network security platform
DESCRIPTION
TRANSCRIPT
Network Security Platform
Андрей Новиков, технический специалист
Confidential McAfee Internal Use Only
McAfee: Факты
— количество пользователей продуктами McAfee125 миллионов
компаний, входящих в список Fortune 100, используют ПО McAfee94 %
мобильных устройств поставлены в комплектес ПО McAfee
Более 180 миллионов
— объем самого крупного развертывания McAfee5 миллионов
— патентов получено McAfee; еще выше число заявок на патенты450+
— партнеров партнеров программы McAfee Security Innovation Alliance100+
— число сотрудников McAfee по всему миру6095
— стран, так или иначе связанны с McAfee120
раз аналитическое агентство Gartner включало McAfee в свои «Магические квадранты»7
Confidential McAfee Internal Use Only
McAfee: Основные вехи
McAfee разработывает технологию обнаружения троянов, крадущих пароли
McAfee обнаруживает первую локальную уязвимость ядра
McAfee обнаруживает первую вредоносную программу для IRC
McAfee выпускает Virus Patrol
McAfee разрабатывает Host IPS
McAfee обнаруживает первый полевой полиморфный вирус
McAfee обнаруживает вирус Melissa
Количество файлов антивирусной базы превысило отметку 50 000
McAfee обнаруживает вирус Phage
McAfee начинает предлагать защиту для конечных точек и антивирусы в виде сервиса (SaaS)
McAfee обнаруживает вирус Naked
McAfee обнаруживает вирус Party
McAfee обнаруживает злоумышленников,манипулирующих Google
McAfee первой начинает предлагать систему сетевой защиты от ботнетов
McAfee обнаруживает несколько атак
«нулевого дня»
McAfee раскрывает уязвимость Microsoft Windows ANI
McAfee разрабатывает Artemis, первую технологию защиты
в реальном времени «в облаке»
McAfee обнаруживает двух из числа крупнейших самозапускающихся червей в истории: Blaster, Sasser
McAfee обнаруживает три из самых крупных в истории угрозы массовой рассылки: Lirva, MyWife, MyDoom
McAfee обнаруживает уязвимость в MS Internet Explorer и дает этой атаке название «Операция „Аврора“»
McAfee публикует отчет, согласно которому важные объекты инфраструктуры постоянно подвергаются серьезным кибератакам
1996 1997 1998 1999 2000 2003 2004 2005 2006 2007 200820022001 2009 2010
McAfee принадлежитзаслуга изобретенияGlobal Threat Intelligence
Confidential McAfee Internal Use Only
Основная проблема
Confidential McAfee Internal Use Only
Новые границы
Confidential McAfee Internal Use Only
Киберпреступность касается каждого
Информация о 77 000 000 пользователей досталась хакерам!
Confidential McAfee Internal Use Only
Январь 2010. Аврора
Confidential McAfee Internal Use Only
Январь 2010. Аврора
“Это одна из самых сложных и быстрых атак за последние годы, нацеленная на определенные компании. Атака использовала zero-day exploit в
Internet Explorer.” – George Kurtz, McAfee CTO
Confidential McAfee Internal Use Only
Время реакции
Jan 14: MFE releases coverageMSFT issues advisory
Jan 13: MFE Labs confirms IE zero-day
Jan 15: MSFT assigns CVE
Jan 15: Sourcefire, ISS, Cisco, and PAN announce coverage
Jan 10: Aurora Samples into Artemis
Jan 17: TippingPoint announces coverage
Jan 18: Check Point announces coverage
Jan 19: Fortinet announces coverage
Confidential McAfee Internal Use Only
Семейство продуктов Network Security
Internet Gateways
NetworkDefense
IntrusionPrevention NAC
UTM
FirewallUser
Behavior
DLPEmailWeb
Confidential McAfee Internal Use Only
Оценка Gartner
Confidential McAfee Internal Use Only
Разнообразие угроз
Зашифрованные атаки
DoS / DDoS атаки
Попытки переполнения буфера
Черви
Атаки «нулевого дня»Попытки взлома
Боты и ботнеты
Атаки на не обновленные системы
Вирусы
Атаки «Троянов»
Клиенты
Управляющие серверы
McAfee Network Security Platform
VoIP атаки
Атаки через P2P приложения
Confidential McAfee Internal Use Only
Что такое IPS?
