КОНТЕНТНАЯ ФИЛЬТРАЦИЯ КАК ЭЛЕМЕНТ ИФРАСТРУКТУРЫ ИБ Менеджер по маркетингу направления контент-безопасности

КОНТЕНТНАЯ ФИЛЬТРАЦИЯ КАК
ЭЛЕМЕНТ ИФРАСТРУКТУРЫ ИБ
Менеджер по маркетингу
направления контент-безопасности
Ксения Беляк
k.belyak@aladdin-rd.ru
Курган, 9 июня 2011 года
w w w. a l a d d i n
n.–r rud. r u
ЗАЩИТА НА ПЕРИМЕТРЕ
WEB ТРАФИКА, ПОЧТЫ, DLP
w w w. a l a d d i n – r d. r u
Рубежи обороны
Вектор атаки
Этап атаки
Дальнейшие действия
вредоносного кода
Antimalware
Подозрительный
контент
Известные
типы данных
Выполнение
полезной нагрузки –
нанесение ущерба
Загружается
вредоносный код
(этап 1)
Выполняется
эксплойт, используя
соответствующую
уязвимость
Пользователь входит
на сайт с внедренным
вредоносным кодом
или открывает
фишерское сообщение
URL - Фильтр
w w w. a l a d d i n – r d. r u
Передаваемые
пакеты данных
Активный
контент
Web-сайт



Контроль
коммуникаций

Анализ
характера
данных
Проверка
активных
элементов
Анализ
файлов
Фильтрация
трафика
приложений
Уровень
сканирования
1
ОЖИДАНИЯ ОТ РЕШЕНИЯ
ПАРТНЕРОВ И ЗАКАЗЧИКОВ
w w w. a l a d d i n – r d. r u
URL фильтрация
Ограничение доступа к несоответствующим, не продуктивным и потенциально
опасным web-сайтам
• Высокое качество категорирования:
− Максимальное количество категорий
− Максимальная полнота базы
− Максимально корректная работа с ресурсами Рунета
− Максимальная актуальность базы
− Точность в определении категории ресурса
• Минимизация загрузки канала при получении обновлений
• Возможность работы по протоколу HTTPS
• Высокая производительность и масштабируемость
• Возможность управления трафиком пользователей (полоса/объем)
• Соответствие требованиям регуляторов
w w w. a l a d d i n – r d. r u
2
Обезвреживание вредоносного кода
Полная проверка HTTP, FTP, HTTPS
•
•
•
•
•
•
Высокое качество блокирования современного вредоносного кода
Высокая производительность и масштабируемость
Максимально полная прозрачность для пользователя
Минимизация загрузки канала при получении обновлений
Возможность безопасного получения легитимного контента с
инфицированных ресурсов
Соответствие требованиям регуляторов
w w w. a l a d d i n – r d. r u
3
Управление коммуникациями
Блокирование каналов связи, которые невозможно контролировать
средствами DLP (анти-инсайд)
• Блокирование трафика шпионских программ (Malware DLP)
• Блокирование каналов связи, которые невозможно контролировать
средствами DLP (анти-инсайд)
• Блокирование трафика неавторизованного туннелирования
• Блокирование трафика потенциально опасных веб приложений
– Интернет-пейджеров (IСQ/AOL, Google Talk, Yahoo!, MSN …)
– P2P (BitTorrent, DC++, Skype, Gnutella, eDonkey …)
– Web 2.0 (Adobe Connect, Google DOCs, Gmail/Hotmail Upload/Download Attachments
…)
– Социальных сетей (Facebook, Twitter, Odnoklassniki …)
– Облачных хранилищ (iDrive, DropBox …)
•
•
•
•
Блокирование программ удаленного управления
Блокирование потоковых видео/аудио
Прозрачность, производительность, масштабируемость
Соответствие требованиям регуляторов
w w w. a l a d d i n – r d. r u
4
ЗАЩИТА ПОЧТЫ И DLP НА ПЕРИМЕТРЕ
ПОЧТА
•
•
•
•
•
•
Блокирование не менее 99% спама
Отсутствие (менее 1%) ложных срабатываний
Возможность корректной обработки спама (карантин)
Защита легитимной почты от всех видов вредоносного кода
Высокая производительность и масштабируемость
Удобство и простота настройки и сопровождения
DLP
• Контроль максимально возможного количества каналов связи на шлюзе
