Комплексные средства защиты от угроз. Radware. ООО «ЮниФрэйт»

Agenda Data center security challenges and threats The solution: APSolute attack prevention with DefensePro Introducing DefensePro building blocks Protections set OnDemand switch platform APSolute Vision Emergency Response Team Customer success Summary

Проблемы сетевой безопасности Доступность Как Вы гарантируете, что критично важные приложения будут доступны при атаках? Скорость Как Вы гарантируете что опыта пользователей (администраторов) достаточно для действий при атаках? Безопасность Какова стоимость потери данных или использования Ваших ресурсов? Возможность расширения Как Вы гарантируете будущий рост при минимальных первоначальных расходах? Уменьшение расходов Как использовать все вышеперечисленное при сокращении затрат?

Средства защиты Предотвращение проникновений Сетевые угрозы Угрозы Уязвимость приложений Воровство информации Authentication defeat Распространение вредоносного ПО Аномалии сети Время недоступности приложений Время простоя сети Phishing, Trojans, Spam, Botnets Поведенческий анализ Защита от DoS Reputation Services

Июль Кибер атака в новостях B o t n e t A t t a c k

Июль Кибер атака : карта атаки Internet WEB сервер Bot (зараженная машина) Bot (зараженная машина) Атакующий BOT Command C&C Server GET /… HTTP/1.0 Bot (зараженная машина) Bot (зараженная машина) Легитимный пользователь Характеристики Mydoom.EA Botnet ~50,000 зараженных ПК Распределенная атака: HTTP page flood SYN flood with packet anomalies UDP flood ICMP flood Сервера в США и Южной Корее ~ 6-7 Gbps inbound traffic (>2 Million PPS) Характеристики Mydoom.EA Botnet ~50,000 зараженных ПК Распределенная атака: HTTP page flood SYN flood with packet anomalies UDP flood ICMP flood Сервера в США и Южной Корее ~ 6-7 Gbps inbound traffic (>2 Million PPS)

Июль Кибер атака : Защита Attack VectorSolution Bot malware spreadIPS or Network Behavior Analysis Bot Command & Control messagesIPS Application flooding - HTTP page flood attack Network Behavior Analysis Network flooding - SYN/UDP/ICMP flood attack DoS Protection Ни один существующий инструмент не позволяет защитить сеть и ресурсы одновременно

Решение. ООО «ЮниФрэйт»

Безопасность дата-центров:карта решений IPSDoS Protection NBA Reputation Engine APSolute attack prevention for data centers Internet Access Router Web Servers Application Servers Firewall DoS Protection IPS NBA Anti Trojan / phishing DefensePro IPS DoS Protection NBA Anti Trojan, Anti Phishing

DefensePro IPS DoS Protection NBA Anti Trojan, Anti Phishing Безопасность дата-центров : карта технологий IPS DoS Protection NBA Reputation Engine Signature Detection Rate-based Behavioral Analysis Signature Detection Anti Trojan, Anti Phishing Stateful Inspection SYN Cookies User Behavioral Analysis Application Behavioral Analysis

Introducing DefensePro DefensePro is a real-time attack prevention device that protects your application infrastructure against network and application downtime, application vulnerability exploitation, malware spread, network anomalies and information theft

DefensePro building blocks

DefensePro feature set

IPS: Защита с применением статических сигнатур Защита с помощью сигнатур Leading security research team Защита от известных уязвимостей приложений Еженедельные или по запросу обновление сигнатур Защита доступна против Worms, Bots, Trojans, Phishing, Spyware Web, Mail, SQL, VoIP (SIP), DNS уязвимости Anonymizers, IPv6 атаки Уязвимости Microsoft Аномалии протоколов

Защита от DoS : сигнатуры в реальном времени Автоматическая защита в реальном времени против сетевых DDoS атак: SYN floods TCP floods UDP/ICMP floods Основные достоинства Поддержка доступности важных приложений даже при атаке Блокировка атакующих без ущемления легитимных пользователей Автоматическая защита в реальном времени от флуда без вмешательства оператора

Поведенческий сетевой анализ: Real-time Signatures Protection NBA (Network behavioral analysis) обнаруживает ненормальных пользователей и действия приложений Автоматическая защита с помощью real-time signature: Распространение Zero-minute Malware Злоупотребление ресурсами приложений, такие как: Brute force attacks Web application scanning HTTP page floods SIP Scans SIP Floods Ценность Поддержка доступности приложений даже во время атаки Блокировка атакующего трафика без блокировки легитимного трафика Автоматическая защита в реальном времени от злоупотреблений ресурсами приложений без вмешательства администратора

Секретный ингредиент – Real-time Signatures Internet Входящий трафик Исходящий трафик Behavioral Analysis Abnormal Activity Detection Inspection Module Real-Time Signature Inputs - сети - сервера - пользователи Inputs - сети - сервера - пользователи Real-Time Signature Generation Closed Feedback Внутренняя сеть Оптимизация сигнатур Удаление, когда атака закончена Оптимизация сигнатур Удаление, когда атака закончена DoS & DDoS Угрозы уровня приложений Zero-Minute malware propagation

