Статьи

Огляд корпоративних IPS-рішень на російському ринку

  1. Що таке IPS?
  2. Розвиток технології. Проблеми IPS.
  3. Світовий і російський ринок IPS. Основні гравці, відмінності.
  4. Cisco IPS (сертифікований ФСТЕК)
  5. Sourcefire IPS, Adaptive IPS і Enterprise Threat Management
  6. McAfee Network Security Platform (раніше, IntruShield Network Intrusion Prevention System) (сертифікований ФСТЕК)
  7. Stonesoft StoneGate IPS (сертифікований ФСТЕК)
  8. Детектор атак АПКШ «Континент» (Код Безпеки) (сертифікований ФСТЕК і ФСБ)
  9. IBM Proventia Network Intrusion Prevention System (сертифікований ФСТЕК)
  10. Check Point IPS (сертифікований для міжмережевих екранів і для UTM)
  11. Trend Micro Threat Management System (Ця інформація базується на Smart Protection Network)
  12. Palo Alto Networks IPS
  13. HP TippingPoint Intrusion Prevention System
  14. Висновки

У статті розглядаються популярні IPS-рішення в контексті світового та російського ринків. Дається визначення базової термінології, історія виникнення та розвитку IPS-рішень, а також розглядається загальна проблематка і сфера застосування IPS-рішень. Також наводиться зведена інформація про функціональні можливості найбільш популярних IPS-рішень від різних виробників.

1. Що таке IPS?

2. Розвиток технології. проблеми IPS

3. Світовий і російський ринок IPS. Основні гравці, відмінності

4. Висновки

Що таке IPS?

Перш за все, дамо визначення. Intrusion detection system (IDS) або Intrusion prevention system (IPS) - це програмні та апаратні засоби, призначені для виявлення і / або запобігання вторгнень. Вони призначені для виявлення і запобігання спробам несанкціонованого доступу, використання або виведення з ладу комп'ютерних систем, головним чином через Інтернет або локальну мережу. Такі спроби можуть мати форму як атаки хакерів або інсайдерів, так і бути результатом дій шкідливих програм.

IDS / IPS-системи використовуються для виявлення аномальних дій в мережі, які можуть негативно вплинути на безпечність і конфіденційність даних, наприклад: спроби використання вразливостей програмного забезпечення; спроби повішення привілеїв; несанкціонований доступ до конфіденційних даних; активність шкідливих програм і т.д.

Використання IPS-систем переслідує кілька цілей:

  • Виявити вторгнення або мережеву атаку і запобігти їх;
  • Спрогнозувати можливі майбутні атаки і виявити вразливості для запобігання їх подальшого розвитку;
  • Виконати документування існуючих загроз;
  • Забезпечити контроль якості адміністрування з точки зору безпеки, особливо в великих і складних мережах;
  • Отримати корисну інформацію про проникненнях, які мали місце, для відновлення і коригування викликали проникнення факторів;
  • Визначити розташування джерела атаки по відношенню до локальної мережі (зовнішні або внутрішні атаки), що важливо при прийнятті рішень про розташування ресурсів в мережі.

В цілому, IPS аналогічні IDS. А головна відмінність полягає в тому, що вони функціонують в реальному часі і можуть в автоматичному режимі блокувати мережеві атаки. Кожна IPS включає в себе модуль IDS.

IDS, в свою чергу, зазвичай складається з:

  • системи збору подій;
  • системи аналізу зібраних подій;
  • сховища, в якому накопичуються зібрані події та результати їх аналізу;
  • бази даних про уразливість (цей параметр є ключовим, тому що чим більше база у виробника, тим більше загроз здатна виявляти система);
  • консолі управління, яка дозволяє налаштовувати все системи, здійснювати моніторинг стану мережі, що захищається, переглядати виявлені порушення і підозрілі дії.

За способами моніторингу IPS-системи можна розділити на дві великі групи: NIPS (Network Intrusion Prevention System) і HIPS (Host Intrusion Prevention System). Перша група орієнтована на мережевий рівень і корпоративний сектор, в той час як представники другої мають справу з інформацією, зібраною всередині єдиного комп'ютера, а отже можуть використовуватися на персональних комп'ютерах. Сьогодні HIPS часто входять до складу антивірусних продуктів, тому, в контексті даної статті, ці системи ми розглядати не будемо.

