Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Fortinet. Дмитрий Рагушин. "Проблемы защиты корпоративного периметра"
1. 1
РАГУШИН ДМИТРИЙ
MAJOR ACCOUNT MANAGER
FORTINET
ТЕЛЕФОН: +7 (916) 109-96-71
EMAIL: dragushin@fortinet.com
ПРОБЛЕМЫ ЗАЩИТЫ
КОРПОРАТИВНОГО ПЕРИМЕТРА
16 МАРТА 2017
УФА
#CODEIB
2. 2
Кратко о Fortinet
#1
по
инсталлированной
базе в мире
$1.27B
Оборот
ОСНОВАНО
2000 БОЛЬШЕ
2.5миллионов
устройств по миру
26%
РОСТ
СОТРУДНИКОВ
4,600+
270,000+
ЗАКАЗЧИКОВ
ЛИДИРУЮЩИЕ
ТЕХНОЛОГИИ
298 патентов
247 ожидается ещё
100+ОФИСОВ
НА БИРЖЕ С
2009
Активно
инвестирует в
Россию
3. 3
Fortinet: История инноваций
Began
Global Sales
FortiGate &
FortiOS 1.0
1st FortiASIC
Content
Processor
FortiManager
FortiOS 2.0
Named
WW UTM
Leader
FG-5000
(ATCA)
FortiOS 3.0
1st FortiASIC
Network
Processor
FortiOS 4.0
IPO
1st FortiASIC
System
On A Chip
FortiAP FortiOS 5.0
& SoC2
1M Units
Shipped
1st 40GbE
Port Security
Appliance
FortiASIC NP6
FortiSandbox
New HQ
1Tbps Firewall
1st 100GbE
Port Security
Appliance
Fortinet
Founded
2000 2002 2003 2004 2005 2009 2010 2012 2013 2014
2.0
4.0
5.0
3.0
SoC
CP
NP6
NP
2015
Internal
Network
Firewall
(INFW)
2M Units
Shipped
Acquired
Meru
Networks
2016
A Security
Fabric
Acquired
AccelOps
FortiASIC CP9
& SOC3
4. 4
Сертификация ФСТЭК
• FG-40C
• FG-60D
• FG-80C
• FG-100D
• FG-300C
• FG-600C
• FG-1000C
• FG-3040B
• FG-3950B
• FG-5001
Действительна до 30 июня 2017г.
ü 3 класс межсетевого
экранирования
ü 4 уровень контроля НДВ
5. 5
Сертификация ФСТЭК – новые требования
• FG-30E
• FG-60E
• FG-100D
• FG-300D
• FG-500D
• FG-600D
• FG-1500D
• FG-3000D
• FG-5001D
• FG-VM
Будет получена до конца марта
2017 года:
ü Есть положительное решение от
ФСТЭК
ü 4 класс защиты тип «А» и «Б»
7. 7
NSS Labs 2016
Наивысший рейтинг NGFW:
ü Security Effectiveness 99.6%
ü Exploit catch rate 99.8%
ü Защита от каждого элемента Kill Chain
8. 8
Безопасный
доступ
Сетевая безопасность Безопасность
приложений
Анализ угроз в действии
Безопасность
Клиенты Облачная
безопасность
Fortinet “Фабрика Безопасности”
Фабрика безопасности защищает от атак на всех участках
Пользователи Данные
IoT Приложения
Масштабируемость Осведомлённость
Эко система
9. 9
Сетевая безопасность для всех сегментов
Устройства
Сегмент
доступа
Сеть Облако
Distributed
Enterprise
Edge Segmentation
Branch
Data Center
North-South
Carrier Private Cloud IaaS/SaaS
WLAN / LAN
Rugged
Embedded System on a Chips Content Processor ASIC Packet Processor ASIC Hardware Dependent
Device
>1G
Appliance
>5G
Appliance
>30G
Appliance
>300G
Chassis
>Terabit
Virtual Machine
SDN/NFV
Virtual Machine
On Demand
Client
Endpoint
Единая панель
управления
Единый источник
обновлений
безопасности
Единая
операционная
система
10. 10
Портфолио продуктов по безопасности
ENTERPRISE
FIREWALL
CLOUD
SECURITY
ADVANCED THREAT
PROTECTION
APPLICATION
SECURITY
SECURE
ACCESS
FortiGate
- Next-Generation FW
- Data Center FW
- Internal Segmentation FW
- Distributed Enterprise FW
FortiWiFi
FortiManager
FortiAnalyzer
FortiSIEM
ForitGate VM (Virtual FW)
FortiGate VMX (SDN Virtual FW)
FortiGate VM for Public Cloud
- AWS
- Microsoft Azure
- OpenStack
FortiSandbox
FortiMail
FortiWeb
FortiClient
FortiCloud Sandboxing
FortiMail
FortiWeb
FortiADC
FortiDDoS
FortiAP
FortiWiFi
FortiCloud AP Management
FortiSwitch
FortiAuthenticator
FortiToken
12. 12
Изменение требований к защите периметра
85% К 2019 году 85% новых внедрений песочниц будут интегрированы с NGFW
$12B Прогноз IDC по рынку сетевой безопасности на 2017 год, рост 9%
50% Количество пользователей NGFW возрастет с 50% до 90% к 2019 (Gartner
Enterprise Firewall MQ 2016)
2017
Рынок идет вслед за угрозами
Stateful
Firewall
NGFW
+ Cloud
Sand-Box
+SSL
Inspection
13. 13
Обнаружение неизвестных угроз становится приоритетом
Code
Continuum
Known Good Probably Good Might be Good
Completely
Unknown
Somewhat
Suspicious
Very
Suspicious
