риска возникновения всех трех уязвимостей с помощью функций слежения за протоколом DHCP, динамической проверки ARP-пакетов и защиты исходных IP-адресов. Для наиболее эффективного предотвращения хищения информации Cisco рекомендует использовать все три функции совместно.

Предотвращение подмены DHCP-сервера с помощью функции слежения за протоколом DHCP

Одним из видов атаки «человек по середине» является подмена злонамеренным пользователем DHCP-сервера для перенаправления всего сетевого трафика через компьютер этого пользователя. С целью предотвращения этой атаки ИТ-подразделения могут воспользоваться предоставляемой коммутаторами Cisco Catalyst функцией слежения за протоколом DHCP, позволяющей определять доверенные порты для передачи через них DHCP-запросов и подтверждений приема, а также недоверенные порты только для передачи DHCP-запросов. При попытке злонамеренного пользователя передать пакет подтверждения приема DHCP-запроса (ACK) в сеть через недоверенный порт, с целью предотвращения хищения информации этот порт блокируется. Функция слежения за протоколом DHCP также позволяет коммутатору Cisco Catalyst создать таблицу распределения клиентских MAC-адресов, IP-адресов, виртуальных локальных сетей, а также идентификаторов портов.

Предотвращение подмены ARP-ответа с помощью функции динамической проверки ARP-пакетов

Если конечному узлу известен IP-, но не MAC-адрес сервера или шлюза, он передает ARP-запрос, содержащий этот IP-адрес, на все узлы сети. Большинство узлов игнорирует пакет, но целевой узел распознает свой IP-адрес и возвращает соответствующий MAC-адрес. Злоумышленный пользователь может использовать этот процесс для хищения информации за счет передачи незапрашиваемого ARP-ответа; эта атака называется подменой ARP-ответа. В этом ответе содержится примерно следующая информация: «IP-адресу 1.2.3.4 соответствует MAC-адрес ABC». После этого все потоки данных, предназначенные для передачи на законный MAC-адрес, перенаправляются через фиктивный адрес, что позволяет злонамеренному пользователю осуществлять хищение информации. Ни шлюз назначения, ни конечный пользователь не догадываются о том, что они атакованы, таким образом, злоумышленник может осуществлять хищение конфиденциальной информации, такой как пароли, сообщения электронной почты и пр., пока атака не будет обнаружена.

Коммутаторы Cisco Catalyst позволяют предотвращать хищение информации методом подмены ARP-ответа с помощью функции динамической проверки ARP-пакетов. Коммутатор Cisco Catalyst осуществляет перехват всех ARP-пакетов и проверяет соответствие IP- и MAC-адресов, а также связанные с ними порты со значениями таблицы распределения, созданной функцией слежения за протоколом DHCP. При выявлении хотя бы одного несоответствия ARP-пакет отбрасывается, и попытка хищения информации блокируется.

Предотвращение подмены IP-адреса с помощью функции защиты исходных IP-адресов

Другим видом атаки «человек по середине» является подмена злоумышленником IP-адреса компьютера пользователя. Подмена IP-адреса легко осуществима в большинстве операционных систем и позволяет злоумышленнику обходить списки контроля доступа и осуществлять хищение информации, находясь в другой подсети. С помощью таблицы распределения функция защиты исходных IP-адресов коммутатор Cisco Catalyst проверяет соответствие IP- и MAC-адресов, а также связанные с ними порты и виртуальные локальные сети. Это выполняется с помощью автоматической настройки коммутатором Cisco Catalyst списка контроля доступа, позволяющего связать порты с определенными IP-адресами, которые DHCP-сервер передал на конечные узлы. Если IP-адрес не соответствует данным таблицы распределения, порт блокируется, и попытка хищения информации оказывается неуспешной.

Предотвращение атак «человек по середине» в беспроводных сетях

Беспроводные локальные сети также уязвимы к атакам «человек по середине». Примером таких атак является выполнение злоумышленником действий, которые позволили бы перенаправить потоки данных из сети на его компьютер с целью извлечения ключей шифрования для успешного прохождения процедуры аутентификации. Эти атаки известны под названием «побитовая обработка» или «повторное воспроизведение сеанса».

Беспроводные сети Cisco способны предотвращать такие атаки с помощью проверки целостности сообщений (MIC) на точках беспроводного доступа Cisco Aironet и связанных с ними клиентских устройств при использовании системы WPA. Для дополнительной защиты ИТ-подразделения могут реализовать систему WPA2 на основе стандарта AES.

