More Related Content
Similar to IBM Proventia IPS
Similar to IBM Proventia IPS (20)
IBM Proventia IPS
- 1. IBM Global Technology Services
Network Intrusion Prevention Systems
Сетевые системы предотвращения атак
Денис Батранков
консультант по информационной безопасности IBM ISS
Вопросы по продуктам IBM ISS
IBM Internet Security Systems
Ahead of the threat.™
высылайте по эл. почте:
issru@ru.ibm.com
© 2009 IBM Corporation
- 2. IBM Internet Security Systems
О чем пойдет речь
• Что такое система предотвращения атак
• Зачем нужна система предотвращения атак
• Помощь в защите от уязвимостей Virtual Patch
• Защита от утечек
• Защита WEB приложений
• Способы подключения IPS
• Производительность линейки Proventia IPS
• Выгоды от использования IPS
IBM Proventia Network IPS © 2009 IBM Corporation
- 3. IBM Internet Security Systems
Что такое Intrusion Prevention System?
• Система предотвращения атак – программно-
аппаратный комплекс для обнаружения и блокирования
тех атак, которые пропускают межсетевые экраны.
Proventia IPS не только блокирует атаки, но и занимается
контролем сетевых соединений и контролем утечек
данных. Есть программная версия IPS под VmWare.
IBM Proventia Network IPS © 2009 IBM Corporation
- 4. IBM Internet Security Systems
Текущие проблемы безопасности которые
может решать IPS
• Отказы сервисов в случае DoS атак
• Несанкционированный доступ к сетевым ресурсам
• Растущее число патчей к различным системам
• Растущие требования к соответствию стандартам
• Недостаток собственных специалистов-безопасников
IBM Proventia Network IPS © 2009 IBM Corporation
- 5. IBM Internet Security Systems
Проблема 1
Администраторы не успевают устанавливать патчи
“Это бесконечный цикл в
попытке удержать равновесие”
- Toyota
“У нас занимает 30 дней чтобы
инсталлировать одно
обновление на все наши 110
баз”
- US Air Force
IBM Proventia Network IPS © 2009 IBM Corporation
- 6. IBM Internet Security Systems
Проблема 2
Реакция хакеров все быстрее
IBM Proventia Network IPS © 2009 IBM Corporation
- 7. IBM Internet Security Systems
Проблема 3
На половину уязвимостей нет патчей!
§ Почти половина (49%)
всех уязвимостей,
обнаруженных в 1-ом
полугодии 2009г, не
имеют патчей на
конец полугодия
*Производители, у которых обнаружено не менее 20 уязвимостей
**IBM 82 уязвимости, нет патчей 3 - 3.7%
IBM Proventia Network IPS © 2009 IBM Corporation
- 8. IBM Internet Security Systems
Решение - Технология Virtual Patch™
ü Virtual Patch™ выходит задолго до официального выпуска заплатки
производителем
ü Обнаружение уязвимости на узлах сети приводит к автоматической
реконфигурации сенсоров системы обнаружения атак
IBM Proventia Network IPS © 2009 IBM Corporation
- 9. IBM Internet Security Systems
Проактивная работа в 2009-м году
Примеры проактивной защиты на странице X-Force Alert&Advisory:
http://www.iss.net/threats/ThreatList.php
§ Microsoft PowerPoint Remote Code Execution Vulnerability
§ Exploitation: April 02, 2009
§ Protection since: November 14, 2006 (2 ½ years ahead)
§ Reference: http://www.iss.net/threats/322.html
§ Microsoft Excel Remote Code Execution Vulnerability
§ Exploitation: February 23, 2009
§ Protection since: November 14, 2006 (2 ½ years ahead)
§ Reference: http://www.iss.net/threats/320.html
§ Adobe Reader and Adobe Acrobat JBIG2 Image Stream
Remote Code Execution
§ Exploitation: February 19, 2009
§ Protection since: February 13, 2008 (one year ahead)
§ Reference: http://www.iss.net/threats/319.html
§ Conficker (подробнее на следующем слайде)
§ Exploitation: November 21, 2008 - current
§ Protection since: August 6, 2006 (two years ahead)
§ Reference: http://www.iss.net/threats/conficker.html
IBM Proventia Network IPS © 2009 IBM Corporation
- 10. IBM Internet Security Systems
Как это было: Conficker
21 ноября, 2008 29 декабря, 2008 20 февраля, 2009 4 марта, 2009
Conficker.A замечен в сети Conficker.B замечен в сети Conficker.B++/C замечен в сети Conficker.C/D замечен в сети
Февраль-08 Январь-09 Февраль-09 Март-09 Апрель-09