Серед NIPS і HIPS також виділяють:

  • Protocol-based IPS, PIPS. Являє собою систему (або агент), яка відстежує і аналізує комунікаційні протоколи зі зв'язаними системами або користувачами.
  • Application Protocol-based IPS, APIPS. Являє собою систему (або агент), яка веде спостереження і аналіз даних, що передаються з використанням специфічних для певних програм протоколів. Наприклад, відстеження вмісту SQL-команд.

Що стосується форм-фактора, IPS-системи можуть бути представлені як у вигляді окремого «залізного» рішення, так і у вигляді віртуальної машини або софта.

Розвиток технології. Проблеми IPS.

Системи запобігання вторгнень з'явилися на стику двох технологій: міжмережевих екранів (firewall) і систем виявлення вторгнень (IDS). Перші вміли пропускати трафік через себе, але аналізували лише заголовки IP-пакетів. Другі ж, навпаки, «вміли» все те, чого були позбавлені міжмережеві екрани, тобто аналізували трафік, але не могли як-небудь впливати на ситуацію, так як встановлювалися паралельно і трафік через себе не пропускали. Взявши найкраще від кожної технології, з'явилися IPS-системи.

Становлення сучасних IPS-систем, йшло через чотири напрямки. Так би мовити, від часткового до загального.

Перший напрямок - розвиток IDS в inline-IDS. Іншими словами, необхідно було вбудувати IDS-систему в мережу не паралельно, а послідовно. Рішення виявилося простим і ефективним: IDS помістили між захищеними і незащіщаемимі ресурсами. З цього напрямку, найімовірніше, розвинулися програмні варіанти IPS

Другий напрямок становлення IPS не менше логічне: еволюція міжмережевих екранів. Як ви розумієте, їм не вистачало глибини аналізу пропускається через себе трафіку. Додавання функціоналу глибокого проникнення в тіло даних і розуміння переданих протоколів дозволило стати міжмережевих екранів справжніми IPS-системами. З цього напрямку, найімовірніше, розвинулися апаратні IPS.

Третім «джерелом» стали антивіруси. Від боротьби з «черв'яками», «троянами» та іншими шкідливими програмами до IPS-систем виявилося зовсім недалеко. З цього напрямку, найімовірніше, розвинулися HIPS.

Нарешті, четвертим напрямком стало створення IPS-систем «з нуля». Тут, власне, і додати нічого.

Що ж стосується проблем, у IPS, як і у будь-яких інших рішень, вони були. Основних проблем виділяли три:

  1. велика кількість помилкових спрацьовувань;
  2. автоматизація реагування;
  3. велике число управлінських завдань.

З розвитком систем, ці проблеми успішно вирішувалися. Так, наприклад, для зниження відсотка помилкових спрацьовувань почали застосовувати системи кореляції подій, які «виставляли пріоритети» для подій і допомагали IPS-системі ефективніше виконувати свої завдання.

Все це призвело до появи IPS-систем наступного покоління (Next Generation IPS - NGIPS). NGIPS повинна володіти такими мінімальними функціями:

  • Працювати в режимі реального часу без впливу (або з мінімальним впливом) на мережеву активність компанії;
  • Виступати в якості єдиної платформи, що об'єднує в собі як всі переваги попереднього покоління IPS, так і нові можливості: контроль і моніторинг програм; використання інформації зі сторонніх джерел (бази вразливостей, геолокаційні дані і т.д.); аналіз вмісту файлів.

Малюнок 1. Функціональна схема еволюційних етапів IPS-систем

Функціональна схема еволюційних етапів IPS-систем

Світовий і російський ринок IPS. Основні гравці, відмінності.

