Киберпреступность отступает?

© 2013 Imperva, Inc. All rights reserved.

Киберпреступность отступает??

Confidential1

0

200

400

600

800

1000

1200

1400

1600

2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

2012: худший год по количеству утечек данных

Source: DataLossDB.org

1512Incidents over Time


Решения Imperva для защиты веб-

приложений и СУБД – 10 лет на рынке

Confidential2


17.7

32.1

39.3

55.4

78.3

104.2

0.0

20.0

40.0

60.0

80.0

100.0

120.0

2007 2008 2009 2010 2011 2012

Оборот ($M)

Обзор Imperva

Confidential3

МиссияЗащита бизнес-приложений и конфедециальных

данных от современных атак и утечек

Сегмент рынкаБезопасность бизнеса, безопасность данных

Мировое присутствие Основана в 2002

Глобальное присутствие, штаб-квартира в США

450+ сотрудников

Заказчики в 60+ странах

Наши заказчики2,200+ заказчиков продуктов Imperva; тысячи

клиентов облачных сервисов

8 из топ 10 глобальных телеком. провайдеров

5 из топ 10 американских коммерческих банков

6 из топ 10 российских банков

2 из 3 российских мобильных операторов

4 из топ 5 глобальных производителей hardware

200+ государственных заказчиков


Кто и зачем?

Confidential5

Правительство

- Stealing Intellectual Property (IP) and raw data, and spying

- Мотивация: политика и национализм

- Методы: направленные атаки

Организованная преступность

- Stealing IP and data

- Мотивация: выгода

- Методы: направленные атаки, фрод

Хактивисты

- Exposing IP and data, and compromising the infrastructure

- Мотивация: политические события, идеология, «демонстрация силы»

- Методы: направленные атаки, отказ в обслуживании (DoS\DDoS)


Угроза инсайда

Доверенный пользователь, имеющий

легитимный доступ и совершающий утечку

интелектуальной собственности компании

или другой бизнес-критичной информации.

Зачем он это делает:

• Намеренно

• Случайно

• Скомпрометирован

Insider Threat Defined!


InternalEmployees

Malicious InsidersCompromised Insiders

Data CenterSystems and Admins

Auditing and

Reporting Attack

Protection

Usage

Audit

User Rights

Management

Access

Control

Tech. Attack

Protection

Logic Attack

Protection

Fraud

Prevention

ExternalCustomers

Staff, PartnersHackers

User Rights Management

Assessment & Risk Management

Комплексный портфель решений

Confidential12

Imperva’s Mission is to Provide a Complete Solution


Комплексное решение для

защиты данных

Простота развертывания и

администрирования

Соответствие стандартам

информационной безопасности

Русскоязычная поддержка

Собственный

исследовательский центр

Imperva SecureSphere


Архитектура решения

Confidential14

SecureSpherefor SharePoint

File ActivityMonitoring

ManagementServer (MX)

DatabaseActivity

Monitoring

WebApplication

Firewall

INTERNET

ImpervaAgent

ImpervaAgent

NetworkMonitoring

NetworkMonitoring

NativeAudit

InternalUsers


Поизционирование на рынке

15 Confidential


WAF

• Виртуальный патчинг

• Защита от атак (SQL code injection, XSS, directory traversal, RFI)

• Защита от атак на бизнес-логику (i.e. site scraping and comment spam)

• Защита от фрода

• Аудит использования

• MS SharePoint Protection

• Legacy Application Protection

• PCI 6.6

• Защита от утечек данных

DAM

• Виртуальный патчинг СУБД

• Аудит привелегированного доступа

• Управление правами

• Ограничение доступа

• Data Across Borders Protection

• Защита от утечек

• Поиск и классификация

• Аудит доступа к конфиденциальной информации

• Защита данных VIP-клиентов

FAM

• Управление правами

• Контроль доступа

• Поиск собственников

• Аудит доступа к конфиденциальной информации

• Перераспределение прав пользователей

• Защита данных VIP

• Поиск и классификация

Полноценная защита Web, Database, File и SharePoint

Примеры использования

Как Imperva поможет защитить данные?


