Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Краткий обзор нововведений ENSv10.1
Усиленная защита, улучшенный скан, упрощенные политики и редизайн интерфейса. На закуску - интеграция с TIE (DXL) и ATD. Ну и мое любимое - конструктор правил Access Protection.
Презентация по направлению McAfee Endpoint Protection.
Защита конечных точек. VSE, HIPS, Application Control.
Новые разработки McAfee совместно с Intel.
Комплекты для защиты серверов и рабочих станций от Intel Security (McAfee).
Рассмотрены основные комплекты EPS и модули, которые в них входят. Более подробно описана работа с консолью еРО и средствами шифрования.
В заключительной части даны практические советы и ссылки на источники достоверной информации.
Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Краткий обзор нововведений ENSv10.1
Усиленная защита, улучшенный скан, упрощенные политики и редизайн интерфейса. На закуску - интеграция с TIE (DXL) и ATD. Ну и мое любимое - конструктор правил Access Protection.
Презентация по направлению McAfee Endpoint Protection.
Защита конечных точек. VSE, HIPS, Application Control.
Новые разработки McAfee совместно с Intel.
Комплекты для защиты серверов и рабочих станций от Intel Security (McAfee).
Рассмотрены основные комплекты EPS и модули, которые в них входят. Более подробно описана работа с консолью еРО и средствами шифрования.
В заключительной части даны практические советы и ссылки на источники достоверной информации.
Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеKaspersky
Александр Коротин, Специалист по анализу защищенности в «Лаборатории Касперского», в своем докладе рассказывает об особенностях безопасности систем управления турбинами в электроэнергетике.
Подробнее о конференции: https://kas.pr/kicsconf2021
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
01.10.14
Описание новых технологий защиты, таких как
"песочница" ATD, шина обмена данными TIE.
Построение системы защиты которая умеет обучаться.
Кроме прочего обзор решений McAfee по
+ защите конечных точек
+ шифрованию данных
~ ~ ~
Информация технического характера.
Предназначена в первую очередь для сотрудников ИТ/ИБ департаментов.
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
Надеемся, что данные предложения помогут Вам эффективно и быстро реализовать защищенный и надежный удаленный доступ для ваших сотрудников, и реагировать на вызовы новых бизнес практик.
Документ как настраивать GlobalProtect на NGFW: http://tiny.cc/GLobalProtect
Запись этой презентации на youtube https://youtu.be/MqrNZ1J-7oE
Техническая презентация решений McAfee (Intel Security) по шифрованию данных.
Рассматривается процесс развертывания и управления.
Подробно расписаны особенности и возможности актуальных версий продуктов.
Содержимое:
- номенклатура решений шифрования
- основы работы с еРО
- Drive Encryption (Win) детально
- Management of Native Encryption (Win, Mac) детально
- File & Removable Media Protection (Win)
- Источники знаний
- Советы из практики
Целевая аудитория:
Руководители ИТ/ИБ подразделений, специалисты по защите информации.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеKaspersky
Александр Коротин, Специалист по анализу защищенности в «Лаборатории Касперского», в своем докладе рассказывает об особенностях безопасности систем управления турбинами в электроэнергетике.
Подробнее о конференции: https://kas.pr/kicsconf2021
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
01.10.14
Описание новых технологий защиты, таких как
"песочница" ATD, шина обмена данными TIE.
Построение системы защиты которая умеет обучаться.
Кроме прочего обзор решений McAfee по
+ защите конечных точек
+ шифрованию данных
~ ~ ~
Информация технического характера.
Предназначена в первую очередь для сотрудников ИТ/ИБ департаментов.
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
Надеемся, что данные предложения помогут Вам эффективно и быстро реализовать защищенный и надежный удаленный доступ для ваших сотрудников, и реагировать на вызовы новых бизнес практик.
Документ как настраивать GlobalProtect на NGFW: http://tiny.cc/GLobalProtect
Запись этой презентации на youtube https://youtu.be/MqrNZ1J-7oE
Техническая презентация решений McAfee (Intel Security) по шифрованию данных.
Рассматривается процесс развертывания и управления.
Подробно расписаны особенности и возможности актуальных версий продуктов.
Содержимое:
- номенклатура решений шифрования
- основы работы с еРО
- Drive Encryption (Win) детально
- Management of Native Encryption (Win, Mac) детально
- File & Removable Media Protection (Win)
- Источники знаний
- Советы из практики
Целевая аудитория:
Руководители ИТ/ИБ подразделений, специалисты по защите информации.
