Cisco Network Security - Ochrona Sieci

1.  Kapersky utrzymuje interaktywną mapę Cyberthreat Real-Time Map, która pokazuje bieżące ataki na sieci. Dane o atakach są przesyłane z produktów zabezpieczających sieć Kapersky, które są wdrażane na całym świecie. LINK DO MAPY!

2. Bezpieczeństwo sieci jest bezpośrednio związane z ciągłością działania organizacji. Naruszenia bezpieczeństwa sieci mogą zakłócić handel elektroniczny, powodować utratę danych biznesowych, zagrażać prywatności osób i naruszać integralność informacji. Takie naruszenia mogą skutkować utratą przychodów dla korporacji, kradzieżą własności intelektualnej, pozwami, a nawet zagrażać bezpieczeństwu publicznemu.

Utrzymanie bezpiecznej sieci zapewnia bezpieczeństwo użytkowników sieci i chroni interesy komercyjne. Utrzymanie sieci w stanie bezpiecznym wymaga czujności ze strony profesjonalistów ds. bezpieczeństwa sieci w organizacji. Muszą oni stale być świadomi nowych i ewoluujących zagrożeń i ataków na sieci oraz podatności urządzeń i aplikacji.

3. Narzędzia od Cisco służące do wdrożenia techniki łagodzenia zagrożeń:
  • Cisco Talos Intelligence Group - dostarcza kompleksowe informacje o bezpieczeństwie i zagrożeniach, aby bronić klientów i chronić ich aktywa
  • Cisco Security Advisories - na bieżąco wyświetla te podatności i dostarcza administratorom sieci informacji pomocnych w ich łagodzeniu.
4. Ścieżka ataku to droga, którą sprawca zagrożenia może uzyskać dostęp do serwera, hosta lub sieci. Wektory ataku mogą pochodzić zarówno z wnętrza, jak i z zewnątrz sieci korporacyjnej. Na przykład, sprawcy zagrożeń mogą atakować sieć przez internet, aby zakłócić jej działanie i przeprowadzić atak typu DoS (Denial of Service). Atak DoS ma miejsce, gdy urządzenie sieciowe lub aplikacja zostaje unieruchomiona i nie jest już w stanie obsługiwać żądań od prawidłowych użytkowników.

