IBM Proventia Network Intrusion Prevention System (IPS)

Система предотвращения атак Proventia Network IPS предназначена для блокирования сетевых атак и аудита работы сети.

Cистема предотвращения атак Proventia Nework Intrusion Prevention System (IPS) от IBM представляет собой программно-аппаратный продукт, защищающий сеть от атак, которые пропускают межсетевые экраны и антивирусы. На сегодня 99% компаний используют фаерволы и антивирусы, но, тем не менее, продолжают страдать от атак. Наша технология позволяет "на лету" обрабатывать сетевые потоки, обнаруживать в них различные виды атак и своевременно их блокировать.

Очень часто компании сталкиваются с отказами сервисов в случае DoS-атак, нередко случается несанкционированный доступ со стороны собственных сотрудников, в том числе администраторов. Усложняет задачу защиты сети тот факт, что современные компании имеют большое количество систем, требующих постоянных обновлений. Кроме того, постоянно ужесточаются законодательные требования: закон о персональных данных, стандарт платежных систем PCI DSS требуют использования систем обнаружения и предотвращения атак.

Во многих компаниях также существует проблема дефицита собственных специалистов-безопасников, поэтому IBM создала решения, которые могут работать как автономно, так и подключаться к системам управления. Надо сказать, что хакеры постоянно ищут уязвимости в различных системах и работают на опережение систем защиты. Проблема в том, что после получения информации о той или иной уязвимости не всегда быстро удается поставить патч, и хакеры успевают выпустить эксплойты, с помощью которых осуществляют атаки.

И очень часто патч поставить невозможно из-за его отсутствия. Согласно нашей статистике, которая использует базу всех имеющихся уязвимостей в мире, на первую половину 2009 года не имело патчей 49% уязвимостей. Благодаря технологии Virtual Patch наша система блокирует атаки на уязвимости еще до того, как выпущен эксплойт, до выхода патчей. Очень часто мы сами находим уязвимости в нашей лаборатории X-Force и рассказываем о них вендорам.

Только вперед

Модуль анализа протоколов постоянно развивается. Он очень гибкий и легко перемещается между различными системами. Его можно увидеть в наших продуктах по защите серверов и рабочих станций, в других продуктах сетевой защиты IBM. Недавно появились модуль по анализу утечек персональных данных и модуль по защите веб-приложений. Благодаря этому предотвращается огромное количество угроз – компьютерные черви, шпионское ПО, пиринговые программы, DDoS-атаки и т.д.

Давайте посмотрим, что можно контролировать на выходе сети. Например, система предотвращения атак разбирает протоколы ICQ и других мессенджеров, протоколы, по которым передается информация, – FTP, SMTP и т.д. Учитывая множество каналов утечки информации, нам всегда важно знать формат передаваемых файлов. Proventia Network IPS позволяет заказчику создавать собственные сигнатуры. Например, можно предотвратить утечку информации о мобильных телефонах или номерах кредитных карт.

Половина всех уязвимостей в настоящее время приходится на Web-приложения. Это связано с тем, что открытые ресурсы Web-серверов можно свободно исследовать, и эксплуатировать уязвимости, которые там есть. Модуль Web Application Security, работающий в составе Proventia Network и Server IPS, защищает от нескольких видов атак, направленных специально на веб-приложения, и помогает соответствовать имеющимся стандартам безопасности. Чаще всего атакующие пытаются использовать внедрение команд SQL и скриптов: Cross-Site Scripting. Мы видим, как востребованы нашими заказчиками системы предотвращения атак, но в то же время понимаем, как тяжело им выбрать системы подходящего уровня. Чтобы показать преимущества своих продуктов, IBM отдает их для тестов в независимые лаборатории. По результатам тестов лаборатории NSS мы первые из вендоров за последние пять лет получили наивысшую награду Gold Award, что говорит о том, что в течение трех последовательных месяцев тестирования Proventia Network IPS показывала результаты блокирования атак равные 100%.

Простота и надежность

В линейку устройств Proventia Network IPS входят аппаратные решения с производительностью от 10 Мбит/с до 15 Гбит/c и поддерживающие 10Гбит интерфейсы, а также наш программный модуль, который на платформе Crossbeam позволяет нашим клиентам достигать скорости 40 Гбит/с. Программное решение имеет тот же функционал, что и аппаратное, и с тем же успехом блокирует угрозы в вашей сети. Важно, что технология Proventia IPS защищает не только физические сервера, но и виртуальные: при помощи продуктов Virtual IPS и Virtual Server Security можно не только анализировать трафик но и выполнять другие операции, например, предотвращать установку руткитов.

