IBM Global Services © 2007 IBM Corporation Internet Security Systems, an IBM Company Internet Security Systems, an IBM Company - превентивный подход к защите предприятия Ahead of the threat Денис Батранков системный инженер

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Доброе утро 2

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Было недавно

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Теперь ISS входит в IBM Independent Business Unit внутри IBM Global Technology Services Увеличение штата Активное развитие продуктов Интеграция с продуктами IBM Tivoli Поддержка пользователей на русском языке Услуги ISS через службу IBM Global Services Развитие деловых отношений с партнерами и клиентами ISS 4

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Самые яркие факты из мира безопасности в 2006 году по данным команды X-Force Уязвимости –7247 уязвимостей зарегистрировано в 2006 году –88% из всех уязвимостей 2006 года могли быть использованы удаленно Вредоносный код –Программные закачиватели вредоносного кода доминируют – 22% –Компьютерные черви продолжают остоваться угрозой: Luder и Mytob –Вредоносный код внутри полезного контента становится самым популярным Эксплуатация узявимостей в WEB браузерах –Целевые атаки и атаки при помощи скриптов сильно превалируют –50% из всех вебсайтов на которых находятся эксплойты используют различные техники чтобы скрыть или зашифровать свое тело Спам и фишинг –SPAM вырос на 100% в 2006 –SPAM на базе картинок продолжает увеличиваться как в массе так и в совершенствовании техники обмана антиспам-программ. Содержимое сайтов Web –12% из всех веб сайтов содержат «нежелательный» контент 5

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Неприятная тенденция Исследователи X-Force отмечают увеличение числа атак на сами устройства безопасности ~50 уязвимостей 2006 году было найдено в антивирусных продуктах ~30 уязвимостей 2006 году было найдено в продуктах для бекапа 6

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Продукты с открытым исходным кодом Открытый код безопасен, правильно? НЕПРАВИЛЬНО 7

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Новые атаки Переход от тщеславных вандалов к финансово и политически мотивированным кибер-преступникам –Они более организованны –У них есть большие планы на будущее –Они интеллектуально развиты Направленные черви и направленные трояны –Какой можно сделать вывод когда вредоносный 0-day находится только в одной компании? – Бот сети (Черви Боты) –Вычислительные ресурсы –Источники SPAMа –Подписчики на Spyware/Adware –Распределенные атаки Обход традиционных антивирусов 8

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Zotob/Esbot многомодульный, обновляемые по IRC и полезная нагрузка и способы распространения Червь MS Blaster 1 способ распространения MSRPC_RemoteActive_bo UPnP bo MSRPC bo LSASS bo ASN.1 bo SMB Writes VulnScanner Spam Relay DDoS 9

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Инновации во вредоносном коде… Вредоносному коду не нужны уязвимости 10

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Почему вредоносный код запускается? 11

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company 12 Необходимость превентивной защиты Базы сигнатур требуют постоянного обновления –Производители антивирусов берут примеры сигнатур исследуя новые вирусы –Сигнатура тестируется, затем помещается в базу и распространяется –Вирусам приходится давать имя чтобы индексировать в базе Традиционные сигнатуры не предоставляют немедленную защиту –Среднее время выпуска сигнатуры 10 часов или вообще неопределено –Даже после выпуска сигнатуры пользователи незащищены от атаки на эту же уязвимость Сигнатурные антивирусы неэффективны как единственное решение, но будут продолжать использоваться в составе других средств защиты

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company У IBM есть чем ответить на новые угрозы: Virus Prevention System (VPS) Ни один экземпляр вредоносного кода не требуется Посложнее, но ведет себя так же как и другие вредоносные программы. Никогда не дает ему запуститься Ловится с поличным сразу 13

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Virtual Patch TM В то время как будет расти число уязвимостей растет, будет расти и число необходимых обновлений безопасности (патчей) Многие организации остаются в реактивном режиме, пытаясь определить какой патч установить первым Решение от ISS – на базе проактивных исследований – предоставляет альтернативу текущей методике установки обновлений безопасности Технология ISS Virtual Patch полноценное решение которое защищает от уязвимостей во время когда об уязвимости известно, но приложение еще не пропатчено – таким образом появился термин Виртуальный патч 14

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Установка обновлений уже надоела It takes 30 days to install a single patch at every one of our 110 bases - US Air Force It is a never-ending cycle, trying to keep up with this stuff - Toyota Source: Forbes, May 26,

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Proventia Intrusion Prevention обеспечивает временную защиту или виртуальный патч для известных уязвимостей Защищает еще непропатченные системы Избавляет от необходимости установки срочных патчей Дает время на тестирование патчей Установка патчей во время обычного обслуживания Windows Virtual Patching 16

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Основные преимущества защитной платформы ISS Самый мощный в мире комплекс защитных продуктов, сервисов и интеллектуальных ресурсов для достижения самой лучшей защиты THE WORLDS LEADING ENTERPRISE SECURITY R&D ORGANIZATION GLOBAL SECURITY OPERATIONS CENTER (INFRASTRUCTURE MONITORING) ISS X-FORCE SECURITY R&D ISS SECURITY OPERATIONS ISS PROTECTION PLATFORM END-TO-END PREEMPTIVE SECURITY SOLUTIONS INTEGRATED SECURITY 17

