Как стать автором
Обновить

Компания Cisco временно не ведёт блог на Хабре

Сначала показывать

Рекомендации по защите от вирусов-вымогателей

Время на прочтение 7 мин
Количество просмотров 3.7K

Вирусы-вымогатели причиняют огромный вред. Как от них защититься?

Вирусы-вымогатели перестали быть проблемой только специалистов по кибербезопасности. Теперь они повсюду: о них говорят в вечерних новостях и на саммите «Большой семерки». Они приобрели массовый характер и стали общей проблемой, поскольку хакеры все чаще атакуют системы важнейших операторов инфраструктуры, которые не могут позволить себе сбои или нарушение работы из-за кибератак, ― от поставщиков продуктов питания и транспортных компаний до энергетики и систем здравоохранения.

Большинство людей слышали о вирусах-вымогателях (если вы не знаете, что это такое, посмотрите здесь). Но как именно они работают? Почему приносят такой вред? И как организации могут защититься от них? Правительство США недавно заявило о том, что направит больше усилий на противодействие вирусам-вымогателям и другим кибератакам, но также подчеркнуло значимость содействия со стороны частного сектора. В то же время частный сектор требует от правительства более решительных мер по борьбе с этой угрозой, приобретающей все большие масштабы.

Вирусы-вымогатели стали общей проблемой, затрагивающей всех: от правительства и корпораций до отдельных пользователей. Благодаря пандемии хакеры получили новые «козыри», ведь теперь сотрудники получают доступ к ресурсам компании с массы устройств и сетей, которые не контролируются ИТ-отделом. Как только операторам вирусов-вымогателей удастся попасть в вашу сеть и зашифровать данные и файлы, они начнут требовать значительные суммы за их восстановление.

Читать далее
Всего голосов 1: ↑0 и ↓1 -1
Комментарии 2

Безопасность в Интернете в условиях гибридной среды

Время на прочтение 3 мин
Количество просмотров 1.7K

Публикация блога Лотара Реннера (Lothar Renner blog post) в рамках Европейского месяца кибербезопасности 2021 г.

ИТ-специалисты компаний по всему миру сотворили настоящее чудо, обеспечив переход сотрудников на удаленную работу во время пандемии. Пандемия перевернула наши представления о жизни и работе и при этом (ненароком) помогла понять, насколько эффективным может быть гибкий подход к организации труда.

По мере перехода к гибридной модели многие организации сокращают офисные площади и внедряют более гибкие политики и правила. Такой подход может обеспечить некоторые краткосрочные преимущества, связанные с экономией затрат, однако влечет за собой определенные проблемы, в том числе с обеспечением безопасности бизнеса в долгосрочной перспективе.

В процессе построения новой гибридной модели работы жизненно важно создать эффективную систему безопасности. В рамках Европейского месяца кибербезопасности 2021 мы рассмотрим несколько способов организации защиты с учетом новой рабочей среды и ландшафта угроз.

Рабочая среда: от удаленной к гибридной

За 2020 г. число удаленных сотрудников быстро возросло с 25 000 до около 140 000 в 96 странах: потрясающий пример того, насколько широкомасштабным оказался переход на работу из дома.

Несомненно, наличие гибкой и адаптивной внутренней сети сыграло свою роль. Как и то, что большая часть наших предложений сосредоточена на решениях по организации подключений, сети, кибербезопасности и совместной работы для бизнеса.

Однако уникальным фактором в рамках этого кризиса стала скорость масштабирования, так как целью был перевод всех сотрудников и партнеров на удаленную работу с гарантией непрерывности бизнес-процессов. Чтобы добиться этого, (и мы не стесняемся об этом говорить) нам потребовалась поддержка со стороны наших партнеров и коллег.

