Комплексные средства защиты от угроз. Radware.
ООО «ЮниФрэйт»
Проблемы сетевой безопасности
Доступность Как Вы гарантируете, что критично важные приложения
будут доступны при атаках? Скорость
Как Вы гарантируете что опыта пользователей (администраторов) достаточно для действий при атаках?
Безопасность Какова стоимость потери данных или использования Ваших
ресурсов? Возможность расширения
Как Вы гарантируете будущий рост при минимальных первоначальных расходах?
Уменьшение расходов Как использовать все вышеперечисленное при сокращении
затрат?
Средства защиты
Предотвращение проникновений
Сетевые угрозы
Угрозы
Уязвимость приложений
Воровство информации
Authentication defeat
Распространение вредоносного ПО
Аномалии сети
Время недоступности приложений
Время простоя сети
Phishing, Trojans, Spam, Botnets
Поведенческий анализ
Защита от DoS
Reputation Services
Июль 2009. Кибер атака в новостях
BotnetAttack
Июль 2009. Кибер атака : карта атаки
Internet
WEB сервер
Bot (зараженная машина)
Bot (зараженная машина)
Атакующий
BOT Command
C&C Server
GET /… HTTP/1.0
GET /… HTTP/1.0
GET /… HTTP/1.0
GET /… HTTP/1.0
Bot (зараженная машина)
Bot (зараженная машина)
Легитимный пользователь
Характеристики Mydoom.EA Botnet• ~50,000 зараженных ПК• Распределенная атака:
• HTTP page flood• SYN flood with packet anomalies• UDP flood• ICMP flood
• Сервера в США и Южной Корее• ~ 6-7 Gbps inbound traffic (>2 Million PPS)
Июль 2009. Кибер атака : Защита
Attack Vector Solution
Bot malware spread IPS orNetwork Behavior Analysis
Bot Command & Control messages IPS
Application flooding- HTTP page flood attack
Network Behavior Analysis
Network flooding- SYN/UDP/ICMP flood attack
DoS Protection
Ни один существующий инструмент не позволяет защитить сеть и ресурсы одновременно
Решение.
ООО «ЮниФрэйт»
Безопасность дата-центров:карта решений
IPS DoSProtection
NBA Reputation Engine
APSolute attack prevention for data centers
Internet
Access Router
Web ServersApplication Servers
FirewallDoS Protection
IPS
NBA
Anti Trojan / phishing
DefensePro IPS DoS Protection NBA Anti Trojan, Anti Phishing
DefensePro IPS DoS Protection NBA Anti Trojan, Anti Phishing
Безопасность дата-центров : карта технологий
IPS DoS Protection NBA Reputation Engine
Signature Detection
Rate-based
Rate-based
Behavioral Analysis
Signature Detection
Anti Trojan, Anti PhishingStateful
Inspection
SYN Cookies
User Behavioral Analysis
Application Behavioral Analysis
IPS: Защита с применением статических сигнатур
Защита с помощью сигнатур Leading security research team Защита от известных уязвимостей
приложений Еженедельные или по запросу обновление
сигнатур
Защита доступна против Worms, Bots, Trojans, Phishing, Spyware Web, Mail, SQL, VoIP (SIP), DNS
уязвимости Anonymizers, IPv6 атаки Уязвимости Microsoft Аномалии протоколов
Защита от DoS : сигнатуры в реальном времени
Автоматическая защита в реальном времени против сетевых DDoS атак: SYN floods TCP floods UDP/ICMP floods
Основные достоинства Поддержка доступности важных приложений даже при
атаке Блокировка атакующих без ущемления легитимных
пользователей Автоматическая защита в реальном времени от
флуда без вмешательства оператора
Поведенческий сетевой анализ:Real-time Signatures Protection
NBA (Network behavioral analysis) обнаруживает ненормальных пользователей и действия приложений
Автоматическая защита с помощью real-time signature: Распространение Zero-minute Malware Злоупотребление ресурсами приложений, такие как:
Brute force attacks Web application scanning HTTP page floods SIP Scans SIP Floods
Ценность Поддержка доступности приложений даже во время атаки Блокировка атакующего трафика без блокировки легитимного трафика Автоматическая защита в реальном времени от злоупотреблений
ресурсами приложений без вмешательства администратора
Секретный ингредиент – Real-time Signatures
Internet
Входящий трафик
Исходящий трафик
Behavioral Analysis
Abnormal Activity
Detection
Inspection Module
Real-Time Signature
Inputs- сети- сервера- пользователи
Real-Time Signature
Generation
Closed Feedback
Внутренняя сеть
Оптимизация сигнатурУдаление, когда атака
закончена
DoS & DDoS
Угрозы уровня приложений
Zero-Minutemalware propagation
Стандартные средства защиты: HTTP Flood Example
Internet
Web сервер
HTTP Bot (Зараженный ПК)
HTTP Bot (Зараженный ПК)
Атакующий
BOT Command
IRC Server
НелегитимноеИспользование
сервисных ресурсов
GET /search.php HTTP/1.0GET /search.php HTTP/1.0
GET /search.php HTTP/1.0
GET /search.php HTTP/1.0
HTTP Bot (Зараженный ПК)
HTTP Bot (Зараженный ПК)
Подход со статичными сигнатурами- Небольшие объёмы флуда
классифицируются как легитимные соединения
- Ограничения на соединения при большом объёме флуда Agnostic to the attacked page Блокировка легитимного трафика Большое количество ложных срабатываний
Real-Time Signatures: Точный выстрелПример: HTTP Page Flood Attack
Internet
Web сервер
HTTP Bot (Зараженный хост)
HTTP Bot (Зараженный хост)
Атакующий
BOT Command
IRC Server
Misuse of Service Resources
GET /search.php HTTP/1.0GET /search.php HTTP/1.0
GET /search.php HTTP/1.0
GET /search.php HTTP/1.0
HTTP Bot (Зараженный хост)
HTTP Bot (Зараженный хост)
Поведенческое обнаружение (1) Based on probability analysis identify which Web page (or
pages) has higher than normal hits
Поведенческое обнаружение(2) Идентификация ненормальной активности пользователейДля примера:- Нормальный пользователь загружает несколько страниц за
одно соединение- Ненормально поведение – загрузка множества страниц
Real Time Signature: Блокирует аномальный доступ к определенной
web странице (возможно подвергается атаке)
Механизм репутаций: работа в реальном времени
Защитите пользователей сети от Финансового мошенничества Кражи информации Known & zero-minute malware spread
Наполнение в реальном времи из RSA Anti Fraud Command Center (AFCC) Самый большой в индустрии и наиболее профессиональная команда
специалистов Предотвращение:
Установка троянов и организации «дыр» удаленного доступа Подмена точек назначение (похищение информации) Phishing attempts
Архитектура спроектирована для предотвращения атак
OnDemand SwitchПроизводительность механизма до 12Gbps
DoS Mitigation Engine• основан на ASIC• Предотвращает
большие атаки• производительность
до 10 Million PPS для защиты
NBA Protections• Предотвращает некорректное
использование ресурсов• Предотвращает исполнение
zero-minute вредоносного ПОМеханизм репутаций• Anti Trojan & Phishing
IPS• основан на ASIC String
Match Engine обеспечивает глубокий анализ пакетов
• Предотвращение уязвимостей приложений
Ключевое преимущество: производительность
Multi-Gbps
Легитимныйтрафик
10 MillionPPS
Атакующийтрафик
Другие системы безопасности
Multi-Gbps
Легитимныйтрафик+ Атака
AttackАтака
AttackTraffic
DefensePro
Устройство обрабатывает атакующий трафик за
счет легитимного трафика
Атакующий трафик не влияет на
легитимный трафик
Предотвращение атак:Модели до 12Gbps
DefensePro x412 Поведенческая защита модели:
DefensePro 4412 (4Gbps) DefensePro 8412 (8Gbps) DefensePro 12412 (12Gbps)
DefensePro x412 IPS & Поведенческая защита модели:
DefensePro 4412 (4Gbps) DefensePro 8412 (8Gbps)
DefensePro x016 IPS & Поведенческая защита модели:
DefensePro 1016 (1Gbps) DefensePro 2016 (2Gbps) DefensePro 3016 (3Gbps)
License Key Upgrade
Предотвращение атак:Основные преимущества
Необходимая производительность Самая высокая производительность в индустрии –до 12Gbps с
активными сетевыми настройками
Расширение по требованию Производительность увеличивается за счет установки лицензий Не требуется замена «железа»
Защита инвестиций Покупайте то, что Вам нужно– зачем платить за то, что Вам сейчас
не требуется Pay-as-you-grow - Вы платите только за лицензии
No Upgrade Projects Не требуется замена оборудования, нет простоя сети и недоступности
сервисов Уменьшение капитальных расходов
Простота в эксплуатации и стандартизация Стандартная, унифицированная платформа для всех скоростей Уменьшение инвестиций на обучение, запчасти и ремонт
“Radware offers low product and maintenance costs, as compared with most competitors.”
Greg Young & John Pescatore, Gartner, April 2009
APSolute Vision: Мониторинг и система отчетов
Мониторинг в реальном времени Детали активных атак
Отчеты за период Гибкие инструментальные
панели Разнообразные готовые
отчеты Разработка своих форм
отчетов
APSolute Vision: Целостное предложение
APSolute Vision помогает менеджерам ИТ улучшать бизнес Гибкость
Идентификация в реальном времени, установление приоритетов и быстрый ответ на нарушения политик, атаки или инсайдерские действия
Быстрота Персональные панели инструментов и отчеты для каждого
администратора Эффективность
Упрощает управление ЦОДом Увеличивает производительность ИТ подразделения
Аварийная команда
ООО «ЮниФрэйт»
ERT – Emergency Response Team
Пример: июль 2009 Множество атак типа DDoS в США и Корее Новый уровень атак с точки зрения качества и количества Radware решает обращения заказчиков и помогает
заказчикам, которых атакуют Цель ERT
Обеспечить быстрый и профессиональный ответ, который позволяет клиентам нейтрализовать атаки и восстанавливать сеть и доступ к атакованным приложениям
Доступность Работа в режиме 24x7 Немедленный ответ на обращения Нейтрализация атак DoS/DDoS и вспышек вредоносного ПО
Успешное внедрение
ООО «ЮниФрэйт»
Customer Case: Gmarket (1 of 2)
About the Customer Gmarket Inc. (Nasdaq: GMKT) is Korea’s leading e-
commerce marketplace Gmarket derives their revenues from transaction fees on
the sale of products on their website and from advertising
The Need Web service protection
Prevent Web vulnerabilities exploitation Prevent Web cracking (Web Scans & Brute Force) Prevent HTTP Page floods misusing web servers
Anti-DoS solution Protect against unexpected high volume DDoS attack
which stop all web transaction services Secure Firewalls, L3 switches and web servers from high
volume attacks
“Radware’s DefensePro
is the only solution that
was able to provide us
with the most complete
intelligent solution to
protect our website and
our business "
– Park Eui-Won, Security
Team Leader
Customer Case: Gmarket (2 of 2) The Solution
Internet
Access Router
Web Servers
FirewallSwitch
Multiple DefensePro
DoS Protection:• Prevent high volume DoS/DDoS
attacks• Infrastructure Protection: Firewalls,
Switches, etc.
NBA protections:• Prevent HTTP Page Flood attacks• Brute Force attacks, Web vulnerability Scans
IPS:• Prevent Web vulnerabilities exploitations
Спасибо за внимание!