Stonesoft, a McAfee Group Company: новые угрозы – новые решения

  • 222 views
Uploaded on

Презентация с семинара "Stonesoft, a McAfee Group Company: новые угрозы – новые решения" 8 апреля 2014 года. Подробнее: http://www.ngsec.ru/events/3292/

Презентация с семинара "Stonesoft, a McAfee Group Company: новые угрозы – новые решения" 8 апреля 2014 года. Подробнее: http://www.ngsec.ru/events/3292/

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
222
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Преимущества и функциональные возможности решений 08 апреля 2014г.
  • 2. Вид атак Внедрение SQL-кода Целевой фишинг DDoS Физический доступ Вредоносные программы XSS Атака Watering Hole (букв. «водопой») Неизвестная Означает атаку на местный язык или иностранное отделение Размер круга показывает относительное воздействие инцидента на стоимость для бизнеса Резюме: • Количество неизвестных и необнаруженных атак • Уязвимы все отрасли • Только известные атаки Источник: Отчет IBM X-Force о тенденциях и рисках за 2013 г. 2
  • 3. Взломы в мире за последний год • 800 CIO в США, Великобритании, Германии, Франции, Австрии, Бразилии и Южной Африке • 22% подтвердили факт проникновения (+6% не уверены) –  40% из них верят, что причиной взлома были АЕТ –  За последние 12 месяцев затраты от взлома более 1 млн.$ –  17% были уверены, что у них есть защита от АЕТ • Специализированные решения (для защиты от АЕТ – например, McAfee NGFW) добавляют новый рубеж защиты –  Принцип эшелонированной обороны Источник: http://www.mcafee.com/us/about/news/2014/q1/20140331-01.aspx
  • 4. Статистика вокруг АЕТ • 40% всех ЛПР уверены, что они не способны детектировать АЕТ –  2/3 признали, что основная сложность – убедить совет директоров в реальности АЕТ • 1% от 800 млн. известных техник могут детектироваться «рядовым» МЭ • Средняя стоимость взлома за последние 12 месяцев – 1 млн.$ –  Для финансового сектора – в 2 раза больше – порядка 2 млн.$ –  + потери для репутации и бренда Источник: http://www.mcafee.com/us/about/news/2014/q1/20140331-01.aspx
  • 5. Знания и стандарты АЕТ • Менее 50% могут дать корректное определение АЕТ • 17% из «взломанных» были уверены, что у них есть защита от АЕТ • На самом деле известно более 800 млн. комбинаций • 80% поддерживают стандартизацию решений по защите от АЕТ Источник: http://www.mcafee.com/us/resources/reports/rp-security-industry-dirty-little-secret.pdf
  • 6. Определения 6 APT ВРЕДОНОСНЫЕ ПРОГРАММЫ ПОВЫШЕННОЙ СЛОЖНОСТИ И С ОБХОДОМ ЗАЩИТЫ ДЛЯ АТАК НА УЗЛЕ Вредоносные программы повышенной сложности и с обходом защиты СЛОЖНЫЕ СЕТЕВЫЕ МЕТОДЫ ОБХОДА ЗАЩИТЫ (ADVANCED EVASION TECHNIQUES) AET ПОСТОЯННАЯ УГРОЗА ПОВЫШЕННОЙ СЛОЖНОСТИ (ADVANCED PERSISTENT THREAT) Злоумышленник с высокой мотивацией, осуществляющий целенаправленную атаку. Использует множество методов взлома и сложные вредоносные программы, чтобы проникнуть в сеть и остаться незамеченным в течение длительного периода времени. Для повышения доли успешных попыток проникновения часто использует сложные методы обхода защиты». Любые вредоносные программы, предназначенные для скрытной деятельности на пораженных конечных точках и целевых узлах.» Особая техника взлома, предназначенная для обхода всех защитных устройств и незаметной доставки вредоносного кода или эксплойта к цели. Сложные методы обхода защиты могут применяться для доставки эксплойтов и вредоносного содержимого как известного, так и неизвестного характера».