Говорячи про світовий ринок IPS-систем, експерти часто посилаються на звіти Gartner, і в першу чергу на «чарівний квадрат» (Gartner Magic Quadrant for Intrusion Prevention Systems, July 2012). На 2012 рік ситуація була така:

Малюнок 2. Розподіл основних гравців ринку IPS-систем в світі. Інформація Gartner, липень 2012

Простежувалися явні лідери в особі McAfee, Sourcefire і HP, до яких дуже прагнула всім відома Cisco. Однак літо 2013 внесло свої корективи. Спочатку травня по різним тематичним блогах і форумах прокотилася хвиля обговорень, піднята анонсом угоди між McAfee і Stonesoft. Американці збиралися купити фінського «візіонера», голосно заявив про себе кілька років тому, відкривши новий вид атак AET (Advanced Evasion Techniques).

Проте, на цьому сюрпризи не закінчилися і, буквально через пару місяців, корпорація Cisco оголосила про укладення угоди з Sourcefire і покупці цієї компанії за рекордні $ 2.7 млрд. Причини були більш ніж вагомі. Sourcefire відома своєю підтримкою двох розробок з відкритим кодом: механізму виявлення та запобігання вторгнень Snort і антивіруса ClamAV. При цьому технологія Snort стала стандартом де-факто для систем попередження і виявлення вторгнень. Суть же в тому, що на російському ринку Cisco Systems є основним постачальником рішень з мережевої безпеки. Вона однією з перших прийшла на російський ринок, її мережеве обладнання коштує практично в кожній організації, відповідно, немає нічого незвичайного в тому, що рішення з мережевої безпеки також замовляють у цій компанії.

Крім того, Cisco Systems веде дуже грамотну діяльність з просування своєї лінійки безпеки на російському ринку. І зараз жодна компанія не може зрівнятися з Cisco Systems за рівнем роботи з ринком, як в маркетинговому плані, так і в плані роботи з партнерами, держорганізаціями, регуляторами та ін. Окремо варто відзначити, що дана компанія приділяє дуже велику увагу питанням сертифікації за російськими вимогами, витрачаючи на них набагато більше, ніж інші західні виробники, що також сприяє збереженню лідируючого положення на російському ринку. Висновки, як то кажуть, робіть самі.

І, якщо зі світовим ринком IPS-систем все більш-менш зрозуміло, - незабаром відбудеться «перетасування» лідерів - то з російським ринком не все так просто і прозоро. Як уже було відзначено вище, вітчизняний ринок має свою специфіку. По-перше, велику роль відіграє сертифікація. По-друге, якщо процитувати Михайла Романова, що є одним з авторів глобального дослідження «Ринок інформаційної безпеки Російської Федерації», то «конкурентоспроможні IPS-рішення російського виробництва фактично відсутні. Автору відомі тільки три російських вирішення даного типу: «Аргус», «Форпост» і «СТРУМОК-М" (не позиціонується як IPS). Знайти «Аргус» або «СТРУМОК-М» в Інтернеті і купити не представляється можливим. Рішення «Форпост» виробництва компанії РНТ, позиціонується як сертифіковане рішення, повністю засноване на коді SNORT (і цього розробники не приховують). Розробник не надає свого рішення на тестування, продукт ніяк не просувається на ринку, тобто створюється враження, що РНТ просуває його тільки у власні проекти. Відповідно, побачити ефективність цього рішення не представляється можливим ».

До згаданих трьох системам можна також віднести комплекс «РУБІКОН», який позиціонується компанією «Ешелон» не тільки як сертифікований міжмережевий екран, але і як система виявлення вторгнень. На жаль, інформації по ньому не так багато .

Останнє рішення від російського виробника, яке вдалося знайти - IPS-система (входить в UTM-пристрій ALTELL NEO), що представляє собою, за їхніми словами, «доопрацьовану» відкриту технологію Surricata, яка використовує актуальні бази сигнатур з відкритих джерел (National Vulnerability Database і Bugtrax). Все це викликає більше питань, ніж розуміння.

