What does Cisco offer? It's a suite of products and services. The services start with Incident Readiness and Response Retainer, which means Cisco is ready to help respond to an incident by installing tools that allow you to record, localize, and investigate the incident.
Начал свое выступление Алексей Лукацкий, бизнес-консультант по безопасности Cisco, с того, что привел слова руководителя компании Cisco Джона Чемберса: «В мире существует только два типа компаний: те, кого уже взломали и те, кто просто об этом еще не знает». Поэтому Алексей посоветовал не бояться инцидентов, потому что они происходили, происходят и будут происходить в будущем.
При этом, инциденты могут быть разными: у вас случайно могут перерубить кабель во время проведения регламентных работ у провайдера связи, к вам могут ворваться люди в масках для проведения оперативно-разыскных мероприятий, у вас может начаться эпидемия вредоносного кода, поэтому вы должны быть готовы к тому, чтобы реагировать и на такого рода инциденты. Если мы посмотрим на статистику, то увидим, что, к сожалению, многие компании не готовы к этому, либо реагируют очень поздно.
66% взломов обнаруживаются спустя месяцы и даже годы. Среднее медианное время, в течение которого продвинутые хакеры проникают в сеть, и их вредоносная активность не обнаруживается в современных корпоративных сетях, в которых установлено различные средства защиты периметра, составляет 229 дней. 60% всех взломов и инцидентов сопровождают утечки данных в первые сутки. И интересный факт, что только 33% организаций фиксируют взломы через собственные системы мониторинга.
Ущерб, который возникает вследствие инцидентов, бывает не только в финансовой плоскости, есть требования законодательства, которые обязывают нас уведомлять о различных инцидентах, которые произошли в корпоративных или ведомственных сетях. Скажем, General Data Protection Regulation (GDPR) – европейские правила по защите персональных данных, которые вступили в силу весной 2018 года и распространяются на все европейские компании, а также на российские компании и компании стран СНГ, которые выходят на европейский рынок и которые обязаны в течение 72 часов после наступления какого-либо инцидента с персональными данными, сообщить об этом инциденте как уполномоченному органу, так и пострадавшей стороне.
Кроме GDPR в России есть и другие нормативные акты, о которых надо не забывать, это и сам закон о персональных данных, это и новые ГОСТы банка России по информационной безопасности, это и закон о безопасности критической инфраструктуры (ФЗ №187). Все эти документы заставляют по-другому посмотреть на выстроенную инфраструктуру реагирования на инциденты. В частности, ряд нормативных документов банка России требует уведомлять об инциденте в элементах платежной системы в течение трех часов с момента наступления инцидента.
Закон о безопасности критической инфраструктуры также требует незамедлительно уведомлять соответствующие структуры о наступлении инцидента в сети, которая подключается к государственной системе обнаружения, предотвращения и ликвидации последствий компьютерных атак. В отличие от европейского GDPR, требующего 72 часа на уведомление об инциденте, многие российские документы требуют гораздо более оперативного реагирования, в течение 3 часов.
Когда мы выстраиваем процедуру реагирования на инцидент, мы должны выстроить целый комплекс организационных и технических мероприятий. Во-первых, не нужно паниковать и надо быть к инцидентам готовыми, морально и организационно-технически. Во-вторых, мы должны быть проактивными, заранее начать работать над планом реагирования на инциденты еще до того, как они произошли. Мы должны задействовать первую и последнюю линию обороны, которые находятся перед периметром и за периметром уже на рабочих местах и мобильных устройствах. Кроме того, мы должны проверить наш план, быть уверенными что он работает.
Что предлагает Cisco в качестве помощи? Это два набора продуктов и сервисов. Сервисы начинаются с так называемой услуги Incident Readiness and Response Retainer, что означает, что компания Cisco готова помочь заказчикам в реагировании на инцидент, не просто советами, а установкой соответствующего инструментария, который позволяет зафиксировать, локализовать и провести расследование инцидента. Вендор также готов помочь с выездом специалиста для проведения расследования уже на площадке заказчика.
С технической точки зрения Cisco предлагает два инструмента: это первая линия обороны в лице Open DNS Umbrella или Cisco Umbrella Secure Internet Gateway, т.е. система, позволяющая обнаруживать и блокировать атаки и инциденты еще до того, как они достигнут периметра, а ряде случаев когда угроза проникла внутрь защищаемой сети через уязвимый периметр, либо вообще обойдя периметр. Здесь стоит задача зафиксировать факт взаимодействия, например, с командными серверами ботнетов, вредоносных программ и т. д. И второе решение – последняя линия обороны – это AMP for Endpoints, которое устанавливается на широком спектре мобильных и стационарных платформ под управлением Windows, Linux, Mac, Android, iOS и т. д.
Начнем с сервиса Incident Readiness and Response Retainer, который позволяет реагировать на те проблемы, которые происходят у заказчиков. Данный сервис обычно представляется в виде двух вариантов.