  • 7. Как защищаются от АЕТ • 61% уверен, что у них есть решение от АЕТ –  50 % - IPS –  57% - IDS –  Endpoint •  Ни одно из них не защищает «по умолчанию» от АЕТ! • 50% ответили, что знают вендора, который предоставляет защиту от АЕТ –  75% назвали компанию, которая на самом деле защиты не предоставляет! • В итоге: защищаются в основном от эксплоитов и зловредного ПО (malware) Источник: http://www.mcafee.com/us/resources/reports/rp-security-industry-dirty-little-secret.pdf
  • 8. Почему думать надо сегодня? 8 •  Какие результаты показывают ведущие средства сетевой защиты следующего поколения при обнаружении AET? 7 тестовых примеров (червь Conficker) Успешные атаки с использованием AET (не обнаруженные) Разделение эксплойта на IP-фрагменты 70 % Разделение эксплойта на TCP-фрагменты 90 % Использование «серых» областей протоколов для скрытия эксплойта 90 % Изменение методов кодирования байтов 40 % Сегментирование и изменение последовательности TCP-пакетов 80 % Сегментирование и изменение последовательности TCP-пакетов + «экстренные» данные 90 % Отправка пакетов TCP со старыми метками времени (PAWS) 80 %
  • 9. Демонстрация! Май 5, 20149
  • 10. McAfee Evader 10 ГОТОВАЯ ЛАБОРАТОРИЯ ТЕСТИРОВАНИЯ МЕТОДОВ ПРЕДОТВРАЩЕНИЯ ОБХОДА ЗАЩИТЫ Загрузить бесплатную версию EVADER
  • 11. Состав и функциональность решений 11
  • 12. Архитектура управления и защиты Май 5, 201412 Сервер веб портала Сервер управления Сервер сбора событий АдминистраторПользователь| служба поддержки Веб портал Клиент управления (GUI) (SMC) Сторонние устройства SSL VPNIPSL2 FWNGFW / VPN
  • 13. Новая эра решений класса Next Generation Объединенные NGFW… •  С защитой конечных точек •  С глобальной базой данных по угрозам •  С решениями защиты от проникновений «продвинутые» NGFWs •  Централизованное управление для больших сетей •  Высокая доступность •  Защита от техник обхода (АЕТ) NGFWs первого класса •  инспекция •  Информация о приложениях и пользователях Традиционные МЭ время Полнотапредставленияфункцийбезопасности 2012 2014201320081988
  • 14. Как подружить требования от сети, безопасности и администраторов «Сетевики» •  Доступность сервиса •  Производительность •  Управляемый QoS •  Избежание простоев сети «Безопасники» •  Проверенная защита от угроз •  Потоянные обновления и поддержка •  Отчеты и аналитика •  Высокая точность, подробность CIO (руководитель) •  Решение должно быть в целом лучшем в своем классе для защиты ключевых активов и напрерывности бизнеса •  Хорошая цена – соотношение стоимости и вложений McAfee NGFW удовлетворяет всем требованиям Администраторы •  Полноценный (комплексный) взгляд на сеть •  Простые в использовании утилиты и автоматизация рабочих операций (workflow)
  • 15. ЦОДы и облачные сервисы Конфиденциальная информация Непрерывность бизнеса и приложений Критичные сетевые объекты Распределенные и «общие» (MSSP) виды бизнеса Финансовые транзакции и активы Соответствие разным требованиям Заказчиков Отличное решение для распределенных организаций, требующих комплексной безопасности, масштабируемости и простоты выполнения операций
  • 16. Что выгодно отличает McAfee NGFW? Унифицирован ное программное ядро Сильное централизован ное управление Высокая доступность / кластеризация Защита от техник обхода (АЕТ) Концепция «объединенной безопасности»
