TippingPoint Intrusion Prevention System Обзор продуктовой линейки

TippingPoint – немного истории.... Первый IPS на рынке – 2002 г. Лидер с 2002 г. – Gartner, IDC, Infonetics Лучшее качество фильтров – точность и надежность

Gartner Magic Quadrant для сетевых IPS - 1H09 This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from TippingPoint. * Magic Quadrant Disclaimer The Magic Quadrant is copyrighted April 14, 2009 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartners analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the Leaders quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. Source: Gartner (April 2009) The Magic Quadrant for Network Intrusion Prevention Systems Appliances, 1H09 was authored by Greg Young and John Pescatore April 14, 2009.

Департамент исследований DVLabs: Быстрейшая реакция на угрозы Защита от угроз и проблема нулевого дня (Zero Day) 2008 Уязвимости Microsoft Helps IT stay ahead of the threats Infonetics 2008 IPS Customer Survey Скорость реакции на угрозы -30 days; 121/141 Covered June 26, 20134

86% 84% 82% 53% 31% 78% Широчайший спектр защиты Защита от внешних и внутренних угроз Best-of-breed protection for critical assets 121/141 Covered Malware – worms, viruses, Trojans, etc. Spyware Phishing, Whaling and Spear Phishing Un-patched devices, O/S and applications Web Application Attacks –XSS, PHP Includes and SQL Injection, etc. Unwanted Applications – IM and P2P Policy Settings Protocol Anomaly Checks Microsoft Cisco SAP EMC CA Sun Mozilla Novell Oracle Apple Citrix Adobe IBM And others… Приложения и ОС Защита от угроз June 26, Уязвимости Microsoft Скорость реакции на угрозы

Очищенный Трафик Что такое TippingPoint? Лидирующий производитель решений IPS Сетевая безопасность Безопасность для пользователей, устройств и сетей связи Классификация трафика и обеспечение соответствий политикам ИБ Приложений ОС Сетевые элементы VoIP-инфраструктура Критическая инфраструктура (АСУТП) Специализированный аппаратно-программный комплекс (appliance) Отказоустойчивость Скорости до 10GE Не влияет на сеть Поддержка миллионов сессий Тысячи фильтров Сигнатуры Аномалии Уязвимости Аномалии трафика Трафик + атаки Обновления – Цифровая Вакцина Digital Vaccine ® WormsTrojansVirusesSpywareDoS Автоматизированная защита

IPS задача #1 – Обеспечить доступность защищаемой инфраструктуры Все IPS оборудованы встроенным ZPHA Два блока питания с горячей заменой Обновление ПО без перезагрузки Авто-мониторинг внутренних ресурсов Блока обработки трафика Индивидуальных фильтров Коммутация на уровне 2 OSI % Доступность сети Отказоустойчивость с поддержкой сессий Active-Active или Active-Passive Прозрачность для протоколов маршрутизации HSRP, VRRP, OSPF Полноценная отказоустойчивость Встроенный bypass-модуль ZPHA

Вендоры Network IPS Development (NIPD) Consortium IPS Задача #2 - Производительность Результаты 1 по производительности Самая низкая задержка 100% точность фильтров Диапазон защиты 350 Mbps (398 µsec latency) 100 Mbps (441 µsec latency) 160 Mbps (375 µsec latency) BroadWeb Fortinet ISS TippingPoint 3 Gbps (84 µsec latency) Результаты тестирования сетевых IPS* * 4 из 13 вендоров прошли тестирование.

IPS задача #3 – точность защиты ТерминЗначение Уязвимость Недостаток в системе, используя который нарушается целостность и возникают сбои Эксплойт Программа, позволяющая использовать уязвимость для получения доступа, повышенных привилегий или отказа в обслуживании (DoS) Фильтр Эксплойта Создан для конкретного эксплойта Зависит от возможностей системы Проблемы: Ложные срабатывания, пропущенные атаки и высокий риск для уязвимостей Фильтр Уязвимости Фильтр, блокирующий любые попытки атак на уязвимость, вне зависимости от эксплойта Фильтр уязвимости TippingPoint работает, как виртуальное обновление ПО, точно и полноценно защищая уязвимость Vulnerability Fingerprint False Positive (coarse signature) Exploit A Fingerprint Simple Exploit A Filter Виртуальная заплатка уязвимости Exploit B Fingerprint (missed by coarse Exploit A signature)

Гибкость внедрения от периметра к ядру Внутренние атаки на: –Сетевую инфраструктуру, включая беспроводные сети –Дата-центры Ядро –Основные элементы функционирования сетей Атаки на периметр –Корпоративный периметр –Приложения –Пиринг –Услуги Централизованные политики и управление настройками Сервис Digital Vaccine Атаки выявляются и блокируются непосредственно в сети TippingPoint IPS виртуализирует обновления (patch)

