Эксперт по информационной безопасности Cisco Алексей Лукацкий дал интервью компании РАССЭ (ГК «АйТеко»), которая имеет многолетний успешный опыт работы с решениями вендора. Беседа состоялась в рамках серии интервью с лидерами рынка информационной безопасности.
- Как перестроился формат работы на самоизоляции? Как вы контролировали работу сотрудников и оценивали эффективность?
Мы не заметили значительных перемен, потому что Cisco в течение многих лет предоставляет своим сотрудникам возможность работать в удаленном режиме. 15 лет назад, когда я начал работать в компании, мне выдали ноутбук и сказали довольно примечательную фразу, которая означала, что офис там, где я, а не я там, где офис. Эта фраза хорошо описывает концепцию удаленной работы, которая в Cisco была принята очень давно, поэтому текущая пандемия совершенно не повлияла на то, как сотрудники работают. Технические специалисты и менеджеры, которые активно взаимодействуют с клиентами и партнерами, продолжили работать, как и раньше. Количество очных встреч, безусловно, свелось к нулю, но все варианты онлайн-коопераций остались. Сотрудники работают из дома, у них есть весь необходимый инструментарий, и нахождение в офисе с технологической точки зрения им не нужно. Таким образом, переход на удаленную работу у нас фактически произошел много лет назад, и период самоизоляции ничего не изменил.
Что касается осуществления контроля, то важным является тот факт, что Cisco придерживается концепции доверия сотрудникам и управления по целям. Это означает, что руководство ставит цели для сотрудника каждого подразделения, и сотрудник достигает этих целей в собственном ритме. Поэтому совершенно не важно, в какое время и каким образом он их достигнет, разумеется, в пределах допустимого. Так, я могу работать ночью, утром, днем, в любое удобное для меня время. Главное, чтобы я выполнял стоящие передо мной задачи. Cisco – коммерческая компания, и основным показателем результативности для большинства сотрудников является выполнение плана. Если план выполнен, то необходимость в контроле отсутствует.
Если мы говорим непосредственно о технологическом контроле, естественно, что Cisco предлагает различные инструменты, которые позволяют выявлять факты компрометации или заражения удаленных рабочих мест для того, чтобы своевременно изолировать такого рода рабочие места от корпоративной сети, не поставить под угрозу интеллектуальную собственность компании и защитить от утечки персональные данные заказчиков. Поэтому удаленный контроль реализован в полном объеме, преимущественно на базе решений Cisco Stealthwatch, Cisco AMP, Cisco Firepower, Cisco Umbrella, Cisco Tetration и т.д. Все те технологии, которые мы предлагаем заказчикам, мы сами давно и успешно используем для защиты информации и сотрудников.
- Какие из решений по безопасности наиболее востребованы в России?
Если говорить о периоде пандемии, то наиболее востребованы решения, которые предоставляют возможность удаленного доступа: это, в первую очередь, решение под названием Cisco AnyConnect. Это инструмент для обеспечения защищенного удаленного доступа к корпоративной инфраструктуре, который может быть установлен на Windows, Linux, macOS, Android, iOS и т.д. На стороне периметра это, безусловно, межсетевой экран нового поколения Cisco Firepower, который принимает защищенные соединения и дальше перенаправляет их к нужному серверу или приложению.
Если мы говорим о пользователях, которые, работают с облачными сервисами, принятыми в компании, то это инструмент Cisco Umbrella, который позволяет мониторить доступ в Интернет. Решение Cisco Cloudlock, в свою очередь, позволяет мониторить работу с внешними облаками, в частности с теми, что построены по модели SaaS. Например, в случае, где требуется подключение к CRM, мы не можем развернуть собственную инфраструктуру безопасности и вынуждены брать данные, которые предоставляет облачный провайдер – для анализа этих данных и применяется решение Cisco Cloudlock. А если мы говорим о заказчиках, которые выстраивают собственную инфраструктуру в облаке Amazon, Azure или Google Cloud Platform, тогда мы рекомендуем востребованное заказчиками решение Cisco Stealthwatch Cloud, которое позволяет мониторить происходящее в облаках.
