Полгода назад я уже писал на Хабре заметку, где делился нашим опытом мониторинга различных конференций по ИТ и ИБ, в которых Cisco приглашают для обеспечения работы SOC и NOC (Black Hat, Mobile World Congress, RSAC и т.п.). Сегодня я бы хотел поделиться опытом участия в работе центра мониторинга сети, который обслуживал последний европейский Black Hat, в котором мы помогаем работе NOC уже второй год. Вместе с RSA, Palo Alto, Gigamon и Rukus мы обеспечивали защиту инфраструктуру конференции и тренингов. На плечи Cisco легли задачи мониторинга и расследования инцидентов DNS (с помощью Cisco Umbrella и Cisco Umbrella Investigate), а также автоматизированный анализ вредоносного кода и Threat Intelligence с помощью Cisco Threat Grid.

Cisco является одним из крупнейших DNS-провайдеров в мире, предоставляя услугу безопасного DNS на базе Cisco Umbrella (ранее OpenDNS), но речь сегодня пойдет не о ней и даже не о безопасности. Дело в том, что 1-го февраля наступит так называемый DNS Flag Day, после которого ваш сайт может быть недоступен пользователям в Интернет.

Cisco DevNet — это программа для программистов и инженеров, которая помогает разработчикам и специалистам в области ИТ, которые хотят писать приложения и развивать интеграцию с продуктами, платформами и интерфейсами Cisco.

DevNet существует в компании менее пяти лет. За это время специалистами компании и сообществом программистов созданы программы, приложения, SDK, библиотеки, фреймворки для работы с оборудованием/решениями Cisco.

В рамках программы есть возможность развития в направлении обучения так и для компаний/команд разработчиков. В следующих статьях я более детально опишу касательно возможностей для компаний. Ниже я опишу про возможности для обучения и программирования под Cisco. Стоит отметить что определенные навыки и знания которые вы можете получить работая с песочницами или обучаясь на платформе можно легко использовать при работе с другими вендорами.

Безусловно есть много уникальных решений которые доступны только в решениях Cisco, и навыки работы с ними позволяют, в том числе дифференцироваться от конкурентов как на рынке труда так и на рынке разработки приложений. Благодаря лидерству Cisco во многих сферах вам будет где применить свои знания на практике.

Так принято, что в конце каждого года компании напоминают о себе, делясь своими достижениями и публикуя прогнозы, которые, по счастливой случайности, связаны с продуктами компании. Я не стану нарушать эту традицию с двумя небольшими дополнениями. Я не буду рассказывать о наших достижениях за прошедший год; возможно, я напишу про это в нашем корпоративном блоге. Да и с прогнозами ситуация не столь очевидно рекламная. Нам много что есть сказать в контексте кибербезопасности, но я попробую сфокусироваться на том, что обычно не упоминают другие компании, но при этом является очень важным и что стоит учитывать в своей стратегии ИБ в 2019-м году. Кроме того, не буду скрывать, к части из описываемых тенденций мы сами приложили руку. Среди прочего мы поговорим об уязвимостях BGP и CDN, взломе сетевых устройств, грядущих TLS 1.3 и сетях 5G, API и киберучениях.

Мы продолжаем знакомить вас с гиперконвергентной системой Cisco HyperFlex и в этой статье расскажем о сертифицированной инфраструктуре на базе HyperFlex для SAP HANA.

В октябре 2018-ого года компания SAP сертифицировала HyperFlex для запуска SAP HANA.

SAP HANA (High-Performance Analytic Appliance) – это высокопроизводительная платформа хранения и обработки данных на основе in-memory вычислений. Основной задачей HANA является предоставление аналитических данных с минимальным временем отклика, а также поддержка транзакционных приложений SAP.

Ландшафт SAP состоит из серверов приложений и серверов СУБД на базе HANA. Серверы приложений довольно давно запускают в виде виртуальных машин, а СУБД HANA, как правило, запускаются либо на «железе», что делает инфраструктуру дорогой и негибкой, либо в виртуализированной среде, но с большим числом ограничений и на базе весьма недешевых дисковых массивов. Cisco HyperFlex стала одной из первых гиперконвергентных систем, сертифицированных для запуска продуктивных сред HANA в полностью виртуализированном окружении (т.е. и серверов приложений, и СУБД). При этом HyperFlex является экономически эффективной платформой, простой в развертывании, использовании и масштабировании.