Стандартные средства защиты: HTTP Flood Example Internet Web сервер HTTP Bot (Зараженный ПК) HTTP Bot (Зараженный ПК) Атакующий BOT Command IRC Server Нелегитимное Использование сервисных ресурсов GET /search.php HTTP/1.0 HTTP Bot (Зараженный ПК) HTTP Bot (Зараженный ПК) Подход со статичными сигнатурами - Небольшие объёмы флуда классифицируются как легитимные соединения - Ограничения на соединения при большом объёме флуда Agnostic to the attacked page Блокировка легитимного трафика Большое количество ложных срабатываний Подход со статичными сигнатурами - Небольшие объёмы флуда классифицируются как легитимные соединения - Ограничения на соединения при большом объёме флуда Agnostic to the attacked page Блокировка легитимного трафика Большое количество ложных срабатываний

Real-Time Signatures: Точный выстрел Пример: HTTP Page Flood Attack Internet Web сервер HTTP Bot (Зараженный хост) HTTP Bot (Зараженный хост) Атакующий BOT Command IRC Server Misuse of Service Resources GET /search.php HTTP/1.0 HTTP Bot (Зараженный хост) HTTP Bot (Зараженный хост) Поведенческое обнаружение (1) Based on probability analysis identify which Web page (or pages) has higher than normal hits Поведенческое обнаружение (1) Based on probability analysis identify which Web page (or pages) has higher than normal hits Поведенческое обнаружение(2) Идентификация ненормальной активности пользователей Для примера: -Нормальный пользователь загружает несколько страниц за одно соединение -Ненормально поведение – загрузка множества страниц Поведенческое обнаружение(2) Идентификация ненормальной активности пользователей Для примера: -Нормальный пользователь загружает несколько страниц за одно соединение -Ненормально поведение – загрузка множества страниц Real Time Signature: Блокирует аномальный доступ к определенной web странице (возможно подвергается атаке) Real Time Signature: Блокирует аномальный доступ к определенной web странице (возможно подвергается атаке)

Real-Time Signatures: сопротивление ложным срабатываниям Internet Public Web Servers Legitimate User GET /search.php HTTP/1.0 Legitimate User Behavioral Pattern Detection (1) Based on probability analysis identify which web page (or pages) has higher than normal hits Behavioral Pattern Detection (1) Based on probability analysis identify which web page (or pages) has higher than normal hits Behavioral Pattern Detection (2) No detection of abnormal user activity Behavioral Pattern Detection (2) No detection of abnormal user activity Attack not detected No real time signature is generated No user is blocked Attack not detected No real time signature is generated No user is blocked

Механизм репутаций: работа в реальном времени Защитите пользователей сети от Финансового мошенничества Кражи информации Known & zero-minute malware spread Наполнение в реальном времи из RSA Anti Fraud Command Center (AFCC) Самый большой в индустрии и наиболее профессиональная команда специалистов Предотвращение: Установка троянов и организации «дыр» удаленного доступа Подмена точек назначение (похищение информации) Phishing attempts

DefensePro feature set

Архитектура спроектирована для предотвращения атак OnDemand Switch Производительность механизма до 12Gbps DoS Mitigation Engine основан на ASIC Предотвращает большие атаки производительность до 10 Million PPS для защиты NBA Protections Предотвращает некорректное использование ресурсов Предотвращает исполнение zero-minute вредоносного ПО Механизм репутаций Anti Trojan & Phishing IPS основан на ASIC String Match Engine обеспечивает глубокий анализ пакетов Предотвращение уязвимостей приложений

Ключевое преимущество: производительность Multi-Gbps Легитимный трафик 10 Million PPS Атакующий трафик Другие системы безопасности Multi-Gbps Легитимный трафик + Атака Attack Атака Attack Traffic DefensePro Устройство обрабатывает атакующий трафик за счет легитимного трафика Атакующий трафик не влияет на легитимный трафик

Предотвращение атак: Модели до 12Gbps DefensePro x412 Поведенческая защита модели: DefensePro 4412 (4Gbps) DefensePro 8412 (8Gbps) DefensePro (12Gbps) DefensePro x412 IPS & Поведенческая защита модели: DefensePro 4412 (4Gbps) DefensePro 8412 (8Gbps) DefensePro x016 IPS & Поведенческая защита модели: DefensePro 1016 (1Gbps) DefensePro 2016 (2Gbps) DefensePro 3016 (3Gbps) License Key Upgrade

