GX7000 - системы предотвращения несанкционированных вторжений нового поколения. Стратегические планы развития на 2012-2015 годы

Кирилл Керценбаум, IBM Security

© 2011 IBM Corporation

Optimizing the World’s Infrastructure Москва, 25 октября 2011 года

2

Non Disclosure Disclaimer – IBM Confidential

IBM может изменить свои планы, намерения, направления развития в любой момент без предупреждения по своему усмотрению.!IBM’s statements regarding its plans, directions and intent are subject to change or withdraw without notice at IBM’s sole discretion. Information regarding potential future products is intended to outline our general product direction and it should not be relied on in making a purchasing decision. The information mentioned regarding potential future products is not a commitment, promise or legal obligation to deliver any material, code or functionality. Information about potential future products may not be incorporated into any contract. The development, release and timing of any future features or functionality described for our products remains at our sole discretion.

3

История сетевых IPS: IBM, ISS и NetworkICE – как это было

Апрель, 2000 – Network ICE

выпускает BlackICE Guard, первый

коммерческий IPS

Июнь, 2001 – Internet Security Systems поглощает Network

ICE

Октябрь, 2003 – BlackICE Guard / RealSecure Network Sensor объединены в первых

устройствах ISS IPS. Proventia G100 и G200 (макс.

производительность 200Mb/sec)

1ая половина 2004 – ISS выпускает G1000 и

G1200 (макс. производительность

1200Mb/sec)

Февраль, 2005 – ISS выпускает G2000 и обновляет редактор политик (макс.

производительность 2000Mb/sec

1ая половина 2006 – ISS выпускает модельный ряд GX (1ое обновление платформы). Технология

Shellcode Heuristics добавлена в PAM.

Октябрь 2006 – IBM

приобретает ISS

Май 2007 – IBM выпускает GX6116

(макс. производительность

6Gb/sec, позже увеличена до 8Gb/sec)

2ая половина, 2007 –

Технология Injection Logic

Engine добавлена в PAM

Декабрь, 2007 – Content Analysis

Engine добавлен в

PAM

2007/2008 – Начало

формирования технологии Web

Protection Content

Апрель, 2009 – IBM выпускает Proventia

Network Security Controller, обеспечивающий

поддержку 10GbE сетей | Май, 2009 получена первая награда NSS GOLD for IPS.

Первый вендор, получивший 3 NSS GOLD подряд (SUM testing).

Q1, 2010 – IBM выпускает линейку GX-version 2 (2ое обновление платформы)

Увеличение производительности в 2X-4X раза при той же стоимости

Q2, 2010 – IBM firmware 4.1: Новый LMI, мастер web application protection, IPv6, интеграция с Rational

AppScan

Q4, 2010 – IBM firmware 4.3:

SNMPv3

Q1 2011 – IBM выпускает GX7800 (макс.

производительность 23Gb/sec) с 64-bit PAM 2.0 и интерфейсами 10GbE

Q1 2011-IBM сертифицирует Netronome SSL Inspector “Ready

for Tivoli”

Q3 2011 - IBM выпускает GX7412 (5Gb/sec, 10Gb/sec and 23Gb/sec) с 64-

bit PAM 2.0

4

Powered by X-Force

What It Does:"Shields vulnerabilities from exploitation independent of a software patch, and enables a responsible patch management process that can be adhered to without fear of a breach!!Why Important:"At the end of 2010, 44% of all vulnerabilities disclosed during the year had no vendor-supplied patches available to remedy the vulnerability.!!

What It Does:"Detects and prevents entire classes of threats as opposed to a specific exploit or vulnerability.!!Why Important:"Eliminates need of constant signature updates. Protection includes the proprietary Shellcode Heuristics (SCH) technology, which has an unbeatable track record of protecting against zero day vulnerabilities.!!

What It Does:"Monitors and identifies unencrypted personally identifiable information (PII) and other confidential information for data awareness. Also provides capability to explore data flow through the network to help determine if any potential risks exist.!!Why Important:"Flexible and scalable customized data search criteria; serves as a complement to data security strategy.

What It Does:"Protects web applications against sophisticated application-level attacks such as SQL Injection, XSS (Cross-site scripting), PHP file-includes, CSRF (Cross-site request forgery), LDAP Injection.!!Why Important:"Expands security !capabilities to meet both compliance requirements and threat evolution.!!!!

What It Does:"Manages control of unauthorized applications and risks within defined segments of the network, such as ActiveX fingerprinting, Peer To Peer, Instant Messaging, and tunneling.!!Why Important:"Enforces network application and service access based on corporate policy and governance.!!!