Użytkownik wewnętrzny, taki jak pracownik, może przypadkowo lub celowo:
  • Ukraść i skopiować poufne dane na przenośne nośniki, e-mail, oprogramowanie do przesyłania wiadomości i inne media.
  • Naruszyć bezpieczeństwo wewnętrznych serwerów lub urządzeń infrastruktury sieciowej.
  • Odłączyć kluczowe połączenie sieciowe, powodując awarię sieci.
  • Podłączyć zainfekowany pendrive do korporacyjnego systemu komputerowego.
  • Wewnętrzne zagrożenia mają potencjał do spowodowania większych szkód niż zagrożenia zewnętrzne, ponieważ wewnętrzni użytkownicy mają bezpośredni dostęp do budynku i jego urządzeń infrastruktury. Pracownicy mogą również posiadać wiedzę na temat sieci korporacyjnej, jej zasobów i poufnych danych.
5. Utrata danych, czyli ekstrakcja danych, ma miejsce, gdy dane są celowo lub nieumyślnie tracone, kradzione lub wyciekają do świata zewnętrznego. Utrata danych może skutkować:
  • Uszkodzeniem marki i utratą reputacji
  • Utratą przewagi konkurencyjnej
  • Utratą klientów
  • Utratą przychodów
  • Postępowaniem sądowym/działaniami prawnymi, które skutkują grzywnami i karami cywilnymi
  • Znaczącymi kosztami i wysiłkiem związanym z powiadamianiem zainteresowanych stron i naprawą skutków naruszenia
6. Wektory utraty danych to np.
  • e-mail/portale społecznościowe (przechwycone wiadomości)
  • nieszyfrowane urządzenia
  • słabe zabezpieczenia danych przechowywanych w chmurze
  • nośniki wymienne (nieautoryzowany transfer danych)
  • dokładne usuwanie danych, gdy nie są one potrzebne
  • skradzione hasła
7. Elementy zabezpieczonej sieci kampusowej odpornej na ataki z zewnątrz:
  • Cisco ISR jest zabezpieczony. Chroni dane w ruchu, które płyną z sieci CAN do świata zewnętrznego, tworząc Wirtualne Sieci Prywatne (VPN). VPN zapewniają poufność i integralność danych od uwierzytelnionych źródeł.
  • Zapora sieciowa Cisco Adaptive Security Appliance (ASA) wykonuje filtrowanie pakietów z zachowaniem stanu, aby filtrować ruch zwrotny z sieci zewnętrznej do sieci kampusowej.
  • Urządzenie Cisco Intrusion Prevention System (IPS) nieustannie monitoruje przychodzący i wychodzący ruch sieciowy pod kątem działalności złośliwej. Rejestruje informacje o aktywności i próbuje ją zablokować i zgłosić.
  • Przełączniki warstwy 3 są zabezpieczone i zapewniają bezpieczne, redundantne połączenia bagażnikowe do przełączników warstwy 2. Można zaimplementować kilka różnych funkcji bezpieczeństwa, takich jak listy kontroli dostępu (ACL), podsłuchiwanie DHCP, Dynamiczna Inspekcja ARP (DAI) i strażnik źródła IP.
  • Przełączniki warstwy 2 są zabezpieczone i łączą porty użytkowników z siecią. Można zaimplementować kilka różnych funkcji bezpieczeństwa, takich jak zabezpieczenia portów, podsłuchiwanie DHCP i uwierzytelnianie użytkowników 802.1X.
  • Cisco Email Security Appliance (ESA) i Web Security Appliance (WSA) zapewniają zaawansowaną obronę przed zagrożeniami, widoczność i kontrolę aplikacji, raportowanie i bezpieczną mobilność w celu zabezpieczenia i kontroli ruchu e-mailowego i internetowego.
  • Serwer AAA uwierzytelnia użytkowników, autoryzuje to, co mają prawo robić, i śledzi, co robią.
  • Punkty końcowe są zabezpieczone za pomocą różnych funkcji, w tym oprogramowania antywirusowego i antymalware, funkcji systemu ochrony przed intruzjami na hostach i funkcji uwierzytelniania 802.1X.
8. Sieci domowe i biura domowe (SOHO) są zazwyczaj chronione za pomocą routera konsumenckiego. Te routery zapewniają podstawowe funkcje bezpieczeństwa, które adekwatnie chronią wewnętrzne zasoby przed atakującymi z zewnątrz. W takiej przykładowej sieci znajdują się następujące urządzenia:
  • Bezprzewodowy router konsumencki zapewnia zintegrowane funkcje zapory ogniowej i bezpieczne połączenia bezprzewodowe.
  • Przełącznik warstwy 2 jest przełącznikiem warstwy dostępu, który jest zabezpieczony za pomocą różnych środków bezpieczeństwa. Łączy on porty skierowane do użytkownika, które korzystają z zabezpieczeń portów, z siecią SOHO. Bezprzewodowe hosty łączą się z siecią bezprzewodową za pomocą technologii szyfrowania danych WPA2. Hosty zazwyczaj mają zainstalowane oprogramowanie antywirusowe i antymalware.
9. Sieci o zasięgu rozległym (WAN), jak pokazano na rysunku, obejmują szeroki obszar geograficzny, często poprzez publiczny internet. Organizacje muszą zapewnić bezpieczny transport dla danych w ruchu, gdy przemieszczają się one między lokalizacjami przez sieć publiczną.

Na rysunku główna strona jest chroniona przez ASA, który zapewnia funkcje zapory ogniowej z zachowaniem stanu i tworzy bezpieczne tunele VPN do różnych miejsc.

Rysunek pokazuje oddział, regionalną siedzibę, stronę SOHO i pracownika mobilnego. Oddział łączy się z główną stroną korporacyjną za pomocą utwardzonego ISR. ISR może nawiązać stałe, zawsze aktywne połączenie VPN z zapora ogniową ASA głównej strony. Regionalna strona jest większa niż oddział i łączy się z główną stroną korporacyjną za pomocą ASA. ASA może nawiązać stałe, zawsze aktywne połączenie VPN z ASA głównej strony. Strona SOHO to mały oddział, który łączy się z główną stroną korporacyjną za pomocą bezprzewodowego routera Cisco. Bezprzewodowy router może nawiązać stałe, zawsze aktywne połączenie VPN z ASA głównej strony. Alternatywnie, wewnętrzni użytkownicy SOHO mogą korzystać z klienta VPN Cisco AnyConnect, aby nawiązać bezpieczne połączenie VPN z ASA głównej strony. Pracownik zdalny, który może korzystać z klienta VPN Cisco AnyConnect, aby nawiązać bezpieczne połączenie VPN z ASA głównej strony z dowolnej lokalizacji.


