Киберпреступность отступает?

© 2013 Imperva, Inc. All rights reserved.
Киберпреступность отступает??
Confidential1
0
200
400
600
800
1000
1200
1400
1600
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
2012: худший год по количеству утечек данных
Source: DataLossDB.org
1512
Incidents over Time

Решения Imperva для защиты веб-
приложений и СУБД – 10 лет на рынке
Confidential2

17.7
32.1
39.3
55.4
78.3
104.2
0.0
20.0
40.0
60.0
80.0
100.0
120.0
2007 2008 2009 2010 2011 2012
Оборот ($M)
Обзор Imperva
Confidential3
Миссия
Защита бизнес-приложений и конфедециальных
данных от современных атак и утечек
Сегмент рынка
Безопасность бизнеса, безопасность данных
Мировое присутствие
 Основана в 2002
 Глобальное присутствие, штаб-квартира в США
 450+ сотрудников
 Заказчики в 60+ странах
Наши заказчики
2,200+ заказчиков продуктов Imperva; тысячи
клиентов облачных сервисов
 8 из топ 10 глобальных телеком. провайдеров
 5 из топ 10 американских коммерческих банков
 6 из топ 10 российских банков
 2 из 3 российских мобильных операторов
 4 из топ 5 глобальных производителей hardware
 200+ государственных заказчиков

Кто и зачем?
Confidential5
Правительство
- Stealing Intellectual Property (IP) and raw data, and spying
- Мотивация: политика и национализм
- Методы: направленные атаки
Организованная преступность
- Stealing IP and data
- Мотивация: выгода
- Методы: направленные атаки, фрод
Хактивисты
- Exposing IP and data, and compromising the infrastructure
- Мотивация: политические события, идеология, «демонстрация силы»
- Методы: направленные атаки, отказ в обслуживании (DoSDDoS)

Угроза инсайда
Доверенный пользователь, имеющий
легитимный доступ и совершающий утечку
интелектуальной собственности компании
или другой бизнес-критичной информации.
Зачем он это делает:
• Намеренно
• Случайно
• Скомпрометирован
Insider Threat Defined!

Internal
Employees
Malicious Insiders
Compromised Insiders
Data Center
Systems and Admins
Auditing and
Reporting
Attack
Protection
Usage
Audit
User Rights
Management
Access
Control
Tech. Attack
Protection
Logic Attack
Protection
Fraud
Prevention
External
Customers
Staff, Partners
Hackers
User Rights
Management
Assessment & Risk Management
Комплексный портфель решений
Confidential12
Imperva’s Mission is to Provide a Complete Solution

 Комплексное решение для
защиты данных
 Простота развертывания и
администрирования
 Соответствие стандартам
информационной безопасности
 Русскоязычная поддержка
 Собственный
исследовательский центр
Imperva SecureSphere

Архитектура решения
Confidential14
SecureSphere
for SharePoint
File Activity
Monitoring
Management
Server (MX)
Database
Activity
Monitoring
Web
Application
Firewall
INTERNET
Imperva
Agent
Imperva
Agent
Network
Monitoring
Network
Monitoring
Native
Audit
Internal
Users

Поизционирование на рынке
15 Confidential

WAF
• Виртуальный патчинг
• Защита от атак (SQL code
injection, XSS, directory
traversal, RFI)
• Защита от атак на бизнес-
логику (i.e. site scraping
and comment spam)
• Защита от фрода
• Аудит использования
• MS SharePoint Protection
• Legacy Application
Protection
• PCI 6.6
• Защита от утечек данных
DAM
• Виртуальный патчинг
СУБД
• Аудит
привелегированного
доступа
• Управление правами
• Ограничение доступа
• Data Across Borders
Protection
• Защита от утечек
• Поиск и классификация
• Аудит доступа к
конфиденциальной
информации
• Защита данных VIP-
клиентов
FAM
• Управление правами
• Контроль доступа
• Поиск собственников
• Аудит доступа к
конфиденциальной
• Перераспределение прав
пользователей
• Защита данных VIP
• Поиск и классификация
Полноценная защита Web, Database, File и SharePoint
Примеры
использования
Как Imperva поможет защитить данные?