  • 17. NEXT GENERATION FIREWALL FIREWALL LAYER 2 FIREWALL IPS Военные Глобальные ENTERPRISE COMMERCIAL SMB VPN ПО Виртуальное решение Устройство (appliance) Унифицированное программмное ядро Гибкое решение «с доставкой на дом» McAfee Настраиваемые уровни безопасности для удовлетворения требований по внедрению Высокая производительность даже с функциями инспекции трафика
  • 18. Унифицированное программное ядро Возможность трансформации между разными ролями Переключить NGFW между разными режимами NGFW IPS FW/VPN L2FW NGFW Позволяет адаптироваться к динамическим потребностям бизнеса – никаких обновлений лицензий или «железа» NGFW IPS FW/VPN
  • 19. Унифицированное программное ядро Эффект ТCO Обычные затраты McAfee Изменение ландшафта угроз Требуется больше производительности Жесткие требования к безопасности для развития бизнеса Лицензия по принципу «все в одном» позволяет легко бюджетировать решение и поддерживать «плоский» уровень ТСО даже в перспективе Суммарныезатраты
  • 20. Почему управляемость так важна? 20 •  Сейчас как никогда ранее ... совокупной стоимости владения средствами защиты составляют эксплуатационные затраты. И со временем они будут только увеличиваться. ОБЪЕМ РАБОТЫ РАСТЕТ, А КОЛИЧЕСТВО РЕСУРСОВ УМЕНЬШАЕТСЯ. 80 % ... инцидентов/нарушений безопасности — это результат влияния человеческого фактора и сложности защитной инфраструктуры. СЛОЖНОСТЬ СИСТЕМ РАСТЕТ. ВАША ЗАЩИТА ОСТАНЕТСЯ НАДЕЖНОЙ, ЕСЛИ ПОЛЬЗОВАТЬСЯ ЕЙ СТАНЕТ ПРОСТО. 4/5 ... можно повысить скорость реагирования, если иметь более точные контекстуальные данные и обеспечивать осведомленность о ситуации. В ЕДИНОМ интерфейсе. МЫ НЕ ДОЛЖНЫ ОСТАВЛЯТЬ «СЛЕПЫХ ЗОН». в 4 раза
  • 21. Одна мощная система управления 21 •  для всех устройств, местоположений и технологий, использующих McAfee Next Generation Firewall McAfee Security Management Center (SMC) МЭ/VPN Система IPS Проверка подлинности МЭ 2 уровня МЭСП МЭСП — ОДНО ЕДИНОЕ УСТРОЙСТВО МЕСТОПОЛОЖЕНИЯ ДАННЫЕ СТОРОННИХ ЖУРНАЛОВ ТЕХНОЛОГИИ — виртуальные («облако») физические смешанные
  • 22. SMC McAfee Security Management Center •  Политики безопасности с расширенным контекстом •  Поддержка MSP/общих служб •  Визуализация данных и встроенные средства анализа журналов •  Обнаружение попыток обхода защиты и аномалий •  Эффективность рабочих процессов •  Иерархия политик и псевдонимов •  Автоматизация настройки и защиты СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ ОПТИМИЗАЦИЯ РЕСУРСОВ ПЕРЕДОВАЯ ЗАЩИТА 22
  • 23. СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ Визуализация данных журналов и мощные средства для проведения экспертиз 23
  • 24. СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ Обнаружение и оповещение 24 •  Отображение местонахождения злоумышленников, предпринявших попытки обхода защиты Местоположение известно: 82,1 % Частные ресурсы: 15,2 % Неизвестно: 2,7 %
  • 25. Управление политиками McAfee Palo Alto Check Point Отличная Средняя Плохая ЭФФЕКТИВНОСТЬПРОДУКТА Управление VPN Автоматическое обслуживание Поддержка нескольких администраторов Каждый программный модуль управляет своей политикой. Создание ячеистой VPN занимает 5–10 мин на тоннель. Не позволяет запланировать удаленную установку новых версий с помощью пользовательского интерфейса. Ограничивает возможности сопоставления ролей администраторов шаблоном «один к одному». Сравнение с продуктами конкурентов ОПТИМИЗАЦИЯ РЕСУРСОВ 25