Проте, виходячи з пропозицій інтеграторів, можна продовжити список пропонованих на російському ринку IPS-систем і дати короткий опис для кожного з рішень:

Проте, виходячи з пропозицій інтеграторів, можна продовжити список пропонованих на російському ринку IPS-систем і дати короткий опис для кожного з рішень:

Cisco IPS (сертифікований ФСТЕК)

Будучи частиною Cisco Secure Borderless Network, Cisco IPSпредоставляет наступні можливості:

  • Запобігання вторгнення більш 30000 відомих експлойтів;
  • Автоматичне оновлення сигнатур з глобального сайту Cisco Global Correlation для динамічного розпізнавання і запобігання вторгнень атак з боку Internet;
  • Передові дослідження і досвід Cisco Security Intelligence Operations;
  • Взаємодія з іншими мережевими компонентами для запобігання вторгнень;
  • Підтримка широкого спектру варіантів розгортання в режимі, близькому до реального часу.

Все це дозволяє захистити мережу від таких атак, як:

  • Прямі атаки (directed attacks);
  • Черви, віруси (worms);
  • Ботнет мережі (botnets);
  • Шкідливі програми (malware);
  • Заражені додатки (application abuse).

Прямі атаки (directed attacks);   Черви, віруси (worms);   Ботнет мережі (botnets);   Шкідливі програми (malware);   Заражені додатки (application abuse)

Sourcefire IPS, Adaptive IPS і Enterprise Threat Management

Серед головних переваг виділяють:

  • Розробка систем на основі SNORT;
  • Гнучкі правила;
  • Інтеграція з MSSP;
  • Технологія пасивної прослушки (нульовий вплив на мережу);
  • Робота в реальному масштабі часу;
  • Поведінковий виявлення аномалій в мережі (NBA);
  • Персоналізація подій.

Розробка систем на основі SNORT;   Гнучкі правила;   Інтеграція з MSSP;   Технологія пасивної прослушки (нульовий вплив на мережу);   Робота в реальному масштабі часу;   Поведінковий виявлення аномалій в мережі (NBA);   Персоналізація подій

McAfee Network Security Platform (раніше, IntruShield Network Intrusion Prevention System) (сертифікований ФСТЕК)

Переваги рішення:

  • Інтелектуальне управління безпекою

Рішення дозволяє скоротити число фахівців і витрати часу, необхідні для моніторингу та розслідування подій безпеки, і одночасно спрощує управління складними масштабними розгортання. Завдяки який направляється детальному аналізу метод послідовного розкриття забезпечує потрібну інформацію саме тоді і там, де вона потрібна, а ієрархічне управління забезпечує масштабування.

  • Високий рівень захисту від загроз

Захист від загроз забезпечується завдяки ядру сигнатур на основі аналізу вразливостей, яке перетворено в платформу нового покоління шляхом інтеграції найсучаснішої технології аналізу поведінки і зіставлення безлічі подій. «Малоконтактние» засоби захисту на основі сигнатур дозволяють утримувати операційні витрати на низькому рівні і ефективно захищають від відомих загроз, а передова технологія аналізу поведінки і зіставлення подій забезпечують захист від загроз наступного покоління і «нульового дня».

  • Використання глобальної системи захисту від шкідливих програм
  • Інфраструктура Security Connected

Рішення покращує рівень мережевої безпеки, сприяє оптимізації системи мережевої безпеки, нарощуючи її економічну ефективність. Крім того, рішення дозволяє погоджувати мережеву безпеку з бізнес-програмами для досягнення стратегічних цілей.

  • Швидкодія і масштабованість
  • Збір інформації та контроль. Отримання інформації про дії користувачів і пристроях, яка прямо інтегрується в процес контролю і аналізу

Отримання інформації про дії користувачів і пристроях, яка прямо інтегрується в процес контролю і аналізу

Stonesoft StoneGate IPS (сертифікований ФСТЕК)

В основі роботи StoneGate IPS закладена функціональність виявлення і запобігання вторгнень, яка використовує різні методи виявлення вторгнень: сигнатурний аналіз, технологія декодування протоколів для виявлення вторгнень, що не мають сигнатур, аналіз аномалій протоколів, аналіз поведінки конкретних хостів, виявлення будь-яких видів сканування мереж, адаптивне застосування сигнатур (віртуальне профілювання).