• Это устройство, которое инспектирует сетевой трафик и блокирует угрозы в реальном времени. Оно выполняет следующие функции:
– Инспектирует входящий и исходящий трафик в реальном времени– Останавливает вредоносный или нежелательный трафик– Категорирует все потенциальные угрозы и составляет отчеты– Размещается в любом месте, где трафик проходит между известной и
неизвестной зоной (например, после Firewall)
Корпоративная штаб-квартира
Управляющие серверы
Почтовые серверы
Удаленные работники и WAN
Региональный офис
Система предотвращения вторжений
Confidential McAfee Internal Use Only
Интеграция с GTI
Email Reputation
Web Reputation
File Reputation
Network Reputation
Confidential McAfee Internal Use Only
Ключевые особенности и функции
Проактивная защита от вторжений Производительность до 10GE Использование Artemis и McAfee Labs GTI
Artemis (защита от malware) TrustedSource (определение репутации IP)
Интеграция с продуктами McAfee:• Host IPS• ePO• Vulnerability Manager• Network Access Control• Network Threat Behavior Analysis
Надежная платформа (Appliance) Персонализированное управление и отчеты Поддержка правил Snort
Confidential McAfee Internal Use Only
Архитектура
UPDATE SERVER ADMIN WEB BROWSER
MANAGERENVIRONMENT
CONFIGURATION
SECURITY POLICIES
PROFILES
ADMINISTRATIVE DOMAINS
SENSOR
• DEDICATED
INTERFACES
• VLAN
• CIDR
VIRTUAL IDS
VIRTUAL IPS
VIRTUAL FIREWAL
INTRUSION PREVENTION
DROP ATTAKS TERMINATE SESSIONS
MODIFY FIREWAL POLICIES GENERATES ALERTS LOG PACKETS
SSLSSL
SECURE CHANNELS
DETECTION CORRELATIONSIGNATURE DETECTION ANOMLY DETECTION DoS/DDoS DETECTION
DROP ATTAKS TERMINATE SESSIONS MODIFY FIREWAL POLICIES
FORENSIC ANALIZES
TRAFIC LOGGING
ALERT ANALYSIS
REPORTING
THREAT DATABASE
SIGNATURES
DATA FUSION
HIPS INTEGRATION
AGGREGATION
CORRELATION
RESPONSE SYSTEM
ALERT DELIVERY
USER-DEFINED ACTIONS
SNMP TRAPS
STATEFUL ANALISIS
CAPTURE
SPAN TAP IN-LINE PORT CLUSTERS
ENCRYPTED ATTACK DETECTION
HARDWARE ACCELERATION
Confidential McAfee Internal Use Only
Модели устройств
СМБ и региональные офисы
Корпоративный периметр
Корпорации, ЦОД,
провайдеры услуг
Главные корпоративные системы,
ЦОД, провайдеры услуг
100 Mbps
200 Mbps
5 Gbps
10 Gbps
3 Gbps
1.5 Gbps
600 Mbps
M-2750
M-1450
M-1250
M-6050
M-8000
M-4050
M-3050
* 10GE Соединение
Производите
льность,
масшта
бируемость, в
озможност
и
подключения
* 10GE Соединение
* 10GE соединение
* 10GE соединение
Confidential McAfee Internal Use Only
Защита от угроз «zero-day»M-8000
Artemis
Попытка пользователя скачать вредоносный файл1
NSP определяет, что файл вызывает подозрения2
Признаки файла пересылаются в облако Artemis 3
Artemis проверяет файл по глобальной базе данных4
NSP блокирует угрозу, отказывая в загрузке6
Artemis выясняет, что файл ПЛОХОЙ и присылает ответ в течение миллисекунд 5
Confidential McAfee Internal Use Only
Защита от угроз «zero-day»
Функция
Проактивное предотвращение вторжений
Что это дает?Блокирует широкий спектр атак еще до того, как они достигли назначения
— Защищает от наиболее сложных атак «нулевого дня», DoS и зашифрованных атак, уязвимостей VoIP, ботнетов, червей, вредоносного ПО, Троянов и P2P атак.
Преимущества для заказчика
• Реализует защиту периметра, обеспечивая доступность критических систем, защищая даже от специально нацеленных кибер-атак и ограблений
• Предоставляет немедленную защиту в реальном времени, не идя на компромисс с производительностью.
Confidential McAfee Internal Use Only
Производительность
Возможность
Производительность до 10 Гигабит в секунду
Что это дает?
