1. Cisco Expo
2010
Павел Антонов, Инженер-консультант
paantono@cisco.com
Безопасность информационных
бизнес коммуникаций как услуга «из облака»

2. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 2Cisco Public
План доклада
 Почему SaaS?
 Почему Email и Web?
 Облачные услуги безопасности Cisco
IronPort Hosted Email Security
ScanSafe Web Security
 Примеры использования

3. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 3Cisco Public
Преимущества SaaS
Нулевые CapEx
Предсказуемые OpEx
Освобождение ресурсов
для бизнес задач
Минимальные сроки
внедрения
Простые и удобные
средства управления
Откройте новые возможности

4. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 4Cisco Public
"Облачная" система безопасности Cisco
 Multi-tenant архитектура для
обслуживания множества
заказчиков
 Распределенная масштабируемая
платформа с резервированием
 Постоянное наращивание
производительности и внедрение
новых ЦОД
 Глобальная система мониторинга
угроз
 Встроенная система управления и
формирования отчетов
 Глобальная платформа для
мобильных пользователей

5. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 5Cisco Public
IPS
Sensor
Cisco Security Intelligence Operations (SIO)
Глобальная система мониторинга угроз
Web
Sensor
Email Security
Solutions
Web Security
Solutions
Firewalls IPS Devices
Cisco Security
Intelligence Operations
IPS
Sensor
Email
Sensor
Web
Sensor
Firewall
Sensor
Web
Sensor
Firewall
Sensor
Email
Sensor
Email
Sensor
IPS
Sensor
Email
Sensor

6. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 6Cisco Public
Характеристики облака Cisco
Люди
Обрабатывает
HTTP-транзакций в день
3
Защищает
сотрудников клиентов
235 Получает
статистики в день
500
30%
мирового Email
трафика
Предоставляет оценок
IP-репутации в день
2.8
Более100
выделенных экспертов
Технологии
Передовые технологии
безопасности, Глобальная
система оценки угроз
Ресурсы
Тысячи устройств в десятках
ЦОД по всему миру
Млрд.
Млн.
Млрд.
Гбайт
Получает
статистику о

7. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public
Фокус на Email и Web

8. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 8Cisco Public
Почему Email и Web?
1. Сегодня это основные виды информационных
бизнес коммуникаций
2. Они же основные каналы распространения
угроз
3. Облачные по своей природе

9. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 9Cisco Public
Объемы
• Ежегодное двукратное
увеличение объемов спама
• Ежегодный рост численности
ботнетов
Сложность
• Комбинированные угрозы
• Использование социальных
технологий
Тенденции развития Email угроз
Рост объемов и сложности
“Изощренные”
технологии спама (1%-2%)

10. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 10Cisco Public
HTTP – это новый TCP?
IM
FTP
Web-трафик
10

11. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 11Cisco Public
Web страница – рецепт заражения
Как работает web сайт?
1. HTML код содержит список
ссылок на объекты
2. Получая этот список web-браузер
скачивает с указанных источников
все объекты, включая:
• Файлы с изображениями
• Скрипты
• Исполняемый код
• Другие web-страницы

12. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 12Cisco Public
Типичное поведение Вашего браузера
 Адресов в браузере: 1
 HTTP запросов: 162
 Изображений: 66 с 18
разных доменов
 Скриптов: 87 с 7 доменов
 Cookie: 118 с 15 доменов
 Flash объектов: 8 c 4
доменов

13. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 13Cisco Public
Уязвимая экосистема Web браузеров
 IE and Firefox vulnerable
“…hundreds of vulnerabilities in ActiveX controls installed by
software vendors have been discovered.”
 Media Players & Browser Helper Objects (BHO)
• RealPlayer, iTunes, Flash, Quicktime, Windows Media
• Explosion of BHOs and third-party plug-ins
• Plug-ins are installed (semi) transparently by website. Users
unaware an at-risk helper object or plug-in is installed …
introducing more avenues for hackers to exploit users visiting
malicious web sites.
SANS Top 20 Security Risks
http://www.sans.org/top20/#c1

14. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 14Cisco Public
Уязвимые Web серверы
“Web application vulnerabilities account for almost half
the total number of vulnerabilities being discovered in
the past year**. These vulnerabilities are being exploited
widely to convert trusted web sites into malicious servers
serving client-side exploits and phishing scams.”
SANS Top 20 Security Risks
http://www.sans.org/top20/#s1
** including open-source and custom-built applications

15. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 15Cisco Public
Пример: зараженная web-страница
Скрытая ссылка на скрипт в HTML коде

16. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public
IronPort
Hosted Email Security

17. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 17Cisco Public
Архитектура решения IronPort ESA
Anti Virus
Encryption
Inbound
Outbound
Anti Spam
Data Loss
Prevention

18. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 18Cisco Public
Сеть SenderBase – с чего начинался SIO
Глобальная система Email репутации
Global Volume
Data
Message
Composition
Data
Spam Traps
Complaint
Reports
IP Blacklists
& Whitelists
Domain
Blacklist &
Safelists
Compromised
Host Lists
Web Site
Composition
Data
Other Data
Оценка IP репутации
+100- 10

19. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 19Cisco Public
Многоуровневое детектирование
спама
Multi-layer Spam Defense
Движок анализа
содержимого
Репутационная
фильтрация
Кто? Как?
Что? Куда?
Score
Блокирует >90% всего
поступающего спама
Блокирует >99%
оставшегося спама
Менее 1 ложного срабатывания
на 1Млн. сообщений

20. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 20Cisco Public
Многоуровневая защита от
вредоносного кода
Multi-layer Virus Defense
Антивирусные движкиVirus Outbreak Filters
T = 0
-zip (exe) files
T = 5 mins
-zip (exe) files
-Size 50 to
55 KB
T = 15 mins
-zip (exe) files
-Size 50 to
55KB
-“Price” in the
filename
Преимущества Virus Outbreak Filters:
 Среднее время опережения* -13 часов
 Заблокированных эпидемий* -175
 Совокупное сохраненное время* - 94 дня

21. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 21Cisco Public
На объекте
заказчика
Единые политики | Централизованное управление | Единообразная защита
Форматы IronPort Email Security
Managed
Email
Security
Customer
Premise
Equipment
(CPE)
Hosted Email
Security
(SaaS)
Hybrid
Hosted Email
Security В облаке Cisco
Hybrid
Hosted Email
Security

22. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 22Cisco Public
Преимущества размещения
в облаке Cisco:
 Быстрое развертывание
 Снижение нагрузки по
обслуживанию
 Размещение, масштабирование,
отказоустойчивость – наши
заботы
2: Доставка
проверенной
почты
1
2
3. Опционально:
Фильтрация
исходящей почты
1: Очистка в облаке
от спама и вирусов
Hosted Email Security
ЦОД Cisco
Заказчик
3

23. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 23Cisco Public
Лучшее из обоих миров
 Очистка входящей почты – в
облаке Cisco
 Обработка исходящей почты, в
т.ч. и DLP – у заказчика
 Конфиденциальная
информация не покидает сети
заказчика
 Единый интерфейс
мониторинга
2. Доставка
проверенной
почты
1
2
3
Применение
политик DLP,
интеграция с AD
1: Очистка в облаке
от спама и вирусов
Hybrid Hosted Email Security
ЦОД Cisco
Заказчик

24. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 24Cisco Public
Отслеживание сообщений | Кейсы | ОтчетыЗаказчик
ОбслуживаниеОтчеты ЦОД Cisco
Разделяемый доступ
Co-Managed
Мы администрируем, Вы контролируете
Cisco
Мониторинг работоспособности | Обновления | Настройки
Объект
заказчика

25. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public
ScanSafe Web Security

26. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 26Cisco Public
Кто такой ScanSafe?
Профиль компании:
 Основана в 2004г.
 Пионер и мировой лидер в области
SaaS услуг Web безопасности
 Клиенты - от SMB до Large Enterprise в
более чем 100 странах
 100% Uptime за всю историю
предоставления услуги
 Является подразделением Cisco с
Декабря 2009г.
Customers
Security product
of the year 2008
Awards
Partners

27. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 27Cisco Public
Обзор решения

28. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 28Cisco Public
ЦОДы Cisco ScanSafe
Надежность
 15 ЦОДов
 100% доступность сервиса
за всю историю
 SLA по непрерывности и
эффективности работы
Масштабируемость
 Multitenant архитектура
 Обрабатывает ~3Млрд. web-
транзакций в день
 Постоянное масштабирование

29. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 29Cisco Public
Архитектура защиты от Web-угроз
 Статистика за 2009г.:
28М уникальных
JavaScript в день
560К уникальных
PDF в день
244 уникальных
ShockWave в день
 2 антивирусных
движка (Symantec+ЛК)
 False Positive False
Negative rate <
0,0004%
 Гарантированная
доступность – 99,999%

30. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 30Cisco Public
Фильтрация контента Web 2.0
 Традиционная URL-фильтрация
 Расширенная функциональность
– Протоколы HTTPS, FTP over HTTP
– DLP, «предупредить, но не блокировать» (AUP)
и анонимизация
 Динамическая классификация
неизвестных сайтов
– За 1/1000 секунды
– Эффективность детектирования сайтов для
взрослых, криминальных и т.п. = 99%
 Обработка поисковых запросов
SearchAhead
– Классификация и уведомление пользователя
© 2005 Cisco Systems, Inc. All rights reserved.

31. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 31Cisco Public
Как трафик попадает в облако
Опция 1 – при помощи имеющейся инфраструктуры заказчика
С изменениями настроек браузера:
 Настройки Proxy загружаются на компьютеры
из AD (GPO / PAC file) или по DHCP
 МСЭ блокирует исходящий HTTP трафик на
все адреса кроме ScanSafe
Без изменения настроек браузера:
 Имеющееся у заказчика устройство
перенаправляет трафик в облако помощи
функций Cascade Proxy или Port Foreward
Опционально – User/Group Granularity:
 В HTTP-запросы пользователей
добавляется защищенная (хеши)
информация об имени пользователя/группы
при помощи Login скриптов/GPO
 Прозрачно для пользователя
ScanSafe
Websecurity Service
DC

32. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 32Cisco Public
ПО ScanSafe Connector
 Устанавливается и настраивается один
раз, в дальнейшем не требует
администрирования и обновлений
 Перенаправляет Web трафик в облако
 Отвечает за взаимодействие с AD и
предоставляет в облако защищенную
информацию о пользователе/группе
 В будущем – функциональность
Connector интегрированная в
маршрутизаторы и МСЭ Cisco
ScanSafe
Websecurity Service
DC Connector
Как трафик попадает в облако
Опция 2 – при помощи Connector

33. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 33Cisco Public
Как трафик попадает в облако
Опция 3 – клиент Anywhere+ для мобильных пользователей
 Устанавливается как сетевой драйвер,
незаметен для пользователя
 Автоматически определяет
ближайший к пользователю ЦОД
 Перенаправляет Web трафик
пользователя в облако
 Обеспечивает User/Group Granularity
 Защищен от выключения
пользователем
Факт: Мобильные
пользователи только
17% времени в Интернет
проводят в корпоративном
VPN. Как контролировать
оставшиеся 83%?

34. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 34Cisco Public
Защита мобильных пользователей
Автоматический выбор: в облаке или на предприятии
News Email
Social Networking Enterprise SaaS
Cisco Web Security
Appliance
Обмен информацией
между ASA и WSA
Corporate AD
ASA
Сisco AnyConnect
ScanSafe Anywhere+
(В будущем
Cisco AnyConnect )
Оптимальный выбор между облаком
и предприятием в зависимости от
местоположения пользователя

35. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 35Cisco Public 3535
Клиентский портал ScanCenter
Настройка политик, отчеты, мониторинг
 Все настройки выполняются
на портале
 Более 5000 шаблонов
отчетов
 Возможность создания своих
шаблонов отчетов и политик
 75 анализируемых
параметров трафика
 Отчеты по расписанию
 Информация как по клиенту
так и глобальные тенденции

36. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 36Cisco Public
Условия
© 2005 Cisco Systems, Inc. All rights reserved.
 Полнофункциональный пробный доступ на 30 дней
 Небольшой одноразовый платеж за включение услуги
 Несколько $ за одно рабочее место в месяц (зависит
от общего числа рабочих мест в организации)

37. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 37Cisco Public
Как оператору запустить эту услугу?
Мы помогаем развивать этот сервис операторам:
– Полное отсутствие финансовых затрат на внедрение услуги
– Обучение продавцов, служб маркетинга и инженеров
– Маркетинговые акции, семинары, telesales
– Снабжение маркетинговыми материалами, калькуляторы ROI
© 2005 Cisco Systems, Inc. All rights reserved.

38. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 38Cisco Public
Как это выглядит для клиента

39. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public
Заключение

40. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 40Cisco Public
Надежность Децентрализация Унификация
Задача
 Web 2.0 стал
неотъемлемым
инструментом бизнеса ,
необходима передовая
защита
Результаты
 “Ряд механизмов
безопасности лучше
реализовывать в "облаке"
для повышения уровня
защищенности”
Задача
 Для поддержки офисов по
всему миру и мобильных
пользователей
требовались
существенные ресурсы
Результаты
 “Достоинством решения
является невиданная
ранее простота
развертывания"
Задача
 Требовалось обеспечить
развертывание политик и
обеспечение отчетности по
множеству объектов
Результаты
 "Контроль за ситуацией
восстановлен, изменения
политики
распространяются
практически мгновенно"
Истории успеха ScanSafe

41. © 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 41Cisco Public
Справочная информация
 “Облачная” безопасность Cisco
http://www.cisco.com/go/cloudsecurity
 Решения и продукты Cisco в области ИБ
http://www.cisco.com/go/security (eng)
http://www.cisco.com/web/RU/products/vpn.html (рус)
 Центр ИБ Security Intelligence Operations
http://tools.cisco.com/security/center/home.x
 Ежегодный отчет Cisco о угрозах ИБ
http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html
 Брошюры по ИБ
http://www.cisco.com/web/RU/broch.html (рус)