Эффективная защита от современных DDoS атак Алексей Холмов Systems Engineer, CIS

2 Arbor Networks – кто это? Производитель, которому доверяют защиту своих сетей самые крупные и требовательные бизнесы мира 100% Процент Tier 1 операторов, являющихся клиентами Arbor #1 Защищает крупнейший сети компании и наиболее значимые мировые события. Последнее событие мирового масштаба под защитой Arbor Networks – Олимпийский игры в Сочи Тб/c Трафик, отслеживаемый системой ATLAS в данный момент – Это почти 45% всего Интернет трафика. #1 Позиция Arbor на рынке оборудования защиты от DDoS в сегментах Carrier, Enterprise, Mobile – 65% всего рынка [Infonetics Research декабрь 2013] 12 лет Arbor Networks поставляет инновационные продукты и технологии по обеспечению безопасности и мониторинга сетей $16 Млрд Выручка компании Danaher в 2011 году - головной компании, обеспечивающей финансовую стабильность Arbor

Краткая история компании Arbor Networks Peakflow SP Визуализация, анализ пиринга, обнаружение DOS атак ATLAS – Первая в мире система анализа угроз Infonetics назвал Arbor лидером рынка DDOS, более чем 65% всег Peakflow SP TMS первая распределённая система 10G очистки трафика в индустрии Infonetics назвал Arbor лидером рынка DDOS, более чем 65% всего рынка Peakflow DOS and Trafic Первая в индустрии система обнаружения DOS и аналитика Flow Peakflow SP TMS Arbor представил TMS Gbps Peakflow SP TMS Arbor представил первое распределённое решение 40Gbps TMS Первый ежегодный отчёт Worldwide Infrastructure Security Report Fingerprint Sharing Alliance (FSA) & Active Threat Feed (ATF) Pravail APS Arbor Networks основан на базе университета Мичиган (США)

Cisco выбирает решения Peakflow SP для решения Clean Pipes В 2010 Cisco анонсировала закрытие линеек Cisco Guard и Anomaly Detector. Cisco предложила своим заказчикам использовать решения Arbor Networks Peakflow SP Clean Pipes 2.0 – Cisco оттестировала и проверила решения Arbor. Компания Cisco также использует решения Arbor Networks для защиты своих сетей: monitoring_and_reporting_web.html

Active Threat Level Analysis System (ATLAS) Первая в мире система анализа угроз Peakflow SP ISP Network DARKNET ATLAS SENSOR Peakflow SP ISP Network DARKNET ATLAS SENSOR Peakflow SP ISP Network DARKNET ATLAS SENSOR ATLAS DATA CENTER ATLAS ANALYSIS SYSTEMS Сенсоры систем ATLAS расположены в сети интернет для обнаружения и классификации атак Информация отправляется в ATLAS central repository где объединяется с данными полученными от инсталляция Arbor Peakflow и другими данными Команда ASERT анализирует данные и создаёт Fingerprint Более 300 операторов мира предоставляют данные для анализа

Команда ASERT – исследовательская деятельность компании Honeypots & SPAM Traps ATLAS Security Community 2.2M + samples DDoS Family 20,000+ Вредоносных программ в день Песочница из виртуальных машин запускает вредоносный код (ищет командный центр сети ботнет, отслеживает отклонения и закономерности сетевого поведения кода) Fingerprint Отчёт и PCAP файлы сохраняются в базе Постоянная аналитика 24 часа в сутки для создания базы данных сигнатур

ATLAS and Google Digital attack map Визуализация атак и привязка к новостной ленте

ATLAS – глобальный мониторинг Global View from your Peakflow SP Console «Благодаря глобальному анализу потенциальных угроз в реальном времени мы может принимать более точные решения по сетевому управлению и сетевой безопасности. Так как ATLAS собирает данные с большого количества операторов связи по всему миру, мы получаем не только информацию для оптимизации нашей маркетинговой стратегии, но и информацию для борьбы с ботнетами, атаками на отказ в обслуживание и другой активностью злоумышленников», - Ken Haertling, Chief Security Officer в TELUS Business Transformation Technology Operations

ATLAS для всех решений Arbor Networks Получение уникальной экспертизы с помощью обновлений от системы ATLAS – оборудование моментально начинает блокировать нелегитимный трафик сетей Botnet, Malware и т.п. Обнаружение и детектирование различных атак, обнаруженных экспертами Arbor Networks с помощью данных полученных от системы ATLAS и других источников Знание сетевого поведения вредоносного кода делает решения Arbor уникальными для детектирования сетевых аномалий и правильной борьбы с ними В отчётах системы Arbor будут указаны самые полные детали о произошедших событиях в сети Благодаря ATLAS, решения Arbor Networks обладают наивысшей компетенций для защиты вашей сети Arbor Networks знает о работе Internet больше чем кто- либо еще (за исключением Агентства Национальной Безопасности). Если Вы хотите узнать, как выглядит актуальный профиль трафика и угроз в Интернете, взгляните на сервис ATLAS.»