СИСТЕМЫ УПРАВЛЕНИЯ СЕТЬЮ

Системы управления сетью играют важную роль в предотвращении хищения информации, предоставляя ИТ-подразделениям информацию о защищенных ресурсах и обеспечивая создание отчетов, необходимых для контроля соответствия нормативным документам. Cisco предлагает следующие системы управления безопасностью:

Программа-агент Cisco Security Agent

Программа-агент Cisco Security Agent ведет учет выполняемых действий, дающих представление о том, какие пользователи получали доступ к заданным файлам. Эта информация служит для проверки соответствия нормативам, а также проведения расследований нарушений безопасности.

Система мониторинга, анализа и ответной реакции Cisco (MARS)

Система Cisco MARS осуществляет сбор информации о нарушениях безопасности с конечных узлов, сетевых устройств, межсетевых экранов и систем предотвращения вторжений. Данная система наносит эту информацию на динамически обновляемую топологическую схему сети. Это позволяет администраторам определять источники и цели злонамеренной активности, а также обнаруживать очаги поражения в топологии сети. Система Cisco MARS позволяет администраторам быстро и полностью определять путь атаки вплоть до MAC-адресов источника атаки и конечных узлов, безопасность которых была нарушена. Механизм автоматического отражения Cisco AutoMitigate™ обнаруживает расположенные на пути атаки доступные устройства защиты и автоматически генерирует для них необходимые команды, которые администратор может выполнить для отражения атаки. Это позволяет быстро предотвратить или сдержать атаку, снизив вероятность потери информации.

Система Cisco Security Auditor

Система Cisco Security Auditor определяет соответствие конфигураций устройств передовым рекомендациям SAFE Cisco, агентства безопасности США National Security Agency и центра Center for Internet Security (CIS), а также отдельным бизнес политикам, например, политикам блокирования трафика приложений Интернет-пейджеров (IM). Данная система создает отчеты, предоставляющие информацию о соответствии правительственным постановлениям, а также рекомендациям по улучшению системы безопасности для сокращения числа уязвимостей, которые могут привести к хищению информации.

ОТДЕЛЬНЫЙ ВЗГЛЯД НА ЗАЩИТУ БЕСПРОВОДНЫХ СЕТЕЙ, СЕТЕЙ ХРАНЕНИЯ ДАННЫХ И СИСТЕМ IP-ТЕЛЕФОНИИ

Беспроводные сети

Компаниям, использующим беспроводные локальные сети, необходима защита от несанкционированного доступа, вторжений и сетевых атак. Cisco Unified Wireless Network (CUWN) предоставляет необходимые возможности контроля доступа и защиты конфиденциальных данных, обеспечивая безопасность, масштабируемость, надежность, а также простоту внедрения и управления, свойственную проводным локальным сетям. Компаниям предлагаются системы на основе автономных или упрощенных точек беспроводного доступа Cisco Aironet. Cisco Unified Wireless Network обеспечивает контроль доступа и защиту конфиденциальных данных в беспроводных локальных сетях с помощью сертифицированных механизмов WPA и WPA2. Cisco настоятельно рекомендует внедрение механизмов WPA и WPA2 во все беспроводные локальные сети корпоративного класса; невыполнение этой рекомендации подвергает опасности как проводные, так и беспроводные сети. Оба сертифицированных механизма включают поддержку стандарта IEEE 802.1X, использующего разновидности протокола EAP на основе взаимной аутентификации по пользователям и сеансам. Кроме того, эти механизмы поддерживают криптостойкие алгоритмы шифрования для защиты данных во время передачи. WPA поддерживает протокол TKIP, в то время как механизм WPA2 обеспечивает поддержку стандарта AES, который является наиболее криптостоек из современных методов шифрования данных. Несмотря на то, что механизм WPA по-прежнему считается надежным и протокол TKIP пока никто не взломал, Cisco рекомендует компаниям как можно быстрее перейти к использованию WPA2.

Для удаленного беспроводного доступа Cisco рекомендует использовать технологию VPN. Другой мерой предосторожности является внедрение беспроводной системы предотвращения вторжений для защиты сети от атак через несанкционированно установленные сотрудниками или злоумышленниками точки и устройства беспроводного доступа. Эти устройства создают возможность нарушения безопасности и приводят к ослаблению защиты WLAN-соединений, подвергая опасности всю сеть. Cisco Unified Wireless Network предоставляет компаниям возможность обнаружения несанкционированных точек беспроводного доступа и ограничения злоумышленных действий.