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Защитная платформа IBM ISS Управление всей сетью из одной точки. (Соответсвие требованиям стандартов и правил, отчеты) Возможность расширить спектр оборудования и сервисов Корреляция и интеграция нескоких разных источников данных На базе лучших аппаратных платформ Интеграция нескольких инновационных технологий (например ADS) Круглосуточное управление безопасностью Увеличенное время работы системы без вложения дополнительныз инвестиций и ресурсов Гарантированное управление безопасностью (MPS) 18

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Защитная платформа IBM ISS 19 Управление всей сетью из одной точки. (Соответсвие требованиям стандартов и правил, отчеты) Возможность расширить спектр оборудования и сервисов Корреляция и интеграция нескоких разных источников данных На базе лучших аппаратных платформ Интеграция нескольких инновационных технологий (например ADS) Круглосуточное управление безопасностью Увеличенное время работы системы без вложения дополнительныз инвестиций и ресурсов Гарантированное управление безопасностью (MPS)

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company В итоге Событие: Новый хост появился в сети ADS обнаруживает хост и информирует вас через SiteProtector ES выдает информацию о всех ресурсах и об их уязвимостях посылается администратору с информацией об уязвимости Ресурсы защищаются используя ISS Virtual Patch посылается владельцу системы и создается заявка на исправление уязвимости 20

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Продукты для защиты предприятия (Устройства и агенты) Защита границ сети, устройства Защита внутренней сети, устройства Защита сервера, агент Защита рабочих мест, агент Все основано на Proventia Unified Protection Architecture (UPA) Proventia M-Mx – MX5010, MX3006, MX1004 Устройство все в одном -IDS/IPS, FW, AntiSpam, Web Filter, AntiVirus, VPS, VPN, Anti-spyware Proventia ADS – Аномальная/поведенческа система – Защита сети, схема потоков сети Proventia Server Агент защиты – Windows – Linux RealSecure Server Sensor – Windows – Solaris – AIX – HP-UX Proventia Desktop All-in-One Protection Agent Firewall Virus Prevention System Intrusion Protection VPN Enforcer Buffer Overflow Protection Proventia G-Gx Intrusion Prevention System (IPS) GX3002, GX4002, GX4004, GX5008, GX5108, GX6116, G400, G2000 Устройства и ПО IBM Internet Security Systems Enterprise Scanner Internet Scanner SiteProtector Объединенная консоль для всех продуктов предприятия 21 Proventia Network Mail Превентивная защита и антиспам для вашей корпоративной почты -IPS, сигнатурный антивирус, Virus Prevention System -антиспам модель MS 3004

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Безопасность в компании ждет вашего решения: Безопасность требует много ресурсов… Вы хотите потратить свои лучшие ресурсы на защиту или вы бы направили их на развитие бизнеса, пока IBM Internet Security Systems занимается вашей безопасностью? ($K): $/FTE 1, , , % ($K): $/FTE Access/ID/ Total IT spend Total security spend # FTEs covered Total security spend/FTE Security spend as % of IT spend MSS spend as % of security spend $278M $8.5M 10K $ % 5.9% VPN Patch- ing Security info mgmt Web filtering , Risk mgmtAccessBarriers Other 1, Other Firewall 1, Vulnerability assessment End-point FW Services People Software Hardware Appliances % затрат IDS 1, Spam filtering Anti- virus Anti- spyware Content filtering Источник: опросы клиентов IBM может увеличить эффективность расходов и уменьшить необходимость в собственных IT специалистах занимающихся безопасностью

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company 23 Услуги по управлению безопасностью (MSS)

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company –Управление защитой - эта услуга обеспечивает полную защиту ваших сетей, серверов, рабочих станций, выделяющаяся уникальной в индустрии ИБ возможностью возврата денег в случае пропуска инцидента. –Управление и мониторинг межсетевых экранов эта услуга представляет из себя управление широким спектром межсетевых экранов круглосуточно и без выходных. –Управление IDS/IPS - услуги по мониторингу, детектированию и предотвращению атак в режиме 24/7/365, включая услуги по реагированию на инциденты в сети и на серверах. –Управление уязвимостями – выполняется автоматическое сканирование внутренних и внешних устройств по расписанию на предмет выявления уязвимостей среди известных на данный момент. –Управление событиями безопасности и логами - дает преимущества управления событиями безопасности без капитальных вложений и возникающих перегрузок по ходу работы. –Управление безопасностью и Web – предназначено для проведения комплекса мероприятий для расширения спектра защиты, помощи в защите от вирусов и спама и контроле контента внутри сообщений. Фиксированная цена/объем, позволяет быстро начать работу, SLA на базе времени реагирования Услуги IBM ISS по управлению безопасностью 24

