Zveřejněno:

ISE a Stealthwatch

Síťová infrastruktura je klíčovou součástí každé podnikové informační architektury. Bez komunikace uvnitř organizace i s třetími stranami se dnes žádná firma neobejde. Podrobný přehled o dění v síti i možnost efektivního a snadného řízení přístupů na úrovni uživatele/koncového zařízení je tak velmi důležitou součástí moderních podniků. A to zejména s ohledem na stále rostoucí kybernetická rizika.

Udělování přístupů jednotlivým oddělením a monitoring aktivit v síti je tak možné kontrolovat efektivně z jednoho místa. Pro bezpečnostního pracovníka to znamená výrazně jednodušší a zároveň přehlednější monitoring sítě bez omezování zaměstnanců v tom, jaké koncové zařízení mohou využívat a kde. Oblíbený přístup k práci odkudkoli tak nemusí jít na úkor bezpečnosti. Což jsou dva základní kameny moderních společností.

Kybernetická bezpečnost

Všechno vidím

V našem portfoliu máme pro oblast monitoringu síťového provozu a řízení přístupů dva hlavní produkty – Cisco Stealthwatch a Cisco Identity Services Engine (ISE) – a v tomto příspěvku se podíváme, jak mohou firmám s jejich síťovými starostmi pomoci.

Cisco Stealthwatch sbírá informace o síťové komunikaci a analyzuje je za účelem získání přesného přehledu o dění v síti včetně odhalení případných anomálií, které by mohly ukazovat na bezpečnostní incident. Nahlíží do hlaviček datových toků, vyhodnocuje, kdo s kým komunikuje a na základě získaných dat vytváří matematické modely o aktuálním dění v síti při současném zohlednění odchylek vůči běžnému provozu. Analýzy probíhají na úrovni koncového uživatele a plně tak mohou zohlednit všechna jeho individuální specifika.

Pokud se například zaměstnanec připojí z neobvyklého místa v neobvyklý čas, dostane správce hlášení o podezřelé činnosti. Prostřednictvím cloudové služby Cisco Cognitive Threat Analytics jsou navíc tyto analýzy síťového přenosu k dispozici i nad šifrovanou komunikací.

Díky tomu, že základem jsou informace o reálně přenášených datech, může Cisco Stealthwatch odhalit i útoky a nežádoucí chování, pro které zatím nejsou k dispozici porovnávací vzory nebo specializované detekční mechanismy. Toto řešení je tak vynikajícím pomocníkem v boji s dosud nezveřejněnými (zero-day) hrozbami. Dokonce nemusí jít jen o odhalení kybernetických zločinců, ale také o upozornění na neschválené aktivity běžných uživatelů.

Ano, mluvíme o tzv. šedém IT, kdy zaměstnanci využívají svěřené prostředky nebo neautorizovaná zařízení k nepředpokládanému účelu. Cisco Stealthwatch může rychle zjistit například zapojení neschváleného přístupového bodu, které – v případě absence šifrování – je potenciálním bezpečnostním rizikem, byť úmyslem zaměstnance bylo „jen“ zajistit konektivitu pro svůj tablet.

Přínosy podrobného vhledu do síťové komunikace jsou pochopitelně mnohem širší (včetně snadnější segmentace síťové infrastruktury), a to i – jak si za chvíli ukážeme – ve spojení s druhým dnes popisovaným produktem.

Vím kdo, prosadím kam

Primárním úkolem řešení Cisco Identity Services Engine (ISE) je identifikovat uživatele, ověřit, zda jeho zařízení splňuje definované bezpečnostní politiky a zajistit, že může přistupovat pouze ke schváleným částem síťové infrastruktury. Dle získaných informací – například o aktuální bezpečnosti použitého zařízení – může oprávnění daného uživatele dynamicky modifikovat (a v krajním případě umístit zařízení do karantény nebo mu úplně zablokovat přístup k intranetovým zdrojům).

Uživatel může mít přidělenu příslušnou VLAN bez ohledu na to, z jakého fyzického prvku se k síti připojí. Tato vlastnost přitom nemá jen čistě restriktivní charakter – ve skutečnosti umožňuje pro uživatele zajistit transparentnost konektivity, díky které lze plynule přecházet například mezi vyhrazeným pracovním místem, zasedačkou a konferenční místností.

Z technického pohledu se Cisco Identity Services Engine skládá ze tří hlavních částí:

  • Modul pro identifikaci uživatelů zajišťující i dynamické přidělování práv. Zdrojem informací může být například systém Active Directory.
  • Modul pro podporu konceptu BYOD – tato část ISE má na starosti vytvoření „otisku“ zařízení, a to na základě dostupných informací, jako je typ zařízení, MAC adresa apod. Při prvním připojení do sítě je sice i v tomto případě nutné využít přihlašovací údaje, nicméně každé další připojení již může proběhnout na základě otisku automaticky a pod plnou bezpečnostní kontrolou. Tento modul navíc umožňuje snadné prosazování korporátních politik – je cílem zakázat používání zařízení s operačním systémem Android? Pak stačí jen nastavit, že otisk, jehož součástí je právě informace o tomto systému, není pro síťovou infrastrukturu schválený.
  • Modul pro řízení přístupu (NAC, Network Access Control), který využívá standardu IEEE 802.1X. Právě tato část ISE tak má na starosti jak ověření souladu zařízení a uživatele s bezpečnostními politikami firmy, tak i zpřístupnění (nebo omezení či zakázání) síťové konektivity v rámci podnikové informační architektury.

Významnou výhodou Cisco Identity Services Engine je úzká spolupráce s Cisco Stealthwatch. Pokud například Stealthwatch zjistí neočekávané chování konkrétního uživatele, může předat do ISE pokyn k přenastavení síťového portu včetně úplného zakázání komunikace.

Obě řešení tak ctí politiku značky Cisco umožnit maximální spolupráci všech jednotlivých produktů. Ve společnosti Dimension Data se nám tento přístup již mnohokrát osvědčil, a to nejen v případě těchto dvou řešení.

Cisco Identity Services Engine ve spojení s Cisco Stealthwatch mění i tradiční pojetí práce bezpečnostních techniků – díky těmto řešením získávají větší míru kontroly nad bezpečnostní celé síťové infrastruktury i dalších prvků podnikové informační architektury a mohou se tak více věnovat samotným bezpečnostním politikám. A samotní zaměstnanci se necítí omezováni bezpečnostní politikou firmy.

Petr Zemánek

Petr Zemánek

Solution Manager Security
Dimension Data Czech Republic

Vystudoval Univerzitu Palackého v Olomouci, obor Informatika. Bezpečností a sítěmi se zabývá od roku 1995. Od roku 1998 se jako konzultant specializuje výhradně na oblast bezpečnosti. V posledních deseti letech pracuje pro společnosti NextiraOne a Dimension Data, kde má na starosti rozvoj bezpečnostních řešení, návrh a specifikaci business požadavků a design bezpečnostních architektur.

© 2018 Dimension Data All Rights Reserved | Souhlas se zpracováním osobních údajů

Téma aktuálního čísla

ZÁKAZNICKÁ ZKUŠENOST UVNITŘ FIRMY ANEB EMPLOYEE CX

Kontakt

Dimension Data Czech Republic s.r.o.
Milevská 2095/5
140 00 Praha 4
Tel: +420 224 600 010
Email: info.cz@dimensiondata.com
www.dimensiondata.com