X-Force взломали
протокол Peer-to-Peer
Коммуникаций червя
IBM Proventia Network IPS © 2009 IBM Corporation
- 11. IBM Internet Security Systems
Virtual Patch
Proventia Intrusion Prevention обеспечивает
временную защиту или
“виртуальный патч” для
известных уязвимостей
n Защищает еще
непропатченные системы
n Избавляет от
необходимости установки
срочных патчей
n Дает время на тестирование
патчей
n Установка патчей во время
обычного обслуживания
Windows
IBM Proventia Network IPS © 2009 IBM Corporation
- 12. IBM Internet Security Systems
Технология обнаружения атак
Основана на возможностях модуля РАМ разбирать протоколы
Ориентация на качественную идентификацию сетевых протоколов
«Понимание» протоколов на уровне команд и данных
802.2 802.3 802.5 802.1q 802.3u 802.3z ah aolim
arp automount backorif bgp bo2k bootp bootpar cmsd
ice am
dcom dhcp dns email fddi finger fsp ftp
gnutella h245 hsrp http icecap icmp icmpv6 ident
igmp imap4 ip ipv6 irc java lanman ldap
lpr mime mms mountd mpls ms_mess msrpc napster
enger
netbios nfs nis nntp ospf pcanywh pcnfsd pop3
ere
portmapper pppoe pptp q931 quake radius rexec rfb
rip rlogin rsh rtsp selnsvc sgifam smb smtp
snmp snmpxdmid sntp socks ssh ssl ssrp statd
subseven sunadmind sunrpc syslog talk tcp tds telnet
tftp tns tooltalk udp url virus xdmcp xfs
xml yahoo_mes ypbind yppasswdd ypupdat
IBM Proventia Network IPS © 2009 IBM Corporation
senger ed
- 13. IBM Internet Security Systems
Protocol Analysis Module
Принцип работы Модуль анализа протоколов (PAM)
● Детальный разбор сетевых Моделирование уязвимостей Проверка соответсвия RFC
и алгоритмов
протоколов
● Идентификация и анализ более 213
Поиск атак, рассредоточенных по Сборка TCP соединений
сетевых протоколов, протоколов нескольким пакетам и анализ полного потока
уровня приложений и форматов
файлов данных Выявление аномалий протоколов Статистический анализ
Контроль протоколов на других портах Shellcode heuristics
Что предотвращает
Определение протоколов по портам Анализ трафика IPv6
Компьютерные черви Определение протоколов по
Анализ туннелей IPv6
информации из других соединений
Шпионское ПО Обнаружение туннелирования Анализ туннелей SIT
Уровень приложений Обнаружение сканирований
Пиринговые программы
Предварительная обработка Поиск по шаблонам
DoS/DDoS
Блокирование вредоносного кода Дополнительные сигнатуры
внутри неисполняемых файлов
Межсайтовый скриптинг
Анализ контекста Поиск утечек информации
SQL-иньекции
Проверка составных Разархивирование
Фишинг
документов gzip, zip & rar
Переполнение буфера
XPU’s
Атаки на WEB браузеры Обновления безопасности
Описание на сайте в файле pam.chm:
www.iss.net/security_center/reference/help/pam
IBM Proventia Network IPS © 2009 IBM Corporation
- 14. IBM Internet Security Systems
Расширяемая платформа защиты
PAM является основным движком
проактивной защиты и используется
во многих решения IBM семейства
Proventia. PAM является фундаментом
для 5 основных технологий защиты
IBM ISS.
Virtual Patch Threat Detection & Content Analysis Web Application Network Policy
Prevention Security Enforcement
Что делает: Что делает: Что делает:
Закрывает уязвимости и Что делает: Отслеживает Защищает Web Что делает:
не позволяет их Обнаруживает и незашифрованные приложения от Управляет рисками и
использовать, предотвращает все виды персональные данные и
независимо от наличия специализированных атак политиками безопасности
вторжений в том числе и другую конфиденциальную на уроне приложения
специализированного внутри выделенных
специализированные. информацию. Позволяет таких как SQL Injection, сегментов сети,
патча или отсутствия отслеживать существующие
такового, и позволяет
XSS (Cross-site scripting), контролирует ActiveX
потки данных в сети, что PHP file-includes, CSRF fingerprinting, Peer To Peer,
реализовать процесс Почему это важно: помогает выявлять
управления (Cross-site request forgery). Instant Messaging, and
Устраняет необходимость потенциальные риски.
обновлениями без риска tunneling.
