Кібербезпека Олімпіади в Ріо: як це було

Трохи більше місяця тому закінчилися Олімпійські ігри в Бразилії, на яких Cisco вже традиційно відповідала за мережеву і серверну інфраструктуру, включаючи і їх безпеку. І сьогодні вже можна поділитися нашим досвідом забезпечення мережної безпеки літніх Олімпійських ігор в Ріо, тим більше, що ми вже можемо порівнювати те, що відбувається з іграми в Лондоні в 2012-му році, де Cisco також забезпечувала мережеву безпеку всіх спортивних споруд і заходів.

Cisco в Ріо
Вперше про серйозну інформатизації Олімпійських ігор заговорили перед зимовими Іграми в канадському Ванкувері в 2010-му році. Так, як це ні дивно, але до цього моменту серйозної ІТ-інфраструктурою найбільші спортивні змагання планети похвалитися не могли, хоча різні стадіони і менш великі заходи досить активно впроваджували сучасні інформаційні технології у свою діяльність. Кібербезпеки же серйозно стали займатися тільки під час підготовки до лондонських ігор в 2012-му році. За опублікованою статистикою в Лондоні було зафіксовано 166 мільйонів подій кібербезпеки (в Пекіні близько 12 мільйонів подій фіксувалося щодня), з яких 783 вимагали детального розслідування. Серйозних ж атак було 6 і одна навіть могла порушити церемонію відкриття — тоді хакери намагалися атакувати систему енергопостачання Олімпійського стадіону. У Ріо експерти очікували чотирикратне зростання кількості кібератак; в реальності ж їх було близько 510 мільйонів, тобто близько 400 атак в секунду. Під час Параолімпійських ігор у Ріо активність хакерів знизилася до 120 атак в секунду, що й зрозуміло — інтерес до них значно нижче, ніж до основних ігор.

Очевидно, що олімпійські два тижні — це рай для шахраїв та злочинців всіх мастей, особливо в Бразилії, яка ніколи не значилася в списку благополучних з точки зору злочинності країн. З точки зору кіберзлочинності Бразилія вважається однією з найбільш неблагополучних — зростання серйозних кібератак в ній виріс з 2010-го по 2015-й рік на 400%, з помітним сплеском на 200% в 2014, коли країна приймала чемпіонат світу з футболу. І хоча, за словами Джейн Вейнрайт, яка очолювала безпека оргкомітету Олімпійських ігор в Лондоні, ніяких специфічних атак на олімпійську інфраструктуру не було, це не означає, що боротися там було не з чим. Досить згадати скільки людей відвідує спортивні події очно і онлайн, щоб зрозуміти, що масштаб проблеми досить серйозний.

У Лондона п'ятьма ключовими загрозами ІБ вважалися:

  • Мобільні пристрої і блокування відправки даних про результати змагань на смартфони в реальному часі
  • Завантаження «drive-by» (завантаження без розуміння наслідків з боку користувача — аплети, компоненти Active-X, виконувані файли і т. п.).
  • Фішинг
  • Підміна і фальсифікація пошукових результатів
  • Шахрайські сайти з продажу квитків.
У Ріо ситуація не сильно відрізнялася; проблеми були ті ж — спам з рекламою фальшивих сайтів з продажу квитків, повідомлення про нібито виграв безкоштовні квитки на спортивні змагання або інші навколоспортивні події, розсилки з шкідливими вкладеннями, які ховались під календарі і карти місць проведення олімпійських подій, фішингові сайти з олімпійськими новинами (нами було зафіксовано і блоковано кілька сотень таких шкідливих доменів) і т. п.

Завдання стояло перед нами досить непроста — забезпечити в стислі терміни безпечне підключення до мережної і серверної інфраструктури:

  • 10900 олімпійських та 4300 параолімпійських атлетів
  • 5400 технічних фахівців, які обслуговують інфраструктуру Ігор
  • 70000 волонтерів
  • 25100 акредитованих медіа
  • 37 майданчиків, включаючи спортивні споруди, Олімпійське село, прес-центр тощо
  • 9 мільйонів відвідувачів.
Інфраструктура Олімпійських ігор

У забезпечення безпеки 113472 LAN-портів і 5159 Wi-Fi точок бездротового доступу лежать наступні принципи:

  • безпека — це властивість мережевої інфраструктури, а не опція
  • сегментація і поділ трафіку
  • мережа як сенсор системи виявлення атак
  • управління ідентифікацією
  • захищена доставка результатів заходів в реальному часі
  • можливість роботи з особистих мобільних пристроїв.
Насправді вони мало чим відрізнялися від аналогічної інфраструктури в Лондоні, де ми також забезпечували мережеву безпеку:



Враховуючи традиційність загроз і захисні технології застосовувалися нами традиційні. З 60 тонн і 8115 одиниць поставленого обладнання за мережеву безпеку відповідали:

  • брандмауери Cisco ASA 5585-X
  • міжмережеві екрани наступного покоління Cisco ASA 5515-X з FirePower Services
  • системи запобігання вторгнень Cisco Firepower
  • засоби віддаленого VPN-доступу на базі Cisco ASA 5585-Х
  • контроль мережевого доступу, включаючи гостьовий, з допомогою Cisco ISE ACS
  • моніторинг і нейтралізація мережевих аномалій за допомогою Cisco Stealthwatch
  • моніторинг і блокування DNS-загроз за допомогою Cisco OpenDNS Umbrella
  • высокомасштабируемый NAT з допомогою CGN/VSM-модулів на маршрутизаторах ASR9000
  • DHCP і DNS-кеш за допомогою Cisco Prime Network Registrar
  • Управління і моніторинг ІБ з допомогою Cisco Security Manager і Firesight Management Center.
Основним інструментом для сегментація стали брандмауери Cisco ASA 5585-X і ASA 5515-X, які і забезпечення поділ трафіку між різними зонами Олімпійської інфраструктури. Допомагали їм у цьому маршрутизатори Cisco ASR9000 і Cisco ASR1000. На рівні віртуалізації за сегментацію відповідали комутатори Nexus 7000, Nexus 2000, MDS 9000, а також обчислювальна система UCS 5000 і Fabric Interconnect 6000.

Дизайн основного Цод

Так як Олімпійські ігри — це безліч різних користувачів з різними завданнями і правами доступу, то для їх контролю та розмежування нами був використаний кластер з пристроїв Cisco ISE, які аутентифицировали і авторизовывали дротяних і бездротових користувачів. Ось так, наприклад, виглядав портал доступу для журналістів прес-центру:

Олімпійський портал для журналістів

Враховуючи кількість людей, яким потрібен доступ до різних сервісів і послуг, що надаються оргкомітетом Олімпійських, на Cisco ISE був піднятий портал самообслуговування, який дозволив знизити навантаження на ІТ-фахівців Ігор. Таке самообслуговування стосувалося і реєстрації облікових записів:

Портал самообслуговування Cisco ISE

та реєстрації мобільних пристроїв, і відновлення забутих паролів:

Портал самообслуговування Cisco ISE

З допомогою Cisco ISE журналісти, атлети, волонтери, спонсори та інші особи могли отримувати доступ до всіх потрібних сервісів протягом усіх Олімпійських та Параолімпійських ігор, а також в процесі підготовки до них. При цьому доступ не обмежувався певними сегментами мережі (якщо це не було потрібно політикам безпеки) або типами пристроїв Cisco ISE дозволяв отримувати захищений бездротовий доступ під час доставки спортсменів з Олімпійської села на спортивні заходи (в автобусах був розгорнутий Wi-Fi), під час роботи журналістів у прес-центрі і на самих спортивних заходах зі своїх особистих пристроїв. Загальне число унікальних пристроїв (без відвідувачів), підключених до інфраструктури Олімпійських ігор і керованих за допомогою Cisco ISE, до кінця ігор перевищило 235 тисяч (27 тисяч пристроїв було підключено до інфраструктури в своєму піку, під час церемонії закриття Олімпійських ігор у Ріо):

Церемонія закриття Олімпійських ігор в Cisco ISE

За виявлення атак на периметрі і всередині мережі відповідали система запобігання вторгнень Cisco Firepower NGIPS, система моніторингу DNS-загроз Cisco OpenDNS Umbrella і система нейтралізації мережевих аномалій на базі Netflow — Cisco Stealthwatch. При цьому остання зі згаданих рішень здійснювало моніторинг і віртуальної інфраструктури в основному і резервному ЦОДах олімпійської інфраструктури. Кожне із згаданих рішень в якості джерела даних використовувало мережевий трафік, але з різних точок зору, що дозволило забезпечити принцип ешелонованої оборони і не допустити проникнення атак всередину олімпійської мережевої інфраструктури.

Цікавий досвід був отриманий при використанні сервісу Cisco OpenDNS Umbrella, завдання якого була моніторити DNS-запити з Олімпійської інфраструктури та відсікати все, що було пов'язано з шкідливою активністю:

  • шкідливий код, який намагається проникнути всередину інфраструктури
  • ботнети і фішингові атаки, що призводять до витоків даних
  • нові, фальшиві і шахрайські сайти
Нам вдалося впровадити Cisco OpenDNS Umbrella по всій інфраструктурі всього за 2 (!) години за 2 дні до церемонії відкриття Ігор і вже в процесі своєї експлуатації цей сервіс щодня пропускав через себе 22 мільйони DNS-запитів і 23 тисячі з них блокував через шкодочинності.

З інших цікавих цифр, якими ми могли б поділитися, я б назвав наступні:

  • Всього було зафіксовано понад 1 мільярд 300 мільйонів подій МСЕ Cisco ASA
  • 15 мільйонів подій TACACS+
  • IDS/IPS зафіксували понад 7 мільйонів подій безпеки, з яких більше третини всіх спроб були пов'язані з троянами, а 23% з DoS, з яких 99% були пов'язані з DNS-протоколом
  • ISE провів 13,5 мільйонів успішних аутентифікації і отбраковал 1,7 мільйона невдалих


Церемонія відкриття Олімпійських ігор у подіях безпеки

Такими виявилися для нас Олімпійські ігри в Бразилії в 2016-му році. Ми посилили свою компетенцію в галузі захисту масових спортивних заходів та плануємо знов застосувати свій досвід на іграх в Японії в 2020 році. Вже відомо, що Японія планує витратити на це напрямок понад 190 мільйонів доларів, вважаючи його одним з пріоритетних для себе. Ну а Cisco готова допомогти в цьому Міжнародному Олімпійському Комітету та компанії Atos, що є офіційним постачальником ІТ-послуг для Олімпійських ігор.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.