Особливістю Stonesoft IPS є наявність вбудованої системи аналізу подій безпеки, яка значно зменшує трафік, що передається від IPS до системи управління, і кількість помилкових спрацьовувань. Початковий аналіз подій проводиться сенсором Stonesoft IPS, потім інформація від декількох сенсорів передається на аналізатор, який здійснює кореляцію подій. Таким чином, кілька подій можуть вказувати на розподілену в часі атаку або на мережного хробака - коли рішення про шкідливої ​​активності приймається на підставі кількох подій із «загальної картини», а не по кожному окремому випадку.

Ключові можливості StoneGate IPS:

  • виявлення і запобігання спробам несанкціонованого доступу в режимі реального часу в прозорому для користувачів мережі режимі;
  • застосування фірмової технології АЕТ (Advanced Evasion Techniques) - технології захисту від динамічних технік обходу;
  • великий список сигнатур атак (за змістом, контексту мережевих пакетів і іншим параметрам);
  • можливість обробки фрагментированного мережевого трафіку;
  • можливість контролю декількох мереж з різними швидкостями;
  • декодування протоколів для точного визначення специфічних атак, в тому числі і всередині SSL з'єднань;
  • можливість оновлення бази даних сигнатур атак з різних джерел (можливий імпорт сигнатур з Open Source баз);
  • блокування або завершення небажаних мережевих з'єднань;
  • аналіз «історій» подій безпеки;
  • аналіз протоколів на відповідність RFC;
  • вбудований аналізатор подій, що дозволяє ефективно знижувати потік помилкових спрацьовувань;
  • створення власних сигнатур атак, шаблонів аналізу атак, аномалій та ін .;
  • додаткова функціональність прозорого брандмауера Transparent Access Control, що дозволяє в окремих випадках відмовитися від використання МЕ без якого-небудь зниження ефективності захисту;
  • аналіз GRE тунелів, будь-яких комбінацій інкапсуляції IP v6, IPv4;
  • централізоване управління і моніторинг, проста у використанні і одночасно гнучка в налаштуванні система генерації звітів.

;   додаткова функціональність прозорого брандмауера Transparent Access Control, що дозволяє в окремих випадках відмовитися від використання МЕ без якого-небудь зниження ефективності захисту;   аналіз GRE тунелів, будь-яких комбінацій інкапсуляції IP v6, IPv4;   централізоване управління і моніторинг, проста у використанні і одночасно гнучка в налаштуванні система генерації звітів

Детектор атак АПКШ «Континент» (Код Безпеки) (сертифікований ФСТЕК і ФСБ)

Детектор атак «Континент» призначений для автоматичного виявлення мережевих атак методом динамічного аналізу трафіку стека протоколів TCP / IP. Детектор атак «Континент» реалізує функції системи виявлення вторгнень (СОВ) і забезпечує розбір і аналіз трафіку з метою виявлення комп'ютерних атак, спрямованих на інформаційні ресурси та сервіси.

Основні можливості детектора атак «Континент»:

  • Централізоване управління и контроль Функціонування с помощью центру управління системою «Континент».
  • Поєднання сигнатурної и еврістічніх методів Виявлення атак.
  • Оперативніше реагування на віявлені вторгнення.
  • Оповіщення ЦУС про свою актівності и про події, что вімагають оперативного втручання в режімі реального часу.
  • Виявлення і реєстрація інформації про атаки.
  • Аналіз зібраної інформації.

Аналіз зібраної інформації

IBM Proventia Network Intrusion Prevention System (сертифікований ФСТЕК)

Система запобігання атак Proventia Network IPS призначена для блокування мережевих атак і аудиту роботи мережі. Завдяки запатентованій технології аналізу протоколів рішення IBM Internet Security Systems забезпечує превентивний захист - своєчасний захист корпоративної мережі від широкого спектра загроз. Превентивність захисту заснована на цілодобовому відстеження загроз в центрі забезпечення безпеки GTOC (gtoc.iss.net) і власних дослідженнях і пошуках вразливостей аналітиками і розробниками групи X-Force.

