Proventia IPS | Введение
Система предотвращения атак Proventia Network Intrusion Prevention System (IPS) от IBM представляет собой программно-аппаратный продукт, защищающий сеть от атак, которые пропускают межсетевые экраны и антивирусы. На сегодня 99% компаний используют межсетевые экраны (файерволы) и антивирусы, но, тем не менее, продолжают страдать от атак. Технология IBM позволяет “на лету” обрабатывать сетевые потоки, обнаруживать в них различные виды атак и своевременно их блокировать.
Очень часто компании сталкиваются с отказами сервисов в случае DoS-атак. Нередко случается несанкционированный доступ со стороны собственных сотрудников, в том числе администраторов. Усложняет задачу защиты сети тот факт, что современные компании имеют большое количество систем, требующих постоянных обновлений. Кроме того, постоянно ужесточаются законодательные требования: закон о персональных данных, стандарт платежных систем PCI DSS, и все они требуют использования систем обнаружения и предотвращения атак.
Во многих компаниях также существует проблема отсутствия собственных специалистов-“безопасников”, поэтому IBM создала решения, которые могут работать как автономно, так и подключаться к системам управления. Надо сказать, что хакеры постоянно ищут уязвимости в различных системах и работают на опережение систем защиты. Проблема в том, что после получения информации о той или иной уязвимости не всегда удается быстро поставить патч, и хакеры успевают выпустить эксплойты, с помощью которых осуществляют атаки.
Очень часто патч поставить невозможно из-за его отсутствия. Согласно статистике IBM, которая использует базу всех имеющихся уязвимостей в мире, на первую половину 2009 года не имело патчей 49% уязвимостей. Благодаря технологии Virtual Patch, система IBM находит атаки на уязвимости сразу после того, как выпущен эксплойт, до выхода патчей. Очень часто IBM сама находит уязвимости в своей лаборатории X-Force и рассказывает о них вендорам.
Proventia IPS | От чего защищает
Таким образом, установка Proventia IPS позволяет защититься не только от существующих угроз, но и от тех, которые появятся в будущем. Например, IBM опередила атаки на критические уязвимости в таких продуктах, как Microsoft Power Point, Microsoft Excel, Adobe Reader. Эксперты IBM опередили распространение червя Conficker. Надо сказать, что Conficker использовался злоумышленниками в нескольких разновидностях, и для каждой из них у IBM сработала защита: от атак на Microsoft RPC, от перебора паролей и др. В конце концов, специалисты разобрали протокол, по которому черви общались между собой, и соответствующие сигнатуры и правила фильтрации были добавлены в IPS.
Таким образом, Proventia IPS с технологией Virtual Patch дает необходимое время на тестирование обновлений, которые можно ставить, например, во время ежемесячного обслуживания серверов. Такие операции осуществимы благодаря возможностям модуля анализа протоколов — Protocol Analysis Module (PAM). Он разбирает проходящие через устройство сетевые протоколы и форматы данных. На сегодня в его базе более 200 различных протоколов. Protocol Analysis Module защищает не только от существующих угроз, но и может предугадать, в какое место протокола может быть вставлен вредоносный код. В качестве аналогии можно привести организацию, территория которой обнесена высоким забором. Но никто из сотрудников не замечает дощечку, которую можно отодвинуть и проникнуть на территорию. Что же делать, когда кто-то обнаружит такую дощечку?
Условно говоря, при использовании обычной сигнатурной системы защиты, город, после нейтрализации всех злоумышленников, о которых известно, обычно считается защищенным. Но тут появится новый неучтенный ранее злоумышленник и проникнет в систему. Если мы сравниваем уязвимость с дощечкой в заборе, то система предотвращения атак, используя модуль анализа протоколов, возьмет под контроль эту “дощечку”, и любой, кто попытается пройти за “забор”, будет немедленно остановлен. Системе все равно, какого роста злоумышленник, какой у него цвет глаз и как он выглядит. То есть, мы смотрим на сам способ проникновения, а не ищем того, кто проникает.
Proventia IPS | Только вперед
Модуль анализа протоколов постоянно развивается. Он очень гибкий и легко перемещается между различными системами. Его можно увидеть в продуктах IBM по защите серверов и рабочих станций, в других продуктах сетевой защиты IBM. Недавно появились модуль по анализу утечек персональных данных и модуль по защите web-приложений. Благодаря этому предотвращается огромное количество угроз – компьютерные черви, шпионское ПО, пиринговые программы, DDoS-атаки и т.д.
