Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.
По материалам Блога http://sborisov.blogspot.com/2012/05/blog-post_27.html
Недавно компания Cisco обновила архитектуру безопасности Cisco SecureX и решение по управлению защищенным доступом к сети Cisco TrustSec 2.0. Решение Cisco TrustSeс 2.0 является развитием технологии, ранее известной как Cisco NAC.
Ключевым компонентом решения является новый продукт Cisco Identity Services Engine (Cisco ISE). А в реализации единых политик доступа к сети участвует всё активное сетевое оборудование Cisco: коммутаторы¸ маршрутизаторы, межсетевые экраны, средства построения VPN, точки доступа и контроллеры беспроводной сети.
Данное решение хочу рассмотреть в сегодняшней статье.
Cisco TrustSec 2.0 поможет, если в вашей политике доступа к корпоративной сети или информационным ресурсам есть определенные правила, а технически реализовать и проконтролировать их полностью нечем. Говорите, что у вас нет политик управления и разграничения доступа к корпоративной сети и информационным ресурсам? Тогда вам не нужно решение TrustSec.
Но рассмотрим для примера экспресс анализ рисков связанных с корпоративной сетью.
|
№ |
Наименование угрозы |
Вероятность |
Потенциальный ущерб от угрозы |
Риск ИБ |
|
1 |
Выполнение вредоносного кода на единичном АРМ находящегося вне корпоративной сети, с использованием вируса, приводящее к выполнения несанкционированных действий |
Высокая |
Низкий |
Средний (приемлемый) |
|
2 |
Массовое заражение АРМ вредоносным ПО, с использованием вируса распространяемого по сети, приводящее к получению доступа к информации или выполнения несанкционированных действий |
Средняя |
Высокий |
Высокий (неприемлемый) |
|
3 |
Сетевые атаки на ОС из внешней и корпоративной сети, использующие уязвимости ОС, c целью получения доступа к информации или выполнения несанкционированных действий |
Средний |
Высокий |
Высокий (неприемлемый) |
|
4 |
Доступ пользователей, партнеров или гостей к локальным сетевым ресурсам, использующие неограниченность доступа, c целью несанкционированного получения и распространения конфиденциальной информации |
Средняя |
Высокий |
Высокий (неприемлемый) |
|
5 |
Доступ администраторов к сетевому оборудованию, использующие неограниченность доступа, c целью несанкционированного использования и изменения конфигурации |
Средняя |
Высокий |
Высокий (неприемлемый) |
|
6 |
Подключение устройств к корпоративной сети, использующие неограниченность доступа, с целью несанкционированного использования ресурсов сети |
Высокая |
Средний |
Высокий (неприемлемый) |
|
7 |
Сетевые атаки на сервисы и приложения из корпоративных сетей, использующие уязвимости сервиса и приложения, c целью получения доступа к информации или выполнения несанкционированных действий |
Средняя |
Высокий |
Высокий (неприемлемый) |
|
8 |
Перехват информации в данном сегменте сети, использующий не ограниченность сети, c получения доступа к информации |
Высокая |
Высокий |
Высокий (неприемлемый) |
Рассмотрим контрмеры, которые можно использовать для нейтрализации угроз по неприемлемым рискам:
· Запретить удаленный доступ, гостевой доступ, взаимодействие с партнёрами мы не можем – ведь это требует бизнес.
· Антивируса, межсетевого экрана, системы обнаружения вторжений и встроенных возможностей приложений недостаточной для нейтрализации всех неприемлемых угроз, а также требует чрезмерных трудозатрат на независимую настройку каждого средства защиты.
· Антивирус не поможет нам остановить массовое заражение АРМ, если он пропустил данный вирус.
· Межсетевой экран и система обнаружения вторжений ничего не знает про уязвимости ОС и ролях конкретных пользователей.
· Встроенные средства приложений не помогут при перехвате и подмене информации в сегменте сети.
· Необходимой контрмерой для данных угроз является Cisco ISE, который дополняет функции приведенных средств защиты и объединяет их с использованием единых политик доступа к сети.
Вы спросите какие политики можно реализовать с применением данного решения?
Примеры:
· Новому сотруднику предоставлять базовый доступ к сервисам сети: AD, электронная почта, общий файловый сервер.
· Сотрудникам бухгалтерии предоставлять доступ к группе серверов бухгалтерии, а главному бухгалтеру ещё и к дополнительной группе серверов бухгалтерии.
· Администратора сети при подключении в любой точке сети помещать в выделенный сегмент управления и мониторинга.
· Разрешать вносить изменения в конфигурацию сетевого оборудования и сетевых средств защиты только из локальной сети.
· Гостям разрешено подключаться только к беспроводным точкам в приемном зале, а партнерам компании на всей территории. И тем и другим разрешить доступ только в рабочее время. Гостям разрешить доступ только в интернет, а партнерам ещё к корпоративному справочнику и электронной почте.
· Сотрудникам в командировке предоставлять удалённый доступ к той-же группе серверов что и при их локальном доступе, за исключением суперсекретного.
· Всем сотрудникам разрешать доступ к корпоративной сети в соответствии с их ролями, только при наличии всех обновлений ОС, антивируса и запущенным агентом DLP.
· Удаленный доступ к ИСПДн разрешать только при наличие установленного СКЗИ поддерживающего ГОСТ.
· При доступе к корпоративной сети с мобильных устройств предоставлять доступ только к ограниченному количеству сервисов (в виду отсутствия на мобильных устройствах средств защиты).
· Принтеры помещать в выделенный сегмент принтеров.
· Видеокамеры помещать в выделенный сегмент видеокамер.
· Телефоны помещать в выделенный сегмент видеокамер.
· Новые принесенные пользователем устройства помещать в карантин и блокировать доступ к КИС до одобрения администратора.
· Все нарушающие политики устройства помещать в карантин и блокировать доступ к КИС до устранения нарушений или одобрения администратора.
И на последок сравнение ISE, NAC, ACS.
В следующих заметках более подробно опишу архитектуру и принципы работы.
Про Cisco TrustSec и Cisco ISE можно почитать тут.
Поделиться
Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.