Читать далее
Рейтинг 0
Комментарии 0

Как мы мониторили киберполигон Positive Technologies Standoff

Время на прочтение 8 мин
Количество просмотров 2.3K
“Каждый год мы с друзьями ходим в баню…». Каждый год, когда наши большие друзья, компания Positive Technologies проводит свое глобальное мероприятие для настоявших экспертов в области информационной безопасности – PHDays. И каждый год мой друг и коллега Алексей Лукацкий говорит мне – «Миша, давай что-нибудь технологическое сделаем!». А потом выясняется, что заваленный рутиной, я опять все пропустил. Но этот год, как мы все уже заметили, глубоко особенный. И вместо PHDays было проведено очень эффективное и масштабное мероприятие под названием Standoff. В этот раз я решил послушать Алексея Викторовича и успеть что-то сделать! Тем более, что мероприятие существенно превосходило все, что когда-либо делалось ранее. Посмотреть детали этого впечатляющего киберполигона можно вот тут.

Вкратце скажу, что он эмулировал собой полноценный, и весьма немаленький город, в котором было практически все – начиная от аэропорта, и заканчивая финансовыми организациями и парком аттракционов! Это давало злоумышленникам возможность проявить свои навыки взлома, а защитникам – свои навыки обнаружения и отражения угроз.

Итак, возник вопрос, как же нам «понаблюдать» за этой битвой, с точки зрения информационной безопасности? Собственно, эта статья именно о подробностях построении такого процесса наблюдения и полученных нами результатах.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 4

Отпилит ли Cisco SD-WAN сук, на котором сидит DMVPN?

Время на прочтение 20 мин
Количество просмотров 12K
С августа 2017 года, когда компания Cisco приобрела компанию Viptela, основной предлагаемой технологией организации распределенных корпоративных сетей стала Cisco SD-WAN. За прошедшие 3 года SD-WAN технология прошла множество изменений, как качественного, так и количественного характера. Так значительно расширились функциональные возможности и появилась поддержка на классических маршрутизаторах серий Cisco ISR 1000, ISR 4000, ASR 1000 и виртуального CSR 1000v. В то же время многие заказчики и партнеры Cisco продолжают задаваться вопросом – в чем заключаются отличия Cisco SD-WAN от уже привычных подходов на базе таких технологий, как Cisco DMVPN и Cisco Performance Routing и насколько эти отличия важны?

Здесь сразу следует сделать оговорку, что до появления SD-WAN в портфолио Cisco, DMVPN совместно с PfR составляли ключевую часть в архитектуре Cisco IWAN (Intelligent WAN), которая в свою очередь представляла собой предшественника полновесной SD-WAN технологии. При общем сходстве, как самих решаемых задач, так и способов их решения, IWAN так и не получил необходимого для SD-WAN уровня автоматизации, гибкости и масштабируемости и со временем развитие IWAN значительно снизилось. В то же время сами технологии-составляющие IWAN никуда не делись, и многие заказчики продолжают их успешно использовать в том числе на современном оборудовании. В итоге сложилась интересная ситуация – одно и то же оборудование Cisco позволяет выбрать наиболее подходящую технологию построения WAN (классическую, DMVPN+PfR или SD-WAN) в соответствии с требованиями и ожиданиями заказчиков.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 6

Есть контроллер – нет проблем: как с легкостью поддерживать работу беспроводной сети

Время на прочтение 10 мин
Количество просмотров 6K
В 2019 году консалтинговая компания Miercom провела независимую технологическую оценку Wi-Fi 6 контроллеров Cisco Catalyst серии 9800. Для данного исследования был собран тестовый стенд из контроллеров и точек доступа Wi-Fi 6 от Cisco, и была проведена оценка технического решения в следующих категориях:

  • Доступность;
  • Безопасность;
  • Автоматизация.

Результаты исследования приведены ниже. С 2019 года функционал контроллеров Cisco Catalyst серии 9800 был существенно улучшен – эти моменты также нашли отражение в данной статье.
Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 4

Свежие фишечки Cisco Wi-Fi 6

Время на прочтение 8 мин
Количество просмотров 8.1K

Уже год как мы слушаем о преимуществах революционного с технологической точки зрения стандарта Wi-Fi 6. Российская нормативная база под этот стандарт проходит стадии согласования и через несколько месяцев вступит в законную силу, создав условия для проведения сертификации средств связи.

