01 Февраля 2010 17:02 01 Фев 2010 17:02 |

Поделиться

IBM: как защититься от всех угроз?

Cистема предотвращения атак Proventia Nework Intrusion Prevention System (IPS) от IBM представляет собой программно-аппаратный продукт, защищающий сеть от атак, которые пропускают межсетевые экраны и антивирусы. На сегодня 99% компаний используют фаерволы и антивирусы, но, тем не менее, продолжают страдать от атак. Наша технология позволяет "на лету" обрабатывать сетевые потоки, обнаруживать в них различные виды атак и своевременно их блокировать.

Очень часто компании сталкиваются с отказами сервисов в случае DoS-атак, нередко случается несанкционированный доступ со стороны собственных сотрудников, в том числе администраторов. Усложняет задачу защиты сети тот факт, что современные компании имеют большое количество систем, требующих постоянных обновлений. Кроме того, постоянно ужесточаются законодательные требования: закон о персональных данных, стандарт платежных систем P CI DSS требуют использования систем обнаружения и предотвращения атак.

Во многих компаниях также существует проблема дефицита собственных специалистов-безопасников, поэтому IBM создала решения, которые могут работать как автономно, так и подключаться к системам управления. Надо сказать, что хакеры постоянно ищут уязвимости в различных системах и работают на опережение систем защиты. Проблема в том, что после получения информации о той или иной уязвимости не всегда быстро удается поставить патч, и хакеры успевают выпустить эксплойты, с помощью которых осуществляют атаки.

И очень часто патч поставить невозможно из-за его отсутствия. Согласно нашей статистике, которая использует базу всех имеющихся уязвимостей в мире, на первую половину 2009 года не имело патчей 49% уязвимостей. Благодаря технологии Virtual Patch наша система блокирует атаки на уязвимости еще до того, как выпущен эксплойт, до выхода патчей. Очень часто мы сами находим уязвимости в нашей лаборатории X-Force и рассказываем о них вендорам.

Установка Proventia IPS позволяет защититься не только от существующих угроз, но и от тех, которые появятся в будущем

Таким образом, установка Proventia IPS позволяет защититься не только от существующих угроз, но и от тех, которые появятся в будущем. Например, IBM опередила атаки на критические уязвимости в таких продуктах, как Microsoft Power Point, Microsoft Excel, Adobe Reader, эксперты IBM опередили распространение червя Conficker. Надо сказать, что Conficker использовался злоумышленниками в нескольких разновидностях, и для каждой из них у нас сработала защита: от атак на Microsoft RPC, от перебора паролей и др. В конце концов, мы разобрали протокол, по которому черви общались между собой, и соответствующие сигнатуры и правила фильтрации были добавлены в наши IPS.

Таким образом, Proventia IPS с технологией Virtual Patch дает необходимое время на тестирование обновлений, и можно ставить их, например, во время ежемесячного обслуживания серверов. Такие операции осуществимы благодаря возможностям модуля анализа протоколов — Protocol Analysis Module (PAM). Он разбирает проходящие через устройство сетевые протоколы и форматы данных. На сегодня в его базе более 200 различных протоколов. Protocol Analysis Module защищает не только от существующих угроз, но и может предугадать, в какое место протокола может быть вставлен вредоносный код. В качестве аналогии можно привести организацию, территория которой обнесена высоким забором. Но никто из сотрудников не замечает дощечку, которую можно отодвинуть и проникнуть на территорию. Что же делать, когда кто-то обнаружит такую дощечку?

Условно говоря, при использовании обычной сигнатурной системы защиты город, после нейтрализации всех злоумышленников, о которых известно, обычно считается защищенным. Но тут появится новый неучтенный ранее злоумышленник и проникнет в систему. Если мы сравниваем уязвимость с дощечкой в заборе, то система предотвращения атак, используя модуль анализа протоколов, возьмет под контроль эту "дощечку", и любой, кто попытается пройти за "забор", будет немедленно остановлен. Системе все равно, какого роста злоумышленник, какой у него цвет глаз и как он выглядит. То есть, мы смотрим на сам способ проникновения, а не ищем того, кто проникает.

Только вперед

Модуль анализа протоколов постоянно развивается. Он очень гибкий и легко перемещается между различными системами. Его можно увидеть в наших продуктах по защите серверов и рабочих станций, в других продуктах сетевой защиты IBM. Недавно появились модуль по анализу утечек персональных данных и модуль по защите веб-приложений. Благодаря этому предотвращается огромное количество угроз – компьютерные черви, шпионское ПО, пиринговые программы, DDoS-атаки и т.д.