Основні можливості Proventia Network IPS:

  • Розбирає 218 різних протоколів включаючи протоколи рівня додатків і формати даних;
  • Більше 3000 алгоритмів використовується при аналізі трафіку для захисту від вразливостей;
  • Технологія Virtual Patch - захист комп'ютерів поки не встановлені оновлення;
  • Режим пасивного моніторингу і два режими установки на канал;
  • Підтримка декількох зон безпеки одним пристроєм, включаючи зони VLAN;
  • Наявність вбудованих і зовнішніх bypass модулів для безперервної передачі даних через пристрій в разі системної помилки або відключення енергопостачання;
  • Безліч способів реагування на події, включаючи логирование пакетів атаки;
  • Контроль витоків інформації в даних і в офісних документах переданих по пірінгових мереж, службам миттєвих повідомлень, веб поштою і іншими протоколами;
  • Деталізована настройка політик;
  • Запис трафіку атаки;
  • Підтримка користувальницьких сигнатур;
  • Можливість блокування нових загроз на підставі рекомендацій експертів X-Force.

Розбирає 218 різних протоколів включаючи протоколи рівня додатків і формати даних;   Більше 3000 алгоритмів використовується при аналізі трафіку для захисту від вразливостей;   Технологія Virtual Patch - захист комп'ютерів поки не встановлені оновлення;   Режим пасивного моніторингу і два режими установки на канал;   Підтримка декількох зон безпеки одним пристроєм, включаючи зони VLAN;   Наявність вбудованих і зовнішніх bypass модулів для безперервної передачі даних через пристрій в разі системної помилки або відключення енергопостачання;   Безліч способів реагування на події, включаючи логирование пакетів атаки;   Контроль витоків інформації в даних і в офісних документах переданих по пірінгових мереж, службам миттєвих повідомлень, веб поштою і іншими протоколами;   Деталізована настройка політик;   Запис трафіку атаки;   Підтримка користувальницьких сигнатур;   Можливість блокування нових загроз на підставі рекомендацій експертів X-Force

Check Point IPS (сертифікований для міжмережевих екранів і для UTM)

Програмний блейд Check Point IPS надає виняткові можливості запобігання вторгнень на многогігабітних швидкостях. Для досягнення високого рівня мережевого захисту багаторівневий механізм IPS Threat Detection Engine використовує безліч різних методів виявлення та аналізу, в тому числі: використання сигнатур вразливостей і спроб їх використання, виявлення аномалій, аналіз протоколів. Механізм IPS здатний швидко фільтрувати вхідний трафік без необхідності проведення глибокого аналізу трафіку, завдяки чому на наявність атак аналізуються лише відповідні сегменти трафіку, що веде до зниження витрат і підвищення точності.

У рішенні IPS застосовуються високорівневі засоби динамічного управління компанії Check Point, що дозволяє графічно відображати тільки значиму інформацію, легко і зручно ізолювати дані, що вимагають подальших дій з боку адміністратора, а також відповідати нормативним вимогам і стандартам звітності. Крім того, рішення Check Point IPS - як програмний блейд IPS, так і апаратний пристрій Check Point IPS-1 - управляються за допомогою єдиної консолі управління SmartDashboard IPS, що забезпечує уніфіковане управління коштами IPS.

Ключові переваги:

  • Повноцінні засоби захисту IPS - Весь функціонал IPS, вбудований в використовуваний міжмережевий екран;
  • Лідерство в галузі за показниками продуктивності - Многогігабітная продуктивність системи IPS і брандмауера;
  • Динамічне управління - Весь набір засобів управління, включаючи уявлення подій безпеки в режимі реального часу і автоматизований процес захисту;
  • Захист між релізами патчів - Підвищення рівня захисту у випадках затримки випуску патчів.

Повноцінні засоби захисту IPS - Весь функціонал IPS, вбудований в використовуваний міжмережевий екран;   Лідерство в галузі за показниками продуктивності - Многогігабітная продуктивність системи IPS і брандмауера;   Динамічне управління - Весь набір засобів управління, включаючи уявлення подій безпеки в режимі реального часу і автоматизований процес захисту;   Захист між релізами патчів - Підвищення рівня захисту у випадках затримки випуску патчів

Trend Micro Threat Management System (Ця інформація базується на Smart Protection Network)

Trend Micro Threat Management System - рішення для аналізу і контролю мережі, що надає унікальні можливості в області виявлення малопомітних вторгнень, а також автоматизує усунення загроз. Це надійне рішення, яке засноване на Trend Micro Smart Protection Network (наборі модулів для виявлення і аналізу загроз), а також актуальної інформації, отриманої дослідниками загроз з Trend Micro, забезпечує найбільш ефективні і сучасні можливості запобігання загрозам.

