IBM: як захиститися від усіх загроз?

Система запобігання атак Proventia Nework Intrusion Prevention System (IPS) від IBM представляє собою програмно-апаратний продукт, захищає мережу від атак, які пропускають міжмережеві екрани і антивіруси. На сьогодні 99% компаній використовують фаєрволи і антивіруси, але, тим не менше, продовжують страждати від атак. Наша технологія дозволяє “на льоту” обробляти мережеві потоки, виявляти в них різні види атак і своєчасно їх блокувати.
Дуже часто компанії стикаються з відмовами сервісів у разі DoS-атак, нерідко трапляється несанкціонований доступ з боку власних співробітників, в тому числі адміністраторів. Ускладнює завдання захисту мережі той факт, що сучасні компанії мають велику кількість систем, що вимагають постійних оновлень. Крім того, постійно посилюються законодавчі вимоги: закон про персональних даних, стандарт платіжних систем PCIDSS вимагають використання систем виявлення та запобігання атак.
У багатьох компаніях також існує проблема дефіциту власних фахівців-сб, тому IBM створила рішення, які можуть працювати як автономно, так і підключатися до систем управління. Треба сказати, що хакери постійно шукають уразливості в різних системах і працюють на випередження систем захисту. Проблема в тому, що після отримання інформації про ту чи іншу уразливості не завжди швидко вдається поставити патч, і хакери встигають випустити експлойти, за допомогою яких здійснюють атаки.
І дуже часто патч поставити неможливо із-за його відсутності. Згідно з нашою статистикою, яка використовує базу всіх наявних вразливостей в світі, на першу половину 2009 року не мало патчів 49% вразливостей. Завдяки технології Virtual Patch наша система блокує атаки на уразливості ще до того, як випущений експлойт, до виходу патчів. Дуже часто ми самі знаходимо уразливості в нашій лабораторії X-Force і розповідаємо про них вендорам.
Таким чином, установка Proventia IPS дозволяє захиститися не тільки від існуючих загроз, але і від тих, які з’являться в майбутньому. Наприклад, IBM випередила атаки на критичні уразливості в таких продуктах, як Microsoft Power Point, Microsoft Excel, Adobe Reader, експерти IBM випередили поширення хробака Conficker. Треба сказати, що Conficker використовувався зловмисниками в декількох різновидах, і для кожної з них у нас спрацював захист: від атак на Microsoft RPC, від перебору паролів і ін В кінці кінців, ми розібрали протокол, за яким черв’яки спілкувалися між собою, і відповідні сигнатури і правила фільтрації були додані в наші IPS.
Таким чином, Proventia IPS з технологією Virtual Patch дає необхідний час на тестування оновлень, і можна ставити їх, наприклад, під час щомісячного обслуговування серверів. Такі операції здійснюються завдяки можливостям модуля аналізу протоколів – Protocol Analysis Module (PAM). Він розбирає проходять через пристрій мережеві протоколи і формати даних. На сьогодні в його базі понад 200 різних протоколів. Protocol Analysis Module захищає не тільки від існуючих загроз, але і може передбачити, в яке місце протоколу може бути вставлений шкідливий код. В якості аналогії можна привести організацію, на території якої обнесена високим парканом. Але ніхто із співробітників не помічає дощечку, яку можна відсунути і проникнути на територію. Що ж робити, коли хтось виявить таку дощечку?
Умовно кажучи, при використанні звичайної сигнатурной системи захисту місто, після нейтралізації всіх зловмисників, про яких відомо, зазвичай вважається захищеним. Але тут з’явиться новий неврахований раніше зловмисник і проникне в систему. Якщо ми порівнюємо вразливість з дощечкою в паркані, то система запобігання атак, використовуючи модуль аналізу протоколів, візьме під контроль цю “дощечку”, і будь-хто, хто спробує пройти за “паркан”, буде негайно зупинений. Системі все одно, якого зростання зловмисник, який у нього колір очей і як він виглядає. Тобто, ми дивимося на сам спосіб проникнення, а не шукаємо того, хто проникає.
Тільки вперед
Модуль аналізу протоколів постійно розвивається. Він дуже гнучкий і легко переміщується між різними системами. Його можна побачити в наших продуктах захист серверів і робочих станцій, в інших продуктах мережевого захисту IBM. Нещодавно з’явилися модуль аналізу витоків персональних даних і модуль захисту веб-додатків. Завдяки цьому запобігається величезна кількість погроз – комп’ютерні черв’яки, шпигунські програми, пірингові програми, DDoS-атаки і т. д.