10. Sieci centrów danych, zlokalizowane zazwyczaj poza terenem głównym, przechowują duże ilości wrażliwych danych i są połączone z lokalizacjami korporacyjnymi za pomocą technologii VPN. Ze względu na kluczowe znaczenie tych danych, centra te wymagają zarówno zabezpieczeń fizycznych, jak i cyfrowych. Bezpieczeństwo fizyczne obejmuje ochronę dostępu do obiektu, ludzi i sprzętu, a także systemy przeciwpożarowe, redundantne systemy HVAC i UPS. Zabezpieczenia te można podzielić na zewnętrzne i wewnętrzne, obejmujące różne środki, takie jak monitoring wideo, detektory ruchu czy czujniki biometryczne.

11. Chmura odgrywa coraz większą rolę w sieciach przedsiębiorstw. Cloud computing pozwala organizacjom korzystać z usług, takich jak przechowywanie danych czy aplikacje oparte na chmurze, aby rozszerzyć swoje możliwości bez dodawania infrastruktury. Ze swej natury chmura znajduje się poza tradycyjnym obwodem sieci, co pozwala organizacji posiadać centrum danych, które może, ale nie musi, znajdować się za tradycyjną zaporą ogniową.

12. Sieć chmurowa składa się z fizycznych i wirtualnych serwerów, które zazwyczaj są umieszczone w centrach danych. Jednak centra danych coraz częściej korzystają z maszyn wirtualnych (VM) do świadczenia usług serwerowych dla swoich klientów. Wirtualizacja serwerów wykorzystuje nieużywane zasoby obliczeniowe i redukuje liczbę wymaganych serwerów. Pozwala to również na istnienie wielu systemów operacyjnych na jednej platformie sprzętowej. Jednak VM są również narażone na specyficzne, ukierunkowane ataki, takie jak:
  • Hyperjacking - Atakujący może przejąć kontrolę nad hipernadzorcą VM (oprogramowanie kontrolujące VM) i następnie użyć go jako punktu wyjścia do ataku na inne urządzenia w sieci centrum danych. 
  • Instant On Activation - Gdy VM, który nie był używany przez pewien czas, jest uruchamiany, może mieć nieaktualne polityki bezpieczeństwa, które odbiegają od podstawowego bezpieczeństwa i mogą wprowadzać luki bezpieczeństwa. 
  • Antivirus Storms - Dzieje się tak, gdy wszystkie VM próbują jednocześnie pobrać pliki danych antywirusowych.
13.  Cisco opracowało rozwiązanie Secure Data Center, aby działać w tym nieprzewidywalnym krajobrazie zagrożeń. Rozwiązanie Cisco Secure Data Center blokuje zagrożenia wewnętrzne i zewnętrzne na krawędzi centrum danych.

Główne komponenty rozwiązania Cisco Secure Data Center zapewniają następujące usługi:
  • Bezpieczna segmentacja - Urządzenia ASA i Wirtualna Brama Bezpieczeństwa zintegrowane z przełącznikami serii Cisco Nexus są wdrażane w sieci centrum danych, aby zapewnić bezpieczną segmentację. Zapewnia to szczegółowe zabezpieczenia między maszynami wirtualnymi. 
  • Obrona przed zagrożeniami - Urządzenia ASA i IPS w sieciach centrum danych wykorzystują inteligencję zagrożeń, pasywne identyfikowanie systemów operacyjnych oraz analizę reputacji i kontekstu, aby zapewnić obronę przed zagrożeniami. 
  • Widoczność - Rozwiązania zwiększające widoczność są dostarczane za pomocą oprogramowania, takiego jak Cisco Security Manager, które pomaga upraszczać operacje i raportowanie zgodności.
14. MDM to system zarządzania urządzeniami mobilnymi (takimi jak smartfony, czy tablety i laptopy), ale także komputery stacjonarne. Funkcje systemów MDM to m.in.:
  • szyfrowanie danych
  • egzekwowanie posiadania PINu do urządzenia
  • możliwość zdalnego wyczyszczenia lub częściowego wyczyszczenia danych
  • uniemożliwienie wykonywania niektórych czynności przez użytkownika (np. przejście do niektórych ustawień)
  • uniemożliwienie rootwania (ograniczenie dostępu urządzenia