Cisco Identity Services Engine (ISE)

Cisco Identity Services Engine (ISE) - решение для централизованного управления политиками в рамках решения Cisco TrustSec. Оно позволяет эффективно определять политики информационной безопасности и управлять ими в масштабе всей организации. Cisco ISE:

• решает задачу поддержки "любого устройства" с помощью политики контроля доступа с учетом контекста;
• различает корпоративные и личные пользовательские устройства;
• автоматизирует функции обеспечения информационной безопасности по всей организации с помощью средств контроля доступа и шифрования, реализованных на уровне сети;
• упрощает повседневную работу ИТ-подразделения, позволяя разрабатывать политики, отражающие правила ведения бизнеса с учетом пользователей, устройств, приложений и местоположения;
• интегрируется с системой управления корпоративной ИТ-инфраструктурой Cisco PrimeTM, обеспечивая управление подключением оконечных устройств.

Применение Identity Services Engine (ISE) позволяет создавать доверенную среду в масштабе всей организации на основе единой, централизованной политики информационной безопасности для любых типов пользователей, устройств и подключений.Система управления рисками и внутреннего контроля (СУРиВК) GRC на «Триафлай» — это просто 4.5 т

Технологической основой решения INLINE Technologies на базе ISE является архитектура Trusted Security (TrustSec). В ней сервер ISE выступает ключевым звеном системы управления сетевым доступом, реализующим анализ подключений не только по формальным признакам соответствующих политик безопасности, но и с учетом контекста запроса, в том числе: кто, в какое время, с помощью какого устройства и где подключился к сети, а также какая у него группа безопасности. Функциональные возможности технологии Cisco ISE/TrustSec позволяют распространить такую «интеллектуальную» составляющую на все инфраструктурные элементы информационной безопасности предприятия или холдинга.

Cisco Identity Services Engine (ISE) позволяет внедрить концепцию использования собственных устройств (BYOD) среди сотрудников или организовать более безопасный доступ к ресурсам центра обработки данных. Благодаря уникальной архитектуре решения предприятия могут в режиме реального времени получать из сетей, от пользователей и устройств контекстную информацию, необходимую для принятия упреждающих решений по предоставлению доступа. Все решения принимаются на основании единой политики доступа, распространяющейся на проводные сегменты сети, беспроводные сегменты сети и подключения удаленного доступа. Таким образом, ISE помогает обеспечить надежный контроль над соблюдением нормативных требований, повышает уровень безопасности инфраструктуры и оптимизирует операции по обслуживанию сети.

2025: Ошибка в продукте Cisco позволяет захватывать крупные корпоративные сети

ФСТЭК в начале февраля предупредила об обнаружении критической ошибки BDU:2025-01234^[1] в реализации прикладного программного интерфейса платформы управления политиками соединений Cisco Identity Services Engine (ISE). Уязвимость устранена в версиях 3.2P7, 3.1P10 и 3.3P4, до которых рекомендуется обновиться. Однако в России из-за отсутствия технической поддержки со стороны Cisco не всегда возможно установить обновления, а сама уязвимость достаточно опасна – 9.9 из 10 по CVSS.

Cisco ISE является ярким представителем средства защиты информации для управления сетевым доступом (network access control – NAC), – пояснил читателям TAdviser Денис Бандалетов, руководитель отдела сетевых технологий Angara Security. – Продукт предназначен для защиты сети от внутреннего нарушителя путем проведения аутентификации пользователя и устройства в сети с применением механизмов проверки соответствия состояния подключаемых устройств политикам безопасности компании. Ввиду широкой функциональности решение до сих пор пользуется большой популярностью в компаниях РФ среднего и крупного бизнеса.

Уязвимость присутствует в API продукта, связана с недостатками механизма десериализации данных и позволяет нарушителю выполнить произвольные команды с помощью отправки специально сформированного Java-объекта, методы которого могут быть запущены в контексте Cisco ISE. Злоумышленник может подготовить такой объект, который сильно ухудшит работу механизмов аутентификации и позволит не аутентифицированным пользователям контролировать внутренние коммуникации компании.