Есть еще два решения, которые предназначены для мониторинга доступа пользователя уже к внутренним ресурсам, скажем, в рамках терминального доступа и т.п. Это системы Cisco Stealthwatch Enterprise и Cisco Tetration. В первом случае – c Cisco Stealthwatch Enterprise – мы можем сгруппировать всех удаленных пользователей и анализировать изменения поведения этой группы и отдельных ее участников – появление вредоносных программ, неразрешенных приложений и т.д. Cisco Tetration позволяет сегментировать доступ к приложениям и данным внутри центра обработки данных, а следовательно, защищать эти данные от утечки, а ЦОД – от излишней нагрузки.
- Как интегрировать решения Cisco в области сетевых технологий и кибербезопасности? Возможно ли выстроить защищенную ИТ-инфраструктуру с помощью продуктов Cisco?
Применительно к Cisco этот вопрос не стоит на повестке дня, потому что Cisco является разработчиком и сетевых технологий, и средств информационной безопасности. В компании изначально одной из главных задач при разработке любого решения по безопасности является его бесшовная интеграция с инфраструктурой. Поэтому если заказчик строит или имеет построенную на Cisco инфраструктуру (к примеру, использует Cisco Catalyst, Cisco Nexus, серверы Cisco UCS и т.д.), он легко может интегрировать их с системами безопасности от Cisco. Такие решения, как Cisco Catalyst, Cisco Nexus могут легко отдавать данные в Cisco Stealthwatch для мониторинга аномалий. Аналогично Cisco UCS отдает данные Cisco Tetration для обнаружения тех или иных угроз в ЦОДах.
Если заказчик использует инфраструктуру не на основе решений Cisco, то специально для таких случаев мы разработали ряд фреймворков, которые интегрируют чужую инфраструктуру с решениями Cisco по безопасности. Примером служит так называемый pxGrid, который позволяет отдавать данные, например, от инфраструктуры Cisco в решения третьих фирм. Более того, протокол NetFlow, который первоначально был внутренней разработкой Cisco, затем стал стандартом де-факто в мире в области сетевых технологий. С его помощью мы можем собирать данные практически с любого сетевого вендора в области обнаружения аномалий в сетевой безопасности и передавать эти данные, предположим, в Cisco Stealthwatch Enterprise. Если мы говорим о решении Cisco Umbrella, то его можно элементарно интегрировать абсолютно с любым решением сетевого вендора или вендора по информационной безопасности: достаточно прописать в DNS-сервере адреса наших устройств Cisco Umbrella, и далее все будет работать бесшовно, прозрачно для пользователей и т.д. Если перед нами стоит задача контроля утечек информации в облачных приложениях, причем такие облачные приложения часто пишет сам заказчик, то мы используем API к решению Cisco Cloudlock для того, чтобы анализировать нарушения политик безопасности в этом облаке. Один из девизов Cisco в разработке решений для обеспечения информационной безопасности – simple, open and automation, что означает «просто, открыто и автоматизировано». Открытость заключается в том, что в любом нашем продукте мы реализуем API, специальный программный интерфейс для того, чтобы с его помощью можно было либо интегрировать продукт с внешними системами, либо передавать в наши средства защиты данные от внешних систем.
Выстроить защищенную ИТ-инфраструктуру на базе продуктов Cisco, безусловно, можно. При этом компания Cisco не пытается и никогда не пыталась охватить абсолютно все задачи, связанные с информационной безопасностью. Мы себя прекрасно чувствуем в сегменте сетевой безопасности и всего, что связано с этим направлением. Поэтому если мы говорим о защите периметра, внутренней сети, облака, мобильных устройств, здесь решения Cisco охватывают весь спектр задач. Если мы хотим подняться выше – на уровень приложений, бизнес-процессов и так далее, то требуется интеграция с решениями наших экопартнеров, например, компании Radware.
- Какие преимущества имеет Cisco Firepower по сравнению с подобными NGFW?