Для запуска HANA используется сертифицированная All-Flash система Cisco HyperFlex на базе узлов HX240c M5 All Flash, поставляемая с двумя центральными коммутирующими устройствами Cisco UCS 6300 Fabric Interconnects с интегрированной системой управления серверными узлами на базе политик и шаблонов.

C ноября 2018 года компания Cisco начинает серию демонстраций нового гиперконвергентного решения Cisco HyperFlex в регионах России. Записаться на демонстрацию можно через форму обратной связи, перейдя по ссылке. Присоединяйтесь!

• Екатеринбург – до конца ноября 2018 года
• Томск, Новосибирск, Красноярск, Омск – 20 ноября 2018 года – 30 декабря 2018 года
• Владивосток, Южно-Сахалинск: 21 января 2019 года – февраль 2019 года.

Cisco HyperFlex – это новейшая гипергонвергентная система, которая решает проблему высокой сложности отказоустойчивых систем ЦОД-ов и корпоративных инфраструктур.



Традиционный подход к построению ЦОД основывается на разделении серверов, сети хранения данных и систем хранения данных. Такой подход делает инфраструктуру крайне сложной и дорогой.

Cisco HyperFlex по сути является «ЦОД-ом в коробке», которая объединяет вычислительную инфраструктуру, виртуальные машины и систему хранения данных в единую отказоустойчивую и высокопроизводительную инфраструктуру.



Также HyperFlex является крайне простым решением для внедрения и позволяет организовать высокодоступную ИТ-инфраструктуру с нуля в максимально сжатые сроки всего из 3-х серверов.

Еще в 2017-ом году независимая лаборатория Enterprise Strategy Group (ESG Lab) провела сравнительные тесты производительности Cisco HyperFlex и конкурентных решений.

Тесты проводились с помощью HCIBench, который является стандартным отраслевым инструментом для тестирования гиперконвергентных решений. В основе HCIBench лежит Oracle Vdbench, который эмулирует рабочую нагрузку на виртуальных машинах.

Что нужно бизнесу от сети?

Руководители бизнеса современных компаний редко интересуются тонкостями IT и нюансами сетевых технологий. Это неудивительно: бизнесу важен результат.

Но нужный бизнес-результат получается благодаря слаженной работе множества бизнес-процессов. Большинство из них связано с передачей информации. И большая часть таких бизнес-процессов опирается на сетевые приложения, работающие поверх сети.

В современной корпоративной среде без сети и приложений бизнес работать уже не может. Более того, в эпоху цифровизации и Интернета вещей (IoT) зависимость бизнеса от IT только увеличивается, потому что появляется все больше критичных для бизнеса приложений, работающих поверх сети.

Таким образом, обеспечить надлежащую работу сетевых приложений и, соответственно, сети — критически важно для современных компаний.

Как же это сделать?

Представьте, что вы прочитали статью в «Коммерсанте» о том, что в Интернете оказался в публичном доступе полный пакет для атак на банки Pegasus. Вероятно вы захотите узнать, а не попали ли и вы под раздачу и не сидит ли в вашей сети вредоносный код. С одной стороны у вас есть куча логов и событий безопасности от различных средств защиты, а с другой, возможно, вы получаете информацию об угрозах в рамках подписки на какой-либо платный или бесплатный сервис Threat Intelligence (например, от BI.ZONE, ГосСОПКИ или ФинЦЕРТ). С одной стороны у вас куча данных для анализа, но вы не знаете, есть ли в них следы того, что вы ищете. С другой стороны, вы имеете информацию о следах (то есть индикаторы компрометации), но не знаете насколько они применимы именно к вам. Вам нужно объединить эти два набора данных, осуществив то, что обычно называют Threat Hunting'ом или поиском следов атак в вашей инфраструктуре. Давайте посмотрим, как можно автоматизировать данную задачу с помощью недавно выпущенного бесплатного решения Cisco Visibility.

В широком кругу людей, далеких от современных технологий, принято считать, что ИТ- и уже тем более ИБ-специалисты — это параноики, которые под влиянием профдеформации перестраховываются и защищают себя десятками различных средств защиты, зачастую перекрывающих друг друга для большей надежности. Увы, реальность немного иная и сегодня мне хотелось бы показать то, что обычно скрыто от широкого взгляда. Речь пойдет о результатах мониторинга Интернет-активности посетителей различных крупных международных и национальных мероприятий, посвященных современных информационным технологиям и информационной безопасности. Компания Cisco часто является технологическим партнером таких конференций и выставок как RSA в Сан-Франциско, BlackHat в Сингапуре, Mobile World Congress в Барселоне, а таже является организатором собственного мероприятия, в разных странах именуемого то Cisco Live, то Cisco Connect. И везде мы используем наши технологии мониторинга которых я и хотел бы поделиться.