Я сфокусируюсь на том, что помимо стандарта предлагает ведущий вендор в области корпоративных беспроводных сетей, компания, в которой я тружусь уже почти 12 лет — Cisco. Именно то, что вне рамок стандарта, заслуживает пристального внимания, именно здесь проявляются интересные возможности.

Будущее Wi-Fi 6 уже сейчас видится многообещающим:

  • Wi-Fi – самая популярная технология беспроводного доступа по количеству используемых устройств. Относительно недорогой чипсет позволяет встраивать его в миллионы недорогих устройств IoT, что способствует еще большему его распространению. На текущий момент уже десятки различных оконечных устройств поддерживают Wi-Fi 6.
  • новость о развитии Wi-Fi 6 в диапазон 6 ГГц является воистину беспрецедентной. FCC выделяет дополнительные 1200 МГц для безлицензионного использования, что существенно расширит возможности Wi-Fi 6, а также последующих технологий, например уже обсуждаемому Wi-Fi 7. Возможности гарантировать производительность приложений, помноженная на доступность широкого спектра поистине открывает огромные перспективы. В каждой стране есть свое регулирование и в РФ пока никаких новостей по поводу освобождения 6 ГГц не слышно, однако будем надеяться, что глобальное движение не пройдет незамеченным и для нас.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 9

Интеграция решений по мониторингу Netflow и SIEM

Время на прочтение 24 мин
Количество просмотров 9.1K
SIEM давно превратились в стандарт де-факто при анализе событий безопасности и выявлении инцидентов (хотя сейчас отмечается некоторое движение в сторону отказа от SIEM и замены их решениями по управлению журналами регистрации с надстройкой из технологий машинного обучения), но эффективность этого решения сильно зависит от того, с какими источниками данных оно работает. Все-таки обычно специалисты SIEM преимущественно работают с журналами регистрации, оставляя в стороне такой важный источник информации, как Netflow, который позволяет увидеть то, что часто не попадает в логи или попадает, но слишком поздно. При этом возникает ряд вопросов. Зачем современному SIEM-решению нужна поддержка Netflow? Что SIEM может получить от анализа Netflow? Какой вариант интеграции SIEM с Netflow предпочесть, если есть производители, которые встраивают поддержку Netflow в свои решения напрямую, а есть те, кто предпочитает работать с различными коллекторами Netflow. В чем особенности работы SIEM с Netflow? Об этом мы и поговорим.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 16

Зачем Искусственный Интеллект при внедрении Wi-Fi 6?

Время на прочтение 5 мин
Количество просмотров 2.8K
Планируя переход к Wi-Fi 6 важно начать с тех зон, где возможности Wi-Fi 6 существенно улучшат производительность сети и качество подключения пользователя. В этом нам поможет Искусственный Интеллект/ Машинное Обучение (ИИ/МО), внедренные в Cisco DNA Center – центр управления сетью. ПО ИИ/МО наблюдает за конфигурациями, собирает телеметрию и позволяет делать интересные измерения по пользователям, устройствам и приложениям. Алгоритмы МО делают сложную корреляцию событий и позволяют оценить ситуацию с учетом контекста, помогая решить конкретные задачи.

Какие проблемы в существующей беспроводной сети поможет решить Wi-Fi 6?

  • Низкая производительность сети в перегруженных зонах
  • Низкая производительность мобильных устройств в восходящем канале (uplink)
  • Высокий уровень радиопомех
  • Перегруз сети трафиком IoT

Определить проблемные зоны в беспроводной сети нам поможет ИИ/МО в Cisco DNA Center.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

SOC на удаленке. О чем стоит подумать?

