IBM: как защититься от всех угроз?

Cистема предотвращения атак Proventia Nework Intrusion Prevention System (IPS) от IBM представляет собой программно-аппаратный продукт, защищающий сеть от атак, которые пропускают межсетевые экраны и антивирусы. На сегодня 99% компаний используют фаерволы и антивирусы, но, тем не менее, продолжают cтрадать от атак. Наша технология позволяет "на лету" обрабатывать сетевые потоки, обнаруживать в них различные виды атак и своевременно их блокировать. 

Очень часто компании сталкиваются с отказами сервисов в случае DoS-атак, нередко случается несанкционированный доступ со стороны собственных сотрудников, в том числе администраторов. Усложняет задачу защиты сети тот факт, что современные компании имеют большое количество систем, требующих постоянных обновлений. Кроме того, постоянно ужесточаются законодательные требования: закон о персональных данных, стандарт платежных систем PCIDSS требуют использования систем обнаружения и предотвращения атак.

Во многих компаниях также существует проблема дефицита собственных специалистов-безопасников, поэтому IBM создала решения, которые могут работать как автономно, так и подключаться к системам управления. Надо сказать, что хакеры постоянно ищут уязвимости в различных системах и работают на опережение систем защиты. Проблема в том, что после получения информации о той или иной уязвимости не всегда быстро удается поставить патч, и хакеры успевают выпустить эксплойты, с помощью которых осуществляют атаки.

И очень часто патч поставить невозможно из-за его отсутствия. Согласно нашей статистике, которая использует базу всех имеющихся уязвимостей в мире, на первую половину 2009 года не имело патчей 49% уязвимостей. Благодаря технологии Virtual Patch наша система блокирует атаки на уязвимости еще до того, как выпущен эксплойт, до выхода патчей. Очень часто мы сами находим уязвимости в нашей лаборатории X-Force и рассказываем о них вендорам.

Таким образом, установка Proventia IPS позволяет защититься не только от существующих угроз, но и от тех, которые появятся в будущем. Например, IBM опередила атаки на критические уязвимости в таких продуктах, как Microsoft Power Point, Microsoft Excel, Adobe Reader, эксперты IBM опередили распространение червя Conficker. Надо сказать, что Conficker использовался злоумышленниками в нескольких разновидностях, и для каждой из них у нас сработала защита: от атак на Microsoft RPC, от перебора паролей и др. В конце концов, мы разобрали протокол, по которому черви общались между собой, и соответствующие сигнатуры и правила фильтрации были добавлены в наши IPS.

Таким образом, Proventia IPS с технологией Virtual Patch дает необходимое время на тестирование обновлений, и можно ставить их, например, во время ежемесячного обслуживания серверов. Такие операции осуществимы благодаря возможностям модуля анализа протоколов - Protocol Analysis Module (PAM). Он разбирает проходящие через устройство сетевые протоколы и форматы данных. На сегодня в его базе более 200 различных протоколов. Protocol Analysis Module защищает не только от существующих угроз, но и может предугадать, в какое место протокола может быть вставлен вредоносный код. В качестве аналогии можно привести организацию, территория которой обнесена высоким забором. Но никто из сотрудников не замечает дощечку, которую можно отодвинуть и проникнуть на территорию. Что же делать, когда кто-то обнаружит такую дощечку?

Условно говоря, при использовании обычной сигнатурной системы защиты город, после нейтрализации всех злоумышленников, о которых известно, обычно считается защищенным. Но тут появится новый неучтенный ранее злоумышленник и проникнет в систему. Если мы сравниваем уязвимость с дощечкой в заборе, то система предотвращения атак, используя модуль анализа протоколов, возьмет под контроль эту "дощечку", и любой, кто попытается пройти за "забор", будет немедленно остановлен. Системе все равно, какого роста злоумышленник, какой у него цвет глаз и как он выглядит. То есть, мы смотрим на сам способ проникновения, а не ищем того, кто проникает.

Только вперед

Модуль анализа протоколов постоянно развивается. Он очень гибкий и легко перемещается между различными системами. Его можно увидеть в наших продуктах по защите серверов и рабочих станций, в других продуктах сетевой защиты IBM. Недавно появились модуль по анализу утечек персональных данных и модуль по защите веб-приложений. Благодаря этому предотвращается огромное количество угроз - компьютерные черви, шпионское ПО, пиринговые программы, DDoS-атаки и т.д.