Hydron Danışmanlık, İş Mükemmelliği Danışmanlık Şirketi olarak BT Servis Yönetimi [ITSM],
Çalışan Yetkinlik Geliştirme Yönetimi [HDM],
Çevre, Sağlık ve İş Güvenliği Yönetimi [EHSM],
İş Süreçleri Yönetimi [BPM],
Kurumsal İçerik Yönetimi [ECM],
Kurumsal Kalite Yönetimi [EQM]
Kurumsal Kaynak Planlama [ERP],
Kurumsal Performans Sistemi [CPM],
Kurumsal Risk Yönetimi [ERM],
Kurumsal Varlık Yönetimi [EAM] ,(11)
Kurumsal Yönetim, Risk ve Uyumluluk Yönetimi [GRC] (11)
Proje ve Portfolio Yönetimi [PPM]
Ürün Yaşam Döngüsü Yönetimi [PLM] konularında çözüm sunmaktadır
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUguestc6d031
Unified threat management (UTM) is used to describe network firewalls that have many features in one box, including e-mail spam filtering, anti-virus capability, an intrusion detection (or prevention) system (IDS or IPS), and World Wide Web content filtering, along with the traditional activities of a firewall. Main goal of this research is to create own open-source based UTM system, that has almost all capabilities as their commercial analogs.
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUIvan Kukalo
Unified threat management (UTM) is used to describe network firewalls that have many features in one box, including e-mail spam filtering, anti-virus capability, an intrusion detection (or prevention) system (IDS or IPS), and World Wide Web content filtering, along with the traditional activities of a firewall. Main goal of this research is to create own open-source based UTM system, that has almost all capabilities as their commercial analogs.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
Security of Information and Communication SystemsSSA KPI
AACIMP 2010 Summer School lecture by Andrey Rodionov. "Information Technologies" stream. "Security of Information and Communication Systems" course.
More info at http://summerschool.ssa.org.ua
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIPPositive Hack Days
Интегрированные услуги операторов связи и технологии Unified Communications обещают быструю окупаемость и серьезные удобства. Однако практика показывает, что сервисы VOIP и IPPBX могут доставить массу проблем, прежде всего связных с информационной безопасностью и фродом. С какими проблемами информационная безопасность компании можно столкнуться при использовании Unified Communications? Взломать VOIP/PBX/MGW за 60 секунд: возможно ли? Планируется обсуждение эффективных методов обеспечения безопасности Unified Communications.
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP
IBM Proventia IPS
1. Network Intrusion Prevention Systems Вопросы по продуктам IBM ISS высылайте по эл. почте: issru@ru.ibm.com Сетевые системы предотвращения атак
2.
3.
4.
5. Проблема 1 Администраторы не успевают устанавливать патчи “ У нас занимает 30 дней чтобы инсталлировать одно обновление на все наши 110 баз” - US Air Force “ Это бесконечный цикл в попытке удержать равновесие” - Toyota
10. Как это было : Conficker Февраль -08 Январь -09 Февраль -09 Март -09 Апрель -09 21 ноября , 2008 Conficker.A замечен в сети 29 декабря , 2008 Conficker.B замечен в сети 20 февраля , 2009 Conficker.B++/C замечен в сети 4 марта , 2009 Conficker.C/D замечен в сети X-Force взломали протокол Peer-to-Peer Коммуникаций червя
11.