Imperva дополняет имеющуюся инфраструктуру

Confidential19

Специализированные решения для SAP, OEBS,

PeopleSoft, SharePoint

Интеграция со сторонними производителями:

• Vulnerability Scanning

• SIEM

• DLP

• Fraud Management

• Endpoint Protection

• Cloud


Audit

Enterprise Users

The Internet

SQL Injection

XSS

IIS WebServers

ApplicationServers

MS SQLDatabases

Web-ApplicationFirewall

Activity Monitoring &User Rights Management

Excessive Rights

Administrators

DB Activity Monitoring& Access Control

Unauthorized Changes

Audit

Unauthorized Access

Imperva для защиты SharePoint


Технология Virtual Patching и интеграция со сканерами уязвимостей

SecureSphere может импортировать

результаты сканирования для мгновенного

создания политик безопасности

Дает время для устранения уязвимостей или

обновления ПО

Customer Site

Scanner finds vulnerabilities

SecureSphere imports scan results

Web applications are protected

http://welcome.hp.com/country/us/en/welcome.html


http://www.ibm.com/us/en/

http://www.ibm.com/us/en/

http://www.whitehatsec.com/home/abt/abt.html

http://www.whitehatsec.com/home/abt/abt.html


Интеграция с DLP


X1000 X2000 X2500 X4500 X6500

Throughput 100 Mbps 500 Mbps 500 Mbps 1Gbps 2 Gbps

HTTP TPS 8,000 22,000 22,000 36,000 44,000

Recommended

Web Servers10 50 50 100 200

FTL / Form Factor No (1U) No (1U) Yes (2U) Yes (2U) Yes (2U)

Total Ports 4 4 4 8 8

Storage capacity 500GB 500GB 2 x 500GB 2 x 1TB 2 x 1TB

SSL Acceleration N N Optional Optional Included

Fibre Channel,

LOM, or HSMN N Optional Optional Optional

High AvailabilityFail Open, VRRP,

IMPVHA

Fail Open, VRRP,

IMPVHA

Fail Open, VRRP,

IMPVHA

Fail Open, VRRP,

IMPVHA

Fail Open, VRRP,

IMPVHA

SecureSphere Hardware Appliances


SecureSphere Virtual Appliances

V1000 V2500 V4500

Web Throughput 100 Mbps 500 Mbps 1Gbps

HTTP TPS 8,000 22,000 36,000

Recommended

Web Servers10 50 100

Supported

ProductsWAF

WAF, DAM, DBF,

FAM, FFW

WAF, DAM, DBF,

FAM, FFW

Minimum Hardware Requirements

Hypervisor VMWare ESX/ESXi 3.5 (or later)

Processor Dual core server (Intel VTx or AMD-V)

Memory 2 GB

Hard Drive 250 GB

Network Interface Hypervisor-supported network interface card


Надежная защита web-приложений, БД и файловых серверов

Мониторинг нарушений безопасности в реальном масштабе времени

Полноценный аудит с высокой степенью достоверности

Простота развертывания и администрирования

Соответствие стандартам безопасности

• Сертификат ФСТЭК по ТУ на SecureSphere 8.0, WAF\DB\File

• Ведутся работы по сертификации SecureSphere 10.0 – ТУ+НДВ

Квалифицированная сервисная поддержка

Почему Imperva?

Ключевые международные заказчики

- CONFIDENTIAL -29 - CONFIDENTIAL -29

Government Technology OtherMedia/Telco

http://www.energy.gov/index.htm

http://www.energy.gov/index.htm



http://www.clpgroup.com/clp/?lang=en

http://www.clpgroup.com/clp/?lang=en

http://www.verizonwireless.com/b2c/index.html

http://www.verizonwireless.com/b2c/index.html

http://www.orange.co.uk/?linkfrom=&link=header_logo

http://www.orange.co.uk/?linkfrom=&link=header_logo

http://www.wireless.att.com/

http://www.wireless.att.com/


Web Application Firewall

30 Confidential


Гранулированная многоуровневая защита

Простое внедрение в любую инфраструктуру

Удобное и простое управление с технологией Dynamic Profiling

И многое другое...