• Блокирование каналов связи, которые невозможно проконтролировать
Соответствие требованиям регуляторов
w w w. a l a d d i n – r d. r u
5
Установка, Настройка, Управление …
• Простота встраивания в существующую инфраструктуру:
− Замена одного из существующих сетевых устройств на более
функциональное
− Минимальные изменения в инфраструктуре
− Оптимизация инфраструктуры
• Возможности работы в виртуальных средах
• Возможность построения отказоустойчивых конфигураций с
распределением нагрузки
• Поддержка распространенных служб каталогов – адресный характер
устанавливаемых политик и правил
• Удобные средства централизованного управления
• Ролевое управление
• Возможность мониторинга в реальном времени
• Гибкие средства построения аналитических отчетов
• Надежность
• Возможности оперативной диагностики и локализации неисправностей
w w w. a l a d d i n – r d. r u
6
АЛАДДИН РД
И ЕГО ПОРТФОЛИО
w w w. a l a d d i n – r d. r u
Базовые принципы и их реализация
Нацеленность на долговременное взаимовыгодное партнерство
• Отсутствие стремления продать то что есть любой ценой, а там хоть трава
не расти
• Предложение Партнерам, а через них Заказчикам, решений, максимально
соответствующих их ожиданиям, и имеющих хорошие перспективы на
рынке
• Постоянное пополнение новыми, и развитие имеющихся в портфолио
решений для обеспечения информационной безопасности
Для этого
• Постоянный мониторинг рынка, отслеживание тенденций развития как
угроз и уязвимостей, так и средств противодействия
• Тестирование решений как раскрученных, так и неизвестных брендов
• Продвижение решения как элемента системы безопасности, органично
сочетающегося как с решениями Аладдин РД, так и с решениями наших
технологических Партнеров
• Доводка выбранного решения до максимального соответствия
рынку
w w w. a l a d d i n – r d. r u
7
ВЫБОР АЛАДДИН РД
ESAFE SMART SUITE ОТ
SAFENET
w w w. a l a d d i n – r d. r u
URL фильтрация
Браузинг (веб серфинг)
Ограничение доступа к несоответствующим, не продуктивным и потенциально
опасным web-сайтам за счет использования
• Одной из лучших в отрасли база категорированных URL:
− 80 категорий
− Более 100 миллионов категорированных web-сайтов
• Динамической фильтрации
• Разрешенных, запрещенных, “серых” категорий
• Квотирования трафика (глобально и по категориям)
• Фильтрации по HTTPS
w w w. a l a d d i n – r d. r u
8
Обезвреживание вредоносного кода
Полная проверка HTTP, FTP, SMTP, POP3, HTTPS
•
•
•
•
Два антивирусных мотора:
− SafeNet:
– Проактивный антивирус. Проактивное блокирование до 98%
вредоносного кода “zero-hour”, включая троянов и червей
– Сигнатурный антивирус, сертифицированный на 100% блокирование
“диких” вирусов
− Антивирус Касперского – KAV v8
Защита от эксплойтов. Проактивное блокирование попыток эксплуатации
уязвимостей в веб трафике
Блокирование эксплойтов в HTTP протоколе
Проверка 100% HTML на наличие вредоносных скриптов, эксплойтов,
других видов вредоносного кода в веб страницах, веб-почте, в теле email
+
w w w. a l a d d i n – r d. r u
=
9
Фильтр приложений
Ключевые слова - сигнатуры протоколов
Блокирование трафика шпионских программ (Malware DLP)
Блокирование каналов связи, которые невозможно контролировать
средствами DLP (анти-инсайд)
• Блокирование трафика неавторизованного туннелирования
–
–
–
–
HTTP Tunneling
HTTP (SSL) Tunneling
HTTP OVER SSL (HTTPS)
TOR, HAMACHI etc.