Введение

Аналитическое подразделение Cisco Talos, совместно с технологическими партнерами, выявило дополнительные подробности, связанные с вредоносным ПО «VPNFilter». С момента первой публикации по данной тематике мы обнаружили, что вредоносное ПО VPNFilter нацелено на большее количество моделей устройств и расширили список компаний, продукция которых может быть инфицирована. Кроме того, мы установили, что вредоносное ПО обладает дополнительными функциями, включая возможность реализации атак на пользовательские оконечные устройства. В недавней публикации в блоге Talos рассматривалась крупномасштабная кампания по распространению VPNFilter на сетевые устройства для дома или малого офиса, а также на ряд сетевых систем хранения данных. В той же публикации упоминалось, что исследование угрозы продолжается. После выпуска первой публикации несколько отраслевых партнеров предоставили нам дополнительные сведения, которые помогли нам продвинуться в расследовании. В рамках данной публикации мы представляем результаты этого расследования, полученные в течение последней недели.

Сегодня ИТ является неотъемлемым инструментом работы сотрудников практически любой компании. Подключение к корпоративным ресурсам и использование средств коммуникации необходимы для непрерывности бизнеса.

Офисные работники в теплое время зачастую используют офисный двор для переговоров, уединенной работы, общения, радуясь тишине и свежему воздуху.

Водители, прибывающие на склады уже на парковке хотели бы заходить в сеть и получать дальнейшие инструкции.

Опыт от посещения торгового центра начинается у клиентов уже на парковке, расположенной на улице.

Работники больших промышленных компаний, использующих множество зданий за ограждением хотели бы оставаться в сети при многочисленных перемещениях из здания в здание.

Встает вопрос организации уличного Wi-Fi, который позволит оптимизировать доступ в корпоративную сеть в непосредственной близости к офису.

Как организовать уличный Wi-Fi в РФ?

Недавно Cisco узнала о некоторых хакерских группировках, которые выбрали своими мишенями коммутаторы Cisco, используя при этом проблему неправильного использования протокола в Cisco Smart Install Client. Несколько инцидентов в разных странах, в том числе некоторые из которых касаются критической инфраструктуры, оказались связаны с неправильным использованием протокола Smart Install. Некоторые эксперты считают, что ряд этих атак связан с хакерами, стоящими на службе государства. В результате мы занимаем активную позицию и призываем клиентов, снова, к оценке рисков и применению доступных методов нейтрализации рисков.

Как это не парадоксально, но я до сих пор регулярно слышу в качестве совета по борьбе с вредоносным ПО рекомендацию по использованию современного антивируса и его регулярному обновлению. Такое впечатление, что последние истории с WannaCry и Petya/Nyetya произошли в каком-то своем мире, отличном от того, в котором живут те, кто до сих пор считает, что антивирус — это все, что нужно для борьбы с вредоносным ПО. Даже хороший антивирус. Даже с эвристическими механизмами. Даже если они включены и при этом не тормозит ПК. Даже если эти механизмы еще и работают, а не просто являются маркетинговой заманухой. Пора уже для себя сформулировать простой вывод — борьба с современным вредоносным ПО требует целостной стратегии и сбалансированного применения различных технологий, направленных на обнаружение и предотвращение использования вредоносным кодом различных способов проникновения и заражения. И чтобы не ограничиваться банальными фразами, давайте попробуем сформулировать, что должна включать целостная стратегия борьбы с вредоносным ПО.

С точки зрения обеспечения кибербезопасности перед нами обычно стоит всего три основные задачи, которые, конечно, потом разбиваются на более мелкие подзадачи и проекты, но, немного утрируя, по-крупному, задач всего три:

• предотвращение угроз
• обнаружение угроз
• реагирование на угрозы.