Это непростой вопрос, потому что мы в Cisco стараемся не делать сравнения feature-by-feature, то есть функция с функцией. Мы исходим из того, что нам нужно решить задачу заказчика. Это задача может быть решена, как правило, комплексным решением – одним продуктом не обойтись. Поэтому говорить о том, чем наш NGFW отличается от других, на мой взгляд, не совсем корректно. По каким-то функциям мы можем проигрывать, по каким-то функциям мы явно выигрываем, но в целом наше основное преимущество – это интеграция Cisco Firepower c другими решениями Cisco по безопасности для того, чтобы создать автоматизированную бесшовную эшелонированную систему защиты. Во-вторых, это возможность интеграции в сетевую инфраструктуру для того, чтобы автоматизировать процессы обнаружения и реагирования на угрозы. Третье преимущество – это широкий модельный ряд, который позволяет учесть потребности как небольшого офиса, который может использовать решение Cisco Firepower 1000, так и крупного оператора связи, который выберет Cisco Firepower серии 9300. У них общий защитный функционал, отличие – только в скоростях, с которыми они работают, от нескольких сотен мегабит до нескольких сотен гигабит в секунду в кластере. Итак, ключевые отличия Cisco Firepower – широкий модельный ряд, возможность интеграции в инфраструктуру и архитектурный подход. В остальном можно очень долго спорить, сравнивая число обнаруженных атак, угроз и т.д. По этим показателям мы, пожалуй, тоже превосходим многих игроков за счет нашего подразделения Cisco Talos, которое обнаруживает порядка 20 млрд угроз в день, 7 трлн в год. Такое количество превосходит результат любой частной группы исследований по информационной безопасности, имеющейся у других игроков рынка. Это позволяет нам видеть гораздо больше, обнаруживать гораздо больше, чем другие компании. И это знание, полученное за счет ресурсов Cisco Talos, является неотъемлемой частью Cisco Firepower.
Если мы говорим о файерволах, не совсем корректно упоминать только Cisco Firepower, потому что у Cisco есть не одно зарекомендовавшее себя решение. Помимо нашего флагманского продукта Cisco Firepower, есть промышленные файерволы Cisco ISA 3000, так называемый «облачный» файервол Cisco Umbrella, решение уровня «облачного» файервола Cisco Meraki для установки в небольших компаниях, которые готовы отдать свою безопасность на аутсорсинг (пока не поставляемое в Россию, но уже доступное к заказу в странах СНГ).
Важно отметить, что есть мощный файервол, изначально встроенный в наше сетевое оборудование, и для многих заказчиков бывает достаточно именно его. Они не используют какие-то внешние решения, а получают файервольную функциональность на маршрутизаторах. Поэтому мы всегда исходим из конкретной задачи и под нее подбираем соответствующее решение.
- Планируете ли вы получать новые сертификаты ФСТЭК России на решения Cisco?
Мы получили на Cisco Firepower сертификаты ФСТЭК. Более того, если мы посмотрим на активность Cisco в этой области, то она была инициирована компанией гораздо раньше, чем возник этот вопрос. Еще в 1990-х годах мы получили первые сертификаты. Если сложить все полученные нами за время работы в России сертификаты, то получится число, приближающееся к 700. Это чуть ли не пятая часть сертификатов, выданных ФСТЭК за более чем 25-летнюю историю своего существования. То есть мы, наверное, один из «самых сертифицированных» производителей в области информационной безопасности в России. Если немного сузить временные горизонты и поговорить об эпохе импортозамещения, то даже в этом случае Cisco является лидером по количеству сертификатов. Например, за прошлый год из 100 процентов сертификатов, выданных на продукцию иностранных вендоров, 70 процентов принадлежит компании Cisco, что подтверждает пристальное внимание Cisco к вопросу соответствия продукции в области кибербезопасности требованиям российских регулирующих органов.
- Как обеспечить безопасность рабочих мест с помощью Cisco Secure Remote Worker?