Давайте посмотрим, что можно контролировать на выходе сети. Например, система предотвращения атак разбирает протоколы ICQ и других мессенджеров, протоколы, по которым передается информация, – FTP, SMTP и т.д. Учитывая множество каналов утечки информации, нам всегда важно знать формат передаваемых файлов. Proventia Network IPS позволяет заказчику создавать собственные сигнатуры. Например, можно предотвратить утечку информации о мобильных телефонах или номерах кредитных карт.

Александр Бабкин, Газпромбанк: Сейчас иностранные ИБ-решения в Газпромбанке замещены на 65%

безопасность

Половина всех уязвимостей в настоящее время приходится на Web-приложения. Это связано с тем, что открытые ресурсы Web-серверов можно свободно исследовать, и эксплуатировать уязвимости, которые там есть. Модуль Web Application Security, работающий в составе Proventia Network и Server IPS, защищает от нескольких видов атак, направленных специально на веб-приложения, и помогает соответствовать имеющимся стандартам безопасности. Чаще всего атакующие пытаются использовать внедрение команд SQL и скриптов: Cross-Site Scripting. Мы видим, как востребованы нашими заказчиками системы предотвращения атак, но в то же время понимаем, как тяжело им выбрать системы подходящего уровня. Чтобы показать преимущества своих продуктов, IBM отдает их для тестов в независимые лаборатории. По результатам тестов лаборатории NSS мы первые из вендоров за последние пять лет получили наивысшую награду Gold Award, что говорит о том, что в течение трех последовательных месяцев тестирования Proventia Network IPS показывала результаты блокирования атак равные 100%.

Простота и надежность

В линейку устройств Proventia Network IPS входят аппаратные решения с производительностью от 10 Мбит/с до 15 Гбит/c и поддерживающие 10Гбит интерфейсы, а также наш программный модуль, который на платформе Crossbeam позволяет нашим клиентам достигать скорости 40 Гбит/с. Программное решение имеет тот же функционал, что и аппаратное, и с тем же успехом блокирует угрозы в вашей сети. Важно, что технология Proventia IPS защищает не только физические сервера, но и виртуальные: при помощи продуктов Virtual IPS и Virtual Server Security можно не только анализировать трафик но и выполнять другие операции, например, предотвращать установку руткитов.

Где можно поставить решение IPS? Конечно же, сразу после межсетевого экрана для защиты ядра. Можно его также использовать и для защиты беспроводных сетей, баз данных, серверов, т.е. его можно поставить перед ЦОДом. Также важно защитить любые внешние подключения, такие как сети с WiFi доступом. Управление Proventia Network IPS достаточно простое: устройство имеет собственный графический интерфейс, вы можете подключиться к нему через HTTPS, смотреть события, настраивать политики и т.д. Кроме того, Proventia Network IPS позволяет писать собственные правила фильтрации, которые очень похожи на синтаксис, использующийся в свободном программном обеспечении Snort. Можно не просто блокировать события в сети, но и просматривать журналы событий в удобном формате, собирать пакеты, идущие от злоумышленников. Система позволяет задать свою собственную реакцию, написав собственный скрипт.

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

Очень часто сетевые администраторы спрашивают нас, безопасников, насколько высока надежность устройств, которые мы предлагаем им поместить в сеть. Режим High Availability гарантирует, что если одно из устройств отключается, то трафик идет через другое. Надо заметить, что установленные в сети сессии при этом не прерываются, что особенно важно для банков, где критична непрерывность транзакций. Proventia IPS имеет модуль обхода, который пропускает трафик насквозь в случае аварии, что позволяет обеспечивать непрерывный доступ к ресурсам сети. Система предотвращения атак предусматривает резервирование внутри самого устройства: RAID для жестких дисков, двойные блоки питания, двойные вентиляторы охлаждения.

Как приобрести наше решение? Можно обратиться к любому нашему партнеру и выбрать программно-аппаратный продукт. Можно также зайти на сайт https://my.iss.net и скачать пробную виртуальную версию IPS для запуска на VMware. Кроме того, на этом сайте вы можете скачать любой другой продукт ISS.

Высокий уровень защиты и низкий уровень ложных срабатываний, которые дает IBM Proventia Network IPS, позволяют использовать его в любых сетях, в том числе в сетях провайдеров. Система предотвращения атак нужна как безопасникам, чтобы защищаться от различных угроз, так и айтишникам, которые могут обеспечивать необходимую полосу пропускания. Кроме того, система важна для руководства компании, поскольку позволяет соответствовать различным стандартам, например, закону о персональных данных. Важно, что использование системы позволяет сократить издержки на устранение последствий атак. Обучение управлением устройства занимает всего один день в учебном центре в Москве.

Узнать больше и посмотреть презентацию

Андрей Арсентьев

На правах рекламы

Поделиться

Подписаться на новости Короткая ссылка