IBM: как защититься от всех угроз?

Компания IBM представляет решение Proventia Network Intrusion Prevention System (IPS), которое обеспечивает защиту для корпоративных сетей. В число угроз, от которых защищает Proventia Network IPS, входят различные как уже известные, так и еще не обнаруженные виды атак, а также внутренние злоупотребления. Эксперт по ИТ-безопасности IBM Денис Батранков рассказал, зачем и для кого необходимо решение, а также о технологиях, которые применяются в продукте.

Система предотвращения атак Proventia Nework Intrusion Prevention System (IPS) от IBM представляет собой программно-аппаратный продукт, защищающий сеть от атак, которые пропускают межсетевые экраны и антивирусы. На сегодня 99% компаний используют файерволы и антивирусы, но тем не менее продолжают страдать от атак. Наша технология позволяет «на лету» обрабатывать сетевые потоки, обнаруживать в них различные виды атак и своевременно их блокировать.

Очень часто компании сталкиваются с отказами сервисов в случае DoS-атак, нередко случается несанкционированный доступ со стороны собственных сотрудников, в том числе администраторов. Усложняет задачу защиты сети тот факт, что современные компании имеют большое количество систем, требующих постоянных обновлений. Кроме того, постоянно ужесточаются законодательные требования: закон о персональных данных, стандарт платежных систем P CI DSS требуют использования систем обнаружения и предотвращения атак.

Во многих компаниях также существует проблема дефицита собственных специалистов-безопасников, поэтому IBM создала решения, которые могут работать как автономно, так и подключаться к системам управления. Надо сказать, что хакеры постоянно ищут уязвимости в различных системах и работают на опережение систем защиты. Проблема в том, что после получения информации о той или иной уязвимости не всегда быстро удается поставить патч, и хакеры успевают выпустить эксплойты, с помощью которых осуществляют атаки.

И очень часто патч поставить невозможно из-за его отсутствия. Согласно статистике, которая использует базу всех имеющихся уязвимостей в мире, на первую половину 2009 года не имело патчей 49% уязвимостей. Благодаря технологии Virtual Patch наша система находит блокирует атаки на уязвимости еще до тогосразу после того, как выпущен эксплойт, до выхода патчей. Очень часто мы сами находим уязвимости в нашей лаборатории X-Force и рассказываем о них вендорам.

Таким образом, установка Proventia IPS позволяет защититься вы защищаетесь не только от существующих угроз, но и от тех, которые появятся в будущем. Например, IBM опередила атаки на критические уязвимости в таких продуктах, как Microsoft Power Point, Microsoft Excel, Adobe Reader, эксперты IBM опередили распространение червя Conficker. Надо сказать, что Conficker использовался злоумышленниками в нескольких разновидностях, и для каждой из них у нас сработала защита: от атак на Microsoft RPC, от перебора паролей и др. В конце концов, мы разобрали протокол, по которому черви общались между собой, и соответствующие сигнатуры и правила фильтрации были добавлены в наши IPS.

Таким образом, Proventia IPS с технологией Virtual Patch дает необходимое время на тестирование обновлений, и можно ставить их, например, во время ежемесячного обслуживания серверов. Такие операции осуществимы благодаря возможностям модуля анализа протоколов — Protocol Analysis Module (PAM). Он разбирает проходящие через устройство сетевые протоколы и форматы данных. На сегодня в его базе более 200 различных протоколов. Protocol Analysis Module защищает не только от существующих угроз, но и может предугадать, в какое место протокола может быть вставлен вредоносный код. В качестве аналогии можно привести организацию, территория которой обнесена высоким забором. Но никто из сотрудников не замечает дощечку, которую можно отодвинуть и проникнуть на территорию. Что же делать когда кто-то обнаружит такую дощечку?

Условно говоря, при использовании обычной сигнатурной системы защиты город, после нейтрализации всех злоумышленников, о которых известно, обычно считается защищенным. Если вы используете обычную сигнатурную систему защиты, вы будете знать, что в городе есть, условно, сто злоумышленников, вы их нейтрализуете и будете думать, что защищены. Но тут появится сто первыйновый неучтенный ранее злоумышленник и проникнет в вашу систему. Если мы сравниваем уязвимость с дощечкой в заборе, то система предотвращения атак, используя модуль анализа протоколов, возьмет под контроль эту «"дощечку»", и любой, кто попытается пройти за «"забор»", будет немедленно остановлен. Системе всёе равно, какого роста злоумышленник, какой у него цвет глаз и как он выглядит. То есть, мы смотрим на сам способ проникновения, а не ищем того, кто проникает.

Только вперед

Модуль анализа протоколов постоянно развивается. Он очень гибкий и легко перемещается между различными системами. Его можно увидеть в наших продуктах по защите серверов и рабочих станций, в других продуктах сетевой защиты IBM. Недавно появился модуль по анализу утечек персональных данных и модуль по защите веб-приложений. Благодаря этому предотвращается огромное количество угроз – компьютерные черви, шпионское ПО, пиринговые программы, DDoS-атаки и т.д.