Сети хранения данных

В настоящее время предотвращение хищения информации в сетях хранения данных (SAN) является первоочередной задачей для ИТ-подразделений. Одной из причин этому является растущее число нормативных документов, регулирующих порядок обеспечения конфиденциальности и целостности данных. Другая причина заключается в расширении сетей SAN с целью дублирования центров обработки данных для создания возможности восстановления после сбоев. При передаче информации в расширенных сетях SAN за пределами центров обработки данных возникает опасность ее перехвата. Наконец, из-за частых нарушений, порочащих репутацию современных компаний, исполнительное руководство начинает осознавать необходимость защиты сетей SAN.

Для защиты от хищения информации в сетях SAN Cisco предлагает передовые технологии защиты центров обработки данных, которые разрабатывались и совершенствовались на протяжении многих лет. Многоуровневые коммутаторы семейства Cisco MDS 9000 обеспечивают интегрированную защиту от хищения информации с помощью следующих четырех технологий:

• Контроль доступа к системе управления – Злоумышленник может изменить конфигурации устройств или политики безопасности с целью несанкционированного проникновения в сеть для хищения информации. Для предотвращения этой опасности коммутаторы Cisco MDS используют протоколы, обеспечивающие шифрование, авторизацию и аутентификацию всех операций по управлению системой безопасности. Для обеспечения аутентификации и авторизации коммутаторы Cisco MDS взаимодействуют с внешними службами каталога, такими как Cisco ACS, RADIUS и TACACS+. Другим методом, позволяющим предотвращать хищение информации, является назначение разных ролей для управления различными компонентами системы безопасности с помощью функций контроля ролевого доступа.
• Контроль доступа к серверам и хранилищам данных – Отсутствие средств контроля позволяет злоумышленным пользователям осуществлять доступ к информации через неавторизованные порты хранилищ данных. Коммутаторы Cisco MDS обеспечивают устранение этой уязвимости с помощью виртуальных сетей SAN (VSAN), которые позволяют разбить сеть SAN на множество отдельных зон. В соответствии с этим подходом только определенные серверы и хранилища данных могут взаимодействовать между собой. Таким образом, в случае нарушения безопасности одного хранилища риск хищения информации распространяется только на соответствующую зону.
• Ограничение доступа устройств к сети SAN – Для хищения информации злонамеренный пользователь может подключить свой сервер к сети SAN. Коммутатор Cisco MDS использует методы аутентификации и авторизации, обеспечивающие доступ к сети SAN и ее услугам только доверенным серверам и хранилищам.
• Шифрование для обеспечения целостности и конфиденциальности данных во время передачи – Коммутаторы Cisco MDS позволяют предотвращать злоумышленный просмотр и изменение передаваемых данных посредством шифрования по протоколу IPSec; эта технология также применяется в сетях VPN. Шифрование выполняется аппаратно, что не приводит к снижению производительности.

Ниже представлены характерные особенности коммутаторов Cisco MDS, позволяющие предотвращать хищение информации в сетях SAN:

• Коммутатор Cisco MDS разработан на основе опыта Cisco Systems по защите локальных и глобальных сетей.
• Многоуровневая защита обеспечивает повышенную общую эффективность.
• Только коммутатор Cisco MDS поддерживает весь спектр протоколов, используемых в сетях SAN: Fibre Channel, iSCSI, Fibre Channel поверх IP и FICON.
• Аппаратное шифрование не приводит к снижению производительности, таким образом, руководству организаций не требуется решать задачу определения оптимального соотношения между безопасностью и производительностью.
• Входящий в состав коммутатора Cisco MDS диспетчер обеспечивает интегрированный интерфейс настройки, управления и мониторинга для всех протоколов. Это позволяет избежать хищения информации, если ИТ-подразделение по недосмотру не задействует средства контроля по всей сети SAN.

IP-телефония

При реализации систем связи, позволяющих организациям использовать преимущества объединенных сред для передачи голоса, данных и видео с помощью IP-сетей, обеспечение безопасности является главной задачей. Для защиты систем IP-телефонии от хищения информации компаниям необходимо обеспечить предотвращение подслушивания телефонных переговоров, раскрытия внутренних IP-адресов IP-телефонов Cisco или серверов вызовов, а также хищения паролей IP-телефонов.

Cisco предлагает системы, позволяющие отражать эти атаки. IP-телефония, по существу, является еще одним функционирующим в сети приложением, и все методы обеспечения безопасности сетей передачи данных также применимы к системам IP-телефонии. В этом заключается принципиальное отличие систем связи на основе IP-сетей от обычных телефонных систем, которым зачастую не хватает универсальных, современных и экономичных средств защиты.