Время на прочтение 16 мин
Количество просмотров 6K
Один аналитик SOC, когда его решили перевести на работу из дома, задал сакраментальный вопрос: «Я живу в однушке со своей девушкой и ее кошкой, на которую (кошку, а не девушку) у меня аллергия. При этом у нас всего один стол, за которым мы едим, а во внетрапезное время, моя девушка на нем раскладывает чертежи, она модельер-конструктор одежды. И где мне прикажете разместить 3 монитора, которые мне разрешили временно забрать с работы?» Ну а поскольку это только один из множества вопросов, которые возникают при переводе работников SOC (Security Operations Center) на удаленку, я решил поделиться нашим опытом; особенно учитывая, что именно сейчас для одного из заказчиков мы как раз проектируем центр мониторинга кибербезопасности (SOC) с нуля и он решил на ходу переобуться и попросил учесть в проекте возможность работы его аналитиков и специалистов по расследованию инцидентов из дома.

image
Читать дальше →
Всего голосов 13: ↑6 и ↓7 -1
Комментарии 12

Реализация концепции высокозащищенного удаленного доступа

Время на прочтение 8 мин
Количество просмотров 13K

Продолжая серию статьей по теме организации Remote-Access VPN доступа не могу не поделиться интересным опытом развертывания высокозащищенной конфигурации VPN. Задачу нетривиальную подкинул один заказчик (есть выдумщики в Русских селениях), но Challenge Accepted и творчески реализован. В результате получился интересный концепт со следующими характеристиками:


  1. Несколько факторов защиты от подмены оконечного устройства (с жесткой привязкой к пользователю);
    • Оценка соответствия ПК пользователя назначенному UDID разрешенного ПК в базе аутентификации;
    • С MFA, использующей UDID ПК из сертификата для вторичной аутентификации через Cisco DUO (Можно прикрутить любую SAML/Radius совместимую);
  2. Многофакторной аутентификацией:
    • Сертификат пользователя с проверкой полей и вторичной аутентификации по одному из них;
    • Логин (неизменяемый, взятый из сертификата) и пароль;
  3. Оценкой состояния, подключающегося хоста (Posture)

Используемые компоненты решения:


  • Cisco ASA (Шлюз VPN);
  • Cisco ISE (Аутентификация / Авторизация / Аккаунтинг, Оценка Состояния, CA);
  • Cisco DUO (Многофакторная Аутентификация) (Можно прикрутить любую SAML/Radius совместимую);
  • Cisco AnyConnect (Многоцелевой агент для рабочих станций и мобильных ОС);
Всего голосов 9: ↑7 и ↓2 +5
Комментарии 11

Как Cisco уже 20 лет работает в режиме удаленного доступа и отсутствующего периметра?

Время на прочтение 13 мин
Количество просмотров 11K
Вот уже около 20 лет Cisco живет без привычного периметра, а ее сотрудники пользуются всеми преимуществами удаленной работы. Помню, когда я пришел в 2004-м году в Cisco, я получил на руки корпоративный ноутбук с установленным Cisco VPN Client и получил право работать из… да откуда угодно. За это время я работал из дома и гостиницы, из электрички и такси, из самолета на высоте 10000 метров и в метро. По сути у нас реализован принцип «работа там, где я», а не «я там, где работа». Как нам удалось это сделать? Как мы реализовали концепцию «доверенного предприятия», которая вот уже много лет помогает нам не замечать неприятных событий, заставляющих многих из нас безвылазно сидеть по домам (разумеется, есть ряд процессов, которые требуют физического присутствия, например, производство оборудования)?

image
Читать дальше →
Всего голосов 18: ↑15 и ↓3 +12
Комментарии 4

Как отреагировали мошенники Рунета на коронавирус

Время на прочтение 8 мин
Количество просмотров 7.1K
После заметки о том, какие формы принимают киберугрозы, связанные с коронавирусом, я решил посмотреть на то, как в российском Интернете отреагировали на пандемию и что происходит с киберугрозами у нас, а именно с фишинговыми и мошенническими сайтами.

