Комплексные средства защиты от угроз. Radware. ООО «ЮниФрэйт» Проблемы сетевой безопасности Доступность Скорость Какова стоимость потери данных или использования Ваших ресурсов? Возможность расширения Как Вы гарантируете что опыта пользователей (администраторов) достаточно для действий при атаках? Безопасность Как Вы гарантируете, что критично важные приложения будут доступны при атаках? Как Вы гарантируете будущий рост при минимальных первоначальных расходах? Уменьшение расходов Как использовать все вышеперечисленное при сокращении затрат? Сетевые угрозы Угрозы Средства защиты Уязвимость приложений Воровство информации Authentication defeat Распространение вредоносного ПО Предотвращение проникновений Поведенческий анализ Аномалии сети Время недоступности приложений Защита от DoS Время простоя сети Phishing, Trojans, Spam, Botnets Reputation Services Июль 2009. Кибер атака в новостях Июль 2009. Кибер атака : карта атаки Характеристики Mydoom.EA Botnet BOT Command • ~50,000 зараженных ПК C&C Server • Распределенная атака: Bot (зараженная • HTTP page floodмашина) • SYN flood with packet anomalies • UDP flood • ICMP flood • Сервера в США и Южной Корее • ~ 6-7 Gbps inbound traffic (>2 Million PPS) Bot (зараженная машина) Internet Атакующий WEB сервер Bot (зараженная машина) Bot (зараженная машина) Легитимный пользователь Июль 2009. Кибер атака : Защита Attack Vector Solution Bot malware spread IPS or Network Behavior Analysis Bot Command & Control messages IPS Application flooding - HTTP page flood attack Network Behavior Analysis Network flooding - SYN/UDP/ICMP flood attack DoS Protection Ни один существующий инструмент не позволяет защитить сеть и ресурсы одновременно Решение. ООО «ЮниФрэйт» Безопасность дата-центров:карта решений NBA DefensePro IPS Internet DoS Protection DoS Access NBA Protection Router Anti Trojan, Anti Phishing IPS DoS Protection IPS Anti Trojan / phishing Firewall Web Servers Application Servers NBA APSolute attack prevention for data centers Reputation Engine Безопасность дата-центров : карта технологий DefensePro IPS DoS Protection NBA Anti Trojan, Anti Phishing DoS Protection IPS Signature Detection Rate-based Stateful Inspection Behavioral Analysis Rate-based SYN Cookies Signature Detection NBA User Behavioral Analysis Reputation Engine Application Behavioral Analysis Anti Trojan, Anti Phishing IPS: Защита с применением статических сигнатур Защита с помощью сигнатур Leading security research team Защита от известных уязвимостей приложений Еженедельные или по запросу обновление сигнатур Защита доступна против Worms, Bots, Trojans, Phishing, Spyware Web, Mail, SQL, VoIP (SIP), DNS уязвимости Anonymizers, IPv6 атаки Уязвимости Microsoft Аномалии протоколов Защита от DoS : сигнатуры в реальном времени Автоматическая защита в реальном времени против сетевых DDoS атак: SYN floods TCP floods UDP/ICMP floods Основные достоинства Поддержка доступности важных приложений даже при атаке Блокировка атакующих без ущемления легитимных пользователей Автоматическая защита в реальном времени от флуда без вмешательства оператора Поведенческий сетевой анализ: Real-time Signatures Protection NBA (Network behavioral analysis) обнаруживает ненормальных пользователей и действия приложений Автоматическая защита с помощью real-time signature: Распространение Zero-minute Malware Злоупотребление ресурсами приложений, такие как: Brute force attacks Web application scanning HTTP page floods SIP Scans SIP Floods Ценность Поддержка доступности приложений даже во время атаки Блокировка атакующего трафика без блокировки легитимного трафика Автоматическая защита в реальном времени от злоупотреблений ресурсами приложений без вмешательства администратора Секретный ингредиент – Real-time Signatures DoS & DDoS Internet Inputs - сети - сервера - пользователи Входящий трафик Угрозы уровня приложений Zero-Minute malware propagation Behavioral Analysis Real-Time Signature Inspection Module Исходящий трафик Внутренняя сеть Closed Feedback Real-Time Signature Generation Abnormal Activity Detection Оптимизация сигнатур Удаление, когда атака закончена Стандартные средства защиты: HTTP Flood Example IRC Server со статичными Подход сигнатурами HTTP Bot (Зараженный ПК) - Небольшие объёмы флуда классифицируются как легитимные соединения - Ограничения на соединения при большом объёме флуда BOT Command Agnostic to the attacked page Блокировка легитимного трафика HTTP Bot Большое количество ложных срабатываний (Зараженный ПК) Нелегитимное Использование сервисных ресурсов Internet Атакующий Web сервер HTTP Bot (Зараженный ПК) HTTP Bot (Зараженный ПК) Real-Time Signatures: Точный Пример: HTTP Page Flood Attack выстрел IRC Server HTTP Bot Поведенческое обнаружение (1) (Зараженный хост) Based on probability analysis identify which Web page (or pages) has higher than normal hits BOT Command Misuse of Service Resources Real Time Signature: Блокирует аномальный доступ к определенной HTTP Bot (Зараженный хост) web странице (возможно подвергается атаке) Internet Атакующий Поведенческое обнаружение(2) Идентификация