Cisco Secure Remote Worker – это инициатива, которая позволяет объединить разрозненные продукты в рамках единого подхода. Речь идет о таких решениях, как Cisco AnyConnect, Cisco Umbrella, Cisco Firepower, Cisco AMP for Endpoints, которое устанавливается на конечные устройства. Для каждого из этих решений мы разработали соответствующие рекомендации. Они касаются того, как применять их вместе для выполнения задачи по обеспечению защищенного удаленного доступа при различных сценариях. Это может быть либо подключение к облакам, либо подключение напрямую через VPN, либо подключение через VPI или терминальный доступ и т.д. И эти рекомендации, которые мы оформили в виде отдельного документа, вместе с нашей инициативой по бесплатному предоставлению лицензий на данное решение и позволили очень большому количеству наших заказчиков из России и из стран СНГ быстро перейти на удаленную работу. Как только мы анонсировали данную инициативу, у нас был огромнейший всплеск запросов со стороны заказчиков, которые просили помочь им организовать удаленную работу, и мы провели эту работу бесплатно. Многие заказчики были благодарны Cisco: в условиях аврального перехода на удаленный режим работы, когда бизнес поставил задачу, но не всегда мог выделить на нее ресурсы, компания поддержала заказчиков и помогла им организовать безопасную удаленную работу для достижения поставленных целей.
- Зачем использовать Cisco AMP for Endpoints, если у меня уже есть антивирус? Могу ли я безопасно работать с личного ПК с помощью Cisco AMP for Endpoints?
Антивирус в классическом его понимании – это инструмент, который использует всего один, максимум два движка для обнаружения вредоносной активности. Как правило, эти движки работают по принципу «обнаруживаю только то, что знаю». То есть если в антивирусную базу сигнатур включен шаблон некого вируса, некой вредоносной программы, то антивирус его обнаружит. Если антивирусная программа была изменена либо она является уникальной, разработанной под конкретного заказчика, то, к сожалению, антивирус в 99 процентах случаев такого рода вредоносную программу никак не обнаружит. Последние примеры говорят нам о том, что часто злоумышленники используют действительно уникальные вредоносные программы для атак на свои жертвы. По статистике разных вендоров, среднее время необнаружения атаки вредоносных программ составляет от 200 до 300 дней, и это приводит к тому, что антивирус свою задачу не выполняет. Как следствие, встает вопрос о том, чем его заменить. Решение класса EDR (Endpoint Detection and Response) способно справиться с этой задачей, и AMP for Endpoints – один из ярких примеров и лидеров сегмента EDR на мировом рынке. AMP for Endpoints – это инструмент, который содержит не один, а более десяти параллельно работающих движков, обнаруживающих угрозы. AMP for Endpoints позволяет не только их обнаруживать, но и проводить расследования, собирать доказательства несанкционированной активности и блокировать такого рода угрозы. Это полноценное решение для защиты оконечных устройств, которое работает под управлением Windows, Linux, macOS и даже Android или Apple iOS.
Для личных ПК, конечно, это решение использовать можно, но только в случае, если эти личные ПК управляются через корпоративную службу информационной безопасности. Если мы говорим о концепции BYOD (Bring Your Own Device), тогда да, ответ будет положительным. Если мы имеем в виду устройства домашние и персональные, то AMP для этих целей неприменим, это решение корпоративного класса.
- Что такое Zero Trust Security и причем тут Cisco Duo?
Концепция Zero Trust появилась, когда современные подходы, основанные, в первую очередь, на защите периметра, стали давать сбой. Когда к внутренним ресурсам стали подключаться различные клиенты, партнеры, контрагенты, когда компании начали активно уходить в облака и использовать мобильные устройства, прежняя концепция – защита периметра – перестала справляться. Возникла новая необходимость защитить и данные, и пользователей, и устройства, которые постоянно меняют свое местоположение. Именно тогда была предложена концепция Zero Trust. Она как раз и означает, что мы изначально не доверяем никому: пользователям, приложениям, трафику, данным, узлам. Не доверяем до того момента, пока не проведем проверку. Эта проверка производится либо постоянно, либо через небольшие интервалы времени, чтобы убедиться, что злоумышленники не смогли подменить пользователя, устройство, трафик, данные, узел и т.д.
