Городская транспортная система Монреаля (Societe de Transport de Montreal - STM) насчитывает четыре подземные линии, парк из 759 вагонов, обслуживающих 65 станций метрополитена, 188 автобусных маршрутов, 1567 автобусов и 94 микроавтобуса. Ежедневно они перевозят более 1,3 млн пассажиров. IT-отдел STM действует как нервный узел, поддерживающий готовность, целостность и конфиденциальность 120 информационных систем столь разнородной организации. IT-отдел поддерживает около 3000 пользователей, исполняющих 500 различных функций. Речь идет о водителях автобусов, машинистах поездов, служащих системы безопасности, пожарниках, техническом персонале и офисных работниках, то есть всех тех в STM, кто использует в своей работе сетевые приложения. "Наша главная задача – обеcпечить бесперебойную работу единой сети, начиная с составления платежных ведомостей и кончая ежедневной регистрацией 3000 водителей автобусов на их маршрутах", - говорит Патрик Харди (Patrick Hardy), системный администратор STM.
С этой целью STM вложила 12 млн долларов в строительство современной сетевой инфраструктуры, полностью основанной на технологиях Cisco Systems®. Сеть STM отличается весьма сложной топологией и надежной инфраструктурой маршрутизации и коммутации, которая поддерживает работу 165 серверов, 6000 хост-систем и свыше 7400 сотрудников. Все устройства, связанные со сбором платы за проезд, начиная с турникетов метро и заканчивая портативными устройствами проверки билетов, будут подключены к единой IP-сети. Двадцать процентов автобусов STM оснащены беспроводными устройствами Cisco Aironet®. Кроме того, STM использует сеть хранения данных Cisco для поддержки непрерывности бизнеса. На базе решения Cisco Unified Contact Center Enterprise развернуто пять базовых контактных центров, обрабатывающих свыше 30 тысяч звонков в день. Сетевой центр обработки данных обеспечивает хостинг основного Web-сайта компании (более 1 миллиона обращений в день), поддерживает несколько Web-приложений и обеспечивает связь с множеством внешних партнеров.
Каждую неделю по сети передаются платежные и учетные данные сотрудников STM. Эти данные, а также онлайновые системы подбора кадров и запланированные к внедрению кредитные карты для оплаты проезда, содержащие личную информацию, представляют собой лакомую мишень для хакеров, поэтому Web-сайт STM практически ежедневно подвергается атакам через Интернет. Кроме того, STM является публичной акционерной компанией, деятельность которой жестко регламентируется муниципальными, местными и федеральными органами, которые предъявляют суровые требования к безопасности сетей и данных и требуют подробных отчетов.
Столкнувшись с этими проблемами, STM развернула современную систему безопасности Cisco Systems, включающую межсетевые экраны на базе коммутаторов Catalyst® и системы предотвращения вторжений (IPS), а также концентраторы Cisco VPN 3000 для безопасного удаленного доступа. Однако чем больше устройств безопасности подключалось к сети, тем больше рос объем необработанных данных. В этих условиях весьма непросто распознать злонамеренные действия и тем более - вовремя реагировать на них.
"Ежедневно в нашей сети регистрировалось около 5 миллионов подозрительных событий и 2000 инцидентов, - говорит Харди. - После отсеивания ложных сигналов тревоги оставалось еще 200 событий, которыми надо было заниматься вручную. Мы просматривали 3-мегабайтные журналы записи системных событий с тысячами строк. Работа шла очень медленно и была просто непомерной".
IT-отделу требовались более эффективные, упреждающие средства мониторинга сетевой информации. Поэтому STM стала одной из первых организаций в Северной Америке, внедривших систему Cisco Security Monitoring, Analysis, & Response System (MARS), которая входит в состав системы безопасности Cisco Security Management Suite.
CS-MARS собирает огромный объем данных по всей корпоративной сети и проводит корреляцию событий, помогая сетевым администраторам своевременно обнаруживать угрозы и отражать атаки. Решение распознает и отслеживает атаки с помощью простых и понятных карт сетевой топологии в режиме реального времени. Оно интегрировано с устройствами безопасности, позволяя сдерживать текущие атаки, создавать правила безопасности, уведомлять об угрозах и составлять исчерпывающие отчеты. Все это упрощает и автоматизирует задачу обнаружения и пресечения подозрительных действий. Это решение было легко интегрировано в сеть STM и ее рабочие процессы. "Изучение системы Cisco Security MARS прошло очень быстро, - говорит Харди, - мы освоились с ней дней за десять".
CS-MARS представляет собой совершенно новый способ управления информацией, необходимой для защиты сетей. Тот факт, что за этим решением стоит компания Cisco Systems, позволил IT-руководству STM без колебаний приступить к его развертыванию. "Основная причина, по которой мы выбрали продукцию Cisco, - это отличное обслуживание и техническая поддержка, - говорит Харди. - Мы также полагаемся на высокую производительность и отличные интеграционные возможности решений Cisco".