Фиксированная услуга подразумевает четко очерченный временной промежуток, в течение которого она действует, как правило это происходит в результате какого-то инцидента, когда нужна немедленная реакция со стороны специалистов компании Cisco.
Второй вариант, он означает, что мы заранее приготовились к реагированию на инцидент, заключили соответствующий договор, который действует в течение года, в течение которого Cisco предоставляет как выделенных консультантов, так и набор инструментов. Это и AMP for Endpoints, позволяющие провести расследование на оконечных устройствах, это и Cisco Umbrella, позволяющий зафиксировать трафик с ботнетами, командными серверами и т. д. Это и система мониторинга аномалий Cisco Stealthwatch, который позволяет отслеживать то, что остается за пределами внимания систем защиты, установленных на рабочих станциях, мобильных устройствах, серверах и т. д.
Кроме этого, в сервис по реагированию на инциденты включается набор дополнительных компонентов, которые можно выбирать в зависимости от необходимости. Это может быть услуга немедленного реагирования, когда сотрудники компании Cisco выезжают на место и проводят расследование. Это может выглядеть и как удаленный доступ к защищаемой инфраструктуре, в которой после установки соответствующего инструментария компания Cisco собирает доказательства противоправной деятельности, чтобы оперативно устранить инцидент или чтобы собрать базу для предоставления в судебные или правоохранительные органы. Сюда же включаются услуги, связанные в редхантингом, т.е. проведение обнаружения и расследование угроз, сбор криминалистической базы. Можно также провести проверку готовности сети и ИБ-службы к инцидентам, проведя анализ имеющихся у вас документов, акцентируя внимание на отсутствующих либо слабых местах в этих документах, которые в случае наступления инцидента позволят вам оперативно, эффективно среагировать и локализовать проблему. Есть среди услуг и киберучения для руководства и для ИБ-специалистов. Первые - похожи на штабные учения, вторые – это набор инструментов и сервисов, которые позволяют вам стать на сторону злоумышленника и попробовать смоделировать атаку.
Что касается жизненного цикла услуги, то он включает в себя целый набор шагов, который позволяет регулярно отслеживать статус данной услуги, получать отчеты, которые делает выделенный специалист. Речь не идет о мониторинге, для этого у вендора есть другой сервис Cisco ATA, который включает в себя аутсорсинговый мониторинг.
«Мы предоставляем широкий спектр инструментов, который устанавливается в местах, в которых возможно произошел инцидент и мониторим взаимодействие с Интернетом и внешним миром, что позволяет оперативно зафиксировать следы инцидента и пытаемся понять, почему инцидент произошел и как предотвратить в будущем повтор такого рода инцидентов», - констатирует Алексей Лукацкий.
Немедленное реагирование включает в себя возможность выезда специалиста к заказчику, чтобы на месте оперативно провести расследование и подготовить набор рекомендаций. Начинается услуга с обсуждения того, какие подсервисы внутри реагирования нужны: киберучения, немедленное реагирование и иные возможности, связанные с анализом нормативно-распорядительной документации, различные плейбуки, хендбуки, готовность инструментария и т. д.
Вы регулярно будете получать отчеты: что сделано, что делается в данный момент, что будет сделано в ближайшее время выделенным для вас специалистом. Отличиями данного сервиса является вендоронезависимость, т. е. неважно, какая инфраструктура есть в вашей сети, выделенный консультант, который работает с вами постоянно и знает, что у вас происходило в прошлом. Также обеспечена взаимодействие со специалистами Cisco Talos, которые круглосуточно занимаются анализом угроз по всему миру, а это более 600 инженеров.
Помимо сервисной части Cisco предлагает и ряд технических решений. Дело в том, что основной точкой входа по-прежнему остаются персональные компьютеры пользователей – это стационарные рабочие станции, мобильные компьютеры или мобильные устройства: в 70% случаев инциденты начинаются на ПК, при этом 65% организаций заявляют, что те атаки, с которыми они сталкиваются, обходили их средства защиты, а это зачастую самые новомодные сетевые экраны, они все равно оставались неэффективными для ряда современных угроз. 48% атакующих обходят защиту ПК из-за ошибок рядовых пользователей. 55% организаций вообще не могут определить причину инцидента, потому что не имеют соответствующего инструментария и среднее время обнаружения в индустрии составляет примерно 100 дней.
Для того, чтобы отслеживать вредоносные файлы, специализированные вредоносы, которые уклоняются от детектирования используя специальные механизмы, полиморфизмы и тому подобные вещи, заражения из Интернета, связь с командными серверами ботнетов вредоносных программ, пиринговых сетей и т. д., для всего этого необходимо так называемая «видимость».
Если у нас есть «видимость», то можно остановить утечки и шифровальщиков. Если мы пытаемся вторгнуться между инфраструктурой злоумышленника и точкой входа злоумышленника, это безусловно необходимо, но сегодня это явно недостаточно, потому что они могут шифровать взаимодействие с командными серверами и соответственно файервол не сможет проникнуть внутрь зашифрованного трафика и понять что в нем происходит. Поэтому мы должны фиксировать активность за периметром в Интернете и фиксировать активность до периметра.