image
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 12

Эксплуатация темы коронавируса в угрозах ИБ

Время на прочтение 11 мин
Количество просмотров 4.2K
Тема коронавируса сегодня заполонила все новостные ленты, а также стала основным лейтмотивом и для различных активностей злоумышленников, эксплуатирующих тему COVID-19 и все, что с ней связано. В данной заметке мне бы хотелось обратить внимание на некоторые примеры такой вредоносной активности, которая, безусловно, не является секретом для многих специалистов по ИБ, но сведение которой в одной заметке облегчит подготовку собственных мероприятий по повышению осведомленности сотрудников, часть из которых работает удаленно и еще более подвержена различным угрозам ИБ, чем раньше.

image
Читать дальше →
Всего голосов 14: ↑10 и ↓4 +6
Комментарии 0

Расследование кампании DNSpionage c помощью Cisco Threat Response, в том числе и при удаленной работе

Время на прочтение 5 мин
Количество просмотров 2.5K
Я уже не раз рассказывал о бесплатном решении Cisco Threat Response (CTR), которое позволяет существенно снизить время на расследование инцидентов, характеризующихся множеством разнотипных индикаторов компрометации — хэшей файлов, IP-адресов, имен доменов, адресов e-mail и т.п. Но прошлые заметки были посвящены либо примерам использования CTR с отдельными решениями Cisco, либо его интеграции с ГосСОПКОЙ и ФинЦЕРТом. Сегодня я хотел бы описать, как можно применить CTR для расследования отдельных хакерских кампаний, которые могут использовать множество векторов против множества различных целей внутри компании. В качестве примера возьмем уже упомянутую мной в одной из предыдущих статей кампанию DNSpionage.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 2

Оптимизация облачных сервисов в AnyConnect VPN туннеле на Cisco ASA

Время на прочтение 5 мин
Количество просмотров 5.2K

Многие компании переходят на использование облачных сервисов в своем бизнесе по всему миру, это и офисные приложения, сервисы BigData, чат/видео/аудио коммуникация с целью проведения митингов/обучения и многие другие. Однако ввиду массового перевода на удаленную работу сотрудников так или иначе требуется получать доступ к корпоративной сети (если конечно заказчик не полностью работает на облачной платформе), для того чтобы сделать доступ безопасным, как правило, используются сервисы типа Remote-Access VPN.
Классически такие сервисы могут либо полностью направлять весь трафик удаленного клиента в VPN туннель, либо выборочно направлять или исключать из туннеля трафик основываясь на IPv4/IPv6 подсетях.


Многие безопасники решат что наиболее оптимальным было бы использовать опцию полного туннелирования (tunnelall) трафика для полного контроля за всем трафиком пользователя в момент подключения к корпоративной сети и отсутствием возможности параллельного вывода данных через неконтролируемое интернет-соединение. Однако есть и другая чаша весов...


  • Как организовать файлообмен Box/Dropbox/SharePoint напрямую в облако со скоростью домашнего канала интернет, минуя медленный корпоративный VPN?
  • Как организовать соединение Webex/Skype напрямую с абонентом, не проводя его через HQ VPN-шлюз, создавая задержки связи и снижая качество связи?
  • Как заставить только определенные облачные сервисы работать вне VPN туннеля, чтобы пользователь их использовал напрямую через домашний интернет и контролировать остальные не доверенные службы централизованно?
  • Как эффективно снизить нагрузку на VPN-шлюз не проводя через него трафик доверенных облачных приложений?
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Комментарии 1

Кейсы для применения средств анализа сетевых аномалий: контроль удаленного доступа