  • 26. Спросите у тех, кто знает! 26 ИСПЫТАТЕЛЬНЫЕ ЛАБОРАТОРИИ И АНАЛИТИКИ... «... NGFW — это хорошее решение для многих задач... обычно для обеспечения централизованного управления и в случаях, когда важно обеспечить защиту от атак, в которых используются средства обхода защиты». «Решение SMC дополняет систему управления межсетевым экраном, интуитивно-понятно и просто в использовании. Развертывание предварительно заданных политик выполняется просто и эффективно. Установка и настройка заняли очень мало времени». «... это решение позволяет управлять защитой как виртуальных, так и физических сетей, обеспечивая согласованное применение политик безопасности… Рабочие процессы администрирования оптимизированы, что способствует максимальной эффективности повседневных процессов управления средствами защиты». КЛИЕНТЫ… 85 % утверждают, что выбрали McAfee NGFW из-за SMC утверждают, что остаются клиентами McAfee из-за McAfee Security Management Center 92 %
  • 27. “Я могу обновить кластер МЭ, не потеряв ни одного пакета.” – пользователь МcAfee NGFW Высокая доступность Встроенная кластеризация «Active-Active-…» Узел1 Узел 6 … 16 Узел 2 Узел 3 Узел 5Узел 4 . Разные платформы и версии ПО
  • 28. MPLS $$$$ за Мбит/с в месяц 28
  • 29. ADSL/ кабельное подключение $ за Мбит/с в месяц 29
  • 30. 400 раз ДО Разница в стоимости 30
  • 31. 31 Стала ли технология лучше в 400 раз?
  • 32. 32 Увеличилась ли скорость в 400 раз?
  • 33. Стала ли защита в 400 раз лучше?
  • 34. 34 Единственное отличие лишь в соглашении об уровне обслуживания. Но что, если...
  • 35. 99,99 % лишь за часть цены? ... вы можете добиться той же степени доступности на уровне 3 5
  • 36. ADSL/ кабельное подключение MPLS 36
  • 37. 37
  • 38. McAfee Augmented VPN 38 •  Качество обслуживания Головной офис Удаленное отделение Удаленное отделение MPLS ИНТЕРНЕТ ИНТЕРНЕТ Низкий приоритет ERP, CRM… Высокий приоритет Низкое время задержки
  • 39. 2Мбит/с 2Мбит/с 4Мбит/с 39
  • 40. Mbps Mbps Mbps = up to Mbps + Высокая доступность Технология Мulti-Link и VPN-ы нового поколения + Эффективные по затратам и безопасные подключения между сетями с конфигурируемой надежностью и емкостью
  • 41. 41
  • 42. McAfee Augmented VPN 42 •  Высокая степень доступности Головной офис Удаленное отделение MPLS ! ИНТЕРНЕТ ИНТЕРНЕТ Низкий приоритет Удаленное отделение Управление взаимодействием с заказчиками Высокий приоритет Низкое время задержки
  • 43. 43
  • 44. Стоимость подключения из расчета на одно удаленное отделение 44 •  Совокупная стоимость владения за 5 лет 12 000 000 $ 9 000 000 $ 6 000 000 $ 3 000 000 $ 1 8 15 22 29 36 43 50 57 64 71 78 85 92 99 46 % При стоимости канала MPLS со скоростью 4 Мбит/с (1 800 долл./мес.) и стоимости широкополосного доступа в Интернет (33 долл.) решение FW-1035 в центральном отделении и решение FW-315 в удаленных отделениях, включая систему McAfee Security Management Center с 3-летней базовой поддержкой всех продуктов. Augmented VPN (MPLS + ADSL) Количество удаленных отделений MPLS
  • 45. Стоимость подключения из расчета на одно удаленное отделение 45 •  Совокупная стоимость владения за 5 лет Количество удаленных отделений 12 000 000 $ 9 000 000 $ 6 000 000 $ 3 000 000 $ 1 8 15 22 29 36 43 50 57 64 71 78 85 92 99 Augmented VPN 2x ADSL 95 % При стоимости канала MPLS со скоростью 4 Мбит/с (1 800 долл./мес.) и стоимости широкополосного доступа в Интернет (33 долл.) решение FW-1035 в центральном отделении и решение FW-315 в удаленных отделениях, включая систему McAfee Security Management Center с 3-летней базовой поддержкой всех продуктов. MPLS