Где можно поставить решение IPS? Конечно же, сразу после межсетевого экрана для защиты ядра. Можно его также использовать и для защиты беспроводных сетей, баз данных, серверов, т.е. его можно поставить перед ЦОДом. Также важно защитить любые внешние подключения, такие как сети с WiFi доступом. Управление Proventia Network IPS достаточно простое: устройство имеет собственный графический интерфейс, вы можете подключиться к нему через HTTPS, смотреть события, настраивать политики и т.д. Кроме того, Proventia Network IPS позволяет писать собственные правила фильтрации, которые очень похожи на синтаксис, использующийся в свободном программном обеспечении Snort. Можно не просто блокировать события в сети, но и просматривать журналы событий в удобном формате, собирать пакеты, идущие от злоумышленников. Система позволяет задать свою собственную реакцию, написав собственный скрипт.

Очень часто сетевые администраторы спрашивают нас, безопасников, насколько высока надежность устройств, которые мы предлагаем им поместить в сеть. Режим High Availability гарантирует, что если одно из устройств отключается, то трафик идет через другое. Надо заметить, что установленные в сети сессии при этом не прерываются, что особенно важно для банков, где критична непрерывность транзакций. Proventia IPS имеет модуль обхода, который пропускает трафик насквозь в случае аварии, что позволяет обеспечивать непрерывный доступ к ресурсам сети. Система предотвращения атак предусматривает резервирование внутри самого устройства: RAID для жестких дисков, двойные блоки питания, двойные вентиляторы охлаждения.

Как приобрести наше решение? Можно обратиться к любому нашему партнеру и выбрать программно-аппаратный продукт. Можно также зайти на сайт https://my.iss.net и скачать пробную виртуальную версию IPS для запуска на VMware. Кроме того, на этом сайте вы можете скачать любой другой продукт ISS.

Высокий уровень защиты и низкий уровень ложных срабатываний, которые дает IBM Proventia Network IPS, позволяют использовать его в любых сетях, в том числе в сетях провайдеров. Система предотвращения атак нужна как безопасникам, чтобы защищаться от различных угроз, так и айтишникам, которые могут обеспечивать необходимую полосу пропускания. Кроме того, система важна для руководства компании, поскольку позволяет соответствовать различным стандартам, например, закону о персональных данных. Важно, что использование системы позволяет сократить издержки на устранение последствий атак. Обучение управлением устройства занимает всего один день в учебном центре в Москве.

Узнать больше и посмотреть презентацию


или введите имя

CAPTCHA
aziatkofag
26-01-2010 09:53:18
>Освобождение сети от трафика несанкционированных приложений таких как TOR, Skype >Skype не_верю.png
0 |
antiSkype
26-01-2010 10:20:11
А чо трудно скайп что ли заблокировать? по моему проще некуда.
0 |
RAMBO
26-01-2010 11:15:03
Вообще-то трудно. Он во все дыры лезет, и маскируется. Настолько же трудно, как поднять paшку с колен (т.е., практически невозможно).
0 |
59544
26-01-2010 11:41:52
Сервера авторизации ограничены. Может их в блеклист?
0 |
antiSkype
26-01-2010 12:38:19
Про рашку согласен. Про скайп-нет. Блокируется достаточно легко. Даже простыми виндозными средствами. Даже на промежуточном хосте, а не на своей машине.
0 |
18487
26-01-2010 13:02:42
То есть у нас в организации я сделал не возможное ?
0 |
plamya
26-01-2010 12:36:00
В чем проблема? Check Point давно уже эту дрянь блочить умеет. Как он это де лает, не спрашивай - я не разработчик.
0 |
0per
26-01-2010 13:08:13
не_верюа ты поверь. нет ничего проще чем скайп заблочить. ш_к_о_л_о_т_а может не верить.
0 |
26-01-2010 22:48:14
Given the extensive use of encryption and peer-topeer technologies, it is extremely difficult at this time to reliably detect and block Skype on a network. However, when the application starts, it will attempt to call in to determine if there are program updates available. It is possible to detect a host running the application based on this request. Unfortunately, this is not guaranteed since the option to request updates can be disabled. The option is on by default. Internet Security Systems’ Intrusion Detection System (IDS) and Intrusion Prevention System (IPS) products have detection for this with HTTP_Skype. http://www.iss.net/documents/literature/X-ForceNews_Aug06.pdf
0 |
23-05-2010 21:10:39
http://www.iss.net/security_center/reference/vuln/HTTP_Skype.htm
0 |
23-05-2010 21:11:30
HTTP_Skype
0 |
смчм
26-01-2010 10:24:46
статья рекламная, но железка прикольная
0 |
Евгений
26-01-2010 17:40:48
Секлаб дорос до решений ИБ уровня предприятия? Мы скоро увидим статьи про то, как в крупных организациях безопасность обеспечивать, а не про то как с помощью петли и палки (и бесплатного персонального фаервола) десяток компьютеров защитить? Это хорошо. Секлаб, я верил в тебя!
0 |
Garrik
26-01-2010 21:02:46
IPS не пробовал. А вот IDS (Proventia ISS) юзаем. Отлично работает.
0 |
Karo
26-01-2010 22:38:42
Так IDS у них называется RealSecure Network Sensor
0 |
Евгений
27-01-2010 19:19:15
Провентя может работать как в режиме IDS, так и в режиме IPS.
0 |
676
03-02-2010 22:15:12
Опять реклама
0 |