Сегодня IT-отдел STM может гораздо быстрее и эффективнее, чем раньше, обнаруживать угрозы и реагировать на них. При этом значительно повысилась производительность труда IT-сотрудников. "CS-MARS отлично коррелирует всю информацию, и теперь нам не надо тратить многие часы, просматривая журналы событий, - говорит Харди. - Вся фильтрация, тонкая настройка и отчетность четко структурирована и очень точна. Все операции полностью автоматизированы. Как только регистрируется опасное событие, мы сразу же видим его и можем тут же предпринять защитные действия, если система уже не предприняла их за нас".
Показывая всю сеть в режиме реального времени, система CS-MARS предлагает ряд возможностей, которые выходят за рамки сетевой безопасности. "Cisco Security MARS позволяет лучше увидеть всю сеть в целом, - говорит Харди. - Другие решения для сетевого управления дают лишь статическую карту второго уровня. А Cisco Security MARS предоставляет топологическую карту третьего уровня, то есть позволяет видеть все сетевые устройства в режиме реального времени. По аналогии с медициной это похоже на картину мозга со всеми нервными окончаниями и кровеносными сосудами".
Решение Cisco помогло компании STM удовлетворить нормативные требования. До развертывания CS-MARS Харди с коллегами готовились к аудиту безопасности, собирая данные с различных устройств и систематизируя их, на что уходило несколько дней. Теперь для аудитов требуется совсем небольшая подготовительная работа. "Ежегодно мы проходим через аудиты безопасности, и отчетные возможности CS-MARS оказывают нам огромную помощь, - говорит Пьер Жингра (Pierre Gingras), старший архитектор, отвечающий за Интернет, интранет и Web-сайт компании. - Мы усаживаем аудиторов прямо перед консолью Cisco Security MARS, чтобы они могли получить все "из первых рук", и это сражает их наповал. Теперь у нас в руках настоящее "супероружие против аудиторов". С таким решением можно не беспокоиться об аудите".
CS-MARS улучшил защиту как от внешних, так и от внутренних угроз. Если в сети STM возникала брешь, под угрозу ставились важнейшие рабочие приложения. Иногда их приходилось вообще отключать, что отрицательно сказывалось на транспортных потоках. "Прежде мы думали только о внешних угрозах, - говорит Харди, - и совсем не следили за тем, что происходило внутри сети. К примеру, мы не следили за тем, не пытается ли какой-нибудь рассерженный служащий предпринять атаку на сервер. Мониторинг Cisco Security MARS дает нам полную картину всего, что происходит как вокруг сети, так и внутри нее". Этот исчерпывающий анализ уже помог IT-отделу заблокировать ряд серьезных сетевых угроз.
"Не далее как этим утром была предпринята попытка внедрить в нашу сеть программного червя с ПК, находящегося в одном из гаражей, - говорит Жингра. - Cisco Security MARS сразу же ее обнаружила. Прозвучала тревога, и система защиты за считанные минуты закрыла порт коммутации этого ПК. Если бы не Cisco Security MARS, хакер смог бы в течение часа инфицировать все 75 компьютеров, находящихся в здании, а далее ситуация становилась бы все хуже и хуже".
"В будущем все наши торговые автоматы будут соединяться с IP-сетью, что сделает нас уязвимыми для новых потенциальных угроз, - говорит Харди. - Если хакеры смогут подключиться к одному из таких автоматов, они окажутся в нашей сети. Система Cisco Security MARS с функциями мониторинга и автоматического реагирования позволяет мне крепче спать по ночам".
STM планирует и дальше сотрудничать с Cisco Systems для расширения сетевых возможностей и укрепления безопасности. Совсем недавно компания модернизировала систему Cisco Security Manager, чтобы централизованно управлять конфигурацией всех сетевых устройств и внедрением правил безопасности для межсетевых экранов Cisco, виртуальных частных сетей (VPN) и служб предотвращения вторжений (IPS). В ближайшие месяцы компания планирует развернуть 10-гигабитную городскую сеть Ethernet (10 GigE MAN), расширить использование беспроводных устройств на автобусах и установить больше точек доступа в своих зданиях. Компания также опробует устройства Cisco ASA 5500 Series Adaptive Security Appliances, интегрирующие межсетевой экран, VPN, IPS и прочие средства безопасности на единой управляемой платформе. Компания особенно заинтересовалась модулем Anti-X, блокирующем шпионские (spyware) и рекламные (adware) программы.
Поскольку 20% сотрудников STM используют мобильные ПК, безопасность которых обеспечить еще труднее, компания переходит от концепции обнаружения и отражения атак к концепции их предупреждения. Сейчас STM тестирует решение Cisco Network Admission Control (NAC). Это решение повышает уровень безопасности за счет проверки состояния любого устройства, пытающегося подключиться к сети. Оно проверяет, нет ли на этом устройстве червей и вирусов, обладает ли оно необходимыми средствами защиты, установлены ли на нем последние версии ПО и т.д. Cisco NAC предоставляет внешним пользователям (например, пассажирам) доступ только к сетям общего пользования и не допускает их в защищенную корпоративную сеть.
 насчитывает четыре подземные линии, парк из 759 вагонов, обслуживающих 65 станций метрополитена, 188 автобусных маршрутов, 1567 автобусов и 94 микроавтобуса.&image=https://nag.ru/uploads/material/images/9193/social_cover.png)
