Документ посвящен системам предотвращения сетевых вторжений IBM Proventia, которые обеспечивают защиту от атак, в том числе и тех, для которых нет официальных патчей. Основное внимание уделяется технологии виртуального патча, которая позволяет закрывать уязвимости до выпуска обновлений производителем. Кроме того, описание включает преимущества использования таких систем, производительность и способы подключения, а также значимость защиты веб-приложений от специфических угроз.

1. Network Intrusion Prevention Systems Вопросы по продуктам IBM ISS высылайте по эл. почте: issru@ru.ibm.com Сетевые системы предотвращения атак

2. О чем пойдет речь Что такое система предотвращения атак Зачем нужна система предотвращения атак Помощь в защите от уязвимостей Virtual Patch Защита от утечек Защита WEB приложений Способы подключения IPS Производительность линейки Proventia IPS Выгоды от использования IPS

3. Что такое Intrusion Prevention System? Система предотвращения атак – программно-аппаратный комплекс для обнаружения и блокирования тех атак, которые пропускают межсетевые экраны. Proventia IPS не только блокирует атаки, но и занимается контролем сетевых соединений и контролем утечек данных. Есть программная версия IPS под VmWare.

4. Текущие проблемы безопасности которые может решать IPS Отказы сервисов в случае DoS атак Несанкционированный доступ к сетевым ресурсам Растущее число патчей к различным системам Растущие требования к соответствию стандартам Недостаток собственных специалистов-безопасников

5. Проблема 1 Администраторы не успевают устанавливать патчи “ У нас занимает 30 дней чтобы инсталлировать одно обновление на все наши 110 баз” - US Air Force “ Это бесконечный цикл в попытке удержать равновесие” - Toyota

6. Проблема 2 Реакция хакеров все быстрее

7. Проблема 3 На половину уязвимостей нет патчей! Почти половина ( 49%) всех уязвимостей, обнаруженных в 1-ом полугодии 2009г, не имеют патчей на конец полугодия * Производители, у которых обнаружено не менее 20 уязвимостей **IBM 82 уязвимости , нет патчей 3 - 3.7%

8. Решение - Технология Virtual Patch™ Virtual Patch™ выходит задолго до официального выпуска заплатки производителем Обнаружение уязвимости на узлах сети приводит к автоматической реконфигурации сенсоров системы обнаружения атак

9. Проактивная работа в 2009 -м году Примеры проактивной защиты на странице X-Force Alert&Advisory: http://www.iss.net/threats/ThreatList.php Microsoft PowerPoint Remote Code Execution Vulnerability Exploitation: April 02, 2009 Protection since: November 14, 2006 ( 2 ½ years ahead ) Reference: http://www.iss.net/threats/322.html Microsoft Excel Remote Code Execution Vulnerability Exploitation: February 23, 2009 Protection since: November 14, 2006 ( 2 ½ years ahead ) Reference: http://www.iss.net/threats/320.html Adobe Reader and Adobe Acrobat JBIG2 Image Stream Remote Code Execution Exploitation: February 19, 2009 Protection since: February 13, 2008 ( one year ahead ) Reference: http://www.iss.net/threats/319.html Conficker ( подробнее на следующем слайде ) Exploitation: November 21, 2008 - current Protection since: August 6, 2006 ( two years ahead ) Reference: http://www.iss.net/threats/conficker.html

10. Как это было : Conficker Февраль -08 Январь -09 Февраль -09 Март -09 Апрель -09 21 ноября , 2008 Conficker.A замечен в сети 29 декабря , 2008 Conficker.B замечен в сети 20 февраля , 2009 Conficker.B++/C замечен в сети 4 марта , 2009 Conficker.C/D замечен в сети X-Force взломали протокол Peer-to-Peer Коммуникаций червя

11. Proventia Intrusion Prevention обеспечивает временную защиту или “виртуальный патч” для известных уязвимостей Защищает еще непропатченные системы Избавляет от необходимости установки срочных патчей Дает время на тестирование патчей Установка патчей во время обычного обслуживания Windows Virtual Patch

12. Технология обнаружения атак Основана на возможностях модуля РАМ разбирать протоколы Ориентация на качественную идентификацию сетевых протоколов «Понимание» протоколов на уровне команд и данных 802.2 802.3 802.5 802.1q 802.3u 802.3z ah aolim arp automount backorifice bgp bo2k bootp bootparam cmsd dcom dhcp dns email fddi finger fsp ftp gnutella h245 hsrp http icecap icmp icmpv6 ident igmp imap4 ip ipv6 irc java lanman ldap lpr mime mms mountd mpls ms_messenger msrpc napster netbios nfs nis nntp ospf pcanywhere pcnfsd pop3 portmapper pppoe pptp q931 quake radius rexec rfb rip rlogin rsh rtsp selnsvc sgifam smb smtp snmp snmpxdmid sntp socks ssh ssl ssrp statd subseven sunadmind sunrpc syslog talk tcp tds telnet tftp tns tooltalk udp url virus xdmcp xfs xml yahoo_messenger ypbind yppasswdd ypupdated