Imperva дополняет имеющуюся
инфраструктуру
Confidential19
 Специализированные решения для SAP, OEBS,
PeopleSoft, SharePoint
 Интеграция со сторонними производителями:
• Vulnerability Scanning
• SIEM
• DLP
• Fraud Management
• Endpoint Protection
• Cloud

Audit
Enterprise Users
The Internet
SQL
Injection
XSS
IIS Web
Servers
Application
Servers
MS SQL
Databases
Web-Application
Firewall
Activity Monitoring &
User Rights Management
Excessive
Rights
Administrators
DB Activity Monitoring
& Access Control
Unauthorized
Changes
Audit
Unauthorized
Access
Imperva для защиты SharePoint

Технология Virtual Patching и интеграция со сканерами
уязвимостей
 SecureSphere может импортировать
результаты сканирования для мгновенного
создания политик безопасности
 Дает время для устранения уязвимостей или
обновления ПО
Customer
Site
Scanner finds
vulnerabilities
SecureSphere imports
scan results
Web applications
are protected

Интеграция с DLP

X1000 X2000 X2500 X4500 X6500
Throughput 100 Mbps 500 Mbps 500 Mbps 1Gbps 2 Gbps
HTTP TPS 8,000 22,000 22,000 36,000 44,000
Recommended
Web Servers
10 50 50 100 200
FTL / Form Factor No (1U) No (1U) Yes (2U) Yes (2U) Yes (2U)
Total Ports 4 4 4 8 8
Storage capacity 500GB 500GB 2 x 500GB 2 x 1TB 2 x 1TB
SSL Acceleration N N Optional Optional Included
Fibre Channel,
LOM, or HSM
N N Optional Optional Optional
High Availability
Fail Open, VRRP,
IMPVHA
Fail Open, VRRP,
IMPVHA
Fail Open, VRRP,
IMPVHA
Fail Open, VRRP,
IMPVHA
Fail Open, VRRP,
IMPVHA
SecureSphere Hardware Appliances

SecureSphere Virtual Appliances
V1000 V2500 V4500
Web Throughput 100 Mbps 500 Mbps 1Gbps
HTTP TPS 8,000 22,000 36,000
Recommended
Web Servers
10 50 100
Supported
Products
WAF
WAF, DAM, DBF,
FAM, FFW
WAF, DAM, DBF,
FAM, FFW
Minimum Hardware Requirements
Hypervisor VMWare ESX/ESXi 3.5 (or later)
Processor Dual core server (Intel VTx or AMD-V)
Memory 2 GB
Hard Drive 250 GB
Network Interface Hypervisor-supported network interface card

 Надежная защита web-приложений, БД и
файловых серверов
 Мониторинг нарушений безопасности в
реальном масштабе времени
 Полноценный аудит с высокой степенью
достоверности
 Простота развертывания и администрирования
 Соответствие стандартам безопасности
• Сертификат ФСТЭК по ТУ на SecureSphere 8.0, WAFDBFile
• Ведутся работы по сертификации SecureSphere 10.0 – ТУ+НДВ
 Квалифицированная сервисная поддержка
Почему Imperva?

Ключевые международные заказчики
- CONFIDENTIAL -29 - CONFIDENTIAL -29
Government Technology OtherMedia/Telco

Web Application Firewall
30 Confidential

Гранулированная
многоуровневая защита
Простое внедрение в любую
инфраструктуру
Удобное и простое
управление с технологией
Dynamic Profiling
И многое другое...
Imperva SecureSphere
Пожалуй лучший Web Application Firewall

Dynamic Profiling
Attack Signatures
HTTP Protocol Validation
Cookie Protection
Web Fraud Detection
Fraud Prevention
Technical Attack
Protection
Business Logic
Attack Protection
CorrelatedAttackValidation
IP Geolocation
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Комплексная безопасность требует обдуманной защиты
приложений

Центр Imperva
ADC исследует
новые угрозы
по всему миру
Imperva Application
Defense Center
Internal Users
SecureSphere
Web Servers
INTERNET
Системы
SecureSphere
обладают
новейшими
противомерами
Определение сканирования сети и самих
атак с помощью сигнатур
Сигнатуры определяют попытки
сканирования и атаки

SecureSphere останавливает атаки типа
SQL Injection, XSS
Hacker SecureSphere
WAF
/login.php?ID=5 or 1=1
SQL Injection SQL Injection
Engine with
Profile Analysis
Signature,
Protocol
Violations
Блокирование однозначных
соответствий, отправка
подозрительных запросов на
дополнительный анализ
Продвинутый анализ значительно снижает
уровень ложных срабатываний
SQL Injection Engine
блокирует даже
нетиповые атаки
Web
Server

Анализируя трафик, SecureSphere
автоматически учит…
Directories
URLs
Параметры
Ожидаемое
поведение
пользователя
Может как оповещать, так и блокировать
отклонения от нормы
SecureSphere «изучает» защищаемое
приложение

