network security platform

Network Security Platform

Андрей Новиков, технический специалист

Confidential McAfee Internal Use Only

McAfee: Факты

— количество пользователей продуктами McAfee125 миллионов

компаний, входящих в список Fortune 100, используют ПО McAfee94 %

мобильных устройств поставлены в комплектес ПО McAfee

Более 180 миллионов

— объем самого крупного развертывания McAfee5 миллионов

— патентов получено McAfee; еще выше число заявок на патенты450+

— партнеров партнеров программы McAfee Security Innovation Alliance100+

— число сотрудников McAfee по всему миру6095

— стран, так или иначе связанны с McAfee120

раз аналитическое агентство Gartner включало McAfee в свои «Магические квадранты»7


McAfee: Основные вехи

McAfee разработывает технологию обнаружения троянов, крадущих пароли

McAfee обнаруживает первую локальную уязвимость ядра

McAfee обнаруживает первую вредоносную программу для IRC

McAfee выпускает Virus Patrol

McAfee разрабатывает Host IPS

McAfee обнаруживает первый полевой полиморфный вирус

McAfee обнаруживает вирус Melissa

Количество файлов антивирусной базы превысило отметку 50 000

McAfee обнаруживает вирус Phage

McAfee начинает предлагать защиту для конечных точек и антивирусы в виде сервиса (SaaS)

McAfee обнаруживает вирус Naked

McAfee обнаруживает вирус Party

McAfee обнаруживает злоумышленников,манипулирующих Google

McAfee первой начинает предлагать систему сетевой защиты от ботнетов

McAfee обнаруживает несколько атак

«нулевого дня»

McAfee раскрывает уязвимость Microsoft Windows ANI

McAfee разрабатывает Artemis, первую технологию защиты

в реальном времени «в облаке»

McAfee обнаруживает двух из числа крупнейших самозапускающихся червей в истории: Blaster, Sasser

McAfee обнаруживает три из самых крупных в истории угрозы массовой рассылки: Lirva, MyWife, MyDoom

McAfee обнаруживает уязвимость в MS Internet Explorer и дает этой атаке название «Операция „Аврора“»

McAfee публикует отчет, согласно которому важные объекты инфраструктуры постоянно подвергаются серьезным кибератакам

1996 1997 1998 1999 2000 2003 2004 2005 2006 2007 200820022001 2009 2010

McAfee принадлежитзаслуга изобретенияGlobal Threat Intelligence


Основная проблема


Новые границы


Киберпреступность касается каждого

Информация о 77 000 000 пользователей досталась хакерам!


Январь 2010. Аврора


Январь 2010. Аврора

“Это одна из самых сложных и быстрых атак за последние годы, нацеленная на определенные компании. Атака использовала zero-day exploit в

Internet Explorer.” – George Kurtz, McAfee CTO


Время реакции

Jan 14: MFE releases coverageMSFT issues advisory

Jan 13: MFE Labs confirms IE zero-day

Jan 15: MSFT assigns CVE

Jan 15: Sourcefire, ISS, Cisco, and PAN announce coverage

Jan 10: Aurora Samples into Artemis

Jan 17: TippingPoint announces coverage

Jan 18: Check Point announces coverage

Jan 19: Fortinet announces coverage


Семейство продуктов Network Security

Internet Gateways

NetworkDefense

IntrusionPrevention NAC

UTM

FirewallUser

Behavior

DLPEmailWeb


Оценка Gartner


Разнообразие угроз

Зашифрованные атаки

DoS / DDoS атаки

Попытки переполнения буфера

Черви

Атаки «нулевого дня»Попытки взлома

Боты и ботнеты

Атаки на не обновленные системы

Вирусы

Атаки «Троянов»

Клиенты

Управляющие серверы

McAfee Network Security Platform

VoIP атаки

Атаки через P2P приложения


Что такое IPS?