Imperva SecureSphere

Пожалуй лучший Web Application Firewall


Dynamic Profiling

Attack Signatures

HTTP Protocol Validation

Cookie Protection

Web Fraud DetectionFraud Prevention

Technical AttackProtection

Business Logic Attack Protection

Co

rre

late

d A

tta

ck

Va

lid

ati

on

IP Geolocation

IP Reputation

Anti-Scraping Policies

Bot Mitigation Policies

Комплексная безопасность требует обдуманной защиты приложений


Центр Imperva

ADC исследует

новые угрозы

по всему миру

Imperva Application Defense Center

Internal Users

SecureSphere

Web Servers

INTERNET

Системы

SecureSphere

обладают

новейшими

противомерами

Определение сканирования сети и самих

атак с помощью сигнатур

Сигнатуры определяют попытки сканирования и атаки


SecureSphere останавливает атаки типаSQL Injection, XSS

Hacker SecureSphere WAF

/login.php?ID=5 or 1=1

SQL Injection SQL Injection Engine with

Profile Analysis

Signature, Protocol

Violations

Блокирование однозначных соответствий, отправка

подозрительных запросов на дополнительный анализ

Продвинутый анализ значительно снижает уровень ложных срабатываний

SQL Injection Engine блокирует даже нетиповые атаки

Web Server


Анализируя трафик, SecureSphereавтоматически учит…

Directories

URLs

ПараметрыОжидаемое поведение

пользователя

Может как оповещать, так и блокировать отклонения от нормы

SecureSphere «изучает» защищаемое приложение


0

100

200

300

400

500

600

700

1-Jun 6-Jun 11-Jun 16-Jun 21-Jun 26-Jun

636

243

3233

7655 40 25 21 11 13 28 24 18

417 4 5 7 4 8 11 15 2 3 4 1

Сокращение сроков развертывания с месяцов до дней

Снимает нагрузку с администраторов

5-15 изменений в неделю равноценны 5-30 человекочасам конфигурирования

Дата

Изм

ен

ен

ие

пр

оф

ил

я Изучение приложения и

поведения

Адаптация к изменениям

Динамическое профилирование во времени


DB Security

39 Confidential


Ключевой функционал

CONFIDENTIAL

Поиск и

классификация

Поиск

«чувствительной»

информации •Поиск в активных базах

•Поиск мошеннических БД

•Определение областей

мониторинга

SecureSphere DAS

Rogue

SSN

Credit Cards

PII



CONFIDENTIAL

Активный аудит

Сбор и хранение

отчетности доступа к

БД•Соответствие

требованиям

регуляторов

•Проведение экспертизы

и анализа

DatabasesUsers

SecureSphere

DAM

Audit DetailsAudit Policies

Контроль

привилегированного

доступа

Мониторинг

привилегированных

пользователей•Разделение полномочий

•Мониторинг всей

активности

•Возможность

блокировки

Database AgentAppliancePrivileged

User

Audit Policies



CONFIDENTIAL

Аналитика

Детализированный

лог аудита,

наглядные,

интеррактивные

отчеты•Ускоряет

расследование

инцидентов

•Упрощает compliance

Блокировка

Мониторинг

активности•Предотвращение

неавторизованного

доступа

•Активная защита

информации

UPDATE orders set client ‘first

Unusual Activity

X

Allow

Block

Network User,

DBAs, Sys Admin

X



CONFIDENTIAL43

Отчетность

Наглядный

интерфейс •Анализ угроз

•Упрощение

планирования ИБ

PCI, HIPAA, SOX…

Custom

Оповещение

Оповещение в

реальном

времени•Быстрое

определение

вектора атаки

•Предотвращение

утечек

Email

SYSLOG

Dashboard

SIEM

Межсетевые экраны нового поколения Palo Alto Networks

© 2012 Palo Alto Networks. Proprietary and Confidential.Page 74 | © 2007 Palo Alto Networks. Proprietary and ConfidentialPage 74 |