Давайте посмотрим, что можно контролировать на выходе сети. Например, система предотвращения атак разбирает протоколы ICQ и других мессенджеров, протоколы, по которым передается информация, - FTP, SMTP и т.д. Учитывая множество каналов утечки информации, нам всегда важно знать формат передаваемых файлов. Proventia Network IPS позволяет заказчику создавать собственные сигнатуры. Например, можно предотвратить утечку информации о мобильных телефонах или номерах кредитных карт.

Половина всех уязвимостей в настоящее время приходится на Web-приложения. Это связано с тем, что открытые ресурсы Webсерверов можно свободно исследовать, и эксплуатировать уязвимости, которые там есть. Модуль Web Application Security, работающий в составе Proventia Network и Server IPS, защищает от нескольких видов атак, направленных специально на веб-приложения, и помогает соответствовать имеющимся стандартам безопасности. Чаще всего атакующие пытаются использовать внедрение команд SQL и скриптов: Cross-SiteScripting.

Мы видим, как востребованы нашими заказчиками системы предотвращения атак, но в то же время понимаем, как тяжело им выбрать системы подходящего уровня. Чтобы показать преимущества своих продуктов, IBM отдает их для тестов в независимые лаборатории. По результатам тестов лаборатории NSS мы первые из вендоров за последние пять лет получили наивысшую награду Gold Award, что говорит о том, что в течение трех последовательных месяцев тестирования Proventia Network IPS показывала результаты блокирования атак равные 100%.

Простота и надежность

В линейку устройств Proventia Network IPS входят аппаратные решения с производительностью от 10 Мбит/с до 15 Гбит/c и поддерживающие 10Гбит интерфейсы, а также наш программный модуль, который на платформе Crossbeam позволяет нашим клиентам достигать скорости 40 Гбит/с. Программное решение имеет тот же функционал, что и аппаратное, и с тем же успехом блокирует угрозы в вашей сети. Важно, что технология Proventia IPS защищает не только физические сервера, но и виртуальные: при помощи продуктов Virtual IPS и Virtual Server Security можно не только анализировать трафик но и выполнять другие операции, например, предотвращать установку руткитов.

Где можно поставить решение IPS? Конечно же, сразу после межсетевого экрана для защиты ядра. Можно его также использовать и для защиты беспроводных сетей, баз данных, серверов, т.е. его можно поставить перед ЦОДом. Также важно защитить любые внешние подключения, такие как сети с WiFi доступом. Управление Proventia Network IPS достаточно простое: устройство имеет собственный графический интерфейс, вы можете подключиться к нему через HTTPS, смотреть события, настраивать политики и т.д. Кроме того, Proventia Network IPS позволяет писать собственные правила фильтрации, которые очень похожи на синтаксис, использующийся в свободном программном обеспечении Snort. Можно не просто блокировать события в сети, но и просматривать журналы событий в удобном формате, собирать пакеты, идущие от злоумышленников. Система позволяет задать свою собственную реакцию, написав собственный скрипт.

Очень часто сетевые администраторы спрашивают нас, безопасников, насколько высока надежность устройств, которые мы предлагаем им поместить в сеть. Режим HighAvailability гарантирует, что если одно из устройств отключается, то трафик идет через другое. Надо заметить, что установленные в сети сессии при этом не прерываются, что особенно важно для банков, где критична непрерывность транзакций. Proventia IPS имеет модуль обхода, который пропускает трафик насквозь в случае аварии, что позволяет обеспечивать непрерывный доступ к ресурсам сети. Система предотвращения атак предусматривает резервирование внутри самого устройства: RAID для жестких дисков, двойные блоки питания, двойные вентиляторы охлаждения.

Как приобрести наше решение? Вы можете обратиться к любому нашему партнеру и выбрать программно-аппаратный продукт. Вы можете также зайти на сайт my.iss.net и скачать пробную виртуальную версию IPS для запуска на VMware. Кроме того, на этом сайте вы можете скачать любой другой продукт ISS.

Высокий уровень защиты и низкий уровень ложных срабатываний, которые дает IBM Proventia Network IPS, позволяют использовать его в любых сетях, в том числе в сетях провайдеров. Система предотвращения атак нужна как безопасникам, чтобы защищаться от различных угроз, так и айтишникам, которые могут обеспечивать необходимую полосу пропускания. Кроме того, система важна для руководства компании, поскольку позволяет соответствовать различным стандартам, например, закону о персональных данных. Важно, что использование системы позволяет сократить издержки на устранение последствий атак. Обучение управлением устройства занимает всего один день в учебном центре в Москве.