13. Protocol Analysis Module ● Детальный разбор сетевых протоколов Принцип работы Что предотвращает ● Идентификация и анализ более 2 13 сетевых протоколов, протоколов уровня приложений и форматов файлов данных Обход защиты веб сервера Моделирование уязвимост ей и алгоритм ов Поиск атак, рассредоточенных по нескольким пакетам Выявление аномалий протоколов Контроль протоколов на других портах Определение протоколов по портам Определение протоколов по информации из других соединений Обнаружение туннелирования Уровень приложений Предварительная обработка Блокирование вредоносного кода внутри неисполняемых файлов Анализ контекста Shellcode heuristics Анализ трафика IPv6 Анализ туннел ей IPv6 Анализ туннел ей SIT Обнаружение сканирований Поиск по шаблонам Дополнительные сигнатуры Модуль анализа протокол ов (PAM) Проверка соответсвия RFC Сборка TCP соединений и анализ полного потока Статистический анализ Поиск утечек информации Проверка составных документов Разархивирование gzip, zip & rar XPU’s Обновления безопасности Компьютерные ч ерви Шпионское ПО Пиринговые программы DoS/DDoS Межсайтовый скриптинг SQL- иньекции Фишинг Переполнение буфера

14. Virtual Patch Что делает : Закрывает уязвимости и не позволяет их использовать, независимо от наличия специализированного патча или отсутствия такового , и позволяет реализовать процесс управления обновлениями без риска быть взломанными. Почему это важно: На середину 200 9 года , 49 % всех уязвимостей, открытых в течении полугода, не имели патчей. Threat Detection & Prevention Что делает : Обнаруживает и предотвращает все виды вторжений в том числе и специализированные. Почему это важно: Устраняет необходимость постоянного обновления сигнатур . Защита включает запатентованную технологию Shellcode Heuristics (SCH) , которая является непревзойденной по уровню защиты от zero-day уязвимостей . Content Analysis Что делает : Отслеживает незашифрованные персональные данные и другую конфиденциальную информацию . Позволяет отслеживать существующие потки данных в сети, что помогает выявлять потенциальные риски . Почему это важно: Гибкие и масштабируемые критерии поиска данных ; играет важную роль в реализации политики безопасности компании. Web Application Security Ч то делает : Защищает Web приложения от специализированных атак на уроне приложения таких как SQL Injection, XSS (Cross-site scripting), PHP file-includes, CSRF (Cross-site request forgery). Почему это важно: Реализует защиту отвечающую требованиям регуляторов и современным угрозам Network Policy Enforcement Что делает: Управляет рисками и политиками безопасности внутри выделенных сегментов сети , контролирует ActiveX fingerprinting, Peer To Peer, Instant Messaging, and tunneling . Почему это важно: Позволяет реализовать работу приложений и служб в соответствии с требованиями политики безопасности. Расширяемая платформа защиты PAM является основным движком проактивной защиты и используется во многих решения IBM семейства Proventia. PAM является фундаментом для 5 основных технологий защиты IBM ISS .

15. Content Enforcement Поддерживается на линейке Proventia Network IPS G/GX Включает 8 заданных сигнатур персональных данных - Personal Identifiable Information (Pii) ( см. таблицу ) Включает 10 определяемых пользователем сигнатур анализа контента Поддерживает как входящие так и исходящие соединения Работает в режиме inline и passive Выдает сообщения или блокирует 8 заданных сигнатур Pii и определяемых пользователем Content Enforcement поддерживает протоколы : * Включая инспекцию вложений Контроль утечек критичной информации Мгновенные сообщения Пиринговые сети SMTP Основной Web трафик Составные документы

16. Контроль утечек критичной информации Параметры: Регулярное выражение Минимальное число совпадений Строка описания события Создание собственных сигнатур Пример: номер мобильного телефона [^-]((\x2B7)|8)[- ]?9[18][0-9][- ]?\d{3}[- ]?\d{4}[^-]

17. Уязвимости Web- приложений по-прежнему доминируют 50.4% всех уязвимостей приходится на web- приложения Инъекции SQL и межсайтовый скриптинг ( Cross-Site Scripting ) самые частые уязвимости

