Чуть больше месяца назад закончились Олимпийские игры в Бразилии, на которых Cisco уже традиционно отвечала за сетевую и серверную инфраструктуру, включая и их безопасность. И сегодня уже можно поделиться нашим опытом обеспечения сетевой безопасности летних Олимпийских игр в Рио, тем более, что мы уже можем сравнивать происходящее с играми в Лондоне в 2012-м году, где Cisco также обеспечивала сетевую безопасность всех спортивных сооружений и мероприятий.
Впервые о серьезной информатизации Олимпийских игр заговорили перед зимними Играми в канадском Ванкувере в 2010-м году. Да, как это ни странно, но до этого момента серьезной ИТ-инфраструктурой крупнейшие спортивные соревнования планеты похвастаться не могли, хотя различные стадионы и менее крупные мероприятия достаточно активно внедряли современные информационные технологии в свою деятельность. Кибербезопасностью же серьезно стали заниматься только во время подготовки к лондонских играм в 2012-м году. По опубликованной статистике в Лондоне было зафиксировано 166 миллионов событий кибербезопасности (в Пекине около 12 миллионов событий фиксировалось ежедневно), из которых 783 потребовали детального расследования. Серьезных же атак было 6 и одна даже могла нарушить церемонию открытия — тогда хакеры пытались атаковать систему энергоснабжения Олимпийского стадиона. В Рио эксперты ожидали четырехкратный рост числа кибератак; в реальности же их было около 510 миллионов, то есть около 400 атак в секунду. Во время Параолимпийских игр в Рио активность хакеров снизилась до 120 атак в секунду, что и понятно — интерес к ним гораздо ниже, чем к основным играм.
Очевидно, что олимпийские две недели — это рай для мошенников и преступников всех мастей, особенно в Бразилии, которая никогда не числилась в списке благополучных с точки зрения преступности стран. С точки зрения киберпреступности Бразилия считается одной из самых неблагополучных — рост серьезных кибератак в ней вырос с 2010-го по 2015-й год на 400%, с заметным всплеском на 200% в 2014, когда страна принимала чемпионат мира по футболу. И хотя по словам Джейн Вейнрайт, возглавлявшей безопасность оргкомитета Олимпийских игр в Лондоне, никаких специфичных атак на олимпийскую инфраструктуру не было, это не значит, что бороться там было не с чем. Достаточно вспомнить сколько человек посещает спортивные события очно и онлайн, чтобы понять, что масштаб проблемы достаточно серьезен.
В Лондоне пятью ключевыми угрозами ИБ считались:
- Мобильные устройства и блокирование отправки данных о результатах соревнований на смартфоны в реальном времени
- Загрузки “drive-by” (загрузки без понимания последствий со стороны пользователя — апплеты, компоненты Active-X, исполняемые файлы и т.п.).
- Фишинг
- Подмена и фальсификация поисковых результатов
- Мошеннические сайты по продаже билетов.
В Рио ситуация отличалась не сильно; проблемы были ровно те же — спам с рекламой фальшивых сайтов по продаже билетов, сообщения о якобы выигранных бесплатных билетах на спортивные соревнования или иные околоспортивные события, рассылки с вредоносными вложениями, скрывающимися под календари и карты мест проведения олимпийских событий, фишинговые сайты с олимпийскими новостями (нами было зафиксировано и блокировано несколько сотен таких вредоносных доменов) и т.п.
Задача стояла перед нами достаточно непростая — обеспечить в сжатые сроки безопасное подключение к сетевой и серверной инфраструктуре:
- 10900 олимпийских и 4300 параолимпийских атлетов
- 5400 технических специалистов, обслуживающих инфраструктуру Игр
- 70000 волонтеров
- 25100 аккредитованных медиа
- 37 площадок, включая спортивные сооружения, Олимпийскую деревню, пресс-центр и т.п.
- 9 миллионов посетителей.
В обеспечение безопасности 113472 LAN-портов и 5159 Wi-Fi точек беспроводного доступа легли следующие принципы:
- безопасность — это свойство сетевой инфраструктуры, а не опция
- сегментация и разделение трафика
- сеть как сенсор системы обнаружения атак
- управление идентификацией
- защищенная доставка результатов мероприятий в реальном времени
- возможность работы с личных мобильных устройств.
На самом деле они мало чем отличались от аналогичной инфраструктуры в Лондоне, где мы также обеспечивали сетевую безопасность:
Учитывая традиционность угроз и защитные технологии применялись нами традиционные. Из 60 тонн и 8115 единиц поставленного оборудования за сетевую безопасность отвечали:
- межсетевые экраны Cisco ASA 5585-X
- межсетевые экраны следующего поколения Cisco ASA 5515-X с FirePower Services
- системы предотвращения вторжений Cisco Firepower
- средства удаленного VPN-доступа на базе Cisco ASA 5585-Х
- контроль сетевого доступа, включая гостевой, с помощью Cisco ISE и ACS
- мониторинг и нейтрализация сетевых аномалий с помощью Cisco Stealthwatch
- мониторинг и блокирование DNS-угроз с помощью Cisco OpenDNS Umbrella
- высокомасштабируемый NAT с помощью CGN/VSM-модулей на маршрутизаторах ASR9000
- DHCP и DNS-кеш с помощью Cisco Prime Network Registrar
- Управление и мониторинг ИБ с помощью Cisco Security Manager и Firesight Management Center.