• Это устройство, которое инспектирует сетевой трафик и блокирует угрозы в реальном времени. Оно выполняет следующие функции:

– Инспектирует входящий и исходящий трафик в реальном времени– Останавливает вредоносный или нежелательный трафик– Категорирует все потенциальные угрозы и составляет отчеты– Размещается в любом месте, где трафик проходит между известной и

неизвестной зоной (например, после Firewall)

Корпоративная штаб-квартира

Управляющие серверы

Почтовые серверы

Удаленные работники и WAN

Региональный офис

Система предотвращения вторжений


Интеграция с GTI

Email Reputation

Web Reputation

File Reputation

Network Reputation


Ключевые особенности и функции

Проактивная защита от вторжений Производительность до 10GE Использование Artemis и McAfee Labs GTI

Artemis (защита от malware) TrustedSource (определение репутации IP)

Интеграция с продуктами McAfee:• Host IPS• ePO• Vulnerability Manager• Network Access Control• Network Threat Behavior Analysis

Надежная платформа (Appliance) Персонализированное управление и отчеты Поддержка правил Snort


Архитектура

UPDATE SERVER ADMIN WEB BROWSER

MANAGERENVIRONMENT

CONFIGURATION

SECURITY POLICIES

PROFILES

ADMINISTRATIVE DOMAINS

SENSOR

• DEDICATED

INTERFACES

• VLAN

• CIDR

VIRTUAL IDS

VIRTUAL IPS

VIRTUAL FIREWAL

INTRUSION PREVENTION

DROP ATTAKS TERMINATE SESSIONS

MODIFY FIREWAL POLICIES GENERATES ALERTS LOG PACKETS

SSLSSL

SECURE CHANNELS

DETECTION CORRELATIONSIGNATURE DETECTION ANOMLY DETECTION DoS/DDoS DETECTION

DROP ATTAKS TERMINATE SESSIONS MODIFY FIREWAL POLICIES

FORENSIC ANALIZES

TRAFIC LOGGING

ALERT ANALYSIS

REPORTING

THREAT DATABASE

SIGNATURES

DATA FUSION

HIPS INTEGRATION

AGGREGATION

CORRELATION

RESPONSE SYSTEM

ALERT DELIVERY

USER-DEFINED ACTIONS

SNMP TRAPS

STATEFUL ANALISIS

CAPTURE

SPAN TAP IN-LINE PORT CLUSTERS

ENCRYPTED ATTACK DETECTION

HARDWARE ACCELERATION


Модели устройств

СМБ и региональные офисы

Корпоративный периметр

Корпорации, ЦОД,

провайдеры услуг

Главные корпоративные системы,

ЦОД, провайдеры услуг

100 Mbps

200 Mbps

5 Gbps

10 Gbps

3 Gbps

1.5 Gbps

600 Mbps

M-2750

M-1450

M-1250

M-6050

M-8000

M-4050

M-3050

* 10GE Соединение

Производите

льность,

масшта

бируемость, в

озможност

и

подключения

* 10GE Соединение

* 10GE соединение

* 10GE соединение


Защита от угроз «zero-day»M-8000

Artemis

Попытка пользователя скачать вредоносный файл1

NSP определяет, что файл вызывает подозрения2

Признаки файла пересылаются в облако Artemis 3

Artemis проверяет файл по глобальной базе данных4

NSP блокирует угрозу, отказывая в загрузке6

Artemis выясняет, что файл ПЛОХОЙ и присылает ответ в течение миллисекунд 5


Защита от угроз «zero-day»

Функция

Проактивное предотвращение вторжений

Что это дает?Блокирует широкий спектр атак еще до того, как они достигли назначения

— Защищает от наиболее сложных атак «нулевого дня», DoS и зашифрованных атак, уязвимостей VoIP, ботнетов, червей, вредоносного ПО, Троянов и P2P атак.

Преимущества для заказчика

• Реализует защиту периметра, обеспечивая доступность критических систем, защищая даже от специально нацеленных кибер-атак и ограблений

• Предоставляет немедленную защиту в реальном времени, не идя на компромисс с производительностью.


Производительность

Возможность

Производительность до 10 Гигабит в секунду

Что это дает?

Обеспечивает самую высокую в индустрию пропускную способность с максимальной плотностью портов на рынке систем IPS в настоящее время. Позволяет защищать сети следующего поколения - IPv6 и 10GE.