What It Does:"Protects end users against attacks targeting applications used everyday such as Microsoft Office, Adobe PDF, Multimedia files and Web browsers.!!Why Important:"At the end of 2010, vulnerabilities which affect personal computers, represent the second-largest category of vulnerability disclosures and represent about a fifth of all vulnerability disclosures.!

Расширяемая защита при помощи Модуля Анализа Протоколов

Виртуальный ПатчЗащита клиентских

приложенийЗащита Web-приложений

Обнаружение и предотвращение угроз Безопасность данных Контроль приложений

5

Модуль Анализа Протоколов

■ Год назад - 225 протоколов!■Сегодня – 260 протоколов!■ В среднем каждый месяц добавляется 3 парсера протоколов

225 протоколов

260 протоколов

Июль 2010 Июль 2011

6

Технология IBM VirtualPatch® сберегает вам время и деньги!!•Защита уязвимости от эксплуатации независимо от наличия патча от производителя!!•Дает возможность соблюдать плановый процесс управления патчами без риска быть атакованным!!•IBM — активный участник MAPP (Microsoft Active Protections Program)

В 2010 году обнаружено на 29% больше

уязвимостей, чем в 2009, на 21% больше обнаруженных эксплойтов!

!– IBM X-Force 2010 !

Trend and Risk Report

7

Обнаружение и предотвращение угроз

■ Обнаруживает и предотвращает целые классы угроз, включая:!– Атаки, скрытые в shell code!– Инъекцию команд SQL и shell!– Вредоносное ПО, встроенное в аудио/видео!– Применение техник маскировки!

■ Защита DNS (включая DNS Poisoning):!– Исключает потребность в точечных решениях для защиты DNS!

■ Обеспечивает превентивную защиту вместо постоянного наката сигнатур, специфичных для конкретной атаки!

■ Обеспечивает защиту для незрелых/небезопасных областей инфраструктуры!– VoIP!– SCADA!– Web 2.0

8

IBM Security® Content Analyzer

Глубокий анализ содержимого позволяет предотвратить утечку данных:"!•Обнаруживает персональную информацию и конфиденциальные данные !•Дает возможность исследовать поток данных и идентифицировать потенциальные риски в сети !•Выполняет настраиваемый поиск данных!•Поддерживает составные условия поиска (например, name AND social_security_number AND User defined) !•Дополняет стратегию защиты данных

9

*Provides for inline inspection of attached files.

СИГНАТУРЫ ПРОТОКОЛЫ КОНТЕНТ

Credit Card Number"U.S. Name"

Date"Dollar Amount"Email Address"

Social Security Number"U.S. Phone Number"U.S. Postal Address"

8 User-Defined

*AOL IM"*Microsoft Messenger"

*Yahoo Messenger"*IRC"HTTP"FTP"SMB"

*SMTP"*IMAP"*POP3

Microsoft Office Documents"PDF"Text"RTF"XML"

HTML"GZIP"ZIP

IBM Security® Content Analyzer (продолжение)Delivers security effectiveness and data awareness. IBM Security Content Analyzer анализирует незашифрованные данные, используя до 16 различных сигнатур

10

Защита Web-приложений

• Защита!• Web 2.0: блокировка JSON (java script object notation)!• БД: инъекции SQL, LDAP, инъекции XPath!• Защита Web-приложений: shell command, server side,

XSS, Directory Traversal!• Преимущества!• Защита web-приложений консолидирована с сетевой безопасностью!

• PCI compliance for DSS 6.6 (June 30, 2008)!• Сберегает время и деньги, избавляя от приобретения специализированного web application firewall

Обеспечивает защиту приложений на уровне сети

11

Контроль приложений

Управляет политиками безопасности и рисками в сегментах сети:!• ActiveX fingerprinting!• Peer-to-Peer (Skype, file sharing, etc.)!• Instant Messaging!• Tunneling!• Принудительно обеспечивает соблюдение корпоративных политик использования сетевых приложений

Восстанавливает пропускную способность сети, утраченную в результате некорпоративного

использования

12

IBM Security Network IPSGX appliances

■ Серия GX-V2 выпущена в 1-ом квартале 2010 года!– Удвоенная производительность позволяет реализовать конвергенцию сетевой безопасности

(безопасность данных, защита web-приложений и т.д.)!■ GX7800 выпущена в марте 2011!