Много лет назад, еще до появления Zero Trust, Cisco реализовала эту концепцию в своей собственной внутренней корпоративной сети. Это называлось Trusted Enterprise. Гораздо позже, в 2010 году, появился маркетинговый термин Zero Trust, затем его расширенная версия – Zero Trust eXtended, но Cisco также активно использует этот принцип в своей практике. Для заказчиков мы предлагаем это же решение под названием Cisco Trusted Access, являющимся торговой маркой Cisco. Duo – один из ключевых компонентов этой концепции, которая позволяет защититься от подмены пользователей. Если в обычной жизни пользователь проходит аутентификацию в корпоративной сети, предъявив свой логин и пароль, то злоумышленник, который подобрал этот логин и пароль, может выдать себя за пользователя. Cisco Duo эту возможность блокирует и регулярно перепроверяет, что подключился именно этот пользователь, а не другой. Для этого применяются технологии машинного обучения и различные технологии подтверждения подлинности: не только пароль, но и геометрия, умные часы, телефон, голосовые звонки, отправка специального кода по смс и т.д. То есть задача Duo в концепции Zero Trust – обеспечить защиту пользователя, в то время как остальные решения Cisco – Cisco Tetration, Cisco Stealthwatch, Cisco ISE и т.д. – обеспечивают защиту уже сетевого уровня. Если большинство корпоративных пользователей раньше использовали только внутренние серверы аутентификации для работы внутри сети, то Cisco Duo позволяет обеспечить доступ и для мобильных пользователей, и для пользователей облачных платформ и т.д. Дает возможность компаниям работать там, где им нужно, и с теми ресурсами, которые им нужны, а не только с теми, что ограничены их корпоративным ЦОДом.
- Что такое Cisco Tetration? Как с помощью него построить защищенный ЦОД?
В современных ЦОДах давно уже отошли от концепции «один сервер – одна задача» и активно применяют не только виртуализацию, но и контейнерные технологии, когда в рамках одного контейнера решается задача. И этот контейнер или виртуальная машина могут циркулировать от сервера к серверу, от ЦОДа к ЦОДу, перемещаться в облака, из облаков обратно возвращаться в корпоративный ЦОД и т.д. Это перемещение необходимо контролировать, потому что если контейнер или виртуальная машина с ценными данными или приложениями попадет не в те руки, или попадет не в ту юрисдикцию, то могут быть нарушены различные законы, например, законодательство о персональных данных с достаточно жесткими требованиями и в Европе, и в России, и в США и во многих других странах. И поэтому такого рода перемещения – контейнеров, виртуальных машин, приложений, которые внутри них запускаются – необходимо серьезно контролировать. Когда виртуальных машин несколько, это можно сделать с помощью статических правил на межсетевых экранах, которые устанавливаются в ЦОДе. Когда виртуальных машин или контейнеров становится несколько тысяч (например, в Cisco несколько тысяч виртуальных машин и контейнеров используются для обеспечения нашей внутренней работы), то задача статического определения, куда можно, а куда нельзя перемещаться контейнерам и виртуальным машинам, становится неподъемной. Ровно эту задачу – автоматизацию управления виртуальными машинами, контейнерами, приложениями внутри ЦОДа и внутри облака – и решает Cisco Tetration. С помощью специальных алгоритмов он описывает структуру сети, структуру ЦОДа и облака, позволяет прописать и динамически отслеживать правила взаимодействия виртуальных машин, приложений, контейнеров между собой, блокировать их перемещения в неразрешенные места, увязывает это все с политиками доступа внутри корпоративной сети, например, с теми же самыми Cisco ISE и Cisco Stealthwatch, с защитой периметра и дает возможность оценивать уязвимость приложений и виртуальных машин, которые используются в ЦОДе. И опять же динамически, опираясь на информацию об уязвимостях, усиливать или понижать уровень защиты тех или иных корпоративных ресурсов. То есть Tetration – это инструмент, который позволяет сегментировать приложения, виртуальные машины и контейнеры внутри ЦОДа и облаков и делать это динамически.
- Какие курсы и экзамены Вы порекомендуете для совершенствования знаний по сетевой безопасности? CCNA Security? Вы организуете бесплатное обучение на период пандемии?