DVLabs – Лидирующая лаборатория разработки фильтров защиты Большой штат исследователей и инженеров 100% фокус на разработке фильтров Лидеры в области защиты информации Digital Vaccine ® группа отслеживает новые векторы угроз и риски Авторы Risk выпусков – приоритизация критических уязвимостей и эксплойтов Наиболее полноценная и точная услуга защиты уязвимостей и ресурсов Фильтры нулевого дня – виртуальная заплатка для ОС/приложений

TippingPoint – партнеры 12June 26, 2013 ArcSight Consume IPS/SMS Events TriGeo Consume IPS/SMS Events netForensics Consume IPS/SMS Events Mazu Quarantine Integration Lancope Quarantine Integration Critical Watch Detect Vulnerabilities Recommend Filters Qualys Detect Vulnerabilities Recommend Filters Niksun Integration of SMS Syslog SIEM Tenable (Nessus) Detect Vulnerabilities Recommend Filters NBAD / ForensicsVA/VM Intellitactics Consume IPS/SMS Events Q1 Labs Consume IPS/SMS Events RSA Consume IPS/SMS Events Novell Consume IPS/SMS Events Symantec Consume IPS/SMS Events

Обзор продуктовой линейки

Новейшая IPS-платформа Дизайн для обновляющихся угроз и новых услуг Новая платформа IPS Автоматизированная, Масштабируемая защита от угроз Проактивность In-line reliability In-line performance (throughput/latency) Filter accuracy Входящий трафик Очищенннный трафик Очищенннный трафик IPS- платформа Security Management System Безопасность Лидер рынка Самая быстрая реакция на угрозы Широкий диапазон Стоимость Быстрота внедрения Автоматизированная защита Легкость внедрения

Платформа IPS Security Management System Vulnerability Filters Worms, Viruses, Trojans DoS / DDoS / SYN Flood P2P Control IM Control Spyware / Adware Phishing VoIP SCADA Web App Filters DLP Filters Vulnerability Filters Worms, Viruses, Trojans DoS / DDoS / SYN Flood P2P Control IM Control Spyware / Adware Phishing VoIP SCADA Web App Filters DLP Filters Платформа IPS Инфраструктура для предоставления новых сервисов 15June 26, 2013 VA / VM Forensics SIEM NBAD Решения Партнеров Reputation DV Customer DV Digital Vaccine Digital Vaccine Web App DV Фильтры IPSНовые сервисы DV FiltersZDI ProgramThreatLinQRep DV DVLabs / Исследования Обновленная структура Extensible Security – модульный дизайн ОС, позволяющий использовать множество: IPS Фильтров Сервисов ИБ Позволяет использовать множество решений партнеров

Продуктовая линейка TippingPoint 10 20Mbps 2 Segments TippingPoint Mbps 4 Segments TippingPoint Mbps 4 Segments TippingPoint 660N 750Mbps 10 Segments TippingPoint 1400N 1.5Gbps 10 Segments TippingPoint 2500N 3Gbps 11 Segments TippingPoint 5100N 5Gbps 11 Segments Core Controller 20Gbps 3x10GbE Security Management System (SMS) Manage Multiple Units Central Dashboard Digital Vaccine Broadest Coverage Evergreen Protection Web App DV and Scanning Web Scan Custom Filters PCI Report ThreatLinQ Real Time Threat Intelligence ПлатформыИсследования Reputation DV IP Reputation DNS Reputation Малый бизнес, удаленные филиалы, провайдеры услуг, периметр Ядро сети, 10GE сегменты, Защита дата- центра и провайдеров Управление, масштабирование Услуги лаборатории DVLabs Reputation DV

Платформа IPS Новые возможности 17June 26, 2013 Новейшая архитектура Новый механизм Threat Suppression Engine DPI – параллельная обработка Выделенный процессор для управления Гибкость внедрения До 11 сегментов 10GE, 1GE медь/оптика ZPHA и DC-питание Новейшая архитектура Новый механизм Threat Suppression Engine DPI – параллельная обработка Выделенный процессор для управления Гибкость внедрения До 11 сегментов 10GE, 1GE медь/оптика ZPHA и DC-питание Гибкое управление политиками Более тонкое управление Политики по CIDR и IP/DNS-репутатции Управление VLAN-маркерами Более безопасное управление Поддержка SNMPv3 Гибкое управление политиками Более тонкое управление Политики по CIDR и IP/DNS-репутатции Управление VLAN-маркерами Более безопасное управление Поддержка SNMPv3 Масштабирование сервисов ИБ Модульная платформа для сервисов Новые фильтры - Web App, DLP Новые сервисы - Reputation DV… Новые возможности интеграции с партнерами Производительность Одновременная обработка большего кол-ва фильтров Одновременное использование сервисов Масштабирование сервисов ИБ Модульная платформа для сервисов Новые фильтры - Web App, DLP Новые сервисы - Reputation DV… Новые возможности интеграции с партнерами Производительность Одновременная обработка большего кол-ва фильтров Одновременное использование сервисов Инспекция протоколов IPv6 & IPv4 одновременная инспекция IPv6 & IPv4 управление Инспекция туннелей 4in6, 6in4, 6in6, IPv6 с VLAN и MPLS-маркерами Mobile IPv4 GRE and GTP (GPRS tunneling) Jumbo Frame Инспекция протоколов IPv6 & IPv4 одновременная инспекция IPv6 & IPv4 управление Инспекция туннелей 4in6, 6in4, 6in6, IPv6 с VLAN и MPLS-маркерами Mobile IPv4 GRE and GTP (GPRS tunneling) Jumbo Frame

