Современные web-угрозы и методы эффективного противодействия
1. Современные web-угрозы и методы эффективного противодействия Руководитель направления контент-безопасности Владимир Бычек v.bychek@aladdin.ru Киев, 22апреля 2010 года
4. Рубежи обороны Вектор атаки Этап атаки Передаваемые пакеты данных Дальнейшие действия вредоносного кода Подозрительный контент Выполнение полезной нагрузки – нанесение ущерба Известные типы данных Загружается вредоносный код (этап 1) Активный контент Выполняется эксплойт, используя соответствующую уязвимость Web-сайт Пользователь входит на сайт с внедренным вредоносным кодом или открывает фишерское сообщение Уровень сканирования Анализ файлов Анализ характера данных Проверка активных элементов Фильтрация трафика приложений 4
14. Инспектирование WEB-трафика Блокирование динамических угроз, связанных с современным Web 2.0 контентом Глубокий анализ Web 2.0 контента в режиме реального времени Проактивное детектирование всех вредоносных и подозрительных вредоносных скриптов и фрагментов кода Блокирование только вредоносных и подозрительных фрагментов кода. Доставка легитимного контента очищенным Абсолютная прозрачность для пользователя (полное отсутствие задержки) 8
21. Неавторизованные коммуникации Блокирование по сигнатурам протоколовкоммуникаций Spyware/adware приложений Блокирование неавторизованного туннелирования HTTP Tunneling HTTP (SSL) Tunneling HTTP OVER SSL (HTTPS) TOR, HAMACHI etc. Блокирование неавторизованных программ удаленного управления 13
22. Блокирование Анонимайзеров Предотвращение попыток нарушения политик безопасности (обхода средств защиты) и блокирование анонимных прокси на трех уровнях: Доступа (URL-фильтрация) Блокирование сайтов из категории анонимных прокси Блокирование некатегоризированных сайтов Протоколов (Фильтр приложений) Блокирование HTTP туннелинга и ряда методов, используемых анонимайзерами для обхода систем защиты Блокирование туннелинга Разрешение использования только доверенных сертификатов Анализа контента (SSL/TLS): Блокирование использования самоподписанных сертификатов Обеспечение политик работы с сертификатами Итог – блокирование до 100% анонимных прокси. 14
23. Популярные web-приложения Блокирование по сигнатурам протоколовраспространенных программ: Клиентов файлообменных сетей (P2P): BitTorrent, DC++, eDonkey, Gnutella etc. Skype Клиентов программ обмена мгновенными сообщениями (IM) ICQ/AOL, MSN Messenger, Google Talk, Mail.ru Agent, Yahoo Messenger etc. Блокирование возможности передачи файлов посредством IM (ICQ/AOL, Google Talk, MSN Messenger etc.) Блокирование потоковых multimedia: Потоковое видео/аудио Потоковое флэш видео Zatoo TV 15
24. Социальные сети (Web 2.0++) Тонкое управление доступом к популярным социальным сетям: Сегодня: Facebook Hyves Viadeo Linked-In MS Mesh Одноклассники !!! Скоро: ВКонтакте* Многие другие… * Уже сегодня – блокирование видео внутри категорий 16
31. Управление и Мониторинг Иерархическая система управления Информативные панели с информацией о критических параметрах системы в реальной времени Централизованное управление Централизованный анализ результатов работы 21
43. Управление и журналирование Журналирование в реальном времени всех событий, связанных с фильтрацией контента Интеграция с SIM/SEM через SNMP или Syslog Уведомление о тревожных событиях (Alarms) по email 25
53. Сценарии установки (гибкость) Поддерживаемые сценарии Inline, Мост, Маршрутизатор, Прокси (FWD, Full) Используемые платформы Virtual appliance (VACD) VMWare Специальные аппаратные серверы Отказоустойчивостьи Балансировка нагрузки Кластеры с использованием простейших концентраторов или коммутаторов Кластеры с использованием балансировщиков нагрузки 3ихизготовителей Кластеры с использованием by-pass карт (штатная компонента каждого сервера) eSafe 29