  • 46. McAfee ePO Управление хостами McAfee GTI Репутация в облаке ESM SIEM Расширенная защита от угроз (решение АТD) OTP Аутентификация McAfee Antivirus/GAM Стратегия «объединенной безопасности» McAfee Security Connected McAfee NGFW Комплексное решение по безопасности, объединяющее защиту от угроз на уровне сети и узла, а также управление SMC & локальное управление
  • 47. Web Protection Social Media Protection Email Protection Achieve Cyber Readiness Intelligence-Driven Response Protect Critical Infrastructures Counter Stealth Attacks Exploding Data Continuous Monitoring Compliance Reporting Protect Devices Reporting Real Time Visibility Targeted Attacks Identity Protect IP Identity Protection Enable the Workforce BYOD/ Mobile App Protection OS Protection (Legacy, Win7/8, Android, Mac) Cloud Virtualization Servers/ Networks Database Security Encryption Identity and Access Control Data Protection Data Loss Prevention Next Gen IPS Next Gen Firewall COMPREHENSIVE MALWARE PROTECTIONNEXT GENERATION ENDPOINT SITUATIONAL AWARENESS WEB AND IDENTITY DATA CENTER TRANSFORMATION NEXT GENERATION NETWORK Web Protection Social Media Protection Email Protection Achieve Cyber Readiness Intelligence-Driven Response Protect Critical Infrastructures Counter Stealth Attacks Exploding Data Continuous Monitoring Compliance Reporting Protect Devices Reporting Real Time Visibility Targeted Attacks Identity Protect IP Identity Protection Enable the Workforce BYOD/ Mobile App Protection OS Protection (Legacy, Win7/8, Android, Mac) Cloud Virtualization Servers/ Networks Database Security Encryption Identity and Access Control Data Protection Data Loss Prevention Next Gen IPS Next Gen Firewall COMPREHENSIVE MALWARE PROTECTIONNEXT GENERATION ENDPOINT SITUATIONAL AWARENESS WEB AND IDENTITY DATA CENTER TRANSFORMATION NEXT GENERATION NETWORK Intel Security – «большая картина» безопасности
  • 48. ПЕРЕДОВАЯ ЗАЩИТА •  Пользователи •  Приложения •  Время •  Устройства •  Зоны •  Местоположения •  Уровни доверия при проверке подлинности •  Журналы аудита •  Ситуации •  Уровень безопасности •  Уязвимости ... и многое другое! Расширенный контекст для детальной и адаптивной настройки защиты 48 •  Расширьте возможности системы и получите больше возможностей для контроля
  • 49. Защита от угроз Май 5, 201449 •  Защита от угроз в режиме реального времени и контроль приложений для ЦОД, операторов связи, организаций •  Инспекция трафика на основе уязвимостей обеспечивает защиту от известных, «zero-day» и зашифрованных атак • Защита от методов атак на базе техник обхода • Anti-Botnet для обнаружения ботнет сетей и широкого покрытия по разным семействам ботнет FW/VPN, IPS, L2FW •  Переполнение буфера •  Инжектирование кода •  Cross-site scripting (CSS) •  Перебор директорий •  Эскалация привилегий •  SQL инъекция •  Связь с бэкдорами •  Обнаружение сканирований •  DoS/DDoS •  Обнаружение ботнет
  • 50. Инспекция потоков Май 5, 201450 •  Полная нормализация протоколов –  Гарантирует реконструкцию данных для анализа на всех уровнях стека •  Инспекция по сигнатурам в зависимости от протоколов –  Возможность инспекции уровня приложений для обнаружения эксплоитов в нормализованных потоках данных •  Инспекция по сигнатурам вне зависимости от прикладного протокола –  Любой TCP или UDP протокол •  Инспекция по регулярным выражениям заданным администратором –  Стандартный синтаксис регулярных выражений –  Конвертер сигнатур для Snort ® •  Идентификация приложений –  Возможность задания своих настроек для приложений Internet Intranet Data Services FW/VPN, IPS, L2FW