Устройства защиты Cisco PIX и устройства адаптивной защиты Cisco поддерживают протокол передачи голоса в сетях VPN, который обеспечивает сквозное шифрование голосового трафика для защиты от подслушивания. Шифрование выполняется аппаратно и не приводит к снижению производительности межсетевого экрана. Кроме того, этот протокол обеспечивает стабильное качество передачи голосовой информации за счет наличия в составе устройств Cisco PIX и модулей адаптивной защиты Cisco механизмов качества обслуживания, позволяющих назначать голосовым пакетам более высокий приоритет по сравнению с пакетами данных по мере их движения по VPN-туннелям. Устройства защиты Cisco PIX и модули адаптивной защиты Cisco также обеспечивают шифрование данных, таких как запрашиваемые системой интерактивного речевого ответа (IVR) пароли или номера кредитных карт, которые пользователи вводят с клавиатуры телефонов во время разговоров.

Ниже представлены уникальные возможности систем Cisco, обеспечивающие предотвращение хищения информации в средах IP-телефонии:

• Устройства защиты Cisco PIX и устройства адаптивной защиты семейства Cisco ASA 5500 поддерживают наиболее широкий набор VoIP-протоколов, включая следующие: H.323 версий 1-4, SIP поверх UDP/TCP, SCCP, MGCP 0.1/1.0, RTSP и CTIQBE (TAPI/JTAPI).
• Устройства защиты Cisco PIX и устройства адаптивной защиты семейства Cisco ASA 5500 обеспечивают проверку прикладного уровня и предоставляют службы NAT и PAT для трансляции IP-адресов в заголовках голосовых пакетов.

ЗАКЛЮЧЕНИЕ

Хищение информации является комплексной угрозой, для предотвращения которой необходима реализация многоуровневой системы защиты, охватывающей механизмы контроля доступа, защиты периметра, безопасного удаленного доступа, внутренней безопасности и защиты конечных узлов. Для построения глубокой эшелонированной защиты ИТ-подразделения могут воспользоваться стратегией самозащищающейся сети Cisco по внедрению интегрированных, совместных и адаптивных систем, обеспечивающих предотвращение хищения информации за счет противодействия угрозам безопасности по всей сети.

• Интегрированность – Каждая сеть Cisco и каждое сетевое устройство защиты использует интегрированные функции защиты для предотвращения хищения информации. Интегрированные функции защиты, входящие в состав коммутаторов Cisco Catalyst, маршрутизаторов Cisco, точек беспроводного доступа Cisco Aironet, межсетевых экранов Cisco и систем Cisco VPN, предоставляют ИТ-подразделениям возможность защиты периметра сети и удаленного доступа.
• Совместность – Конечные узлы, элементы сети и системы NAC работают совместно для обеспечения усиленной защиты от хищения информации. Например, совместная работа систем NAC и Cisco VPN позволяет предотвращать хищение информации при удаленном доступе. Система NAC определяет принадлежность конечного узла к корпоративной или общедоступной сети, а затем предписывает системе VPN предоставить этому узлу соответствующий уровень доступа.
• Адаптивность – Сеть автоматически блокирует новые виды угроз по мере их появления, даже, если эти угрозы никогда раньше не встречались, за счет обнаружения аномального поведения сетевых процессов или приложений и применения средств контроля. Например, агент безопасности Cisco обеспечивает предотвращение скрытой установки программ-шпионов на компьютер пользователя, обнаруживая попытку установки приложения и запрашивая у пользователя подтверждения на установку. Аналогичным образом, система предотвращения вторжений Cisco, исполненная как отдельное устройство или интегрированная в устройство адаптивной защиты Cisco позволяет отражать известные и неизвестные атаки посредством обнаружения аномального поведения потоков данных, связанного с хищением информации, и отбрасывания аномального трафика.

Объединение интегрированной, совместной и адаптивной технологии позволяет ИТ-подразделениям построить глубокую эшелонированную защиту от быстро изменяющихся многосторонних угроз, включая несанкционированный доступ и копирование файлов, программы-шпионы, атаки «человек по середине», подслушивание и пр. Самозащищающаяся сеть Cisco обеспечивает упреждающую защиту сети компании, а также информационных ресурсов, как от известных, так и неизвестных угроз.

Более подробную информацию об интегрированных системах Cisco, обеспечивающих предотвращение хищения информации см. по адресу: http://www.cisco.com/go/theft.

Более подробную информацию о самозащищающейся сети Cisco см. по адресу: http://www.cisco.com/go/theft.