Для этого мы предлагаем два решения. Первое – это первая линия защиты – это решение Cisco Umbrella Secure Internet Gateway – задача которого мониторить. В чем необходимость мониторинга DNS-трафик или IP-трафика за его периметром? Причин несколько. Во-первых, сегодня половина всех пользователей являются мобильными. Во-вторых, 82% подключений к Интернету не используют VPN, поэтому устройства остаются незащищенными. Рост использования облачных платформ и доступ к ним мобильных устройств минуя корпоративный периметр тоже налицо. Можно было бы все дочерние предприятия и офисы перенаправить через схему «звезда», через VPN-шлюз, который стоит в штаб-квартире, в центральном офисе, но по статистике этого не происходит, поэтому многие дочерние предприятия имеют прямой выход в Интернет, оставаясь незащищенными, поэтому нет возможности поставить в дополнительном офисе такой же набор защиты как и в штаб-квартире. Поэтому защиту надо строить не только на периметре, но и за его пределами.
Здесь хорошо работает Cisco Umbrella Secure Internet Gateway, которое позволяет видеть и блокировать инфраструктуру злоумышленника.
Анализируя DNS-трафик, который является основой Интернета, поскольку с ним взаимодействуют все устройства без исключения, все начинается с DNS. Любой запрос в Интернет начинается с DNS-запроса.
И если я могу взять на себя функцию контроля DNS-трафика, то я обеспечение безопасности начну не с периметра, а гораздо раньше. Cisco Umbrella Secure Internet Gateway представляет собой расширенный защищенный DNS-сервер с нулевым простоем за 11 лет существования.
Cisco предоставляет возможность, пропуская через свои DNS-сервисы, разбросанные по всему миру, ваши DNS-запросы, фильтровать их на предмет соответствия требованиям политик безопасности, взаимодействия с вредоносными ресурсами, обнаружения вредоносного кода. При этом ваш межсетевой экран, стоящий на вашем периметре, может пропускать такого рода DNS-трафик, потому что не каждый межсетевой экран в отрасли имеет возможность фильтрации DNS.
Cisco Umbrella Secure Internet Gateway может контролировать DNS-трафик, IP-трафик, вредоносные файлы, доступ к ненужным ресурсам, блокировать доступ к фишинговым ресурсам и тому подобное. Cisco Umbrella Secure Internet Gateway не требует от пользователей никаких настроек и установки каких-то дополнительных виртуальных или аппаратных решений.
Вам надо будет только поменять настройки вашего DNS-сервера на адреса, которые пришлет Cisco. В отдельных случаях, например, для мобильных пользователей, понадобится установка дополнительного легкого агента, который позволит связать пользователя с учетной записью.
Еще одно решение, которое является частью Cisco Umbrella, это Cisco Umbrella Investigate, которое позволяет проводить расследование инцидентов и анализировать инфраструктуру злоумышленника, определять по е-мейлу одного его домена другие домены, которые ему могут принадлежать и с которых в ближайшем будущем могут осуществляться какие-то атаки.
Вторым элементом предложения Cisco является последняя линия обороны, то что находится внутри периметра, это решение AMP for Endpoints, которое работает на платформах Windows, Linux, Mac, Android, iOS и т. д. Это решение позволяет предотвращать, блокировать вредоносное ПО в реальном времени, детектировать любые аномалии и реагировать, попутно проводя расследование.
AMP for Endpoints, позволяющие провести расследование на оконечных устройствах, это и Cisco Umbrella, позволяющий зафиксировать трафик с ботнетами, командными серверами и т. д. Это и система мониторинга аномалий Cisco Stealthwatch, которая позволяет отслеживать то, что остается за пределами внимания систем защиты, установленных на рабочих станциях, мобильных устройствах, серверах и т. д
Это решение может управляться как локально, так и из облака. AMP for Endpoints не является агентом, он также позволяет агентам общаться между собой, обмениваясь индикаторами компрометации, политиками и командами. AMP for Endpoints является частью общей инфраструктуры AMP, когда движки устанавливаются на сетевом оборудовании, на файерволах, системах предотвращения вторжений, на системах защиты электронной почты, на системах вэб-доступа, в облаке и все эти агенты могут обмениваться информацией.
AMP for Endpoints – это не антивирус, хотя у него есть антивирусный движок, он относится к продуктам класса PDR. В этих продуктах акцент сдвигается с предотвращения угроз к детектированию и к реагированию.
AMP for Endpoints позволяет обеспечить непрерывный мониторинг.
AMP for Endpoints позволяет ответить на ряд ключевых вопросов, которые изображены на нижеследующем рисунке.
Все упомянутые выше решения и другие решения Cisco взаимодействуют между собой.
Что же надо сделать прямо сейчас, как протестировать эти решения? Для этого надо воспользоваться ссылками, которые даны на последнем слайде и в случае необходимости получить на тестирование некоторые из инструментов.