Преимущества для заказчика

• Защищает заказчика от прерывания бизнес-операций, позволяя обогнать конкурентов.

• Защищает сети и инфраструктуру, обеспечивая высокую производительность, надежность и доступность.


Artemis и GTI

Возможность

Интеграция с Artemis и GTI

Что это дает?Как и многие другие продукты McAfee, Network Security Platform взаимодействует с облачной системой Artemis в реальном времени, чтобы сравнить подозрительный трафик дополнительно к БД McAfee Global Threat Intelligence.

Преимущество для заказчика

• Заказчик получает более высокий уровень защиты сети, за счет использования глобальной сети сбора информации об угрозах.

• Он также получает доступ к новейшей системе распознавания угроз, которая помогает быстрее определять угрозы, чем любая другая технология IPS (включая атаки «нулевого дня»).


TrustedSource

Функция

Интеграция с Trusted Source

Что это дает?Trusted Source – это система сбора репутации IP-адресов в реальном времени. McAfee Network Security Platform проверяет входящий и исходящий трафик, используя репутацию IP-адресов, полученную через Trusted Source.

Преимущества для заказчика• Интеграция с Trusted Source позволяет устройствам McAfee NSP защитить пользователей от «серых» угроз (которые еще не были подтверждены), просто за счет того, что они рассылаются с «плохих» IP адресов.

• Результат – лучшая защита от неизвестных угроз.


Host IPS

Функция

Интеграция c Host IPS

Что это дает?Предупреждения Host IPS интегрированы с предупреждениями Network IPS, обеспечивая всеобъемлющую защиту систем и сетей, одновременно с возможностью просмотра внедрений на уровне сети и конечных устройств.

Преимущества для заказчика• Лучшие возможности для корреляции сообщений о внедрениях на уровне сети и отдельных компьютеров• Более широкий обзор внедрений в системы для сетевого администратора• Ускорение анализа угроз.


ePolicy Orchestrator

Функция

Интеграция с ePO

Что это дает?Предоставляет информацию через агента ePO и использует данные из NSP, чтобы создать релевантную картину. События ассоциируемые с управляемыми хостами диагностируются и быстрее оцениваются, что предоставляет больше информации оператору IDS, одновременно с усилением применения политик, мониторингом безопасности, выполнением обновлений и созданием отчетов.

Преимущества для заказчика• Управление различными слоями информации из одной централизованной консоли

• Ускорение управлением рисками ИБ и защита инвестиций• Повышение отдачи от инвестиций в ePO.


Vulnerability Manager

Функция

Интеграция с Vulnerability Manager

Что это дает?Результаты автоматически импортируются в NSP. Обеспечивает информированность системы о существующих рисках в реальном времени. Система автоматически импортирует отчеты о сканировании уязвимостей VM. Функция “Scan now” позволяет по требованию оценить уязвимости конкретного хоста. Это позволяет сфокусироваться на критических событиях и обеспечить соответствие требованиямПреимущества для заказчика• Идентификация релевантных атак и определение угроз, на которые нужно отреагировать В ПЕРВУЮ ОЧЕРЕДЬ

• Предоставляет своевременную информацию о рисках, связанных с событиями ИБ

• Сокращает время анализа и реакции на релевантные атаки• Определяет слабые места, требующие направления ресурсов больше всего!


Network Access Control

Функция

Интеграция с NAC

Что это дает?Обеспечивает усиление защиты сети функциями NAC Обеспечивает полную функциональность IPS с NAC в ОДНОМ устройстве сетевого уровня. Предоставляет контроль разрешений и доступа для неуправляемых хостов. Информация NAC о пользователях поступает в IPS, чтобы определить степень угрозы, реализуя контроль доступа на основе учетных записей.

Преимущества для заказчика• Исключает необходимость наличия дополнительного агента для управления различными политиками NAC

• Сокращает время отсутствия доступа и другой вред, который агент NAC может принести пользователям сети.


Спасибо

Андрей Новиков[email protected]

network security platform

Documents