постоянного обновления Почему это важно:
быть взломанными. сигнатур. Защита включает Почему это важно: Реализует защиту
запатентованную Гибкие и масштабируемые отвечающую требованиям Почему это важно:
Почему это важно: технологию Shellcode критерии поиска данных; регуляторов и Позволяет реализовать
На середину 2009 года, Heuristics (SCH), которая играет важную роль в современным угрозам работу приложений и
49% всех уязвимостей, является непревзойденной реализации политики
открытых в течении служб в соответствии с
по уровню защиты от zero- безопасности компании.
полугода, не имели требованиями политики
day уязвимостей. безопасности.
патчей.
IBM Proventia Network IPS © 2009 IBM Corporation
- 15. IBM Internet Security Systems
Контроль утечек критичной информации
Составные
документы
• Content Enforcement
§ Поддерживается на линейке Proventia Network IPS G/GX
§ Включает 8 заданных сигнатур персональных данных - Personal Identifiable
Information (Pii) (см. таблицу) Мгновенные
сообщения
§ Включает 10 определяемых пользователем сигнатур анализа контента
§ Поддерживает как входящие так и исходящие соединения
§ Работает в режиме inline и passive
§ Выдает сообщения или блокирует 8 заданных сигнатур Pii и определяемых
SMTP
пользователем
• Content Enforcement поддерживает протоколы:
Признаки утечки Протоколы Форматы файлов
Credit Card Number * AOL IM Microsoft Office Documents
Name Text Пиринговые
* Microsoft Messenger сети
Date * Yahoo Messenger RTF
Dollar Amount * IRC XML
Email Address HTML
HTTP
Social Security Number GZIP
FTP
US Phone Number ZIP Основной
US Postal Address SMB
Web трафик
10 User-Defined * SMTP
* IMAP
* POP3
* Включая инспекцию вложений
IBM Proventia Network IPS © 2009 IBM Corporation
- 16. IBM Internet Security Systems
Контроль утечек критичной информации
Создание собственных сигнатур
Параметры:
Регулярное выражение
Минимальное число совпадений
Строка описания события
Пример: номер мобильного телефона
[^-]((x2B7)|8)[- ]?9[18][0-9][- ]?d{3}[- ]?d{4}[^-]
IBM Proventia Network IPS © 2009 IBM Corporation
- 17. IBM Internet Security Systems
Уязвимости Web-приложений по-прежнему доминируют
§ 50.4% всех уязвимостей
приходится на web-
приложения
§ Инъекции SQL и межсайтовый
скриптинг (Cross-Site Scripting)
самые частые уязвимости
IBM Proventia Network IPS © 2009 IBM Corporation
- 18. IBM Internet Security Systems
Proventia Web Application Security защищает WEB приложения
и противостоит сложным видам атак
§ SQL (Structured
Query Language)
Injection
§ XSS (Cross-site
scripting)
§ PHP (Hypertext
Preprocessor) file-
includes
§ CSRF (Cross-site
request forgery)
§ Path Traversal
§ HTTP Response
Splitting
§ Forceful Browsing
§ Помогает
соответствовать
законодательству
IBM Proventia Network IPS © 2009 IBM Corporation
- 19. IBM Internet Security Systems
Независимое тестирование – гарантия качества.
Результаты тестов
§ Июнь 2009: 100%
§ Май 2009: 100%
§ Апрель 2009: 100%
§ Март 2009: 98.5%
§ Февраль 2009: 100%
§ Январь 2009: 100%
http://nsslabs.com/2008/ibm-iss-gx6116-intrusion-prevention-system-achieves-nss-labs-gold-
award-and-certification.html
§ Декабрь 2008: 100%
Первый IPS
получивший NSS
Gold Award за
последние 5 лет!