  • 51. Идентификация приложений Май 5, 201451 • Контроль приложения НСД и полоса пропускания • Идентификация приложений все зависимости от используемого порта • Привязка приложения к заданному порту • Журналирование и мониторинг приложений
  • 52. Идентификация пользователей Май 5, 201452 • Stonesoft User Agent может пересылать информацию об учетной записи из журналов MS AD –  Политики могут оперировать соединениями на основании имени пользователя или группы –  Правило не зависит от IP адреса
  • 53. Технологий McAfee NGFW Anti-Botnet Май 5, 201453 Расшифрование • ZeroAccess • Sality P2P • Fareit • Nitol • … Анализтрафика • Reveton • Palevo • ... Сигнатуры • Conficker • SpyEye • Tedroo • Winwebsec • ... ZeroAccess Sality Conficker Zeus Palevo Reveton SpyEye Fareit Ramnit Vobfus Эффективная комбинация методов для обеспечения точного обнаружения и исключения ложных срабатываний
  • 54. Методы технологии Anti-Botnet Май 5, 201454 •  Обнаружение путем расшифрования –  Деобфускация или расшифрование канала управления ботнетом –  Обнаруживает известные характеристики канала управления, номер порта, несущий протокол, протокол шифрования и ключевой материал •  Анализ последовательности длины сообщений –  Извлечение информации о длине сообщения из TCP/UDP потока и передача на модуль анализа последовательности длины сообщений для детектирования C&C каналов •  Анализ на соответствие сигнатурам –  Извлечение потоков данных, передаваемых по TCP/UDP анализ их на соответствие сигнатурам бонетов –  Анализ по сигнатурам комбинируется с расшифрованием и анализом последовательностей длин сообщений
  • 55. SSL/TLS инспекция (сервера) Май 5, 201455 •  Защита сервера от зашифрованных атак •  Защита от утечек данных –  Раскрытие конфиденциальной информации –  Персональные данные •  Регулятивные требования –  PCI DSS •  Нерегулятивные драйверы –  Контрактные обязательства –  Защита от возможной плохой репутации 10101010101010 01010101010101 10101010101010 01010101010101 Зараженный клиент FW/VPN, IPS, L2FW
  • 56. SSL/TLS инспекция (клиента) Май 5, 201456 •  Защита клиента от зараженных Web сервисов •  Предотвращение утечек данных –  Раскрытие конфиденциальной информации –  Кража интеллектуальной собственности •  Регулятивные требования •  Фильтрация веб- трафика по категориям –  Применение веб-фильтров даже для HTTPS 10101010101010 01010101010101 10101010101010 01010101010101 Зараженный сервер FW/VPN, IPS, L2FW
  • 57. URL фильтрация Май 5, 201457 •  URL фильтрация на основе категорий • Ручные белые списки • Настраиваемые ответные действия для пользователя • Легкая и точная настройка через стандартные правила и политики FW/VPN, IPS, L2FW
  • 58. Детектирование сканирований Май 5, 201458 • Обнаружение сканирований хостов и портов • ICMP, UDP, TCP (SYN/FIN) • Поддержка IPv4 и IPv6 • Контролируется через правила доступа FW/VPN, IPS, L2FW
  • 59. DoS/DDoS защита Май 5, 201459 • Защита от Syn flood атак •  DoS/DDos методы защиты HTTP медленными запросами • ограничение одновременных соединений • Автоматический антиспуфинг – правила создаются автоматически (МЭ) • QoS и TCP SYN ограничения на каждый интерфейс • Сжатие записей журналов уменьшает количество записей при атаке (без потери информативности) FW/VPN, IPS, L2FW