Рассмотрим, что можно контролировать на выходе сети. Например, система предотвращения атак разбирает протоколы ICQ и других мессенджеров, протоколы, по которым передается информация, – FTP, SMTP и т.д. Учитывая множество каналов утечки информации, специалистам всегда важно знать формат передаваемых файлов. Proventia Network IPS позволяет заказчику создавать собственные сигнатуры. Например, можно предотвратить утечку информации о мобильных телефонах или номерах кредитных карт.
Половина всех уязвимостей в настоящее время приходится на Web-приложения. Это связано с тем, что открытые ресурсы Web-серверов можно свободно исследовать и эксплуатировать уязвимости, которые там есть. Модуль Web Application Security, работающий в составе Proventia Server IPS, защищает от нескольких видов атак, направленных специально на web-приложения, и помогает соответствовать имеющимся стандартам безопасности. Чаще всего атакующие пытаются использовать внедрение команд SQL и скриптов: Cross-Site Scripting.
IBM видит, как востребованы заказчиками системы предотвращения атак, но в то же время понимает, как тяжело им выбрать системы подходящего уровня. Чтобы показать преимущества своих продуктов, IBM отдает их для тестов в независимые лаборатории. По результатам тестов лаборатории NSS, IBM первой из вендоров за последние пять лет получила наивысшую награду Gold Award, что говорит о том, что в течение трех последовательных месяцев тестирования Proventia IPS показывала результаты блокирования атак равные 100%.
Proventia IPS | Простота и надежность
В линейку устройств Proventia Server IPS входят аппаратные решения с производительностью от 10 Мбит/с до 15 Гбит/c и поддерживающие 10 Гбит интерфейсы, а также программный модуль IBM, который на платформе Crossbeam позволяет клиентам достигать скорости 40 Гбит/с. Программное решение имеет тот же функционал, что и аппаратное, и с тем же успехом блокирует угрозы в сети клиента. Важно, что технология Proventia IPS защищает не только физические сервера, но и виртуальные: при помощи продуктов Virtual IPS и Virtual Server Security можно не только анализировать трафик, но и выполнять другие операции, например, предотвращать установку руткитов.
Где можно поставить решение Proventia IPS? Конечно же, сразу после межсетевого экрана для защиты ядра. Можно его также использовать и для защиты беспроводных сетей, баз данных, серверов, т.е. его можно поставить перед ЦОДом. Также важно защитить любые внешние подключения, такие как сети с WiFi-доступом. Управление Proventia Network IPS достаточно простое: устройство имеет собственный графический интерфейс, клиент может подключиться к нему через HTTPS, смотреть события, настраивать политики и т.д. Кроме того, Proventia Network IPS позволяет писать собственные правила фильтрации, которые очень похожи на синтаксис, использующийся в свободном программном обеспечении Snort. Можно не просто блокировать события в сети, но и просматривать журналы событий в удобном формате, собирать пакеты, идущие от злоумышленников. Система позволяет задать свою собственную реакцию, написав собственный скрипт.
Очень часто сетевые администраторы спрашивают “безопасников” корпорации о том, насколько высока надёжность устройств, которые IBM предлагает им поместить в сеть. Режим High Availability гарантирует, что если одно из устройств отключается, то трафик идёт через другое. Надо заметить, что установленные в сети сессии при этом не прерываются, что особенно важно для банков, где критична непрерывность транзакций. Proventia IPS имеет модуль обхода, который пропускает трафик насквозь, что позволяет обеспечивать непрерывный доступ к ресурсам сети. Система предотвращения атак предусматривает резервирование внутри самого устройства: RAID для жестких дисков, двойные блоки питания, двойные вентиляторы охлаждения.
Proventia IPS | Как попробовать и приобрести?
Как приобрести решение IBM? Вы можете обратиться к любому партнеру и выбрать программно-аппаратный продукт. Вы можете также зайти на сайт и скачать пробную виртуальную версию Proventia IPS для запуска на VMware. Кроме того, на этом сайте вы можете скачать любой продукт ISS.
Высокий уровень защиты и низкий уровень ложных срабатываний, которые дает IBM Proventia IPS, позволяют использовать его в любых сетях, в том числе в сетях провайдеров. Система предотвращения атак нужна как “безопасникам”, чтобы защищаться от различных угроз, так и айтишникам, которые могут обеспечивать необходимую полосу пропускания. Кроме того, система важна для руководства компании, поскольку позволяет соответствовать различным стандартам, например, закону о персональных данных. Важно, что использование системы позволяет сократить издержки на устранение последствий атак. Обучение управлением устройства занимает всего один день в учебном центре в Москве.
Узнать больше и посмотреть презентацию.