12 апреля в Краснодаре прошла конференция Cisco «Информационная безопасность. Весенний сезон семинаров». Соображениями и впечатлениями от данного мероприятия, мы делимся с Вами.

Первое, что хотелось бы отметить, это из года в год переходящий высокий уровень организации. Семинар проходил в помпезном отеле «Hilton Garden Inn» на главной улице города, гостей встречали фамильными бэйджиками и приветливыми улыбками, сопровождая в небольшой конференц-зал, который, к слову, в этом году был забит полностью.

Контингент посетителей отличался от прошлогоднего перевесом в пользу технических специалистов, с соответствующими вопросами касательно сетевых технологий и практики использования оборудования, нежели переливания из пустого в порожнее тематики регуляторов и защиты персональных данных. Мы, конечно же, также заготовили полный карман вопросов, но обо всём по порядку.

Для начала заказчика нужно запугать...


Приветственное слово от менеджера Cisco по ЮФО Кабешева Дмитрия, как всегда, уместилось в два предложения, и нашим вниманием заслуженно завладел Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems в РФ. (Стоит ли вообще представлять Лукацкого?)

Первым большим блоком презентации был разбор алгоритма действий современных злоумышленников.

И, если компания Cisco хотела нас запугать, то у них это отлично получилось.

Подробное разъяснение Kill Chain (обязательно узнайте об этом поподробнее), сдобренное парой-тройкой короткометражных роликов о том, как совершаются атаки на реальные компании, рассказ Лукацкого о том, как его пыталась взломать девочка – фейковый сотрудник компании – всё это ударило в точку.

Убийственная цепочка действий хакера Kill Chain

Основным лейтмотивом стала необходимость понимания того, что защищенность периметра сети - это прошлый век, и компания Cisco глобально меняет направленность своих разработок.

Злоумышленники находятся на шаг впереди, ведь это уже не мальчики в копюшонах, а подпольные корпорации, проводящие маркетинговые исследования цен кодов дешифрации и готовые отдать два миллиона долларов за уязвимость на бирже в Tor.

Стоимость уязвимости нна черном рынке

Перекладывая всю эту информацию на наши с вами российские реалии, понимаешь, что всё действительно плохо и будет становиться только хуже, если компании не начнут вкладывать деньги в ИБ – устаревшая IT инфраструктура, необновляемое ПО, наплевательское отношение к защите каналов передачи трафика, содержащего коммерческую тайну, персональные данные – всё это не требует от злоумышленников всех тех выкрутасов и технологий, о которых говорит Cisco, достаточно только желания, желания украсть и на этом заработать.

Cisco Systems. От упёртости к покаянию

Следующий блок семинара назывался «Cisco TALOS. Интеллектуальная платформа для обнаружения угроз», но только я бы назвал его также как и заголовок выше.

Долгое время Cisco делали всё возможное, чтобы отстать от ведущих игроков рынка Unified Security решений и вот теперь спохватились. Надо отметить, что спохватились действительно глобально – покупка множества компаний-разработчиков решений по безопасности, отделение Cisco Security от основной компании, со своим бюджетом, командой и стратегией развития – всё это безусловно похвально и наводит на позитивные мысли о будущем.

История развития напрвления Cisco Security

Через призму работы с другими вендорами, всё это пока что выглядит как попытка угнаться за уходящим поездом, но кто знает, быть может ThreatGrid, FirePOWER и OpenDNS это и есть будущее сетевой безопасности?

К этому блоку как раз подоспел наш первый вопрос, а что же будет с существующими решениями, которые станут модулями единой архитектуры

Стоит ли закладывать бюджеты нашим заказчикам на обновление Cisco Security Manager, Access Control Server? Ответ мы получили вполне ожидаемый – всё уйдет в единое решение, централизованное управление станет (наконец-таки) удобным, управление доступом станет частью сервисов FirePOWER, путем интеграции с Cisco ISE.

Приятным открытием семинара стало использование Окна Джохари в контексте кибербезопасности. В последнее время всё чаще ведущие специалисты и игроки рынка говорят о том, как обнаружить необнаруживаемое, вся эта полемика выглядит весьма специфично для рядового заказчика, поэтому попытка понимания важности этой области угроз через психологическую модель, выглядит действительно круто и компетентно.

Окно Джохари

Всё становится просто и понятно. Открытая зона – то, что известно и аналитику ИБ и другим лицам – «плохие» IP, спам, фишинговые e-mail, сигнатуры и уязвимости. Слепая зона – то, что известно другим, но неизвестно аналитику ИБ по причине нехватки логов и корреляции. Скрытая зоны – аналитик знает, а другие нет – здесь у нас различного вида контекст, корреляция, анализ действий пользователей, в общем и целом типпичный SIEM. Ну и зона неизвестного – аномалии, 0-Day уязвимости, «Черный лебедь». Об этой зоне когда-то сказал, на первый взгляд, в духе Кличко, но на самом деле весьма в точку министр обороны США.

«Есть известные известные — вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные — вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные — это вещи, о которых мы не знаем, что не знаем их»

На каждую из зон Cisco представила своё решение, попутно померившись длинной баз с Касперским и Check Point.

Падение загрузки канала связи филиала "Калуга" после применения правил

Как оказалось, мерялись зря, потому что тут как раз ко двору пришелся наш второй вопрос -

А есть ли у Cisco некий аналог Security CheckUP - бесплатного аудита сетевой безопасности от компании Check Point, или быть может другой продукт ИБ, с которым легче всего заходить к заказчику? Как оказалось, аналога нет, а заходить можно с любым продуктом.

Ну что ж, Cisco Systems виднее.

Зато есть инструмент Cisco Threat Awareness Service, который позволяет отследить Ваш трафик, проходящий через всемирную паутину, даже если у Вас оборудования Cisco нет. То есть Вы можете увидеть, были ли инциденты, обнаруженные на оборудовании Cisco провайдеров или других компаний, связанные с Вашим белым IP адресом. Только нужен действующий SmartNet. Оборудования может и не быть, но поддержка на него быть обязана. Интересненько.

И в заключение...

Еще, пожалуй, стоит отметить замену вендором своих привычных устройств Cisco ASA 5525, 5545 и 5555 на платформу Firepower 2100. Мы не пробовали, но очень хотим. Жаль, что централизованное управление остается платным решением (в отличии от того же Check Point), лицензируется в зависимости от количества устройств – 500$ два Firepower девайса. Дорого или дешево – судить Вам.

Линейка устройств Firepower 2100

Довольно большая часть семинара была посвящена столь популярному сейчас направлению SIEM решений. Теперь Cisco собирает и коррелирует события безопасности внутри своих решений, призывая своих клиентов использовать в качестве сенсора всю сеть. А не только конкретные коннекторы.

Заимствованный из StealthWatch Dashboard

Ну и заканчивая, главное, что хочется сказать в целом об этом мероприятии, это его реальная практическая польза.

Организаторы наконец отказались от идеи пытаться восемь часов подряд доказать слушателям свою крутость и незаменимость, а дали море новой информации, поводов для размышлений и конечно же вдохновение узнавать новое, в том числе и вместе с компанией Cisco Systems.