По данным сервиса Censys Search, в России используется более 10 тысяч экземпляров Cisco ISE, – отметил Алексей Гришин, руководитель направления пентеста Infosecurity. – Насколько эти устройства доступны из глобальной сети, зависит от конфигурации организаций, но даже частичное их присутствие в открытом доступе может нести угрозу. Уязвимость имеет высокий уровень критичности, так как позволяет злоумышленнику удаленно выполнять команды на устройстве, что может привести к проникновению во внутреннюю сеть.

Cisco ISE обеспечивает централизованное управление политиками в рамках концепции Cisco TrustSec, предназначенной для реализации принципа нулевого доверия (Zero Trust) в больших корпоративных системах. Продукт позволяет эффективно определять политики информационной безопасности и управлять ими в масштабе всей организации, поэтому он полезен в основном для предприятий, владеющих крупными информационными инфраструктурами для контроля политики безопасности.

𝓲

Фото: TAdviser

В 2022 году компания Cisco объявила о полном прекращении своей деятельности в России и Беларуси, что привело к остановке поставок оборудования и программного обеспечения, а также прекращению технической поддержки, – напомнил Артем Терещенко, директор по развитию VAS Experts. – В результате, хотя ранее Cisco ISE была достаточно популярна среди российских пользователей, в настоящее время её использование ограничено из-за отсутствия официальной поддержки и обновлений. Что касается доступности Cisco ISE из глобальной сети, то она не предназначена для прямого доступа из интернета. Доступ к её интерфейсам управления и API обычно ограничивается внутренними сетями организаций и защищёнными каналами связи, такими как VPN.

Несмотря на опасность уязвимости, хакеры могут использовать ее, скорее, для горизонтального перемещения внутри сети, нежели для проникновения извне. Тем не менее, если злоумышленники уже проникли внутрь периметра и им нужно захватить контроль над всей корпоративной сетью, то лучшей стратегии для этого, чем атака на Cisco ISE, не найти. Поэтому компаниям, которые все еще эксплуатируют этот продукт (а это в основном крупный бизнес), рекомендуется уделить пристальное внимание защите этого внутреннего ресурса.

Сама уязвимость потенциально является очень опасной, т.к. позволяет злоумышленнику удаленно выполнять команды на критически важной системе обеспечения сетевой безопасности Cisco ISE, – заявил TAdviser Павел Меркурьев, начальник отдела безопасности сетевых технологий компании «Информзащита». – При успешной реализации атаки, злоумышленник может вывести из строя почти всю сетевую инфраструктуру компании. Однако реализовать данную уязвимость будет достаточно сложно, потому что, как правило, Cisco ISE размещается в изолированном сегменте ИБ и доступ к данному сегменту ограничен. При правильном сегментировании и настройке ограничений для доступа к интерфейсам управления Cisco ISE можно значительно снизить и свести к нулю потенциальный вектор атаки

ФСТЭК дает следующие стандартные рекомендации по компенсирующим мерам:

• Использовать средства межсетевого экранирования для ограничения удаленного доступа к уязвимому ПО;
• Составить «белый» список IP-адресов для ограничения доступа к API продукта;
• Настроить SIEM-систему для отслеживания попыток эксплуатации уязвимости;
• Использовать защищенные коммуникации для организации удаленного доступа.

Впрочем, уже появились решения для защиты API от попыток эксплуатации различных уязвимостей. Поэтому логично настроить межсетевые экраны уровня API на выявление попыток эксплуатации этой уязвимости и предотвращение их.