Основні переваги:

  • Більш швидке реагування на можливу втрату даних завдяки ранньому виявленню нових і відомих шкідливих програм;
  • Зниження витрат на стримування загроз і усунення шкоди, а також скорочення часу простою завдяки індивідуальному підходу до автоматизованого усунення нових загроз безпеці;
  • Проактивное планування інфраструктури безпеки і управління нею завдяки накопиченим знанням про слабкі місця мереж і основні причини загроз;
  • Економія пропускної здатності і ресурсів мережі завдяки виявленню додатків і служб, які порушують функціонування мережі;
  • Спрощене управління погрозами та інформацією про порушення системи безпеки завдяки зручному централізованого порталу управління;
  • Невтручання роботу існуючих служб завдяки гнучкій системі розгортання поза смуги пропускання.

Більш швидке реагування на можливу втрату даних завдяки ранньому виявленню нових і відомих шкідливих програм;   Зниження витрат на стримування загроз і усунення шкоди, а також скорочення часу простою завдяки індивідуальному підходу до автоматизованого усунення нових загроз безпеці;   Проактивное планування інфраструктури безпеки і управління нею завдяки накопиченим знанням про слабкі місця мереж і основні причини загроз;   Економія пропускної здатності і ресурсів мережі завдяки виявленню додатків і служб, які порушують функціонування мережі;   Спрощене управління погрозами та інформацією про порушення системи безпеки завдяки зручному централізованого порталу управління;   Невтручання роботу існуючих служб завдяки гнучкій системі розгортання поза смуги пропускання

Palo Alto Networks IPS

Компанія Palo Alto Networks ™ є лідером на ринку мережевої безпеки і творцем міжмережевих екранів нового покоління. Повна візуалізація і контроль всіх додатків і контенту в мережі по користувачеві, а не по IP адресою або порту на швидкостях до 20Gbps без втрати продуктивності, є основною перевагою серед конкурентних рішень.

Міжмережеві екрани Palo Alto Networks, засновані на запатентованої технології App-ID ™, точно ідентифікують і контролюють програми - незалежно від порту, протоколу, поведінки або шифрування - і сканують вміст для запобігання загрозам і витоку даних.

Основна ідея міжмережевих екранів нового покоління, в порівнянні з традиційними підходами, в тому числі і UTM рішеннями, полягає в спрощенні інфраструктури мережевої безпеки, усуває необхідність в різних автономних пристроях безпеки, а також забезпечує прискорення трафіку за рахунок однопрохідного сканування. Платформа Palo Alto Networks вирішує широкий спектр вимог мережевої безпеки, необхідних різному типу замовників: від центру обробки даних до корпоративного периметра з умовними логічними межами, що включають в себе філії та мобільні пристрої.

Міжмережеві екрани нового покоління Palo Alto Networks дають можливість ідентифікувати і контролювати додатки, користувачів і контент - а не просто порти, IP адреси і пакети - використовуючи три унікальних технології ідентифікації: App-ID, User-ID і Content-ID. Ці технології ідентифікації дозволяють створювати політики безпеки, що дозволяють конкретні програми, необхідні бізнесу, замість того, щоб слідувати поширеною концепції - «все або нічого», яку пропонують традиційні міжмережеві екрани, засновані на блокування портів.