12. Технология обнаружения атак Основана на возможностях модуля РАМ разбирать протоколы Ориентация на качественную идентификацию сетевых протоколов «Понимание» протоколов на уровне команд и данных 802.2 802.3 802.5 802.1q 802.3u 802.3z ah aolim arp automount backorifice bgp bo2k bootp bootparam cmsd dcom dhcp dns email fddi finger fsp ftp gnutella h245 hsrp http icecap icmp icmpv6 ident igmp imap4 ip ipv6 irc java lanman ldap lpr mime mms mountd mpls ms_messenger msrpc napster netbios nfs nis nntp ospf pcanywhere pcnfsd pop3 portmapper pppoe pptp q931 quake radius rexec rfb rip rlogin rsh rtsp selnsvc sgifam smb smtp snmp snmpxdmid sntp socks ssh ssl ssrp statd subseven sunadmind sunrpc syslog talk tcp tds telnet tftp tns tooltalk udp url virus xdmcp xfs xml yahoo_messenger ypbind yppasswdd ypupdated
13. Protocol Analysis Module ● Детальный разбор сетевых протоколов Принцип работы Что предотвращает ● Идентификация и анализ более 2 13 сетевых протоколов, протоколов уровня приложений и форматов файлов данных Обход защиты веб сервера Моделирование уязвимост ей и алгоритм ов Поиск атак, рассредоточенных по нескольким пакетам Выявление аномалий протоколов Контроль протоколов на других портах Определение протоколов по портам Определение протоколов по информации из других соединений Обнаружение туннелирования Уровень приложений Предварительная обработка Блокирование вредоносного кода внутри неисполняемых файлов Анализ контекста Shellcode heuristics Анализ трафика IPv6 Анализ туннел ей IPv6 Анализ туннел ей SIT Обнаружение сканирований Поиск по шаблонам Дополнительные сигнатуры Модуль анализа протокол ов (PAM) Проверка соответсвия RFC Сборка TCP соединений и анализ полного потока Статистический анализ Поиск утечек информации Проверка составных документов Разархивирование gzip, zip & rar XPU’s Обновления безопасности Компьютерные ч ерви Шпионское ПО Пиринговые программы DoS/DDoS Межсайтовый скриптинг SQL- иньекции Фишинг Переполнение буфера
14. Virtual Patch Что делает : Закрывает уязвимости и не позволяет их использовать, независимо от наличия специализированного патча или отсутствия такового , и позволяет реализовать процесс управления обновлениями без риска быть взломанными. Почему это важно: На середину 200 9 года , 49 % всех уязвимостей, открытых в течении полугода, не имели патчей. Threat Detection & Prevention Что делает : Обнаруживает и предотвращает все виды вторжений в том числе и специализированные. Почему это важно: Устраняет необходимость постоянного обновления сигнатур . Защита включает запатентованную технологию Shellcode Heuristics (SCH) , которая является непревзойденной по уровню защиты от zero-day уязвимостей . Content Analysis Что делает : Отслеживает незашифрованные персональные данные и другую конфиденциальную информацию . Позволяет отслеживать существующие потки данных в сети, что помогает выявлять потенциальные риски . Почему это важно: Гибкие и масштабируемые критерии поиска данных ; играет важную роль в реализации политики безопасности компании. Web Application Security Ч то делает : Защищает Web приложения от специализированных атак на уроне приложения таких как SQL Injection, XSS (Cross-site scripting), PHP file-includes, CSRF (Cross-site request forgery). Почему это важно: Реализует защиту отвечающую требованиям регуляторов и современным угрозам Network Policy Enforcement Что делает: Управляет рисками и политиками безопасности внутри выделенных сегментов сети , контролирует ActiveX fingerprinting, Peer To Peer, Instant Messaging, and tunneling . Почему это важно: Позволяет реализовать работу приложений и служб в соответствии с требованиями политики безопасности. Расширяемая платформа защиты PAM является основным движком проактивной защиты и используется во многих решения IBM семейства Proventia. PAM является фундаментом для 5 основных технологий защиты IBM ISS .
15.
16. Контроль утечек критичной информации Параметры: Регулярное выражение Минимальное число совпадений Строка описания события Создание собственных сигнатур Пример: номер мобильного телефона [^-]((2B7)|8)[- ]?9[18][0-9][- ]?{3}[- ]?{4}[^-]
23. IBM Proventia® Network Security Controller (NSC) NSC поддерживает два 10 Гбит канала NSC IPS IPS
24.
25.
26.
27.
28.
29.
30.
31. 12/29/09 Questions? IBM Команда IBM ISS в России Телефон +7 (495) 775-88-00 Эл. почта [email_address] У нас есть недостающая часть .
Editor's Notes
Вторая проблема это то, что пользователи не успевают ставить даже те патчи, что уже есть. Среднее время установки обновления составляет от 30 минут до 3-х часов на один сервер и 25-30 минут на рабочую станцию А еще нужно не забыть Понять, нуж но ли вам обновление Определить уязвимые узлы Проверить обновление на совместимость с другим ПО Распределить его по всем серверам Поставить обновления на рабочие станции и сетевое оборудование
Хакеры реагируют все быстрее. Если в 2003 году Сламмер вышел только спустя 185 дней с момента обнаружения уязвимости, то Зотоб был написан уже через 4 дня. Сегодня 80% эксплойтов появляются в тот же день, что обнаруживается уязвимость.