Давайте посмотрим, что можно контролировать на выходе сети. Например, система предотвращения атак разбирает протоколы ICQ и других мессенджеров, протоколы, по которым передается информация – FTP, SMTP и т.д. Учитывая множество каналов утечки информации, нам всегда важно знать формат передаваемых файлов. Proventia Network IPS позволяет заказчику создавать собственные сигнатуры. Например, можно предотвратить утечку информации о мобильных телефонах или номерах кредитных карт.

Половина всех уязвимостей в настоящее время приходится на WEB-приложения. Это связано с тем, что открытые ресурсы WEB серверов можно свободно исследовать и эксплуатировать уязвимости, которые там есть. Модуль Web Application Security, работающий в составе Proventia Network и Server IPS, защищает от нескольких видов атак, направленных специально на веб-приложения, и помогает соответствовать имеющимся стандартам безопасности. Чаще всего атакующие пытаются использовать внедрение команд SQL и скриптов: Cross-Site Scripting.

Мы видим, как востребованы нашими заказчиками системы предотвращения атак, но в то же время понимаем, как тяжело им выбрать системы подходящего уровня. Чтобы показать преимущества своих продуктов IBM отдаёт их для тестов в независимые лаборатории. По результатам тестов лаборатории NSS(http://nsslabs.com/IPS-SUM/ibm-iss-proventia-nips-gx6116-2008-december.html), мы первые из вендоров за последние пять лет получили наивысшую награду Gold Award, что говорит о том, что в течение трёх последовательных месяцев тестирования Proventia Network IPS показывала результаты блокирования атак равные 100%.

Простота и надежность

В линейку устройств Proventia Network IPS входят аппаратные решения с производительностью от 10 Мбит/с до 15 Гбит/c и поддерживающие 10 Гбит интерфейсы, а также наш программный модуль, который на платформе Crossbeam позволяет нашим клиентам достигать скорости 40 Гбит/с. Программное решение имеет тот же функционал, что и аппаратное, и с тем же успехом блокирует угрозы в вашей сети. Важно, что технология Proventia IPS защищает не только физические сервера, но и виртуальные, при помощи продуктов Virtual IPS и Virtual Server Security можно не только анализировать трафик но и выполнять другие операции, например предотвращать установку руткитов.

Где можно поставить решение IPS? Конечно же, сразу после межсетевого экрана для защиты ядра. Можно его также использовать и для защиты беспроводных сетей, баз данных, серверов, т.е. его можно поставить перед ЦОДом. Также важно защитить любые внешние подключения, такие как сети с Wi-Fi доступом. Управление Proventia Network IPS достаточно простое: устройство имеет собственный графический интерфейс, вы можете подключиться к нему через HTTPS, смотреть события, настраивать политики и т.д. Кроме того, Proventia Network IPS позволяет писать собственные правила фильтрации, которые очень похожи на синтаксис, использующийся в свободном программном обеспечении Snort. Можно не просто блокировать события в сети, но и просматривать журналы событий в удобном формате, собирать пакеты, идущие от злоумышленников, Система позволяет задать свою собственную реакцию, написав собственный скрипт.

Очень часто сетевые администраторы спрашивают нас, безопасников, насколько высока надёежность устройств, которые мы предлагаем им поместить в сеть. Решения IBM Proventia поддерживают все возможности для гарантий высокой доступности. Режим High Availability гарантирует, что если одно из устройств отключается, то трафик идёет через другое. Надо заметить, что установленные в сети сессии при этом не прерываются, что особенно важно для банков, где критична непрерывность транзакций. Proventia IPS имеет модуль обхода, который пропускает трафик насквозь в случае аварии, что позволяет обеспечивать непрерывный доступ к ресурсам сети и доступность ваших ресурсов не прерывается. Система предотвращения атак предусматривает резервирование внутри самого устройства: RAID для жёестких дисков, двойные блоки питания, двойные вентиляторы охлаждения.

Как приобрести наше решение? Вы можете обратиться к любому нашему партнёру и выбрать программно-аппаратный продукт. Вы можете также зайти на сайт https://my.iss.net IPS для запуска на VMware. Кроме того, на этом сайте вы можете скачать любой другой продукт ISS

Высокий уровень защиты и низкий уровень ложных срабатываний, которые даёет IBM Proventia Network IPS, позволяют использовать его в любых сетях, в том числе в сетях провайдеров. Система предотвращения атак нужна как безопасникам, чтобы защищаться от различных угроз, так и айтишникам, которые могут обеспечивать необходимую полосу пропускания. Кроме того, система важна для руководства компании, поскольку позволяет соотвествовать различным стандартам, например, закону о персональных данных. Нужна система и руководству, чтобы соответствовать различным стандартам, например, закону о персональных данных. Важно, что использование системы позволяет сократить издержки на устранение последствий атак. Обучение управлением устройства Надо сказать, что управлять устройством легко – обучение занимает всего один день в учебном центре в Москве.

Узнать больше и посмотреть презентацию