Ці технології ідентифікації дозволяють створювати політики безпеки, що дозволяють конкретні програми, необхідні бізнесу, замість того, щоб слідувати поширеною концепції - «все або нічого», яку пропонують традиційні міжмережеві екрани, засновані на блокування портів

HP TippingPoint Intrusion Prevention System

TippingPoint - найкраща в галузі система запобігання вторгнень (Intrusion Prevention System, IPS), яка не має собі рівних за такими показниками, як забезпечується рівень безпеки, продуктивність, ступінь готовності і простота використання. TippingPoint - єдина IPS-система, що отримала нагороду Gold Award організації NSS Group і сертифікат Common Criteria - фактично є еталоном в області мережевих засобів для запобігання вторгнень.

Основна технологія в продуктах TippingPoint - механізм придушення загроз Threat Suppression Engine (TSE), реалізований на базі спеціалізованих інтегральних мікросхем (ASIC). Завдяки поєднанню замовних ASIC, об'єднавчої панелі з пропускною спроможністю 20 Гбіт / c і високопродуктивних мережевих процесорів механізм TSE забезпечує повний аналіз потоку пакетів на рівнях 2-7; при цьому затримка проходження потоку через IPS-систему становить менше 150 мкс незалежно від кількості застосованих фільтрів. Таким чином здійснюється безперервна очистка внутрішньомережевого і інтернет-трафіку і безпомилкове виявлення таких загроз, як черв'яки, віруси, троянські програми, змішані загрози, фішинг, загрози через VoIP, атаки DoS і DDoS, обхід систем захисту, "заходять черви" (Walk-in -Worms), нелегальне використання пропускної здатності каналу, перш ніж буде нанесений реальної шкоди. Крім того, архітектура TSE класифікує трафік, що дозволяє надати найвищий пріоритет відповідальним додатків.

TippingPoint забезпечує також поточну захист від загроз, зумовленими нововиявленими уразливими. Аналізуючи такі уразливості для інституту SANS, фахівці компанії TippingPoint, які є основними авторами інформаційного бюлетеня [Email protected] , Який публікує найбільш актуальні відомості про нові та існуючі вразливі місця у системі безпеки мережі, одночасно розробляють фільтри захисту від атак, орієнтованих на дані уразливості, і включають їх до складу чергового випуску Digital Vaccine ( «цифрова вакцина»). Вакцини створюються для нейтралізації не тільки конкретних атак, але і їх можливих варіацій, що забезпечує захист від загроз типу Zero-Day.

«Цифрова вакцина» доставляється замовникам щотижня, а в разі виявлення критичних вразливостей - негайно. Встановлюватися вона може автоматично без участі користувача, що спрощує для користувачів процедуру оновлення системи безпеки.

На сьогоднішній день флагманським продуктом компанії є HP TippingPoin Next-Generation Intrusion Prevention System, що дозволяє найбільш ефективно контролювати всі рівні мережевої активності компанії за рахунок:

  • Власних баз даних Application DV і Reputation DV
  • Прийняття рішення на підставі безлічі факторів, об'єднаних системою HP TippingPoin Security Management System;
  • Легкої інтеграції з іншими сервісами HP DVLabs

Висновки

Ринок IPS-систем можна назвати спокійним. 2013 рік приніс дві важливі угоди, здатні внести серйозні корективи, як в російському, так і в світовому масштабі. Мова йде про протистояння двох «тандемів»: Cisco + Sourcefire проти McAfee + Stonesoft. З одного боку, Cisco утримує стабільне перше місце на ринку за кількістю сертифікованих рішень, а поглинання такої відомої компанії, як Sourcefire має лише зміцнити заслужене перше місце. У той же час, поглинання Stonesoft, по суті, відкриває для McAfee відмінні можливості експансії російського ринку, тому що саме Stonesoft була першою зарубіжною компанією, яка зуміла отримати на свої рішення сертифікат ФСБ (цей сертифікат дає набагато більше можливостей, ніж сертифікат ФСТЕК).
На жаль, вітчизняні виробники поки не радують бізнес, вважаючи за краще розвивати активність в сфері держзамовлення. Такий стан речей навряд чи позитивно позначиться на розвитку цих рішень, так як давно відомо, що без конкуренції продукт розвивається набагато менш ефективно і, в кінцевому рахунку, деградує.
* Наявність сертифікатів перевірялося по Державним реєстром сертифікованих засобів захисту інформації ФСТЕК

Що таке IPS?

Новости