IBM Proventia Network IPS

1. Network Intrusion Prevention Systems Вопросы по продуктам IBM ISS высылайте по эл. почте: issru@ru.ibm.com Сетевые системы предотвращения атак

5. Проблема 1 Администраторы не успевают устанавливать патчи “ У нас занимает 30 дней чтобы инсталлировать одно обновление на все наши 110 баз” - US Air Force “ Это бесконечный цикл в попытке удержать равновесие” - Toyota

6. Проблема 2 Реакция хакеров все быстрее

10. Как это было : Conficker Февраль -08 Январь -09 Февраль -09 Март -09 Апрель -09 21 ноября , 2008 Conficker.A замечен в сети 29 декабря , 2008 Conficker.B замечен в сети 20 февраля , 2009 Conficker.B++/C замечен в сети 4 марта , 2009 Conficker.C/D замечен в сети X-Force взломали протокол Peer-to-Peer Коммуникаций червя

12. Технология обнаружения атак Основана на возможностях модуля РАМ разбирать протоколы Ориентация на качественную идентификацию сетевых протоколов «Понимание» протоколов на уровне команд и данных 802.2 802.3 802.5 802.1q 802.3u 802.3z ah aolim arp automount backorifice bgp bo2k bootp bootparam cmsd dcom dhcp dns email fddi finger fsp ftp gnutella h245 hsrp http icecap icmp icmpv6 ident igmp imap4 ip ipv6 irc java lanman ldap lpr mime mms mountd mpls ms_messenger msrpc napster netbios nfs nis nntp ospf pcanywhere pcnfsd pop3 portmapper pppoe pptp q931 quake radius rexec rfb rip rlogin rsh rtsp selnsvc sgifam smb smtp snmp snmpxdmid sntp socks ssh ssl ssrp statd subseven sunadmind sunrpc syslog talk tcp tds telnet tftp tns tooltalk udp url virus xdmcp xfs xml yahoo_messenger ypbind yppasswdd ypupdated

13. Protocol Analysis Module ● Детальный разбор сетевых протоколов Принцип работы Что предотвращает ● Идентификация и анализ более 2 13 сетевых протоколов, протоколов уровня приложений и форматов файлов данных Обход защиты веб сервера Моделирование уязвимост ей и алгоритм ов Поиск атак, рассредоточенных по нескольким пакетам Выявление аномалий протоколов Контроль протоколов на других портах Определение протоколов по портам Определение протоколов по информации из других соединений Обнаружение туннелирования Уровень приложений Предварительная обработка Блокирование вредоносного кода внутри неисполняемых файлов Анализ контекста Shellcode heuristics Анализ трафика IPv6 Анализ туннел ей IPv6 Анализ туннел ей SIT Обнаружение сканирований Поиск по шаблонам Дополнительные сигнатуры Модуль анализа протокол ов (PAM) Проверка соответсвия RFC Сборка TCP соединений и анализ полного потока Статистический анализ Поиск утечек информации Проверка составных документов Разархивирование gzip, zip & rar XPU’s Обновления безопасности Компьютерные ч ерви Шпионское ПО Пиринговые программы DoS/DDoS Межсайтовый скриптинг SQL- иньекции Фишинг Переполнение буфера

14. Virtual Patch Что делает : Закрывает уязвимости и не позволяет их использовать, независимо от наличия специализированного патча или отсутствия такового , и позволяет реализовать процесс управления обновлениями без риска быть взломанными. Почему это важно: На середину 200 9 года , 49 % всех уязвимостей, открытых в течении полугода, не имели патчей. Threat Detection & Prevention Что делает : Обнаруживает и предотвращает все виды вторжений в том числе и специализированные. Почему это важно: Устраняет необходимость постоянного обновления сигнатур . Защита включает запатентованную технологию Shellcode Heuristics (SCH) , которая является непревзойденной по уровню защиты от zero-day уязвимостей . Content Analysis Что делает : Отслеживает незашифрованные персональные данные и другую конфиденциальную информацию . Позволяет отслеживать существующие потки данных в сети, что помогает выявлять потенциальные риски . Почему это важно: Гибкие и масштабируемые критерии поиска данных ; играет важную роль в реализации политики безопасности компании. Web Application Security Ч то делает : Защищает Web приложения от специализированных атак на уроне приложения таких как SQL Injection, XSS (Cross-site scripting), PHP file-includes, CSRF (Cross-site request forgery). Почему это важно: Реализует защиту отвечающую требованиям регуляторов и современным угрозам Network Policy Enforcement Что делает: Управляет рисками и политиками безопасности внутри выделенных сегментов сети , контролирует ActiveX fingerprinting, Peer To Peer, Instant Messaging, and tunneling . Почему это важно: Позволяет реализовать работу приложений и служб в соответствии с требованиями политики безопасности. Расширяемая платформа защиты PAM является основным движком проактивной защиты и используется во многих решения IBM семейства Proventia. PAM является фундаментом для 5 основных технологий защиты IBM ISS .

16. Контроль утечек критичной информации Параметры: Регулярное выражение Минимальное число совпадений Строка описания события Создание собственных сигнатур Пример: номер мобильного телефона [^-]((2B7)|8)[- ]?9[18][0-9][- ]?{3}[- ]?{4}[^-]

20. Proventia Network IPS Производительность Линейка устройств Proventia Network IPS 40 Gbps

23. IBM Proventia® Network Security Controller (NSC) NSC поддерживает два 10 Гбит канала NSC IPS IPS

31. 12/29/09 Questions? IBM Команда IBM ISS в России Телефон +7 (495) 775-88-00 Эл. почта [email_address] У нас есть недостающая часть .