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Экспертный контроль профессионалов за состоянием безопасности вашей сети в круглосуточном режиме и без выходных Достоинства 25

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company SECURITY OPERATIONS CENTER (SOC) – технический центр, осуществляющий удаленный мониторинг, защиту и управление информационной безопасностью клиента в режиме реального времени 26

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company 27 Услуги по управлению информационной безопасностью (MSS и MPS)

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company 28 Что это: Что это: Дает комплексное решение по мониторингу и защите сетей, серверов и рабочих станций. Предлагает эффективный способ гарантированнной защиты в режиме 24/7 Проактивная система мониторинга, установки обновлений приложений и контента. Дает возможность в реальном времени идентифицировать и устранять критические события связанные с безопасностью в сетях, на серверах и рабочих станциях Поддерживает Proventia IPS/IDS и Desktop Автоматическая защита уязвимых систем сразу же работает еще до установки патчей при помощи технологии Virtual Patch. Настраиваемые отчеты, включая подробные технические. Включает полный сервис анализа уязвимостей X-Force (XFTAS) Managed Protection Service MPS

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Защитная платформа 24/7 Включает в себя: 1.Устройство (MX1004/3006/5010) 2.Управление устройством 3.Поддержка и обновления 4.Virus Prevention (сигнатурное и поведенческое) 5.Firewall 6.VPN клиенты и шлюзы 7.Предотвращение атак 8.Anti-Spam 9.Anti-Spyware 10.Фильтрация Web –Месячная фиксированная ставка с контрактом от 24 месяцев 29

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Безопасность своими силами в сравнении с безопасностью 24/7/365 от IBM ISS Своими силами –Значительно более дороже чем услуги IBM –8 часов/день по рабочим дням в лучшем случае Администратор может быть в отпуске, болеть, просто недоступен в какой-то момент Безопасность от IBM 24/7/365 –Экономия от 39 до 54% в сравнении с тратами на своих администраторов безопасности –Круглосуточная защита и без выходных 30

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Пример Monthly fee with quarterly payments option

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company 32 Следующее поколение MSSВыгоды Улучшает состояние управления рисками Получает выгоду от использования умений, опыта, знаний и таланта экспертов по безопасности. Увеличивает доступность системы и производительность Оптимизирует существующие технологии и инвестирование ресурсов Отвечает требованиям руководящих документов Освобождает ИТ персонал для выполнения требующихся бизнесу задач Гарантирует бизнесу защиту от атак Централизует управление Дает доступ к актуальным результатам исследований в области безопасности

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company IBM ISS Professional Security Services Assessment Services Оценка безопасности приложений Оценка информационной безопасности компании «Дружеский взлом» Оценка безопасности беспроводных сетей Анализ соотвествия ISO Анализ политики безопасности Оценка рисков PCI Assessments – Qualified Data Security Company Vertical Market Gap Assessments –HIPAA –Gramm-Leach-Bliley –Sarbanes-Oxley –California Senate Bill No –SCADA Emergency Response Service –подписка –по требованию Forensic Analysis –подписка –на заказ X-Force Threat Analysis Service 36

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Почему IBM Internet Security Systems? 37 ISS Named Best Security Company USA by SC Magazine. February 2006

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Почему IBM ISS? Превентивная защита X-Force Security Research Team Самая известная в мире команда специалистов по безопасности Самая большая и самая надежная на рынке безопасности база, содержащая детальный анализ каждой известной публично уязвимости начиная с 1994 года. Превентивная защита Protocol Analysis Module (PAM) – множество методов детектирования обеспечивает непревзойденную точность. Ожидается патент. Технология VirtualPatch - алгоритм, сфокусированный на уязвимостях защищает от целых категорий угроз Virus Prevention System (VPS) - анализ вирусов по их поведению в виртуальной среде. Запатентованная система. Shellcode Нeuristics (SCH) – поиск эксплойтов внутри неисполняемых файлов (документы Office, JPEG, MPG, QuickTime, ANI и др.) Фильтрация содержимого Web и (60 миллионов обработанных URL в базе) Stateful Flow Reassembly (Peakflow X) 38

© 2007 IBM Corporation IT Security Forum в Казани Internet Security Systems, an IBM Company Почему IBM ISS? Централизованное управление Proventia Management SiteProtector –Не имеющая себе равных масштабируемость и гибкость –Агенты Proventia развертываются, конфигурируются и управляются просто и эффективно –Понятные отчеты, настраиваемые режимы просмотра, корреляция событий позволяет и детально и на достаточно абстрактном уровне оценить состояние защиты сети –Модуль SecurityFusion Непрерывная интеграция с сервисами IBM –Решения ISS комбинируются с решениями Tivoli и в итоге будут обеспечивать политику безопасности, конфигурацию, оценку уязвимостей, управление безопасностью, установку патчей и отчетность Отслеживание и анализ угроз в режиме 24/7 при помощи центра глобальной безопасности ISS (GTOC) 39

IBM Global Services © 2007 IBM Corporation Internet Security Systems, an IBM Company Спасибо. Денис Батранков системный инженер