В качестве решения мы используем технологолию виртуал патч. Технология полностью держится на работе X-Force. Технология защищает от все выявленных уязвимостей задолго то того, как выйдет патч производителя. Поэтому и появилось название – виртуальный патч. Вы не узнаете об уязвимости пока не выйдет заплатка (если не отслеживаете хакерские сайты) Время между обнаружением уязвимости и выходом патча может занимать несколько недель В то время как будет расти число уязвимостей , будет расти и число необходимых обновлений безопасности Многие организации остаются в “ реактивном ” режиме , пытаясь определить какой патч установить первым Решение от ISS – на базе проактивных исследований – предоставляет альтернативу текущей методике установки обновлений безопасности Технология ISS Virtual Patch™ полноценное решение которое защищает от уязвимостей во время когда об уязвимости известно, но приложение еще не пропатчено – таким образом появился термин “ Виртуальный патч ”
Расскрытые уязвимости в 2009 году некоторые примеры и полный перечень по ссылке http://www.iss.net/threats/ThreatList.php
Слайд демонстрирует пример того, как реагировала защита ISS против нашумевшего червя Conficker. Видно, что каждый раз X-Force успевал выпустить защиту до начала эпидемии и защитить своих пользователей. Единственный раз когда не удалось этого сделать, это в марте этого года против последней модификации C червя. Зато X-Force первые и единственные, кто взломал алгоритм Peer-to-Peer по которому работает червь и внедрила защиту от червя в свои продукты. http://lastwatchdog.com/ibm-iss-cracks-open-confickers-secret-communications/ Дополнительная информация: Исследователи из подразделения IBM X - Force создали для своего продукта Proventia Intrusion Prevention System специальный алгоритм, который выявляет агентов червя Conficker . C и блокирует их соединения. Этот алгоритм дополняет уже имеющуюся у клиентов защиту от вариантов Conficker . A и Conficker . B . Данный защитный алгоритм блокирует распространение этой вредоносной программы, когда она пытается эксплуатировать уязвимость в службе сервера Windows ( MS 08-067), и обнаруживает эту программу, когда она пытается раскрыть пароли методом перебора. Conficker – это сетевой червь, нацеленный на рабочие станции. Conficker создает инфраструктуру бот-сетей, которая может быть использована злоумышленниками для распространения спама или для кражи конфиденциальной информации с рабочих станций. Это может привести к раскрытию конфиденциальной информации, к потере рабочего времени пользователя и к последующей компрометации других сетевых объектов. Распространение данного сетевого червя осуществляется посредством одного или нескольких перечисленных ниже механизмов: Эксплуатация уязвимости в одной из служб Windows ( MS 08-067). Загрузка своей копии в сеть и на съемные накопители. Загрузка своей копии в сетевые ресурсы общего пользования со слабыми паролями Новейший вариант этого червя использует соединения с использованием шифрования. Специалисты X - Force раскрыли и взломали этот алгоритм шифрования, что и позволило обеспечить возможность обнаружения. Этот уникальный защитный механизм выявляет текущие варианты червя Conficker , которые используют описанный выше канал для связи. Соответствующие сигнатуры выглядят следующим образом: Conficker_P2P_Detected (для обнаружения бота Conficker.C) и Conficker_P2P_Protection (для блокировки специфического трафика peer-to-peer). Продукты IBM Proventia IPS способны закрыть уязвимость в службе Windows , которую эксплуатирует данный червь. Предупреждение содержит информацию о нужной сигнатуре, необходимой для выявления описываемой уязвимости. Подробная информация об указанных сигнатурах содержится в статьях базы знаний ISS с номерами 5394 и 5206. Это критическое обновление было выпущено для пользователей продуктов IBM ISS еще 26 марта 2009 г. Предупреждение содержит обновление, необходимое для выявления варианта Conficker . C . Кроме того, в указанном предупреждении пользователи IBM ISS смогут также найти обновления для предыдущих вариантов Conficker . A и Conficker . B . Не исключена вероятность того, что червь Conficker изменил свой коммуникационный алгоритм 1 апреля 2009 г. (хотя этот профиль мог измениться как раньше, так и позже указанной даты). В любом случае, мы призываем клиентов использовать это обновление как можно быстрее, чтобы выявить возможное инфицирование до того, как червь Conficker изменится в очередной раз. Более подробную информацию о Conficker можно получить в документе X - Force Protection Alert (Предупреждение X - Force о вредоносном ПО).