О компании

О компании Palo Alto Networks

• Palo Alto Networks - это Network Security Company

• Команда мирового класса с богатейшим опытом в области безопасности и сетевых технологий

- Основана в 2005 году, первый заказчик – июль 2007 года

• Специализация на межсетевых экранах нового поколения, способных распознавать и контролировать 1700+ приложениями

- Межсетевой экран – ключевой элемент инфраструктуры сетевой безопасности

- Использует инновационные технологии: App-ID™, User-ID™, Content-ID™, WildFire™

• 10 000+ корпоративных заказчиков в 100+ странах мира, 40+ из которых внедрили решение стоимостью более $1 000 000

- Одно из самых успешных размещений на Нью-Йоркской фондовой бирже (PANW)

- Устойчивый рост в течение 9 последних кварталов

© 2012 Palo Alto Networks. Proprietary and Confidential.Page 75 |

Palo Alto Networks в России


Более 2,5 лет на российском рынке

25+ текущих крупнейших корпоративных и государственных заказчиков, в т.ч. Ростелеком (Электронное Правительство), МТС, МЧС, РЖД, Еврохим, СГК

Локальный офис, большой пул демо-оборудования старших моделей

Развитая экосистема партнеров (Gold, Platinum)

Тех. поддержка 24 х 7 х 365, склад RMA в РФ

Авторизованный учебный центр на русском языке, курсы каждые 2 мес.

Сертификат ФСТЭК и НДВ на МЭ и IPS (PA-5000/2000/500):

• АС класса защищенности до 1Г включительно;

• ИСПДн до 1 класса включительно (соответствие 152-ФЗ).

Контроля приложений нет

• Анализ трафика 2000+ организаций: что происходит в современной сети?

- 68% приложений (бизнес и пользовательских) для работы используют порты 80 и 443 или динамические порты, в т.ч. потоковое видео (13% пропускной способности)

- Приложения, помогающие обойти политики безопасности, доступны каждому (бесплатные прокси – 81%, удаленный доступ к рабочему столу 95%, SSL туннели)

- Очень широко распространены файл-обменные сети (P2P – 87%; браузерные)

- 80+ социальных сетей (растет число, функциональность, нагрузка на сеть)

Page 79 |

Риски использования таких приложений: непрерывность бизнеса, потери данных,

продуктивность, финансовые затраты

© 2012 Palo Alto Networks. Proprietary and Confidential.

Приложения изменились, а межсетевые экраны - нет


Межсетевой экран должен восстановить контроль над сетью

НО…приложения изменились

• Порты ≠ Приложения

• IP-адреса ≠ Пользователи

• Пакеты ≠ Контент

Политики межсетевых экранов базируются на контроле:

• Портов

• IP-адресов

• Протоколов

Приложения являются источником рисков


Приложения сами могут быть “угрозами”

• P2P file sharing, туннельные приложения, анонимайзеры,

мультимедиа

Приложения могут способствовать

распространению угроз

• Qualys Top 20 уязвимостей: основные угрозы – это угрозы

уровня приложений

Приложения и угрозы уровня приложений создают бреши в системе безопасности

«Помощники» межсетевого экрана не помогают!

• Сложная топология и нет «прозрачной» интеграции

• «Помощники» межсетевого экрана не имеют полного представления о трафике – нет корреляции

• Дорогостоящее и дорогое в обслуживании решение


Internet

• Использование отдельных функциональных модулей в одном устройстве (UTM) делает его ОЧЕНЬ медленным


Межсетевой экран нового поколения

Пусть межсетевой экран делает свою работу!