Давайте подивимося, що можна контролювати на виході мережі. Наприклад, система запобігання атак розбирає протоколи ICQ та інших месенджерів, протоколи, по яких передається інформація, – FTP, SMTP і т. д. Враховуючи безліч каналів витоку інформації, нам завжди важливо знати формат переданих файлів. Proventia Network IPS дозволяє замовнику створювати власні сигнатури. Наприклад, можна запобігти витоку інформації про мобільних телефонах або номери кредитних карт.
Половина всіх вразливостей в даний час припадає на Web-додатки. Це пов’язано з тим, що відкриті ресурси Webсерверов можна вільно досліджувати і експлуатувати уразливості, які там є. Модуль Web Application Security, що працює в складі Proventia Network Server IPS, захищає від декількох видів атак, спрямованих спеціально на веб-додатки, і допомагає відповідати наявним стандартам безпеки. Найчастіше хакери намагаються використовувати впровадження команд SQL скриптів: Cross-SiteScripting.
Ми бачимо, як затребувані нашими замовниками системи запобігання атак, але в той же час розуміємо, як важко їм вибрати системи відповідного рівня. Щоб показати переваги своїх продуктів, IBM віддає їх для тестів у незалежні лабораторії. За результатами тестів лабораторії NSS ми перші з вендорів за останні п’ять років отримали найвищу нагороду Gold Award, що говорить про те, що протягом трьох послідовних місяців тестування Proventia Network IPS показувала результати блокування атак рівні 100%.
Простота і надійність
У лінійку пристроїв Proventia Network IPS входять апаратні рішення з продуктивністю від 10 Мбіт/с до 15 Гбіт/с і підтримують 10гбіт інтерфейси, а також наш програмний модуль, який на платформі Crossbeam дозволяє нашим клієнтам досягати швидкості 40 Гбіт/с. Програмне рішення має той же функціонал, що і апаратне, і з тим же успіхом блокує загрози в мережі. Важливо, що технологія Proventia IPS захищає не тільки фізичні сервера, але і віртуальні: за допомогою продуктів Virtual IPS і Virtual Server Security можна не тільки аналізувати трафік але і виконувати інші операції, наприклад, запобігати установку руткітів.
Де можна поставити рішення IPS? Звичайно ж, відразу після міжмережевого екрану для захисту ядра. Можна також використовувати і для захисту бездротових мереж, баз даних, серверів, тобто його можна поставити перед ЦОДом. Також важливо захистити будь-які зовнішні підключення, такі як мережі з WiFi доступом. Управління Proventia Network IPS досить просте: пристрій має власний графічний інтерфейс, ви можете підключитися до нього через HTTPS, дивитися події, налаштовувати політики і т. д. Крім того, Proventia Network IPS дозволяє писати власні правила фільтрації, які дуже схожі на синтаксис, що використовується у вільному програмному забезпеченні Snort. Можна не просто блокувати події в мережі, але і проглядати журнали подій в зручному форматі, збирати пакети, які йдуть від зловмисників. Система дозволяє задати свою власну реакцію, написавши власний скрипт.
Дуже часто мережеві адміністратори запитують нас, сб, наскільки висока надійність пристроїв, які ми пропонуємо їм помістити в мережу. Режим HighAvailability гарантує, що якщо один з пристроїв відключається, то трафік йде через інше. Треба зауважити, що встановлені в мережі сесії при цьому не перериваються, що особливо важливо для банків, де критична безперервність транзакцій. Proventia IPS має модуль обходу, який пропускає трафік наскрізь у разі аварії, що дозволяє забезпечувати безперервний доступ до ресурсів мережі. Система запобігання атак передбачає резервування всередині самого пристрою: RAID для жорстких дисків, подвійні блоки живлення, подвійні вентилятори охолодження.
Як придбати наше рішення? Ви можете звернутися до будь-якого нашого партнера і вибрати програмно-апаратний продукт. Ви також можете зайти на сайт my.iss.net і завантажити пробну віртуальну версію IPS для запуску на VMware. Крім того, на цьому сайті ви можете завантажити будь-який інший продукт ISS.
Високий рівень захисту і низький рівень помилкових спрацьовувань, які дає IBM Proventia Network IPS, дозволяють використовувати його в будь-яких мережах, в тому числі в мережах провайдерів. Система запобігання атак потрібна як безопасникам, щоб захищатися від різноманітних загроз, так і айтішникам, які можуть забезпечувати необхідну смугу пропускання. Крім того, система важлива для керівництва компанії, оскільки дозволяє відповідати різним стандартам, наприклад, із законом про персональних даних. Важливо, що використання системи дозволяє скоротити витрати на усунення наслідків атак. Навчання управлінням пристрою займає всього один день в навчальному центрі в Москві.
за матеріалами сайту