0
100
200
300
400
500
600
700
1-Jun 6-Jun 11-Jun 16-Jun 21-Jun 26-Jun
636
243
32
33
76
55 40 25 21 11 13 28 24 18
41
7 4 5 7 4 8 11 15 2 3 4 1
 Сокращение сроков развертывания с месяцов до дней
 Снимает нагрузку с администраторов
 5-15 изменений в неделю равноценны 5-30 человекочасам конфигурирования
Дата
Изменениепрофиля
Изучение
приложения и
поведения
Адаптация к
изменениям
Динамическое профилирование во времени

DB Security
39 Confidential

Ключевой функционал
CONFIDENTIAL
Поиск и
классификация
Поиск
«чувствительной»
•Поиск в активных базах
•Поиск мошеннических БД
•Определение областей
мониторинга
SecureSphere DAS
Rogue
SSN
Credit Cards
PII

CONFIDENTIAL
Активный аудит
Сбор и хранение
отчетности доступа к
БД
•Соответствие
требованиям
регуляторов
•Проведение экспертизы
и анализа
DatabasesUsers
SecureSphere
DAM
Audit Details
Audit Policies
Контроль
привилегированного
доступа
Мониторинг
привилегированных
пользователей
•Разделение полномочий
•Мониторинг всей
активности
•Возможность
блокировки
Database Agent
AppliancePrivileged
User
Audit Policies

CONFIDENTIAL
Аналитика
Детализированный
лог аудита,
наглядные,
интеррактивные
отчеты
•Ускоряет
расследование
инцидентов
•Упрощает compliance
Блокировка
Мониторинг
активности
•Предотвращение
неавторизованного
доступа
•Активная защита
UPDATE orders set client ‘first
Unusual Activity
X
Allow
Block
Network User,
DBAs, Sys Admin
X

CONFIDENTIAL43
Отчетность
Наглядный
интерфейс
•Анализ угроз
•Упрощение
планирования ИБ
PCI, HIPAA, SOX…
Custom
Оповещение
Оповещение в
реальном
времени
•Быстрое
определение
вектора атаки
•Предотвращение
утечек
Email
SYSLOG
Dashboard
SIEM

Межсетевые экраны нового поколения
Palo Alto Networks

© 2012 Palo Alto Networks. Proprietary and Confidential.Page 74 | © 2007 Palo Alto Networks. Proprietary and ConfidentialPage 74 |
О компании

О компании Palo Alto Networks
• Palo Alto Networks - это Network Security Company
• Команда мирового класса с богатейшим опытом в области безопасности
и сетевых технологий
- Основана в 2005 году, первый заказчик – июль 2007 года
• Специализация на межсетевых экранах нового поколения, способных
распознавать и контролировать 1700+ приложениями
- Межсетевой экран – ключевой элемент инфраструктуры сетевой безопасности
- Использует инновационные технологии: App-ID™, User-ID™, Content-ID™, WildFire™
• 10 000+ корпоративных заказчиков в 100+ странах мира, 40+ из которых
внедрили решение стоимостью более $1 000 000
- Одно из самых успешных размещений на Нью-Йоркской фондовой бирже (PANW)
- Устойчивый рост в течение 9 последних кварталов
© 2012 Palo Alto Networks. Proprietary and Confidential.Page 75 |

Palo Alto Networks в России
Более 2,5 лет на российском рынке
25+ текущих крупнейших корпоративных и государственных заказчиков, в т.ч.
Ростелеком (Электронное Правительство), МТС, МЧС, РЖД, Еврохим, СГК
Локальный офис, большой пул демо-оборудования старших моделей
Развитая экосистема партнеров (Gold, Platinum)
Тех. поддержка 24 х 7 х 365, склад RMA в РФ
Авторизованный учебный центр на русском языке, курсы каждые 2 мес.
Сертификат ФСТЭК и НДВ на МЭ и IPS (PA-5000/2000/500):
• АС класса защищенности до 1Г включительно;
• ИСПДн до 1 класса включительно (соответствие 152-ФЗ).

Контроля приложений нет
• Анализ трафика 2000+ организаций: что происходит в современной сети?
- 68% приложений (бизнес и пользовательских) для работы используют порты 80 и 443 или
динамические порты, в т.ч. потоковое видео (13% пропускной способности)
- Приложения, помогающие обойти политики безопасности, доступны каждому (бесплатные
прокси – 81%, удаленный доступ к рабочему столу 95%, SSL туннели)
- Очень широко распространены файл-обменные сети (P2P – 87%; браузерные)
- 80+ социальных сетей (растет число, функциональность, нагрузка на сеть)
Page 79 |
Риски использования таких приложений:
непрерывность бизнеса, потери данных,
продуктивность, финансовые затраты
© 2012 Palo Alto Networks. Proprietary and Confidential.