• The security challenge is like trying to stay dry in an intensifying rain storm. You have to choose: do you use a solution that attempts to analyze the individual rain drops as they hit, or one that finds and fixes the holes in your roof? • Software flaws represent the holes in your roof. Conventional security vendors react to the threats (rain drops) that enter through those holes—they analyze individual rain drops after they slip through the holes, alert that an attack has occurred, and eventually prescribe or initiate countermeasures. • ISS’ preemptive approach to security focuses on the holes in your roof, or the software vulnerabilities. To use a medical analogy, traditional security solutions treat the symptoms of the illness, but ISS’ preemptive security immunizes the patient to prevent the illness. • Because ISS protects vulnerabilities, ISS’ Proventia products provide a virtual patch against unknown threats. • Virtual patches prevent the need for reactive, emergency patching after a new threat appears. • The virtual patch capability Proventia provides also allows organizations to physically patch their systems during regular maintenance windows when there is time to conduct adequate testing.
Модуль анализа протоколов. Модуль состоит из множества методов анализа протоколов и постоянно дополняется новыми составляющими на базе разработок X-Force. Принцип работы – глубокий детальный анализ сетевых протоколов. Общее число протоколов и форматов данных превысило 200. Подобный глубокий анализ позволяет реализовать защиту от компьютерных червей, шпионского ПО, DOS атак и так далее.
The protocol and content analysis of PAM is the backplane of the sub-engines that provide detection, protection, and enforcement capabilities. X-Force research is the driver behind new protection engines of tomorrow.
WAF (web application firewall) “like” functionality provides a more scalable and cost effective solution for our customers to protect their web applications while using Rational Appscan to fix them. Network appliances such as our GX and MX series lack SSL inspection and must be paired with an SSL off-loader such as our Websphere Datapower solution. If a smaller scale solution is in order then our Proventia Server or Server Sensor product line also include PAM (including the ILE) and have the same capabilities and most include SSL inspection.
Не верьте словам ни чужим, ни своим. Верьте делам и своим и чужим. (Лев Толстой). Единственный IPS , который проходит тестирование каждый месяц, начиная декабря 2008 года
Proventia GX В первую очередь это IPS Работает прозрачно на 2 уровне Может делать protection domains по разным VLAN – можно установить прозрачно на trunk между свитчами . Понимает 802.1q и ISL. Модуль bypass встроен, работает р ежим fail open . Гарантированные маленькие задежки пакетов для проверки (<150 ms) . Можно настраивать это время. Может работать в режиме IDS который может стоять не прямо на канале, а слушать трафик на зеркальном порте свитча Существует виртуальный образ решения.
В апреле 2009 года вышла виртуальная версия IPS . Теперь можно использовать все преимущества виртуализации и обеспечить защиту не только на уровне физической инфраструктуры, но в виртуальной среде, что ранее было сделать невозможно. Свободный для скачивания дистрибутив с сайта http://iss.net может быть использован для тестирования и обучения.
При необходимости защищать 10 Гб линки имеется специальный контроллер, который выступает переходником и балансировщиком нагрузки между гигабитными линиями. В контроллер встроен модуль обхода .
Устройство может работать в трех режимах. Как и положено IPS – стоит на канале, блокирует атаки, выдает оповещения Как IDS – стоит второне от канала (например на зеркальном порте свича), сигнализирует о выявлении вредоносного кода и разрывает соединения при необходимости. Режим симуляции – все делает как IPS но не блокирует трафик (удобен при начальном внедрении, тестовой эксплуатации и обучении)
Управление браузером через локальный веб сервер (LMI) Центральное управление через Proventia Management SiteProtector: Простой графический интерфейс управления Различные отчеты, настройка вида окон и фильтрация событий, различные механизмы реагирования Сохранение данных на определенный срок для соответсвия стандартам Масштабируется для управления сотнями устройств IPS
Active – Active HA Требует соответствующего дизайна сети Является одним из компонентов HA дизайна Поддерживает ассиметричный роутинг Не пропустит атаку если она идет в двух разных каналах Active – Passive HA Требует соответсвующего дизайна сети Основное устройство активно и контролирует трафик Как только основное прекращает работу, то второе становится активным линком
Все программные продукты свободно скачиваются с нашего сайта. Призывает всех пробовать наши решения. Как говориться лучше 1 раз увидеть, чем 100 раз услышать.