Обучение по программе CCNA Security. Данным направлением занимаются отдельные юридические лица, авторизованные учебные центры, которые самостоятельно определяют политику ценообразования на эти курсы. Поэтому этот вопрос следует перенаправить в соответствующие центры. Тем не менее есть большое число различных онлайн-курсов, которые позволяют повысить уровень знаний и квалификации специалистов в области сетевых технологий и технологий безопасности. Если мы говорим о Cisco в России, то в рамках обучающей программы Cisco Club мы регулярно проводим мероприятия. В период пандемии мы проводили чуть ли не еженедельные марафоны, посвященные различным технологиям, в том числе в области кибербезопасности. Также у нас есть глобальное мероприятие Cisco Live. Обычно форум проходит в офлайн-формате, участие стоит недешево. Требуется ехать либо в Европу, в США или другие регионы, что также сказывается на стоимости. Однако в этом году в условиях пандемии Cisco приняла решение о проведении Cisco Live абсолютно бесплатно, чтобы любой желающий мог прослушать треки, в том числе по безопасности, который насчитывает несколько сотен докладов. Треки от специалистов Cisco зачастую заменяют сертификационные программы CCNA Security или даже CCNP, CCDP или CCIE Security. Триста часовых докладов – это отличная возможность для повышения квалификации в области технологий по обеспечению информационной безопасности компании Cisco. Любой желающий может зарегистрироваться на сайте Cisco Live и прослушать эти треки.
- Стоит ли переносить данные в облако? Как обеспечить безопасность данных в облаке с помощью Cisco Umbrella и других решений компании Cisco?
На данный момент вопрос о переносе данных в облака уже не обсуждается. Это явная мировая тенденция, курс, потому что облачные технологии – это возможность сэкономить на содержании собственной инфраструктуры. Сосредоточиться на профильном бизнесе, а все непрофильное отдать в руки внешних аутсорсинговых компаний, в качестве которых как раз выступают облачные провайдеры. Поэтому я бы сейчас не ставил вопрос о том, стоит или не стоит уходить в облака. Вопрос, скорее, как безопасно уйти в облака и как безопасно ими пользоваться. И здесь наш ответ будет зависеть от того, о каком облаке мы говорим. Как известно, существуют как минимум три модели построения облачной инфраструктуры – это модели IaaS, PaaS и SaaS, и у каждой из них есть свои особенности с точки зрения защиты. Если заказчик выстраивает облачную инфраструктуру по принципу IaaS и PaaS и делает это на базе облака Amazon, Google или Microsoft Azure, то мы предлагаем ряд наших традиционных решений – Firepower, Stealthwatch, ISE, Tetration. Они позволяют мониторить, сегментировать, разграничивать, блокировать различные несанкционированные действия, которые происходят внутри облачной инфраструктуры. Если мы говорим об инфраструктуре, построенной по принципу SaaS, когда клиент переносит в чужое облако только свои данные, а ПО уже предоставляется облачным провайдером, например, Salesforce или Битрикс, то в этих случаях мы рекомендуем использовать решение Cisco Cloudlock. За счет интеграции с внешними провайдерами Cisco Cloudlock может получать информацию о том, какие действия осуществляют пользователи внутри этого облака, санкционированы они или нет, разрешать их или блокировать, есть ли утечки информации из облака и т.д. Что касается Cisco Umbrella, то это решение, которое позволяет контролировать доступ к облакам. То есть если названные ранее решения позволяют защитить и мониторить сами облака, то Cisco Umbrella позволяет контролировать доступ к облаку, откуда бы он ни осуществлялся – изнутри корпоративной сети, с личного устройства работника, с его мобильного устройства. Cisco Umbrella позволяет это видеть и в зависимости от установленных в компании политик разрешать либо блокировать.
- Как предотвратить атаки на медицинское оборудование и прочие IoT-устройства? С какими решениями лучше всего интегрировать Cisco для обеспечения безопасности «умных устройств»?