Приложения изменились, а межсетевые экраны - нет
Межсетевой экран должен восстановить контроль над сетью
НО…приложения изменились
• Порты ≠ Приложения
• IP-адреса ≠ Пользователи
• Пакеты ≠ Контент
Политики межсетевых
экранов базируются на
контроле:
• Портов
• IP-адресов
• Протоколов

Приложения являются источником рисков
Приложения сами могут
быть “угрозами”
• P2P file sharing, туннельные
приложения, анонимайзеры,
мультимедиа
Приложения могут
способствовать
распространению угроз
• Qualys Top 20 уязвимостей:
основные угрозы – это угрозы
уровня приложений
Приложения и угрозы уровня приложений создают бреши в системе безопасности

«Помощники» межсетевого экрана не помогают!
• Сложная топология и нет «прозрачной» интеграции
• «Помощники» межсетевого экрана не имеют полного
представления о трафике – нет корреляции
• Дорогостоящее и дорогое в обслуживании решение
Internet
• Использование отдельных функциональных модулей в
одном устройстве (UTM) делает его ОЧЕНЬ медленным

Межсетевой экран нового
поколения

Пусть межсетевой экран делает свою работу!
Новые требования
для межсетевого экрана:
1. Идентификация приложений
2. Идентификация пользователя
3. Защита против угроз
4. Многоуровневая детализация и
контроль
5. Высокая производительность

Что Вы видите… с портовым МСЭ + надстройкой
IPS для распознавания приложений

Что Вы видите с полноценным Межсетевым Экраном
Нового Поколения

Технологии идентификации изменили
межсетевой экран
•App-ID™
•Идентификация
•приложений
•User-ID™
•Идентификация
•пользователей
•Content-ID™
•Контроль данных

Архитектура однопроходной параллельной
обработки
Один проход
• Каждый пакет
сканируется только один
раз
• При сканировании
одновременно
определяется:
- Приложение
- Пользователь/группа
- Контент – угрозы, URL
и т.д.
Параллельная
обработка
• Специализированное
аппаратное обеспечение
для каждой задачи
• Разделение Data plane и
Control plane
•До 20 Гбит/с, низкая задержка

Управление

Средства управления, отчетности и интеграции
• Web GUI, SSH, XML API
• Централизованное управление – ПО
Panorama + М-100
• Богатая отчетность из коробки
• Отправка логов по Syslog, SNMP
• Интеграция с SEIM/SIM (например,
HP ArcSight, Symantec SIM)

Централизованное управление с использованием
ПО Panorama
• Централизованное
логирование и отчетность
• Централизованное
обновление
• Централизованная
настройка
Page 94 |
• Ролевое
администрирование
Software Content
Clients
-----
-----
-----

Распределенная система централизованного
управления и сбора логов – устройства М-100
Page 95 |
Экономия пропускной способности каналов WAN за
счет агрегации в логов в удаленных объектах

Семейство платформ и
функционал операционной системы

© 2012 Palo Alto Networks. Proprietary and ConfidentialPage 97 |
Семейство платформ Palo Alto Networks
PA-2050
• 1 Gbps МЭ
500 Mbps предотв.атак
250,000 сессий
• 4 SFP, 16 RJ-45 gigabit
PA-2020
• 500 Mbps МЭ
PA-500
• 250 Mbps МЭ
64,000 сессий
• 8 copper gigabit
PA-5050
• 10 Gbps МЭ
5 Gbps предотвращение атак
2,000,000 сессий
• 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12
RJ-45 gigabit
PA-5020
• 5 Gbps МЭ
1,000,000 сессий
PA-5060
• 20 Gbps МЭ
4,000,000 сессий
• 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 RJ-
45 gigabit
PA-200
• 100 Mbps МЭ
50 Mbps предотв. атак
64,000 сессий
• 4 copper gigabit
4 Gbps МЭ
12 copper gigabit
8 SFP interfaces
PA-3050
2 Gbps МЭ
12 copper gigabit
8 SFP interfaces
PA-3020
VM Series (VMware)
VM-100, 200, 300
1 Gbps МЭ
9 VMNICs (L1/L2/L3/Tap)
4094 L2/L3 sub-interfaces