Новые требования для межсетевого экрана:

1. Идентификация приложений

2. Идентификация пользователя

3. Защита против угроз

4. Многоуровневая детализация и контроль

5. Высокая производительность

Что Вы видите… с портовым МСЭ + надстройкой IPS для распознавания приложений


Что Вы видите с полноценным Межсетевым Экраном Нового Поколения


http://en.wikipedia.org/wiki/Image:Hamachi_logo.png

http://en.wikipedia.org/wiki/Image:Hamachi_logo.png

https://www.torproject.org/

https://www.torproject.org/

http://www.live365.com/index.live

http://www.live365.com/index.live

Технологии идентификации изменили межсетевой экран


•App-ID™•Идентификация•приложений

•User-ID™•Идентификация•пользователей

•Content-ID™

•Контроль данных

Архитектура однопроходной параллельной обработки


Один проход

• Каждый пакет сканируется только один раз

• При сканировании одновременно определяется:

- Приложение

- Пользователь/группа

- Контент – угрозы, URL и т.д.

Параллельная обработка

• Специализированное аппаратное обеспечение для каждой задачи

• Разделение Data plane и Control plane

•До 20 Гбит/с, низкая задержка


Управление

Средства управления, отчетности и интеграции


• Web GUI, SSH, XML API

• Централизованное управление – ПО Panorama + М-100

• Богатая отчетность из коробки

• Отправка логов по Syslog, SNMP

• Интеграция с SEIM/SIM (например, HP ArcSight, Symantec SIM)

Централизованное управление с использованием ПО Panorama

• Централизованное логирование и отчетность

• Централизованное обновление

• Централизованная настройка

Page 94 |

• Ролевое администрирование

Software Content

Clients

---------------

Распределенная система централизованного управления и сбора логов – устройства М-100

Page 95 |

Экономия пропускной способности каналов WAN за счет агрегации в логов в удаленных объектах


Семейство платформ и функционал операционной системы

© 2012 Palo Alto Networks. Proprietary and ConfidentialPage 97 |

Семейство платформ Palo Alto Networks

PA-2050• 1 Gbps МЭ

500 Mbps предотв.атак250,000 сессий

• 4 SFP, 16 RJ-45 gigabit

PA-2020• 500 Mbps МЭ

200 Mbps предотв.атак 125,000 сессий



100 Mbps предотв.атак 64,000 сессий

• 8 copper gigabit


5 Gbps предотвращение атак 2,000,000 сессий

• 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12RJ-45 gigabit






• 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 RJ-45 gigabit


50 Mbps предотв. атак64,000 сессий

• 4 copper gigabit

4 Gbps МЭ

2 Gbps предотвращение атак

500,000 сессий

12 copper gigabit

8 SFP interfaces

PA-3050

2 Gbps МЭ



12 copper gigabit

8 SFP interfaces

PA-3020VM Series (VMware)

VM-100, 200, 300

1 Gbps МЭ



9 VMNICs (L1/L2/L3/Tap)

4094 L2/L3 sub-interfaces


Основной функционал операционной системы

• Network- Динамическая маршрутизация (BGP, OSPF,

RIPv2)

- Режим мониторинга – подключение к SPAN-порту

- Прозрачный (L1) / L2 / L3 режимы

- Маршрутизация по политикам (PBF)

- IPv6

• VPN- Site-to-site IPSec VPN

- SSL VPN (GlobalProtect)

• Функционал QoS- Приоритезация, обеспечение

максимальной/гарантированной полосы

- Возможна привязка к пользователям, приложениям, интерфейсам, зонам и т.д.

- Мониторинг полосы в режиме реального времени

• Зоновый подход- Все интерфейсы включаются в зоны

безопасности для упрощения настройки политик

• Отказоустойчивость- Active/active, active/passive

- Синхронизация конфигурации

- Синхронизация сессий (кроме РА-200, VM-series)

- Path, link и HA мониторинг

• Виртуальные системы- Настройка нескольких межсетевых

экранов в одном устройстве (серии PA-5000, PA-3000 и PA-2000)

• Простое и гибкое управление- CLI, Web, Panorama, SNMP, Syslog,

NetFlow, интеграция с SIEM/SIM

Идентификация и контроль приложений, пользователей и контента дополняются следующим функционалом


VM-series – межсетевой экран нового поколения для защиты среды виртуализации VMware

VM-series: назначение и реализация

© 2012 Palo Alto Networks. Proprietary and Confidential.Page 105|

VM-series – межсетевой экран нового поколения, которыйобеспечивает применение инновационных технологий Palo Alto Networks в среде виртуализации, включая:

• App-ID

• User-ID

• Content-ID (IPS, AV/AS, WildFire, URL-фильтрацию, блокировку файлов)

Это ключевое отличие Palo Alto Networks VM-series от виртуальных портовых МЭ, таких как vShield.