Known Bad
Security
Technologies
Whitelists
Reputation:
File, IP, App,
Email App
Signatures,
Digitally singed
files
Sandboxing Heuristics
Reputation:
File, IP, App,
Email Generic
Signatures
Blacklists
Signatures
58 секунд
Средний срок жизни одного
экземпляра malware
Source:
Verizon 2016 Data Breach Investigations Report, April 2016
14. 14
Необходимость инспекции SSL
Трафик SSL Шифрование Malware
Более 40% Более 50%
веб-браузинга идет в HTTPS (SSL) атак на крупные предприятия реализуются
с использованием шифрования
Source:
Google Web Performance Labs
Source:
Gartner
15. 15
Три проблемы защиты периметра
§ Сложность в управлении
§ Обнаружение неизвестных угроз
§ Инспекция SSL
19. 19
Новый процессор CP9 для FortiGate 200E
① 16x GE RJ45
② 4x GE SFP
③ Резервирование по питанию
20 Gbps
FW Throughput
Рекордные характеристики
по ТСО
6 Gbps
IPS Throughput
1.8 Gbps
NGFW Throughput
Производительность FortiGate 200D vs 200E
NGFW Threat Prevention SSL Inspection
2
1.8
1.6
1.4
1.2
1
0.8
0.6
0.4
0.2
0
Gbps(EntMixTraffic)
20. 20
Обновленный FortiGate 100E
7.4 Gbps
Firewall throughput
2 Million
Concurrent Sessions
30,000
New Sessions/Sec
600 1000 64
SMB
150-200 сотрудников
Yes
500 Mbps
IPS Throughput
360 Mbps
NGFW Throughput
250 Mbps
Threat Protection Throughput
① 14x GE RJ45
② 2x GE RJ45 DMZ
③ 2x GE RJ45 HA
④ 2x GE RJ45 WAN
⑤ 2x GE RJ45/SFP
⑥ Резервирование по питанию
SOC3
22. 22
Проблема #2 – обнаружение неизвестных угроз
Требования
§ Повышение уровня
защищенности
§ Обнаружение неизвестных
угроз
§ Быстрое реагирование
Fortinet NGFW + Security Fabric
§ Предотвращение угроз от FortiGuard
§ FortiSandbox локально или в облаке
§ Мгновенное обновление всех
внедренных компонентов решения
23. 23
FortiGuard Global Threat Intelligence
190 Терабайт семплов атак
18,000 Правил IPS
5,800 Сигнатур приложений
250M
Индексированных веб-
сайтов в 78 категориях
262
Обнаруженные угрозы
нулевого дня
База данных FortiGuard
Intrusion
Prevention
Service
Antivirus
Service
Anti-spam
Service
Web
Filtering
Service
IP
Reputation
Service
Web
Security
Service
Database
Security
Service
Application
Control
Service
Vulnerability
Management
Service
Mobile
Security
FortiSandbox
Cloud
24. 24
Основные функции FortiSandbox
Call Back Detection
Full Virtual Sandbox
Code Emulation
Cloud File Query
AV Prefilter
§ Эмуляция предполагаемой активности
§ Не зависит от ОС и не обнаруживается malware
§ «Предварительная очистка» антивирусным движком
§ Полноценный запуск файла в виртуальной среде
§ Облачная проверка репутации файла
§ Обнаружение попыток установления соединений с C&C
Обмен результатами § Распространение обновлений
§ Пополнение глобальной базы
26. 26
Проблема #3 – инспекция SSL
Требования
§ Гарантированная
производительность
§ Позитивные результаты
независимых тестов
Fortinet NGFW
§ Производительность инспекции SSL
измеряется с включенной IPS
§ В 2017 году выйдет NSS Labs
SSL тест (и мы его ждем))
27. 27
Новый процессор CP9: оптимизирован под SSL
CP8 CP9 Intel Xeon
VPN Performance
C9 Xeon
Power Consumption
В 15 раз быстрее, чем Intel
28. 28
Реальные цифры во всей документации
Параметр Fortinet Вендор А Вендор Б
Firewall
P
(1518/512 /64B
UDP)
▬ P
(1518/512/64B
UDP)
FW + App
Control
P
HTTP 64K
P
HTTP 64K
▬
SSL Inspection
(FW+IPS)
P
TLS 1.2, AES-
SHA, HTTP
100K
▬ ▬
NGFW (FW +
App Control +
IPS)
P
Enterprise Mix
▬ P
Unknown
(private mix)
Threat
Prevention (FW +
App Control +
IPS + AV)
P
Enterprise Mix
P
Unknown
(private mix)
▬
§ Единственный вендор, публикующий
цифры по инспекции SSL
§ Измеряется на AES256-SHA и TLS 1.2
§ С включенной IPS
29. 29
üРешения можно скачать в виде виртуальных машин
üВремя получения виртуальной машины на тест 1-2 дня
üДоступно любое оборудование из нашего демо пула
üДокументация docs.fortinet.com
üВидео документация по настройке video.fortinet.com
üНаш контакт russia@fortinet.com
Ваши вопросы?