ненормальной активности пользователей Для примера: HTTP Bot (Зараженный хост) - Нормальный пользователь загружает несколько страниц за одно соединение HTTP Bot - Ненормально поведение – загрузка множества страниц (Зараженный хост) Web сервер Механизм репутаций: работа в реальном времени Защитите пользователей сети от Наполнение в реальном времи из RSA Anti Fraud Command Center (AFCC) Финансового мошенничества Кражи информации Known & zero-minute malware spread Самый большой в индустрии и наиболее профессиональная команда специалистов Предотвращение: Установка троянов и организации «дыр» удаленного доступа Подмена точек назначение (похищение информации) Phishing attempts Архитектура спроектирована для предотвращения атак DoS Mitigation Engine • основан на ASIC • Предотвращает большие атаки • производительность до 10 Million PPS для защиты NBA Protections IPS • основан на ASIC String • Предотвращает некорректное использование ресурсов • Предотвращает исполнение zero-minute вредоносного ПО Match Engine обеспечивает глубокий анализ пакетов • Предотвращение уязвимостей приложений Механизм репутаций • Anti Trojan & Phishing OnDemand Switch Производительность механизма до 12Gbps Ключевое преимущество: производительность 10 Million PPS Атакующий трафик не влияет на легитимный трафик Устройство обрабатывает атакующий трафик за счет легитимного трафика Атакующий трафик Attack Атака Multi-Gbps Легитимный трафик DefensePro Multi-Gbps Attack Traffic Легитимный трафик + Атака Другие системы безопасности Предотвращение атак: Модели до 12Gbps DefensePro x412 Поведенческая защита модели: DefensePro x412 IPS & Поведенческая защита модели: DefensePro 4412 (4Gbps) DefensePro 8412 (8Gbps) DefensePro 12412 (12Gbps) DefensePro 4412 (4Gbps) DefensePro 8412 (8Gbps) DefensePro x016 IPS & Поведенческая защита модели: DefensePro 1016 (1Gbps) DefensePro 2016 (2Gbps) DefensePro 3016 (3Gbps) License Key Upgrade Предотвращение атак: Основные преимущества Необходимая производительность Расширение по требованию Покупайте то, что Вам нужно– зачем платить за то, что Вам сейчас не требуется Pay-as-you-grow - Вы платите только за лицензии “Radware offers low product and maintenance costs, as compared with most competitors.” No Upgrade Projects Производительность увеличивается за счет установки лицензий Не требуется замена «железа» Защита инвестиций Самая высокая производительность в индустрии –до 12Gbps с активными сетевыми настройками Не требуется замена оборудования, нет простоя сети и недоступности сервисов Уменьшение капитальных расходов Простота в эксплуатации и стандартизация Стандартная, унифицированная платформа для всех скоростей Уменьшение инвестиций на обучение, запчасти и ремонт Greg Young & John Pescatore, Gartner, April 2009 APSolute Vision: Мониторинг и система отчетов Мониторинг в реальном времени Детали активных атак Отчеты за период Гибкие инструментальные панели Разнообразные готовые отчеты Разработка своих форм отчетов APSolute Vision: Целостное предложение APSolute Vision помогает менеджерам ИТ улучшать бизнес Гибкость Быстрота Идентификация в реальном времени, установление приоритетов и быстрый ответ на нарушения политик, атаки или инсайдерские действия Персональные панели инструментов и отчеты для каждого администратора Эффективность Упрощает управление ЦОДом Увеличивает производительность ИТ подразделения Аварийная команда ООО «ЮниФрэйт» ERT – Emergency Response Team Пример: июль 2009 Цель ERT Множество атак типа DDoS в США и Корее Новый уровень атак с точки зрения качества и количества Radware решает обращения заказчиков и помогает заказчикам, которых атакуют Обеспечить быстрый и профессиональный ответ, который позволяет клиентам нейтрализовать атаки и восстанавливать сеть и доступ к атакованным приложениям Доступность Работа в режиме 24x7 Немедленный ответ на обращения Нейтрализация атак DoS/DDoS и вспышек вредоносного ПО Успешное внедрение ООО «ЮниФрэйт» Customer Case: Gmarket (1 of 2) About the Customer Gmarket Inc. (Nasdaq: GMKT) is Korea’s leading ecommerce marketplace Gmarket derives their revenues from transaction fees on the sale of products on their website and from advertising The Need Web service protection Prevent Web vulnerabilities exploitation Prevent Web cracking (Web Scans & Brute Force) Prevent HTTP Page floods misusing web servers Anti-DoS solution Protect against unexpected high volume DDoS attack which stop all web transaction services Secure Firewalls, L3 switches and web servers from high volume attacks “Radware’s DefensePro is the only solution that was able to provide us with the most complete intelligent solution to protect our website and our business " – Park Eui-Won, Security Team Leader Customer Case: Gmarket (2 of 2) The Solution Internet Switch Access Router Multiple DefensePro Firewall Web Servers NBA protections: DoS Protection: • Prevent high volume DoS/DDoS attacks • Infrastructure Protection: Firewalls, Switches, etc. • Prevent HTTP Page Flood attacks • Brute Force attacks, Web vulnerability Scans IPS: • Prevent Web vulnerabilities exploitations Спасибо за внимание!