Платформа IPS - Серия N Технические данные 18June 26, 2013 TippingPoint 660NTippingPoint 1400NTippingPoint 2500NTippingPoint 5100N 750 Mbps < 80 microseconds 6,500,000 1,200, , Gbps < 80 microseconds 6,500,000 1,200, , Gbps 3 Gbps < 80 microseconds 10,000,000 2,600, , Gbps 5 Gbps < 80 microseconds 10,000,000 2,600, , x 1GbE Copper 10 x 1GbE SFP 10 Total Segments External ZPHA 10 x 1GbE Copper 10 x 1GbE SFP 10 Total Segments External ZPHA 1 x 10GbE XFP Internal ZPHA (10GbE) 10 x 1GbE Copper 10 x 1GbE SFP 10 Total Segments External ZPHA 1 x 10GbE XFP Internal ZPHA (10GbE) 10 x 1GbE Copper 10 x 1GbE SFP 10 Total Segments External ZPHA Интерфейсы Производительность Проп. способность Инспекция Задержка Одновр. сессии Контексты Соединения в сек. AC AC/DC Питание

Возможности защиты в виртуальной среде (VmWare) IPS Platform Входящий/внутренний трафик Очищенный трафик VMVM Трафик Хост-Хост и VM-VM Virtual Controller Virtual IPS Security Management System Очищенный трафик

Безопасность виртуальной среды Лидер решений IPS защищает дата-центры 20June 26, 2013 Возможности IPS-платформа с поддержкой VLAN Virtual Controller (vController) Virtual IPS (vIPS) SMS / VMC Польза Активная блокировка угроз - для виртуальной среды дата-центра Единые политики и контроль - между традиционными и виртуальными системами Полноценный контроль вирт. хостов - Защита VM-VM и от традиционных хостов Максимальная прозрачность и контроль - Интеграция с Reflex VMC Оптимизация защиты и производительность - Опции по локальной инспекции или в IPS Безопасность виртуальных машин - Профили прикреплены к виртуальной машине Доказанное качество цифровой вакцины – Общепризнанный лидер TIPPINGPOINT vCONTROLLER TippingPont vIPS

TippingPoint Core Controller Предотвращение вторжений для 10 GЕ сегментов Использует проверенную технологию IPS Эффективное масштабирование Повышенная отказоустойчивость: Каналы связи Core Controller N+1 IPS Internal Network Core Controller TippingPoint IPS 3 х 10 Gbps 1 Gbps

Платформа операторского уровня Core Controller - Высокий уровень отказоустойчивости N+1 IPS Конфигурация Возможность переключения на резервный IPS в случае отказа Core Controller отказоустойчивость Переключение на резервный CoreController Smart ZPHA Коммутация трафика в случае отказа систем или блоков Fail open or closed Для каждого сегмента 10GbE Оптика SR/LR Обновление ПО без перезагрузки Коммутация трафика во время обновления ПО Коммутация трафика ( L2FB) Авто или в ручном режиме Мониторинг сегментов Триггеры Перегрузка канала Потеря пакетов или задержки Доступность IPS Резервирование блоков питания 1+1 Мониторинг субсистем Питание, температура, процессор, память, модули Solid State Storage Drive Повышенная надежность

Security Management Server (SMS)Централизованное управление для расширенного внедрения Security Management Server – сервер управления Упрощенная установка Масштабирование Отказоустойчивость Управление политиками на уровне организации По сегменту - По портам - По устройствам Виртуализация контекстов Аудит

Reputation DV – репутационная информация Дополнительные возможности для репутационных политик ИБ 24 Запрет запросов к «плохим» DNS-ресурсам Трафик из зловредных источников блокируется Настройка политики по: Репутационной оценке Географической принадлежности Типу – exploit, malware host, Botnet CnC, spam source Reputation DV Поддержка IPv4 & IPv6 Поддержка DNS June 26, IPS Platform Security Management System Internet Access Switch

Глобальная клиентская база 7,000+ глобальных клиентов Все основные вертикали и географические регионы В РФ и СНГ – с 2006 г. Клиентская база в РФ – энергетика, связь, медиа, финансы

Спасибо! Юлий Демурджян