• Блокирование трафика потенциально опасных веб приложений
– Интернет-пейджеров (IСQ/AOL, Google Talk, Yahoo!, MSN …)
– Web 2.0 приложений (Adobe Connect, Google DOCs, Gmail/Hotmail
Upload/Download Attachments …)
– Социальных сетей (Facebook, Twitter, Odnoklassniki … - выборочное блокирование
потенциально опасных функций)
– Облачных хранилищ (iDrive, DropBox …)
• Блокирование программ удаленного управления
• Блокирование потоковых видео/аудио
w w w. a l a d d i n – r d. r u
10
Предотвращение инфицирования (eMail)
Полная проверка HTTP, SMTP, POP3, HTTPS
•
•
•
•
Два антивирусных мотора:
− SafeNet:
– Проактивный антивирус. Проактивное блокирование до 98%
вредоносного кода “zero-hour”, включая троянов и червей
– Сигнатурный антивирус, сертифицированный на 100% блокирование
“диких” вирусов
− Антивирус Касперского – KAV v8
Защита от эксплойтов. Проактивное блокирование попыток эксплуатации
уязвимостей в веб трафике
Блокирование эксплойтов в HTTP протоколе
Проверка 100% HTML на наличие вредоносных скриптов, эксплойтов,
других видов вредоносного кода в веб страницах, веб-почте, в теле email
+
w w w. a l a d d i n – r d. r u
=
11
Подавление нежелательных рассылок
Репутации на уровне IP
+
Репутации реального времени
=
Спама – 0%
Ложных
срабатываний – 0%
Карантин – не нужен
(но все еще есть)
w w w. a l a d d i n – r d. r u
12
Ложные срабатывания и карантин
w w w. a l a d d i n – r d. r u
13
Возможные каналы утечек
•
•
•
MAIL – SMTP
WEB - веб-почта, сообщения в блогах, форумах etc. (HTTP, HTTPS, FTP)
IM - cлужбы мгновенных сообщений типа ICQ, MSN, Yahoo
IM
•
•
•
•
•
•
•
•
•
•
•
•
•
•
eMessenger
Eyeball Chat
Gadu-Gadu
Gmail Chat
Go To Meeting
Google Talk
GROOVE Virtual Office
IRC
Live Meeting
Mail.ru
NetMeeting
QQ2007
QQTalk
Webex
w w w. a l a d d i n – r d. r u
Tunneling
• HTTP Tunneling
• HTTP (SSL) Tunneling
• HTTP OVER SSL
(HTTPS)
• TOR, HAMACHI etc.
Spyware/Adware
• Spyware
•
•
•
•
(87 семейств)
Adware
(63 семейства)
Trojan
(23 семейства)
Browser Hijackers
(45 семейств)
Keyloggers
P2P & RC
•
•
•
•
•
•
•
•
•
•
BitTorrent
DC++
eDonkey2000
FastTrack (KaZaA)
Gnutella
QQLive
Skype
Softether
Warez
WinMX
14
eSafe Data Leakage Prevention (DLP)
eSafe DLP – решение для прагматиков
• Позволяет надежно блокировать скрытые каналы утечек
• Позволяет определить профили и привязать к ним соответствующие
политики для мониторинга исходящего трафика с целью выбора:
- Объекта контроля (группа, пользователь, IP адрес, группа IP адресов
etc.)
- Контролируемого канала (WEB, MAIL, FTP)
- Типа файла (150 предопределенных с возможностью добавления)
- Словаря(ей) (предустановленные с возможностью создания
собственных)
- Действия, при обнаружении утечки (запись в журнал, блокирование,
теневое копирование в репозиторий, оповещение офицера
безопасности)
w w w. a l a d d i n – r d. r u
15
Возможные схемы включения
•
•
•
Поддерживаемые сценарии
– Inline, Мост, Маршрутизатор,
!Прозрачное сканирование HTTP/HTTPS!
Прокси (FWD, Full)
Используемые платформы
– Специальные аппаратные серверы
– Virtual appliance (VACD)
– VMWare
Отказоустойчивость и балансировка нагрузки
– Кластеры с использованием простейших
концентраторов или коммутаторов
– Кластеры с использованием балансировщиков
нагрузки 3их изготовителей
– Кластеры с использованием by-pass карт
(штатная компонента каждого сервера)
w w w. a l a d d i n – r d. r u
eSafe
16
eSafe® Security Center (dashboard)
w w w. a l a d d i n – r d. r u
17
eSafe® Reporter
• Содержит 240 предопределенных отчетных форм:
− Детальные отчеты
− Аналитические отчеты
− Индивидуальные отчеты
• Форматы отчетов: HTML, PDF, XLS
• Генерация отчетов и рассылка их по email в соответствии с
расписанием
w w w. a l a d d i n – r d. r u
18
Примеры внедрений (>100 проектов)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Банк Возрождение
Банк ВТБ
ВТБ Страхование
Страховая компания СОГАЗ
ФГУП ГОЗНАК
Фонд РЖС
Федеральный Депозитный Банк
Нота Банк
Метробанк
Банк Китая Элос
Банк Алемар
Церих Капитал Менеджмент
Ингосстрах
Альфа Капитал
АК БАРС
Региональный Банк Развития
Тинькофф Кредитные Системы
...
w w w. a l a d d i n – r d. r u
19