Обеспечивает самую высокую в индустрию пропускную способность с максимальной плотностью портов на рынке систем IPS в настоящее время. Позволяет защищать сети следующего поколения - IPv6 и 10GE.
Преимущества для заказчика
• Защищает заказчика от прерывания бизнес-операций, позволяя обогнать конкурентов.
• Защищает сети и инфраструктуру, обеспечивая высокую производительность, надежность и доступность.
Confidential McAfee Internal Use Only
Artemis и GTI
Возможность
Интеграция с Artemis и GTI
Что это дает?Как и многие другие продукты McAfee, Network Security Platform взаимодействует с облачной системой Artemis в реальном времени, чтобы сравнить подозрительный трафик дополнительно к БД McAfee Global Threat Intelligence.
Преимущество для заказчика
• Заказчик получает более высокий уровень защиты сети, за счет использования глобальной сети сбора информации об угрозах.
• Он также получает доступ к новейшей системе распознавания угроз, которая помогает быстрее определять угрозы, чем любая другая технология IPS (включая атаки «нулевого дня»).
Confidential McAfee Internal Use Only
TrustedSource
Функция
Интеграция с Trusted Source
Что это дает?Trusted Source – это система сбора репутации IP-адресов в реальном времени. McAfee Network Security Platform проверяет входящий и исходящий трафик, используя репутацию IP-адресов, полученную через Trusted Source.
Преимущества для заказчика• Интеграция с Trusted Source позволяет устройствам McAfee NSP защитить пользователей от «серых» угроз (которые еще не были подтверждены), просто за счет того, что они рассылаются с «плохих» IP адресов.
• Результат – лучшая защита от неизвестных угроз.
Confidential McAfee Internal Use Only
Host IPS
Функция
Интеграция c Host IPS
Что это дает?Предупреждения Host IPS интегрированы с предупреждениями Network IPS, обеспечивая всеобъемлющую защиту систем и сетей, одновременно с возможностью просмотра внедрений на уровне сети и конечных устройств.
Преимущества для заказчика• Лучшие возможности для корреляции сообщений о внедрениях на уровне сети и отдельных компьютеров• Более широкий обзор внедрений в системы для сетевого администратора• Ускорение анализа угроз.
Confidential McAfee Internal Use Only
ePolicy Orchestrator
Функция
Интеграция с ePO
Что это дает?Предоставляет информацию через агента ePO и использует данные из NSP, чтобы создать релевантную картину. События ассоциируемые с управляемыми хостами диагностируются и быстрее оцениваются, что предоставляет больше информации оператору IDS, одновременно с усилением применения политик, мониторингом безопасности, выполнением обновлений и созданием отчетов.
Преимущества для заказчика• Управление различными слоями информации из одной централизованной консоли
• Ускорение управлением рисками ИБ и защита инвестиций• Повышение отдачи от инвестиций в ePO.
Confidential McAfee Internal Use Only
Vulnerability Manager
Функция
Интеграция с Vulnerability Manager
Что это дает?Результаты автоматически импортируются в NSP. Обеспечивает информированность системы о существующих рисках в реальном времени. Система автоматически импортирует отчеты о сканировании уязвимостей VM. Функция “Scan now” позволяет по требованию оценить уязвимости конкретного хоста. Это позволяет сфокусироваться на критических событиях и обеспечить соответствие требованиямПреимущества для заказчика• Идентификация релевантных атак и определение угроз, на которые нужно отреагировать В ПЕРВУЮ ОЧЕРЕДЬ
• Предоставляет своевременную информацию о рисках, связанных с событиями ИБ
• Сокращает время анализа и реакции на релевантные атаки• Определяет слабые места, требующие направления ресурсов больше всего!
Confidential McAfee Internal Use Only
Network Access Control
Функция
Интеграция с NAC
Что это дает?Обеспечивает усиление защиты сети функциями NAC Обеспечивает полную функциональность IPS с NAC в ОДНОМ устройстве сетевого уровня. Предоставляет контроль разрешений и доступа для неуправляемых хостов. Информация NAC о пользователях поступает в IPS, чтобы определить степень угрозы, реализуя контроль доступа на основе учетных записей.
Преимущества для заказчика• Исключает необходимость наличия дополнительного агента для управления различными политиками NAC
• Сокращает время отсутствия доступа и другой вред, который агент NAC может принести пользователям сети.