– 23Gb/sec IPS (инспекция), 8 x 10GbE интерфейсов!■ 10GbE Network Bypass Unit выпущен в июне 2011!■ GX7412, GX7412-10 и GX7412-05 выпущены в августе 2011!

– 15, 10 и 5Gb/sec IPS (инспекция), 4 x 10GbE + 12 x 1GbE интерфейсов!■ Все, что мы обещали на 2011 год, выполнено в срок!

Модели IBM Security Network IPS

Удаленные сегменты Периметр Ядро

Модель GX4004-V2-200 GX4004-V2 GX5008-V2 GX5108-V2 GX5208-V2 GX7800 GX7412

Скорость анализа 200 Mbps 800 Mbps 1.5 Gbps 2.5 Gbps 4 Gbps 23 Gbps5 Gbps"10Gbps"15Gbps

Защищаемых сегментов 2 2 4 4 4 4 (10GbE) 2 (10GbE) + 6

(1GbE)

13

IBM Security Network Virtual IPS

■ Лидирующее средство сетевой безопасности теперь доступно на виртуальной платформе!– Защита мирового класса, основанная на уязвимостях и разработанная X-

Force research!– “Виртуальное устройство” !

■ Защита для среды виртуализации VMWare ESX & ESXi 4.1!– Предотвращение вторжений и защита сети для трафика между vSwitches!– Защищает виртуальные машины на сервере!

■ Интегрирует виртуальную безопасность с традиционной сетевой безопасностью!– Единая консоль управления!– Общие политики безопасности

14

IBM Network Threat Mitigation RoadmapНовые продукты в 2012 году и далее

15

Планы выпуска новых продуктов Network IPS

2012 2013

IPS

IPS с Firmware 5.0 à à à à

Firmware 4.4

Производительность IBM Security Network IPS

Удаленные сегменты Периметр Ядро 10GbE Core

Модель GX4004-V2-200 GX4004-V2 GX5008-V2 GX5108-V2 GX5208-V2 GX6116 GX7800 GX7412

Скорость анализа 200Mb 800Mb 1.5Gb 2.5Gb 4Gb 8Gb 23Gb 5Gb, 10Gb, 15Gb

Защищаемых интерфейсов 4 x 1G 4 x 1G 8 x 1G 8 x 1G 8 x 1G 16 x 1G 8 x 10G 4 x 10G + 12 x 1G

2014

IPS 4100

IPS 7100

IPS 5100

IPS 7150

IPS 8200

Firmware 5.1

2015

IPS 5200Virtual IPS 5.0

16

Firmware 4.4 – Snort / OpenSource

• 100% Snort-совместимый движок (в дополнение к TRONS/OpenSignatures)!• Работает параллельно PAM!• Поддержка GX, GX-V2 и GX7000!• Поддержка сотен правил!

• Resource impact reporting from rules!• Упрощенный импорт правил!• Централизованное управление правилами Snort, так же как и для IBM

Security Events, User Defined Events и т. д.!• Capacity Planning!• TCPDump

17

Новые возможности IPS с Firmware 5.0

• Дальнейшее развитие линейки GX!

• SSL-инспекция!

• IP-репутация!

• Защита от бот-сетей!

• Правила IPS, основанные на пользователях!

• Миграция политик с GX!• FIPS, NIST-800-131!• Глобализация!• Новая аппаратная платформа, больше опций, больше гибкости. Solid state drives.!• Быстрая загрузка!• Независимость от браузера и версии Java!• Интерфейсы управления на Web-сервисах и командной строке в дополнение к SiteProtector!• Поддержка VMWare 5.0ESX/ESXi (Виртуальный IPS)!!!

18

IPS с firmware 5.0 – новые устройства

• Гибкость в использовании и лицензировании!• IPS платформа – надежная, интегрированная часть сетевой инфраструктуры,

фокус на надежность и возможность апгрейда [производительности] платформы!• Лицензии на производительность !• Апгрейд лицензии с меньшей производительности на большую!• Преимущества:!

• Покупай дешевле сегодня!• Апгрейд лицензии на большую производительность тогда, когда это необходимо

19

2014-2015

• Firmware 5.1!– Content TBD!

• IPS 8200!– 40GbE & 100GbE Network IPS appliance!– Скорость инспекции более 40Gb/sec!– FRU & CRU capability!

• IPS 5200!– Замена IPS 5100!– 10GbE & 1GbE Network IPS appliance!– Продвижение технологии NPU и ASIC в средний класс!– FRU & CRU capability

СПАСИБО!!!