Основной функционал операционной системы
• Network
- Динамическая маршрутизация (BGP, OSPF,
RIPv2)
- Режим мониторинга – подключение к
SPAN-порту
- Прозрачный (L1) / L2 / L3 режимы
- Маршрутизация по политикам (PBF)
- IPv6
• VPN
- Site-to-site IPSec VPN
- SSL VPN (GlobalProtect)
• Функционал QoS
- Приоритезация, обеспечение
максимальной/гарантированной полосы
- Возможна привязка к пользователям,
приложениям, интерфейсам, зонам и т.д.
- Мониторинг полосы в режиме реального
времени
• Зоновый подход
- Все интерфейсы включаются в зоны
безопасности для упрощения настройки
политик
• Отказоустойчивость
- Active/active, active/passive
- Синхронизация конфигурации
- Синхронизация сессий (кроме РА-200,
VM-series)
- Path, link и HA мониторинг
• Виртуальные системы
- Настройка нескольких межсетевых
экранов в одном устройстве (серии PA-
5000, PA-3000 и PA-2000)
• Простое и гибкое управление
- CLI, Web, Panorama, SNMP, Syslog,
NetFlow, интеграция с SIEM/SIM
Идентификация и контроль приложений, пользователей и контента
дополняются следующим функционалом

VM-series – межсетевой экран
нового поколения для защиты
среды виртуализации VMware

VM-series: назначение и реализация
© 2012 Palo Alto Networks. Proprietary and Confidential.Page 105
|
VM-series – межсетевой экран нового поколения, который
обеспечивает применение инновационных технологий Palo Alto
Networks в среде виртуализации, включая:
• App-ID
• User-ID
• Content-ID (IPS, AV/AS, WildFire, URL-фильтрацию, блокировку
файлов)
Это ключевое отличие Palo Alto Networks VM-series от
виртуальных портовых МЭ, таких как vShield.
VM-series реализован как гостевая виртуальная машина (VMware
virtual appliance), исполняемая гипервизором ESXi и подключаемая к
защищаемым сегментам сети (PGs, VLANs), организованным на базе
виртуальных коммутаторов vSwitch/Nexus 1000v.
VM-series обеспечивает контроль, инспекцию и визуализацию
трафика между виртуальными машинами.

WildFire – облачный сервис
обнаружения вредоносного ПО
«нулевого дня»

|
Архитектура WildFire

Пример детального отчета о вредоносном файле
|
•Общая информация
•Имя файла, hash, URL, source & destination, вердикт (вредонос или нет), приложение
•Вердикт •Покрытие AV
•Результаты анализа поведения
•Список подозрительных действий, выполненных файлом в «песочнице»
•Анализ 100+ видов
поведения. Одни
безвредны сами по
себе, другие
используются только
вредоносами.

124 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
1996
2006
#789
Incorporated
1999
Acorn
2001
2005
2002
2004
2000
1998
$500M $1B $2B $2.3B
4800+Сотрудники
Больше чем десятилетие инноваций
1000 1500
Доход
M-Series
T-Series
SSG
UAC
2500 3500
2007
T-1600
5300+
$2.8B
MX
2008
EX-series
10 Gig IDP

Juniper Networks – Факты
 Создана в 1996
 Доходы $2.3 млрд., стабильное
финансовое положение
 5,500+ сотрудников, 140+ в UK
 $400M/ в год затраты на R&D в IP и
Безопасность
 Присутствие в более чем 70 странах
 25 из топ 25 Операторов Услуг
 Рыночная Доля: #1, #2 или #3 во всех
рыночных сегментах где мы
присутствуем
 Более 8,000 клиентов по всему миру
 6500+ партнеров по всему миру
 Входим в список Fortune 1000
 Участник NASDAQ-100 Gold
 Участник S&P 500
Leadership Quadrant
для:
• WAN
Маршрутизации
• Firewall
• IPSec VPN
• SSL VPN
• WAN Аккселерации
Признанный технологический лидер в
прессе и по отчетам Gartner

Заказчики Juniper в России/СНГ

ОСОБЕННОСТИ JUNOS
БЕЗОПАСНОСТЬ МАРШРУТИЗАТОРЫ
J Series
M Series
T Series
EX4200
EX8208
EX8216
КОММУТАТОРЫ
EX3200
Одна ОС Один релиз Общая архитектура
J Series Tx Matrix
План обновления
9.4 9.5 9.6
–API–
Module
x
MX Series
Одна ОС для
маршрутизации,
коммутации и
безопасности
Единый релиз
Один feature set
EX2200
SRX3600
SRX5800
SRX210
SRX240
SRX650
SRX100
SRX5600

Киберпреступность отступает?

More Related Content

What's hot

Viewers also liked

Similar to Киберпреступность отступает?

More from S.E. CTS CERT-GOV-MD

Киберпреступность отступает?