9. Предпосылки – меры защиты
• В компаниях одновременно используются десятки
разрозненных видов защитных мер
Меры защиты:
•Предупредительные (Banners)
•Сдерживающие (FW, AC)
•Детективные (SIEM)
•Коррективные (AV)
•Восстановительные (Backups)
Меры защиты:
•Предупредительные (Banners)
•Сдерживающие (FW, AC)
•Детективные (SIEM)
•Коррективные (AV)
•Восстановительные (Backups)
ФизическиеФизические
АдминистративныеАдминистративные
ТехническиеТехнические
СОБИ
* Сложность – враг безопасности!
10. Решение
• Skybox Security Suite – Это аналитическая система
комплексного управления ИБ, которая основана на
логической модели сети и ИТ-инфраструктуры:
– отражающей ее основные характеристики (данные об активах,
уязвимостях и принятых технических мерах обеспечения ИБ)
– логические связи между ее компонентами (например, сетевой
доступ)
– позволяющей проводить оценку соответствия заданным
политикам ИБ (например, соответствия политике сетевого
доступа)
– Позволяющей проводить проактивное моделирование
возможных негативных ситуаций в отношении информационных
активов ИТИ.
Простота и
наглядность
Простота и
наглядность
Автоматический
анализ
Автоматический
анализ
Приоритизация
ответных мер
Приоритизация
ответных мер
13. Зачем нужна еще одна система?
• Сканер уязвимостей – не может объективно
приоритезировать уязвимости (бизнес-ценность актива,
возможность эксплуатации)
Одинаковые уязвимости на 10 000
рабочий станций / серверов – какие
уязвимости устранять
первыми???
“ ”
Сканер по-прежнему нужен!
14. Зачем нужна еще одна система?
• SIEM – работает только с оперативной информацией о
потенциальных инцидентах ИБ в соответствии с
заданными правилами детектирования.
Реактивный
подход
Проактивный
подход
Инцидент
ИБ
Минимум
времени
Заблаговременное выявление и
предотвращение
“ ”
SIEM по-прежнему нужен!
15. Моделирование ИТ-инфраструктуры
Наглядная визуализация и моделирование
на любой момент времени
Router Switch Firewall IPS VPN Load
Balancer
Net. mngmt.Proxy Scanner Patch Asset
mngmt.
Автоматический сбор и
нормализация данных
Неподдерживаемые по умолчанию
устройства / системы
Конфигурационные данные и параметры ИБ от
90 + платформ и систем поддерживаются по умолчанию
Skybox
Vulnerability
Database
16. Применение модели
• Управление сетевыми изменениями и политиками МЭ
– Запросы предоставления сетевого доступа (веб-портал – система
заявок по управлению изменениями ACL на МЭ)
– Моделирование сценариев на модели сети
• Мониторинг изменений (в т.ч. через логи)
• Идентификация устройств для изменения
• Предоставление информации о пути доступа
• Оценка риска до применения изменения
(соответствие политикам, вектор атаки)
• Работа с исключениями
• Ресертификация правил доступа
17. Research Lab / Vulnerability database
Большая и
ежедневно
обновляемая БД
уязвимостей
Сравнение с другими
базами данных
уязвимостей
25+ источников
информации
Vulnerability database (center)
ПО, уязвимости, IPS сигнатуры,
патчи, признаки вредоносного
ПО (worm), условия и
вероятность эксплуатации,
рекомендации
19. Вектор атаки на
финансовые серверы
Маршрут доступа Варианты решения
1 IPS-сигнатура для
доступа в DMZ из
Internet
2 Корректировка
списка доступа из
DMZ к подсети
финансовых
серверов
3 Установить патч
на уязвимый
актив
Детали, рекомендации, процесс
Воздействие
Система заявок, контроль
устранения
20. Снижение нагрузки
Приоритизация и ранжирование угроз на
основе бизнес-контекста (оценка рисков)
позволяет:
•Точно знать количественные
характеристики уровня защищенности
•Гарантировать что Политика ИБ
учитывает уровень риска
•Снизить работу по устранению угроз на
90%
•Оптимизировать планы обеспечения
безопасности
•Сэкономить ресурсы и снизить нагрузку
на бюджет
Контрмеры требуются
только для 1-2%
уязвимостей
Устранение уязвимостей
НЕ требуется в виду
наличия
компенсационных мер
ИБ сократит свою работы и будет существенно меньше «напрягать» ИТ
23. • Для эффективной защиты необходимо понимать что мы
защищаем
– Определить владельцев ИТ активов
– Категорировать и ранжировать ИТ активы
– Определить их взаимосвязи и потенциальные угрозы
– Следить и управлять их изменениями
– …
1)10 лет успешного взаимодействия с заказчиками и партнерами.
2) Компетенции по всем предлагаемым продуктам.
3) р
Продукция компании используются 6 из топ-10 мировых банков, 10 глобальных телекоммуникационных компаний, 5 из крупнейших в мире производителей потребительских товаров и 10 из крупнейших поставщиков энергетических компаний в мире.
Все указанные, а также схожие решения «родились» из необходимости анализа МЭ т.к. обычно именно эти устройства содержат в настройках наибольшее количество строчек в их конфигурациях (правила доступа – ACL), которые часто изменяются. Большая часть решений остановилась на функционале, работающем только с МЭ, часть добавила поддержку маршрутизаторов, L3 коммутаторов и других устройств; более продвинутые пошли дальше и стали поддерживать импорт данных об активах, их уязвимостях, реализовали функционал по моделированию сетевых атак, а анализу рисков и т.п.
По большому счету класс продуктов на текущий момент до конца не сформирован и ,например, Gartner пока не имеет специализированного квадранта для данных систем, но тем не менее уже с 2011 года периодически выпускает обзоры о данных продуктах.
Это само по себе (без учета обеспечения безопасности) является нетривиальной задачей