Дело в том, что современный Интернет вещей не существует в привычном для нас виде, как нечто неделимое. Интернет вещей – это огромное количество различных протоколов, стандартов, направлений, начиная от умного дома и медицинского оборудования и заканчивая различными фитнес-трекерами и умными автомобилями. Каждое из этих направлений – это своя линейка стандартов, протоколов и сказать, что для них существуют универсальные требования по безопасности, сегодня нельзя. Поэтому в массе своей Интернет вещей концентрируется вокруг двух основных направлений. Первое – это защита самой интернет-вещи, внутрь которой должны быть встроены различные механизмы защиты. К сожалению, это происходит далеко не всегда, потому что большинство производителей вначале выпускают продукт на рынок, а потом думают, как повысить его качество, функциональность и в том числе безопасность. Безопасность отдается в угоду скорейшему выпуску продукта на рынок, поэтому многие интернет-вещи, в том числе медицинское оборудование, по умолчанию не защищены, и уже известны случаи атак на кардиостимуляторы, на дефибрилляторы, на инсулиновые помпы с подключением к Интернету, которые, к сожалению, никак не были защищены от внешних несанкционированных воздействий. Поэтому в случаях, когда мы не можем добиться от производителя включения безопасности в изначальный дизайн устройства, у нас остается единственная альтернатива – защитить сеть, через которую интернет-вещь будет работать. Сеть в этом случае, как правило, единая, то есть нет различий между корпоративной сетью, сетью Интернета вещей или сетью промышленного предприятия: действуют одни и те же протоколы на низком уровне и одинаковые принципы защиты. Cisco пропагандирует следующий подход: мы не всегда можем защитить саму интернет-вещь, но мы можем защитить подходы к ней. И если мы говорим о медицинских устройствах и организациях, которые используют, скажем, томографы или рентгенографическое оборудование, подключенные к Интернету, то в этом случае мы рекомендуем специальный дизайн, специальную архитектуру сети для такого рода применения. Это изолированный сегмент. Контролируемый доступ извне, разрешенное взаимодействие только с производителями медицинского оборудования в рамках так называемых технологических окон, в течение которых можно это оборудование обновлять. Контролируемый доступ изнутри, чтобы пациенты, например, лежащие в больнице, не могли подключиться к такого рода оборудованию. Или это мониторинг того, что происходит в сегменте, в котором стоит подобное оборудование. Для этого можно использовать либо решение Cisco Stealthwatch, либо решение Cisco Cyber Vision, которое как раз предназначено для мониторинга промышленных площадок. В прошлом году Cisco приобрела компанию Cyber Vision как раз для того, чтобы защищать заказчиков, которые активно внедряют Интернет вещей в свою инфраструктуру. Cisco Cyber Vision – это система мониторинга безопасности Интернета вещей, преимущественно промышленного, включая медицинские устройства, и отчасти консьюмерского. Для защиты периметра сегментов, где установлены интернет-вещи, мы используем традиционные Cisco Firepower. Для агрессивных сред, в которых устанавливается промышленное или медицинское оборудование, используются наши специализированные промышленные файерволы или промышленные системы обнаружения атак под названием ISA 3000.
- Какие интересные обновления вашей линейки стоит ожидать в ближайшем будущем?
К сожалению, мы не можем говорить о наших анонсах до того момента, как они будут представлены публично. Однако могу рассказать о решении под названием SecureX, представленном в июне. Это наша новая платформа управления и мониторинга безопасности. Раньше у компании Cisco для каждого продукта была своя отдельная консоль, на которую стекались события безопасности, и с этой консоли можно было управлять отдельно каждым решением. Понятно, что для заказчиков, которые работали с 2 – 10 нашими продуктами, использование отдельных консолей было не всегда удобно, то есть требовались дополнительные шаги для объединения данных, которые сосредотачиваются в каждой консоли по отдельности. Кто-то из этих заказчиков использовал решение класса СМ, но на сегодняшний день такие решения достаточно дорого стоят. Мы же решили предложить нашим заказчикам систему управления и мониторинга, назвав ее SecureX. Идея заключается в том, что она объединяет все сигналы тревоги от всех наших средств защиты, проводит корреляцию, осуществляет поиск скрытых взаимозависимостей, выявляет инциденты и автоматизирует процесс реагирования на них. Это позволяет в разы сократить время обнаружения и реагирования на инциденты, которые фиксируются решениями Cisco в области безопасности. Решение Cisco SecureX доступно для всех наших заказчиков абсолютно бесплатно.
- Анонс ближайших событий
В программе мероприятий Cisco Club регулярно появляется что-то новое, и каждый месяц мы формируем список событий заново. Рекомендую отслеживать наши социальные ресурсы (Twitter, Facebook, «ВКонтакте»), где мы публикуем информацию обо всех предстоящих мероприятиях.