  • 60. Защита от техник обхода Техники обхода – что, почему и когда? Май 5, 201460 •  Способ сокрытия атаки •  Цель – обойти устройства безопасности, не оставив следов •  Очень сложно отследить –  Неограниченное количество вариантов и комбинаций •  Многие сетевые устройства доказали свою неэффективность ”Attack”McAfee NGFW протестирован на более чем 800 миллионах техник обхода и их комбинациях Устройство защиты Уязвимая цель атаки A c k t a t Attack A c k t a t A c k t a t
  • 61. Защита от техник обхода Принципиальное различие Традиционная архитектура инспекции t a! t! a! ? McAfee NGFW полная потоковая нормализация по всему стеку протоколов Агенты протоколов t a! c k! a t! c k! attack! ! Эффективность зиждется на полной нормализации трафика перед инспекцией
  • 62. Что McAfee/StoneSoft делает по-другому? 62 Решения McAfee для защиты сетей Другие продукты для защиты сетей Видимость всего стека McAfee декодирует и нормализует трафик на всех уровнях протоколов. Анализ ограниченного набора уровней Удаление средств обхода защиты в процессе нормализации Процесс нормализации удаляет средства обхода защиты до проверки потока данных. Проверка отдельных сегментов или «псевдопакетов» Обнаружение угроз путем анализа потоков данных приложений Для обнаружения эксплойтов в нормализованных потоках данных уровня приложений используются цифровые отпечатки с информацией об уязвимостях. На основе информации об уязвимостях и эксплойтах, обнаружение шелл-кода, сопоставление баннеров и не более Внутрифирменные исследования и инструменты Гарантия качества защиты от средств обхода защиты благодаря автоматическому нечеткому тестированию на средства обхода защиты. Общедоступная информация и сторонние инструменты Обновления и новые версии Технология противодействия средствам обхода защиты, реализованная в NGFW, обновляется автоматически. Охват ограниченного количества средств обхода защиты и запаздывающая установка обновлений
  • 63. 63 Возможность удаления средств обхода защиты ограничена или отсутствует. Бо́льшая часть трафика не подвергается очистке от средств обхода защиты и проверяется с использованием ограниченной контекстной информации. Функции декодирования и проверки протоколов ограничены и не позволяют повысить скорость работы. Обнаружение и блокирование эксплойтов: если средства обхода защиты не удалены на всех уровнях, то обнаружение эксплойтов ненадежно или невозможно. Вертикальный контроль Трафик данных 1 2 3 Уровни протоколов приложений (потоки) Сегменты уровня TCP, «псевдопакеты» Пакеты уровня IP 3 2 1 Другие Что McAfee/StoneSoft делает по-другому?
  • 64. 64 •  Процесс нормализации и проверки всего стека на основе горизонтального анализа потока данных …Область непрерывной проверки… Нормализация трафика на всех уровнях протоколов как непрерывный процесс Процесс удаления сложных средств обхода защиты очищает трафик и делает эксплойты видимыми Обнаружение эксплойтов в потоке данных, полностью очищенном от средств обхода защиты Оповещения и отчеты об атаках с использованием средств обхода защиты рассылаются через систему управления Трафик данных Уровни протоколов приложений (потоки) Сегменты уровня TCP, «псевдопакеты» Пакеты уровня IP 1 1 1 2 3 4 1 2 3 4 McAfee NGFW Что McAfee/StoneSoft делает по-другому?