IBM Proventia Network IPS © 2009 IBM Corporation
- 20. IBM Internet Security Systems
Proventia Network IPS
Линейка устройств Proventia Network IPS
Производительность
40 Gbps
IBM Proventia Network IPS © 2009 IBM Corporation
- 21. IBM Internet Security Systems
Программный IPS под VmWare
Защита
физической и виртуальной
инфраструктуры
Все преимущества
виртуализации
1. Консолидация
2. Оптимизация
3. Сокращение расходов
4. Гибкость и скорость
5. Повышение доступности GV 200
GV 1000
Поддерживает VMware ESX Свободен для скачивания на https://my.iss.net
IBM Proventia Network IPS © 2009 IBM Corporation
- 22. IBM Internet Security Systems
Proventia Network IPS for Crossbeam
• Поддержка лезвий Crossbeam
APM
• Встроенный коммутатор
§ Балансировка нагрузки
§ Маршрутизация трафика
• high availability
§ Резервирование портов
§ Standby blades
§ Box-to-box HA
• Производительность
§ До 10 Гбит/сек на лезвие (Макс
производительность до
40Гбит/сек на X80)
IBM Proventia Network IPS © 2009 IBM Corporation
- 23. IBM Internet Security Systems
IBM Proventia® Network Security Controller (NSC)
NSC поддерживает два 10Гбит канала
IPS
IPS
NSC
IBM Proventia Network IPS © 2009 IBM Corporation
- 24. IBM Internet Security Systems
Три режима работы
IPS
§ Активная защита от атак
§ Блокировка вредоносного нежелательного IPS
трафика
§ Обеспечение беспрепятственного
прохождения санкционированного трафика
IDS
§ Точное обнаружение вторжения
§ Поддержка портов SPAN
§ Поиск вредоносного или нежелательного
трафика
IDS Simulation
Эмуляция
§ Симуляция предотвращения
§ Отсутствие блокирования
§ Оповещения о событиях
которые не были
заблокированы
IBM Proventia Network IPS © 2009 IBM Corporation
- 25. IBM Internet Security Systems
Рекомендуемая схема для IPS
Места установки IPS
A. IPS после межсетевого
экрана для защиты ядра
B. IPS после WLAN шлюза
C. IPS после WAN
маршрутизатора
D. IPS перед ЦОД
E. IPS для защиты DMZ
IBM Proventia Network IPS © 2009 IBM Corporation
- 26. IBM Internet Security Systems
Управление Proventia Network IPS
Управление и контроль Реагирование
• SiteProtector™ • Блокировать
• Игнорировать
• Proventia Manager (LMI)
• Логировать и Собрать
• Командная строка доказательства
• Email
• Карантин
Управление политиками • SNMP
• На каждое устройство • Определяет пользователь
• На каждый порт
• На каждый VLAN
• На каждый блок IP адресов
• Добавление своих правил / SNORT
/ TRONS
IBM Proventia Network IPS © 2009 IBM Corporation
- 27. IBM Internet Security Systems
Надежность Proventia Network IPS
High Availability:
§ Полное восстановление
состояния при
неисправности
§ Два варианта:
üActive - Active
üActive - Passive
IBM Proventia Network IPS © 2009 IBM Corporation
- 28. IBM Internet Security Systems
Надежность Proventia Network IPS
Автоматический режим работы модуля
обхода позволяет трафику идти в обход
IPS в случае:
• Неисправности IPS
• Отключения питания
• Исключительных ситуаций с ПО
Резервирование компонентов*:
üЖестких дисков
üБлоков питания
üВентиляторов охлаждения
* Применяется в GX5008, GX5108, G2000 и GX6116
IBM Proventia Network IPS © 2009 IBM Corporation
- 29. IBM Internet Security Systems
Как попробовать наши решения?
Программно-аппаратные решения
1. Обратиться в IBM ISS или к нашим Партнерам
Программные продукты
1. Зарегистрироваться на сайте https://my.iss.net/
2. Зайти в раздел downloads, выбрать и скачать
3. Обратиться в IBM ISS за ключами
IBM Proventia Network IPS © 2009 IBM Corporation
- 30. IBM Internet Security Systems
IBM Proventia Network Intrusion Prevention
System
Основные преимущества
• Основная цель ISS это «качественная защита»
§ Полная защита – обеспечивает высочайший уровень защищенности, наименьшую
цену, большее число заблокированных атак. Наши сигнатуры блокируют от
неизвестных атак в том числе.
• Лидер независимых тестов. 100% блокирование атак c низким уровнем
ложных срабатываний
• Обработка трафика на скоростях до 40Гбит/секунду
• Поддерживает непрерывность бизнеса и уменьшает затраты на защиту
§ Не нужно покупать 5 устройств для защиты вашей сети, а только одно устройство,
которое обеспечивает защиту на 5 уровнях по низкой цене, чтобы поддерживать
бизнес и делать его эффективнее.
§ Нет нужны высококвалифицированные собственные эксперты по компьютерной
безопасности.
• Снижение расходов на трафик из-за блокирования несанкционированных
пиринговых программ torrent, edonkey и др.
• Активный аудит используемых протоколов и приложений
• Обучение сотрудников управлению устройством за 1 день
IBM Proventia Network IPS © 2009 IBM Corporation
- 31. IBM Internet Security Systems
IBM
У нас есть
недостающая
часть.
Questions?
Команда IBM ISS в России
Телефон +7 (495) 775-88-00
31 Malware/bots Industry Trends - Gunter Ollmann Эл. почта issru@ru.ibm.com
© 2009 IBM Corporation
31 12/29/2009