Основным инструментом для сегментация стали межсетевые экраны Cisco ASA 5585-X и ASA 5515-X, которые и обеспечение разделение трафика между различными зонами Олимпийской инфраструктуры. Помогали им в этом маршрутизаторы Cisco ASR9000 и Cisco ASR1000. На уровне виртуализации за сегментацию отвечали коммутаторы Nexus 7000, Nexus 2000, MDS 9000, а также вычислительная система UCS 5000 и Fabric Interconnect 6000.
Так как Олимпийские игры — это множество разных пользователей с разными задачами и правами доступа, то для их контроля и разграничения нами был использован кластер из устройств Cisco ISE, которые аутентифицировали и авторизовывали проводных и беспроводных пользоваталей. Вот так, например, выглядел портал доступа для журналистов пресс-центра:
Учитывая количество людей, которым требовался доступ к различным сервисам и услугам, предоставляемым Олимпийским оргкомитетом, на Cisco ISE был поднят портал самообслуживания, который позволил снизить нагрузку на ИТ-специалистов Игр. Такое самообслуживание касалось и регистрации учетных записей:
и регистрации мобильных устройств, и восстановления забытых паролей:
С помощью Cisco ISE журналисты, атлеты, волонтеры, спонсоры и другие лица могли получать доступ ко всем нужным сервисам в течение всех Олимпийских и Параолимпийских игр, а также в процессе подготовки к ним. При этом доступ не ограничивался какими-либо сегментами сети (если это не требовалось по политикам безопасности) или типами устройств — Cisco ISE позволял получать защищенный беспроводной доступ во время доставки спортсменов из Олимпийской деревни на спортивные мероприятия (в автобусах был развернут Wi-Fi), во время работы журналистов в пресс-центре и на самих спортивных мероприятиях со своих личных устройств. Общее число уникальных устройств (без посетителей), подключенных к инфраструктуре Олимпийских игр и управляемых с помощью Cisco ISE, к концу игр превысило 235 тысяч (27 тысяч устройств было подключено к инфраструктуре в своем пике, во время церемонии закрытия Олимпийских игр в Рио):
За обнаружение атак на периметре и внутри сети отвечали система предотвращения вторжений Cisco Firepower NGIPS, система мониторинга DNS-угроз Cisco OpenDNS Umbrella и система нейтрализации сетевых аномалий на базе Netflow — Cisco Stealthwatch. При этом последнее из упомянутых решений осуществляло мониторинг и виртуальной инфраструктуры в основном и резервном ЦОДах олимпийской инфраструктуры. Каждое из упомянутых решений в качестве источника данных использовало сетевой трафик, но с разных точек зрения, что позволило обеспечить принцип эшелонированной обороны и не допустить проникновения атак внутрь олимпийской сетевой инфраструктуры.
Интересный опыт был получен при использовании сервиса Cisco OpenDNS Umbrella, задача которого была мониторить DNS-запросы из Олимпийской инфраструктуры и отсекать все, что было связано с вредоносной активностью:
- вредоносный код, пытающийся проникнуть внутрь инфраструктуры
- ботнеты и фишинговые атаки, приводящие к утечкам данных
- новые, фальшивые и мошеннические сайты
Нам удалось внедрить Cisco OpenDNS Umbrella по всей инфраструктуре всего за 2 (!) часа за 2 дня до церемонии открытия Игр и уже в процессе своей эксплуатации этот сервис ежедневно пропускал через себя 22 миллиона DNS-запросов и 23 тысячи из них блокировал по причине вредоносности.
Из других интересных цифр, которыми мы могли бы поделиться, я бы назвал следующие:
- Всего было зафиксировано свыше 1 миллиарда 300 миллионов событий МСЭ Cisco ASA
- 15 миллионов событий TACACS+
- IDS/IPS зафиксировали свыше 7 миллионов событий безопасности, из которых больше трети всех попыток были связаны с троянами, а 23% с DoS, из которых 99% были связаны с DNS-протоколом
- ISE провел 13,5 миллионов успешных аутентификаций и отбраковал 1,7 миллиона неудачных
Такими оказались для нас Олимпийские игры в Бразилии в 2016-м году. Мы усилили свою компетенцию в области защиты массовых спортивных мероприятий и планируем вновь применить свой опыт на играх в Японии в 2020 году. Уже известно, что Япония планирует потратить на это направление свыше 190 миллионов долларов, считая его одним из приоритетных для себя. Ну а Cisco готова помочь в этом Международному Олимпийскому Комитету и компании Atos, являющейся официальным поставщиком ИТ-услуг для Олимпийских игр.
Автор: Cisco