  • 65. Защита от техник обхода Насколько сложно сделать технику обхода? C утилитой Evader получить доступ к “защищенной” сети также легко как:Выбор эксплоита1 Идентификация цели атаки2 Cisco Palo Alto Networks Check Point Fortinet Juniper SourceFire Tipping Point Выбор техники обхода3
  • 66. Гибкий портфель устройств McAfee NGFW Май 5, 201466 • Одно устройство для разных задач • Модульные аппаратные платформы • Компактные FW/VPN устройства для филиалов (315, 105) • Усиленный корпус для требовательных инфраструктур 1000 Series 1400 Series 3200 Series 5200 Series NGFW-MIL-320 2G 20G 60G 120G SMC (…2000 устройств) Одно гармонизированное семейство устройств Защита инвестиций за счет модульности и простой схемы лицензирования
  • 67. Признание сторонними организациями Позиционируется VISIONARY в «Enterprise Network Firewall Gartner Magic Quadrant» за 2013г. Результаты тестирования NSS Labs в 2013г.: RECOMMENDED х 3! Source: Gartner 2013 Enterprise Network Firewall Gartner Magic Quadrant ВЕРИФИЦИРОВАН на соответствие качеству защиты, производительности Заявления независимых экспертов отрасли ИБ 67
  • 68. Признание отечественными организациями Первый зарубежный продукт, сертифицированный как самостоятельное СКЗИ (КС1/КС2) Серийное производство решений: •  МЭ 3-го класса •  4-й уровень НДВ Российские регуляторы отрасли ИБ 68
  • 69. Решения StoneSoft, a McAfee Company обеспечивают Эффективная защита от техник обхода и других угроз Адаптацию к динамической среде безопасности организации Операционная эффективность и высокая доступность для непрерывности бизнеса Целостный подход к сетевой безопасности «подключенная безопасность»
  • 70. Поддержка всего набора ЛПР McAfee NGFW способен удовлетворить все потребности Руководство C-Level Сетевые инженеры Network Специалисты по ИБ Security
  • 71. ü Доступность сервиса ü производительность ü Управляемый QoS ü Никаких простоев Решение сетевых вопросов 71 Доступность, Масштабируемость, Гибкость –  Высокая доступность и кластеризация до 16 устройств –  Высокая производительность – до 120 Гб/с –  VPN нового поколения – подключение без затрат –  Интегрированные сервисы балансировки нагрузки –  Развертывание в офисах без вмешательства администратора –  Гибкость вложений: аппаратные комплексы, ПО или виртуальные машины Network
  • 72. Решение вопросов ИБ (и сети) 72 Единый информационный центр –  Управление до 2,000 устройств как если бы оно было всего одно §  Обнаружение сложных ошибок в политиках в «один клик» §  Возможность множественного управления для распределенных инфраструктур §  Единая консоль для ситуационного анализа Network Security ü Полная картина сети ü Легкие в использовании утилиты ü Легкая автоматизация стандартных операций (workflow)
  • 73. Решение вопросов ИБ 73 Более сильная защита §  Единственное устройство, которые защищает от 800+ миллионов техник обхода §  Увеличение уровня безопасности без потерь производительности §  Интеграция с репутационным сервисом (Global Threat Intelligence) – 1H 2014 §  Интеграция с лучшим решением в части анализа вредоносного ПО в отрасли (Advanced Threat Defense) – 2H 2014 §  Отлично зарекомендовал себя в тестах NSS Labs Security ü Проверенная защита от вредоносного ПО ü Постоянные обновления безопасности и поддержка ü Отчеты и аналитика
  • 74. Ответ на требования бизнеса 74 Решение для потребностей «большого бизнеса» §  Улучшенная операционная эффективность, доступность (uptime) §  Уменьшенная сложность §  Улучшенный TCO и эффективность вложения инвестиций §  Улучшенная защита от угроз §  Четкие аудируемые отчеты C-Level ü Лучшее решение по совокупности факторов для обеспечения непрерывности бизнеса ü Необходимые функции для защиты ключевых активов ü выгодно – хорошее соотношение «качество/цена»