Межсетевой экран Sourcefire нового поколенияCisco Russia
Межсетевой экран Sourcefire нового поколения — это
универсальное, высокопроизводительное,
сертифицированное в ФСТЭК России устройство защиты, которое обеспечивает отлаженный доступ и управление приложениями в дополнение к усовершенствованным возможностям межсетевого экрана. Ни одно другое решение не объединяет контроль и эффективное предотвращение
угроз в гибком, высокопроизводительном модуле,
удовлетворяющем растущую потребность в полном
мониторинге корпоративной среды, адаптивной системе
безопасности и защите от усовершенствованных угроз.
NetResident - мониторинг и контент-анализ трафикаMilla Bren
A brief description of NetResident - a network content monitoring program that captures, stores, analyzes, and reconstructs network events such as e-mail messages, Web pages, downloaded files, instant messages and VoIP conversations (in Russian).
Краткое описание NetResident - программы сетевого мониторинга, предназначенной для перехвата, хранения, анализа и восстановления различных сетевых событий: сообщений электронной почты, веб-страниц, загруженных файлов, сообщений коммуникационных программ (ICQ/AIM, MSN) и разговоров по IP-телефонии (VoIP). (На русском языке).
Универсальный шлюз безопасности с инструментами для защиты корпоративной сети, учета трафика, управления доступом, развертывания почтового, прокси, файлового сервера, Web и jabber серверов, организации IP-телефонии.
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Межсетевой экран Sourcefire нового поколенияCisco Russia
Межсетевой экран Sourcefire нового поколения — это
универсальное, высокопроизводительное,
сертифицированное в ФСТЭК России устройство защиты, которое обеспечивает отлаженный доступ и управление приложениями в дополнение к усовершенствованным возможностям межсетевого экрана. Ни одно другое решение не объединяет контроль и эффективное предотвращение
угроз в гибком, высокопроизводительном модуле,
удовлетворяющем растущую потребность в полном
мониторинге корпоративной среды, адаптивной системе
безопасности и защите от усовершенствованных угроз.
NetResident - мониторинг и контент-анализ трафикаMilla Bren
A brief description of NetResident - a network content monitoring program that captures, stores, analyzes, and reconstructs network events such as e-mail messages, Web pages, downloaded files, instant messages and VoIP conversations (in Russian).
Краткое описание NetResident - программы сетевого мониторинга, предназначенной для перехвата, хранения, анализа и восстановления различных сетевых событий: сообщений электронной почты, веб-страниц, загруженных файлов, сообщений коммуникационных программ (ICQ/AIM, MSN) и разговоров по IP-телефонии (VoIP). (На русском языке).
Универсальный шлюз безопасности с инструментами для защиты корпоративной сети, учета трафика, управления доступом, развертывания почтового, прокси, файлового сервера, Web и jabber серверов, организации IP-телефонии.
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
Комплексная система защиты Websense TRITON APX, обеспечивает защиту от веб-угроз и управление доступом к ресурсам сети Интернет, защиту электронной почты и полноценную промышленную систему защиты от утечек.
Спикер:
Роман Ванерке, Руководитель отдела технических решений ЗАО «ДиалогНаука»
2. Актуальные типы угроз
• Хищение данных
• Несанкционированное
изменение данных
• Прерывание сервиса
3. Немного статистики
35 000
Типов вредоносного ПО 150 Дневной объем спама
30 000
Тыс. Млрд.
25 000
100
20 000
15 000
10 000 50
5 000
0
0
2007 2008 2009
2007 2008 2009
5 000 400% Динамика роста сигнатур для IPS
Вредоносных ссылок
4 500
Тыс.
4 000
300%
3 500
3 000
2 500 200%
2 000
1 500
100%
1 000
500
0 0%
2007 2008 2009 2007 2008 2009
По данным McAfee
4. Свойства «вредоносов»
• Средства обхода антивирусных систем
• Незаметность для конечного пользователя
• Связь с центром управления через SSL-тоннель
5. Пример заражения
Начало атаки Реализация атаки Завершение атаки
Пользователь с Web-сайт эксплуатирует Вредонос запускается и
уязвимым браузером уязвимость; зловред открывает
заходит на скачивается на бэкдор, позволяющий
скомпрометированый пользовательскую получить доступ к важной
web-сайт систему информации
6. Ключевые векторы атаки
• Почтовые сообщения
• Зараженные файлы
• Вредоносные ссылки
• Сетевые атаки
7. Идеология построения систем ИБ
• Эшелонированная защита (Defence-in-depth):
– Защита на уровне сети, рабочей станции, сервера
– Использование различных механизмов обнаружения
вредоносного ПО
– Использование продуктов различных вендоров
Периметр
Сеть
Хост
Приложение
Данные
8. Требования к системе обнаружения вредоносного ПО
• Оперативность
• Минимальное влияние на производительность работы
пользователей
• Низкий уровень ложных срабатываний
10. Сигнатурный анализ
Обнаружение вредоносов, по характерному отпечатку
(сигнатуре)
Преимущества:
• Низкий процент ложных срабатываний
Проблемы:
• Необходимо постоянное обновление БД
• При росте количества вредоносов БД будет расти, занимая
больше места и снижая производительность
• Не работает против неизвестных вредоносов
11. Эвристический анализ
Обнаружение вредоносов по поведению на хосте
Преимущества:
• Механизм не зависит от базы данных сигнатур
Недостатки:
• Высокий уровень ложных срабатываний при «строгих»
настройках
• Низкий уровень эффективности при «мягких» настройках
12. Черные/белые списки
Проверка запуска процессов/запущенных программ
– Запрет запуска определенного набора ПО (черный
список)
– Разрешение запуска явно определенного набора ПО
(белый список)
Преимущества:
• Снижение зависимости безопасности серверов от обновлений
ПО, которые не могут быть поставлены оперативно
• Возможность работы без обновлений антивирусных баз
Недостатки:
• Трудоемкий процесс поддержания списков в актуальном
состоянии
13. Репутационный анализ
Хеш (или контрольная сумма) проверяемого объекта (файла,
почтового сообщения, URL-ссылки) отправляется в
облачный сервис, который возвращает репутацию объекта
(плохой, скорее плохой, средний, скорее хороший, хороший)
Преимущества:
• Мгновенная реакция на изменение репутации объекта
• Минимальные затраты ресурсов (временных,
вычислительных) на проверку объектов
• Возможность кросс-векторного анализа объектов (URL-ссылка
из спам-письма будет также иметь плохую репутацию)
Недостатки:
• Необходимость постоянного подключения к Интернет
• Дополнительный входящий-исходящий трафик
• Зависимость от функционирования облачного сервиса
14. Эффективность репутационного анализа (почта)
Облачный
Локальный
Интернет
Статистический
Репутация Репутация Анализ и эвристический Почтовый
IP-адреса сообщения соединения анализ сервер
Фильтрация ~ 99.5% спама
Фильтрация ~ 90% спама
Фильтрация ~ 80% спама
Фильтрация ~ 50% спама
15. Эффективность репутационного анализа (файлы)
Обнаружено с помощью сигнатур
Обнаружено с помощью репутационного сервиса
McAfee GTI
140,000
120,000 Увеличение эффективности
100,000 на 35%
80,000
Увеличение
60,000 эффективности на
25%
40,000
20,000
-
Sep/10 Oct/10 Nov/10 Dec/10
По данным McAfee
17. Сравнительный анализ
Вендор Blue Coat Check point Cisco Ironport Kaspersky
Cisco IronPort
Blue Coat Web Check Point Kaspersky Security
Название Pulse ThreatCloud
SenderBase
Network
Security Network
URL-ссылки, URL-ссылки, URL-ссылки,
Вектор URL-ссылки, сетевые почтовые почтовые
анализа файлы подключения, сообщения, сообщения,
файлы файлы файлы
Уровень
Сеть Сеть Сеть Хост/Сеть
защиты
Kaspersky Internet
Security, Kaspersky
Cisco Email
Check Point Endpoint
Продукты Blue Coat ProxySG
Security Gateway
Security; Cisco
Protection,
Web Security
Kaspersky Mail
Security
Гранулярная Обнаружение и Старейшая сеть,
Особенности работа с Web- защита от бот- представлена в
страницами сетей 2003 г.
18. Сравнительный анализ
Вендор McAfee Symantec Palo Alto
Symantec Insight/
Global Threat
Название Intelligence
Global Intelligence Palo Alto WildFire
Network
URL-ссылки, сетевые URL-ссылки,
Вектор анализа подключения, файлы, почтовые сообщения, файлы
почтовые сообщения файлы
Уровень защиты Хост/Сеть Хост/Сеть Сеть
McAfee Total Protection,
McAfee DLP, McAfee Risk
Norton Internet Security,
Advisor, McAfee Web
Symantec Endpoint
Gateway, McAfee Mail
Продукты Gateway, McAfee Network
Protection 12, Symantec ПАК Palo Alto Firewall
Web Gateway, Symantec
Security Platform, McAfee
Messaging Gateway
Enterprise Security
Manager
Кросс-векторный
Автоматическая
Особенности репутационный
генерация сигнатур
анализ
20. Kaspersky Security Network
Задача:
Защита домашних и корпоративных рабочих станций от вредоносных
файлов, почтовых собщений, URL-ссылок
В каких продуктах используется:
• Домашние, начиная с Kaspersky Internet Security 2009
• Корпоративные, начиная с Kaspersky Endpoint Security 8 for Windows
• Kaspersky Security для почтовых серверов
Антивирусные агенты отправляют в облако:
• Информацию о контрольных суммах обрабатываемых файлов
• Информацию для определения репутации URL
• Статистические данные для защиты от спама
21. Check Point ThreatCloud
Задача:
Защита корпоративной сети на уровне сети от вредоносного ПО,
обнаружение активности бот-сетей
В каких продуктах используется:
• Программные и аппаратные межсетевые экраны на базе Check Point
Security Gatewayя R75.40
Отправляет в облако:
• Информацию о типе зафиксированной атаки
• IP-адрес источника атаки
Особенности:
• Обнаружение в проверяемом трафике признаков коммуникации ботов
и центров управления
• Блокировка взаимодействия ботов и командных центров бот-сетей
22. McAfee Global Threat Intelligence
Задача:
Защита корпоративных пользователей от вредоносного ПО, спама,
сетевых атак
В каких продуктах используется:
• Межсетевой экран, cетевой IPS, Анти-спам, web-шлюз, антивирус для
рабочих станций, SIEM и др.
Отправляет в облако:
• Хеши проверяемых объектов
• IP-адреса, с которых был получены вредоносные файлы, спам-
сообщения
• URL-ссылки, на которых найдены вредоносные элементы
Особенности:
• Интеграция с большим количеством продуктов
• Кросс-векторный анализ репутаций объектов
23. Резюме
• Современное вредоносное ПО крайне сложно остановить
• Необходим системный подход – эшелонированная защита,
комбинация различных механизмов обнаружения
вредоносного ПО
• Репутационные сервисы значительно повышают
эффективность средств ИБ
24. Спасибо за внимание!
TopS Business Integrator
105082, Москва, ул. Большая Почтовая, д.18
тел.: (495) 797-9966, факс: (495) 797-9967, e-mail: info@topsbi.ru