Время на прочтение 5 мин
Количество просмотров 3.9K
Тема удаленного доступа сейчас на подъеме, но обычно при ее описанию речь идет либо о решениях, устанавливаемых на устройствах сотрудников (например, описанный вчера Cisco AnyConnect), либо о решениях, устанавливаемых на периметре. Такое впечатление, что именно эти два набора защитных средств позволяют полностью исключить угрозы со стороны удаленных пользователей, подключающихся к корпоративной или ведомственной инфраструктуре. В этой заметке я хотел бы рассмотреть применение средств класса NTA (Network Traffic Analysis) для мониторинга удаленного доступа.

image
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 7

Почему Cisco AnyConnect — это не просто VPN-клиент

Время на прочтение 8 мин
Количество просмотров 119K
На прошлой неделе вышла у меня дискуссия на тему удаленного доступа и различных VPN-клиентов, которые можно поставить на рабочее место сотрудника, отправляемого работать домой. Один коллега отстаивал «патриотическую» позицию, что надо использовать «абонентские пункты» к отечественным шифраторам. Другой настаивал на применении клиентов от зарубежных VPN-решений. Я же придерживался третьей позиции, которая заключается в том, что такое решение не должно быть придатком периметрового шифратора и даже не клиентской частью VPN-шлюза. Даже на производительном компьютере не совсем правильно ставить несколько защитных клиентов, которые будут решать разные задачи — VPN, идентификация/аутентификация, защищенный доступ, оценка соответствия и т.п. Идеально, когда все эти функции, а также иные, объединены в рамках единого клиента, что снижает нагрузку на систему, а также вероятность несовместимости между различным защитным ПО. Одним из таких клиентов является Cisco AnyConnect, о возможностях которого я бы и хотел вкратце рассказать.

image
Читать дальше →
Всего голосов 11: ↑7 и ↓4 +3
Комментарии 120

«Удаленка» с маршрутизатором Cisco

Время на прочтение 3 мин
Количество просмотров 14K
В связи с последними новостями о стремительном распространении вируса COVID – 19 многие компании закрывают свои офисы и переводят сотрудников на удаленную работу. Компания Cisco понимает необходимость и важность данного процесса и готова всесторонне поддержать наших заказчиков и партнеров.
Читать дальше →
Всего голосов 9: ↑6 и ↓3 +3
Комментарии 4

Развертывание ASA VPN Load-Balancing кластера

Время на прочтение 12 мин
Количество просмотров 15K

В данной статье я бы хотел привести пошаговую инструкцию того как можно быстро развернуть самую масштабируемую на текущий момент схему Remote-Access VPN доступа на базе AnyConnect и Cisco ASAVPN Load Balancing Cluster.


Введение: Многие компании во всем мире ввиду текущей обстановки с COVID-19 предпринимают усилия по переводу своих сотрудников на удаленный режим работы. Ввиду массовости перехода на удаленную работу, критическим образом возрастает нагрузка на имеющиеся VPN шлюзы компаний и требуется очень быстрая возможность их масштабирования. С другой стороны, многие компании вынуждены второпях осваивать с нуля такое понятие как удаленная работа.

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 24

Бесплатное предложение Cisco по организации защищенного удаленного доступа

Время на прочтение 3 мин
Количество просмотров 29K
Текущая ситуация с распространением коронавируса (COVID-19) вынуждает многих сотрудников по всему миру работать удаленно. Хотя это и необходимо, этот новый уровень гибкости рабочих мест создает внезапную нагрузку на ИТ-отделы и подразделения информационной безопасности, особенно в отношении возможностей существующих средств защиты в условиях резкого увеличения спроса.

Чтобы помочь нашим заказчикам, как текущим, так и потенциальным, организовать защищенную работу возросшего количества удаленных пользователей, мы предлагаем бесплатные пробные лицензии с увеличенным сроком действия новым заказчикам и возможность превышения количества пользователей свыше приобретенного ранее пакета без дополнительной платы текущим заказчикам, которые используют уже эти решения, по трем основным линейкам продуктов:
Читать дальше →
Всего голосов 18: ↑18 и ↓0 +18
Комментарии 14