Предотвращение атак: Основные преимущества Необходимая производительность Самая высокая производительность в индустрии –до 12Gbps с активными сетевыми настройками Расширение по требованию Производительность увеличивается за счет установки лицензий Не требуется замена «железа» Защита инвестиций Покупайте то, что Вам нужно– зачем платить за то, что Вам сейчас не требуется Pay-as-you-grow - Вы платите только за лицензии No Upgrade Projects Не требуется замена оборудования, нет простоя сети и недоступности сервисов Уменьшение капитальных расходов Простота в эксплуатации и стандартизация Стандартная, унифицированная платформа для всех скоростей Уменьшение инвестиций на обучение, запчасти и ремонт Radware offers low product and maintenance costs, as compared with most competitors. Greg Young & John Pescatore, Gartner, April 2009 Radware offers low product and maintenance costs, as compared with most competitors. Greg Young & John Pescatore, Gartner, April 2009

DefensePro: Monitoring and Reporting

APSolute Vision: Мониторинг и система отчетов Мониторинг в реальном времени Детали активных атак Отчеты за период Гибкие инструментальные панели Разнообразные готовые отчеты Разработка своих форм отчетов

APSolute Vision: Целостное предложение APSolute Vision помогает менеджерам ИТ улучшать бизнес Гибкость Идентификация в реальном времени, установление приоритетов и быстрый ответ на нарушения политик, атаки или инсайдерские действия Быстрота Персональные панели инструментов и отчеты для каждого администратора Эффективность Упрощает управление ЦОДом Увеличивает производительность ИТ подразделения

Аварийная команда ООО «ЮниФрэйт»

ERT – Emergency Response Team Пример: июль 2009 Множество атак типа DDoS в США и Корее Новый уровень атак с точки зрения качества и количества Radware решает обращения заказчиков и помогает заказчикам, которых атакуют Цель ERT Обеспечить быстрый и профессиональный ответ, который позволяет клиентам нейтрализовать атаки и восстанавливать сеть и доступ к атакованным приложениям Доступность Работа в режиме 24x7 Немедленный ответ на обращения Нейтрализация атак DoS/DDoS и вспышек вредоносного ПО

Успешное внедрение ООО «ЮниФрэйт»

Customer Case: Gmarket (1 of 2) About the Customer Gmarket Inc. (Nasdaq: GMKT) is Koreas leading e- commerce marketplace Gmarket derives their revenues from transaction fees on the sale of products on their website and from advertising The Need Web service protection Prevent Web vulnerabilities exploitation Prevent Web cracking (Web Scans & Brute Force) Prevent HTTP Page floods misusing web servers Anti-DoS solution Protect against unexpected high volume DDoS attack which stop all web transaction services Secure Firewalls, L3 switches and web servers from high volume attacks Radwares DefensePro is the only solution that was able to provide us with the most complete intelligent solution to protect our website and our business " – Park Eui-Won, Security Team Leader

Customer Case: Gmarket (2 of 2) The Solution Internet Access Router Web Servers Firewall Switch Multiple DefensePro DoS Protection: Prevent high volume DoS/DDoS attacks Infrastructure Protection: Firewalls, Switches, etc. DoS Protection: Prevent high volume DoS/DDoS attacks Infrastructure Protection: Firewalls, Switches, etc. NBA protections: Prevent HTTP Page Flood attacks Brute Force attacks, Web vulnerability Scans IPS: Prevent Web vulnerabilities exploitations NBA protections: Prevent HTTP Page Flood attacks Brute Force attacks, Web vulnerability Scans IPS: Prevent Web vulnerabilities exploitations

Summary

DefensePro 8412 is rated at 8Gbps and offers good performance coupled with low latency under all normal and extreme traffic conditions. Performance in the high volume detection and mitigation tests was also impeccable across the board, with perfect detection and mitigation at all load levels. DefensePros dedicated DoS Mitigation Engine ensures that it will not become the bottleneck under high volume attacks DefensePro completed all our tests without raising a single false positive alert Brute force attacks, slow port scans, web vulnerability scans and application scanning… Network behavioural analysis technology is used to differentiate the low and slow attack patterns from the legitimate network traffic. DefensePro flawlessly handled these attacks NSS Labs Rating: Recommended Only the top technical products earn a recommend rating from NSS Labs NSS Report 2010 Highlight

DefensePro Differentiators Best security solution for networks and data centers in a single box: Intrusion prevention (IPS) DoS protection Network behavioral analysis (NBA) Reputation Engine service Multi-patents security technology Best performing solution DoS Mitigator Engine - maintain throughput when under attack Best in class unified monitoring and reporting Lowest CapEx Multitude of security tools in a single box Pay-As-You-Grow – scalable platform selection with license upgrade for throughput Lowest OpEx Automatic real-time signatures protection with no need for human intervention Radware offers low product and maintenance cost, as compared with most competitors. Greg Young & John Pescatore, Gartner, April 2009 Radware offers low product and maintenance cost, as compared with most competitors. Greg Young & John Pescatore, Gartner, April 2009

Спасибо за внимание!