Какие бы решения мы не рассматривали они укладываются в эти три задачи, которые мы должны реализовывать в любом месте корпоративной сети. Вот этот жизненный цикл борьбы с угрозами (ДО — ВО ВРЕМЯ — ПОСЛЕ) и положен в основу деятельности службы ИБ компании Cisco. Причем обращу внимание, что так как в компании Cisco отсутствует понятие периметра, то мы стараемся реализовать описанные выше три задачи везде — в ЦОДах, в облаках, в сегменте Wi-Fi, на мобильных устройствах сотрудников, в точках выхода в Интернет и, конечно же, в нашей внутренней сети, о мониторинге которой мы сегодня и поговорим.

В данной статье рассматривается работа группы исследователей компании Cisco, доказывающая применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии, а также описание решения Encrypted Traffic Analytics, реализующая принципы, заложенные в данном исследовании.

Когда речь заходит об open source проектах, развиваемых компанией Cisco в области кибербезопасности, то большинство специалистов вспоминает только популярный Snort, возможно еще ClamAV, да описанный на страницах Хабра инструмент OpenSOC. На самом деле Cisco, являясь достаточно открытой компаний (у нас куча API для работы с нашими решениями по ИБ), очень активно работает в сообществе open source и предлагает пользователям несколько десятков проектов, из которых немалое количество посвящено кибербезопасности. В этой заметке мне бы хотелось собрать воедино все open source проекты компании Cisco, которые имеют отношение именно к этой теме.

Проблема использования корпоративных ИТ-ресурсов для майнинга криптовалют проявляется все чаще (недавно их упоминала Транснефть). А на днях ФСБ нагрянула в аэропорт Внуково и задержала администратора, который на вычислительных мощностях авиационной гавани майнил криптовалюту. Сразу отвечу на часто звучащий вопрос: “А причем тут ФСБ?” Все очень просто. Внуково — это не только аэропорт для обычных пассажиров; из Внуково-2 летает Президент России и члены Правительства, что делает эту воздушную гавань критически важным объектом для национальной безопасности. И когда в ней происходят по непонятной причине скачки напряжения, которые могут повлечь за собой отключение отдельных систем управления воздушным транспортом, то за дело берется именно ФСБ. Но вернемся к майнингу. В последнее время мы получили несколько запросов от заказчиков с просьбой объяснить, как можно обнаружить факт использования майнеров в корпоративной или ведомственной сети? Учитывая растущее число таких вопросов, мы и решили написать эту заметку.

Производитель решений корпоративного класса Cisco вывел на рынок РФ точки доступа Wi-Fi в сегменте малого и среднего бизнеса – Cisco Aironet серии 1815.

Эти современные точки доступа корпоративного класса в сегменте эконом предлагают интересный компромис функционала и цены, который будет оценет теми, кто:

• не имеет высоких задач по производительности, однако требуется надежность работы сети;
• находится на стадии роста – т.е. сейчас надо бюджетно, но с развитием бизнеса надо иметь возможность экономично перевести сеть на новый виток надежности и масштабируемости;
• хочет безопасно подключать к сети удаленных телеработников или микрофилиалы;
• подключает помещения с небольшим количеством клиентов — гостиничные комнаты, склады, коттеджи и т.д..

Mobility Express

Это функционал разбирался в статье «Mobility Express — новый подход» и представляет собой функционал беспроводного контроллера, запущеннный на аппаратной платформе одной из точек доступа в кластере.

С момента написания упомянутой статьи функционал Mobility Express серьезно эволюционировал и сегодня предлагает:

В статье анализируются типовые трудности, стоящие сегодня перед корпоративной службой IT, и предлагается современный подход к их решению на базе сетевой фабрики Cisco Software-Defined Access (SD-Access).

Рассматриваются ключевые компоненты и технологии, лежащие в основе Cisco SD-Access, а также принципы их работы.

На примере конкретных типовых сценариев подробно анализируются преимущества, предлагаемые IT и бизнесу фабрикой SD-Access.

Никогда не писала блоги или статьи, и никогда даже дневник не вела (даже в 14 лет :D), но раз ты сотрудник Cisco, ты начинаешь делать вещи, к которым совсем не привык (тот самый девиз: get out of your comfort zone здесь очень подходит).

И вот вспомнился мне прошлый год, который мы провели в Праге с самой лучшей командой, в которой мне когда-либо довелось поработать. А команда у нас собралась что надо: молодые специалисты в возрасте 22-31 год из 15 стран мира: от Швейцарии и Саудовской Аравии до Южной Африки. На фото мы нашей командой с нереально крутым Майклом Харабидиеном, если когда-то довелось смотреть тренинги Cisco по маршрутизации, то, наверняка, его имя знакомо!