Как и любая уязвимость, позволяющая выполнять произвольные команды злоумышленника, BDU:2025-01234 довольно опасна, и без должного внимания наличие её в корпоративном решении может потенциально нанести ущерб от действий хакера, – предупредил читателей TAdviser Денис Чигин, руководитель отдела технологической экспертизы ГК Softline. – В целом, компенсирующие меры, рекомендуемые в таких случаях, сработают и здесь: ограничить доступ IP-адресов к продукту до перечня доверенных при наличии такой возможности, произвести обновление до версии, в которой такая уязвимость устранена и, если это по какой-то причине не было сделано ранее, сменить пароли по умолчанию к панели администрирования решения.

2017: Cisco Identity Services Engine (ISE) 2.3

Сложность подключаемых к сети устройств и их количество растут опережающими темпами. Нельзя защитить то, чего не видишь, и поэтому получение подробной актуальной информации об устройствах в контексте сети чрезвычайно важно для устранения уязвимостей и исполнения политик. В сочетании с решением Cisco AnyConnect платформа ISE позволяет получать более подробную информацию об оконечных точках, включая такие данные уровня BIOS, как серийный номер компьютера, подключения USB и загрузка ресурсов, в том числе использование дисковой и оперативной памяти. Такой уровень обзорности достигается различными способами. Теперь платформа ISE использует временные агенты, которые на оконечной точке не требуют ни административных привилегий, ни установки расширений браузера. Также возможен вариант, когда скрытый агент выводит гибкие уведомления посредством системы сообщений ОС.

Сетевые политики информационной безопасности часто формулируются вручную, что чревато ошибками. Если же эти процессы автоматизировать, то можно будет сосредоточиться не на тонкостях реализации элементов управления, а на достижении целей бизнеса. Теперь же автоматизация сетевой политики информационной безопасности для интуитивной сети стала реальностью благодаря платформе ISE, важнейшему элементу решения Cisco Software-Defined Access, и интеграции с системой управления DNA Center. ISE позволяет формулировать политики безопасности (кто может говорить с кем, какие системы могут общаться друг с другом, по каким портам и протоколам все это может происходить), опираясь на классы безопасности, которые заказчик определяет, исходя из потребностей бизнеса. Оконечные точки и системы автоматически распределяются по классам в соответствии с обширной контекстной информацией (кто, что, где, когда и каким образом подключается к сети), и тогда сеть самостоятельно определяет, какие пользователи и устройства смогут получить доступ к тем или иным бизнес-ресурсам. Такой уровень контроля упрощает сегментацию сети и ускоряет реакцию на атаки, помогая уменьшить наносимый ущерб, в том числе благодаря предотвращению горизонтального распространения угроз.

Среди потенциальных возможностей ISE — экономия сотен часов рабочего времени администраторов, которые занимаются управлением сетевыми политиками. Новый интерфейс платформы существенно упрощает процесс создания и редактирования политик. В нем предусмотрены наборы упрощенных, легко воспринимаемых политик со встроенными правилами аутентификации и авторизации, с помощью которых легко создаются тиражируемые условия доступа. После установки обновлений действие существующих политик остается прежним, несмотря на создание дополнительных наборов политик. В новом пользовательском интерфейсе для каждого набора политик предусмотрен счетчик срабатывания. Также мы добавили возможность гостевой регистрации с помощью Facebook, что дает возможность пользователям посетить гостевой портал без получения доступа к корпоративным ресурсам

2014: Партнеры по внедрению в России

В январе 2014 года стало известно, что Orange Business Services в России подтвердил соответствие требованиям технологической специализации Cisco ATP Identity Services Engine Partner in Russia (ISE ATP). Получение данной специализации свидетельствует о высоком уровне экспертизы оператора в области архитектуры платформы Cisco ATP Identity Services и позволяет предлагать заказчикам решения по построению систем информационной безопасности.

Cisco Identity Services Engine ─ система управления сетевыми политиками и правами пользователей, позволяющая реализовать проекты по разграничению доступа к информационным ресурсам компаний и предприятий. На январь 2014 года Orange ─ единственный телекоммуникационный оператор на российском рынке, обладающий данной специализацией и статусом Cisco Gold Partner.

Примечания