VM-series реализован как гостевая виртуальная машина (VMware virtual appliance), исполняемая гипервизором ESXi и подключаемая к защищаемым сегментам сети (PGs, VLANs), организованным на базе виртуальных коммутаторов vSwitch/Nexus 1000v.

VM-series обеспечивает контроль, инспекцию и визуализацию трафика между виртуальными машинами.


WildFire – облачный сервис обнаружения вредоносного ПО

«нулевого дня»


Архитектура WildFire

Пример детального отчета о вредоносном файле


•Общая информация

•Имя файла, hash, URL, source & destination, вердикт (вредонос или нет), приложение

•Вердикт •Покрытие AV

•Результаты анализа поведения

•Список подозрительных действий, выполненных файлом в «песочнице»

•Анализ 100+ видов поведения. Одни

безвредны сами по себе, другие

используются только вредоносами.

Juniper Networks

124 Copyright © 2009 Juniper Networks, Inc. www.juniper.net

1996

2006

#789

Incorporated

1999Acorn

2001

2005

20022004

20001998

$500M $1B $2B $2.3B

4800+Сотрудники

Больше чем десятилетие инноваций

1000 1500

Доход

M-Series

T-SeriesSSG

UAC

2500 3500

2007

T-1600

5300+

$2.8B

MX

2008

EX-series

10 Gig IDP

http://www.timeinc.net/fortune/datastore/ds/samples/f1000.xls

http://www.timeinc.net/fortune/datastore/ds/samples/f1000.xls

http://www.funk.com/

http://www.funk.com/

http://www.f2fevents.com/boise05/boise_vendors_desc.htm

http://www.f2fevents.com/boise05/boise_vendors_desc.htm

https://extranet.juniper.net/image-library/Image Library/Mseries_Family_HR.jpg

https://extranet.juniper.net/image-library/Image Library/Mseries_Family_HR.jpg

https://extranet.juniper.net/image-library/Image Library/T_Series_Fam1_LR.jpg

https://extranet.juniper.net/image-library/Image Library/T_Series_Fam1_LR.jpg

http://www.netscreen.com/

http://www.netscreen.com/


Juniper Networks – Факты

Создана в 1996

Доходы $2.3 млрд., стабильное финансовое положение

5,500+ сотрудников, 140+ в UK

$400M/ в год затраты на R&D в IP и Безопасность

Присутствие в более чем 70 странах

25 из топ 25 Операторов Услуг

Рыночная Доля: #1, #2 или #3 во всех рыночных сегментах где мы присутствуем

Более 8,000 клиентов по всему миру

6500+ партнеров по всему миру

Входим в список Fortune 1000

Участник NASDAQ-100 Gold

Участник S&P 500

Leadership Quadrant

для:

• WAN

Маршрутизации

• Firewall

• IPSec VPN

• SSL VPN

• WAN Аккселерации

Признанный технологический лидер в

прессе и по отчетам Gartner


Заказчики Juniper в России/СНГ


ОСОБЕННОСТИ JUNOS

БЕЗОПАСНОСТЬ МАРШРУТИЗАТОРЫ

J Series

M Series

T Series

EX4200

EX8208

EX8216

КОММУТАТОРЫ

EX3200

Одна ОС Один релиз Общая архитектура

J Series Tx MatrixПлан обновления

9.4 9.5 9.6

–A

PI–

Module

x

MX Series

Одна ОС для маршрутизации, коммутации и безопасности

Единый релиз

Один feature set

EX2200

SRX3600

SRX5800

SRX210

SRX240

SRX650

SRX100

SRX5600

СПАСИБО!!!

Киберпреступность отступает?

Technology

Transcript of Киберпреступность отступает?