18. Proventia Web Application Security защищает WEB приложения и противостоит сложным видам атак SQL (Structured Query Language) Injection XSS (Cross-site scripting) PHP (Hypertext Preprocessor) file-includes CSRF (Cross-site request forgery) Path Traversal HTTP Response Splitting Forceful Browsing Помогает соответствовать законодательству

19. Независимое тестирование – гарантия качества. http://nsslabs.com/2008/ibm-iss-gx6116-intrusion-prevention-system-achieves-nss-labs-gold-award-and-certification.html Результаты тестов Июнь 2009: 100% Май 2009: 100% Апрель 2009: 100% Март 2009: 98.5% Февраль 2009: 100% Январь 2009: 100% Декабрь 2008: 100% Первый IPS получивший NSS Gold Award за последние 5 лет!

20. Proventia Network IPS Производительность Линейка устройств Proventia Network IPS 40 Gbps

21. Программный IPS под VmWare Защита физической и виртуальной инфраструктуры Все преимущества виртуализации Консолидация Оптимизация Сокращение расходов Гибкость и скорость Повышение доступности Свободен для скачивания на https://my.iss.net Поддерживает VMware ESX GV 200 GV 1000

22. Proventia Network IPS for Crossbeam Поддержка лезвий Crossbeam APM Встроенный коммутатор Балансировка нагрузки Маршрутизация трафика high availability Резервирование портов Standby blades Box-to-box HA Производительность До 1 0 Гбит/сек на лезвие (Макс производительность до 40Гбит / сек на X80 )

23. IBM Proventia® Network Security Controller (NSC) NSC поддерживает два 10 Гбит канала NSC IPS IPS

24. Три режима работы IPS Активная защита от атак Блокировка вредоносног о нежелательного трафика Обеспечение беспрепятственного прохождения санкционированного трафика IPS IDS Simulation IDS Точное обнаружение вторжения Поддержка портов SPAN Поиск вредоносного или нежелательного трафика Эмуляция Симуляция предотвращения Отсутствие блокирования Оповещения о событи ях которые не были заблокированы

25. Рекомендуемая схема для IPS IPS после межсетевого экрана для защиты ядра IPS после WLAN шлюза IPS после WAN маршрутизатора IPS перед ЦОД IPS для защиты DMZ Места установки IPS

26. Управление Proventia Network IPS Управление и контроль SiteProtector™ Proventia Manager (LMI) Командная строка Управление политиками На каждое устройство На каждый порт На каждый VLAN На каждый блок IP адресов Добавление своих правил / SNORT / TRONS Реагирование Блокировать Игнорировать Логировать и Собрать доказательства Email Карантин SNMP Определяет пользователь

27. Надежность Proventia Network IPS High Availability: Полное восстановление состояния при неисправности Два варианта : Active - Active Active - Passive

28. Надежность Proventia Network IPS Автоматический режим работы модуля обхода позволяет трафику идти в обход IPS в случае : Неисправности IPS Отключения питания Исключительных ситуаций с ПО Резервирование компонентов *: Жестких дисков Блоков питания Вентиляторов охлаждения * Применяется в GX5008, GX5108, G2000 и GX6116

29. Как попробовать наши решения? Программно-аппаратные решения 1. Обратиться в IBM ISS или к нашим Партнерам Программные продукты 1. Зарегистрироваться на сайте http s :// my. iss.net/ 2. Зайти в раздел downloads , выбрать и скачать 3. Обратиться в IBM ISS за ключами

30. IBM Proventia Network Intrusion Prevention System Основные преимущества Основная цель ISS это «качественная защита» Полная защита – обеспечивает высочайший уровень защищенности, наименьшую цену, большее число заблокированных атак. Наши сигнатуры блокируют от неизвестных атак в том числе. Лидер независимых тестов. 100% блокирование атак c низким уровнем ложных срабатываний Обработка трафика на скоростях до 40Гбит / секунду Поддерживает непрерывность бизнеса и уменьшает затраты на защиту Не нужно покупать 5 устройств для защиты вашей сети, а только одно устройство, которое обеспечивает защиту на 5 уровнях по низкой цене, чтобы поддерживать бизнес и делать его эффективнее . Нет нужны высококвалифицированные собственные эксперты по компьютерной безопасности. Снижение расходов на трафик из-за блокирования несанкционированных пиринговых программ torrent, edonkey и др. Активный аудит используемых протоколов и приложений Обучение сотрудников управлению устройством за 1 день

31. 12/29/09 Questions? IBM Команда IBM ISS в России Телефон +7 (495) 775-88-00 Эл. почта [email_address] У нас есть недостающая часть .