Наша экспертиза и исследовательская деятельность = это ваша защита! + = Возможно лучшие сигнатуры для вашей защиты. Автоматическое обновление сигнатур трафика для всех наших решений. Мониторинг около 45% всего глобального трафика Более 300 крупнейших операторов мира предоставляют данные для анализа Безопасность это прежде всего экспертиза, откуда экспертиза у вашего поставщика решений? Команда лучших профессионалов мира в области сетевой безопасности на страже вашей сети

Статистика по атакам из Атлас по Украине Всего атак: % - менее чем 1Gbps 13.4% - в диапазоне 1G-5G 6% - более 5G Максимальная атака G длилась 22 минуты 53 секунды

Наши заказчики* Крупнейшие заказчики мира из различных сфер – финансы, промышленность, государственные предприятия, университеты, операторы связи, социальные сети, сети профессиональных контактов, интернет магазины, мировые службы доставки и т.п. Интернет ресурсы, которые вы используете каждый день, защищены оборудованием Arbor Networks Arbor Networks защищает многие события мирового уровня, например Олимпийский игры в Сочи 2014: releases/recent-press-releases/5152-arbor-networks- successfully-protects-2014-sochi-olympics-web-properties * - информация по заказчикам предоставляется по запросу

Некоторые публичные референсные заказчики vodaphone

Решения компании Arbor Networks Компания предлагает комплексный подход для решения следующих задач: Обеспечение бесперебойной работы/доступности сетевых сервисов (решения по защите от атак DDOS) Визуализация сетей компании Детектирование сетевых аномалий Решение для расследования и обнаружения атак

Volumetric Attacks Переполняет каналы связи: Во внутренних сетях цели Между сетями провайдера и атакуемой сетью TCP State-Exhausting Attacks Атака направленная на устройства связи с контролем состояний (load balancers, firewalls, application servers) Нацелена на традиционную структуру сетевой безопасности Application Layer Attacks Малозаметные атаки на приложения Нацелены на определённые уязвимости приложений ISP 2 ISP 1ISP n ISP Firewall IPS Load Balancer Серверы приложений Анатомия DDoS-атак. Что такое DDOS? Как и какие части сетевой инфраструктуры атакуют?

Решение для защиты - Pravail APS Проверенная защита от DDoS атак на площадке клиента Облачная сигнализация Остановка объемных атак на канал связи с помощью оператора или Arbor Cloud Простая инсталляция Автообновление сигнатур останавливает актуальные угрозы Блокировка сложных DDoS Блокировка сложных атак: на канал связи, на исчерпание таблицы сессий и на приложения Load Balancer ЦОД IPS ПЕРЕГРУЗКА КАНАЛОВ ПЕРЕПОЛНЕНИЕ СЕССИЙ ОТКАЗ СЕРВИСА Сервера и приложения Firewall Pravail APS Встроенный модуль SSL в Pravail APS для остановки атак на сервисы с использованием шифрования

Эшелонированная защита от Arbor Networks Cloud Signaling – моментальное вовлечение оборудования вышестоящего уровня в случае Volumetric атаки Cloud Signaling Защита инфраструктуры компании от атак уровня приложений, а также от Volumetric до установленного порога, в том числе и для митигации атак с использованием SSL Arbor Cloud Ряд ведущих операторов Украины рассматривает решения: Воля, Интертелеком, Вега, Укртелеком, Астелит, Датагруп

Простая установка и мгновенная защита Простая и быстрая установка Защита от DDoS-атак на HTTP/DNS/VoIP сразу после установки Разные варианты установки – «в разрыв», в режиме мониторинга Цель APS – немедленная защита от DDoS-атак с полным контролем

Модели Pravail APS APS 2104 До 2 Gbps APS 2105 До 4 Gbps APS 2107 До 8 Gbps APS 2108 До 10 Gbps Замена лицензии Только для модернизации Замена лицензии APS 2002 До 500 Mbps APS 2003 До 1 Gbps APS 2004 До 2 Gbps Варианты интерфейсов защиты: 8 x 10/100/1000 (медь GE) 8 x GE Fiber (SX, LX) Варианты интерфейсов защиты: 12 x 10/100/1000 (медьGE) 12 x GE Fiber (SX, LX) 4 x 10/100/ x GE SX + 4x GE LR 4 x 10G Interfaces (SR, LR) Серия 2000 Серия 2100

Приятные мелочи Интерфейс и документация на русском языке Разрешение web-роботам поисковиков индексировать сайт под защитой

Современная инфраструктура Многие компании создают узлы связи: Бесперебойное электропитание Автоматическая система пожаротушения Высоклассные и отказоустойчивые системы охлаждения Современная высокопроизводительная сетевая инфраструктура Превосходное серверное оборудование Получение сертификаций на обеспечение доступности, например Uptime Institute Tier III/Tier II/Tier I Но поможет ли это при: Малозаметных атаках на приложения (Application attack)? Атаках на инфраструктуру сетевой безопасности? При атака типа переполнения канала связи? Сможете ли вы понять кто вас атаковал и когда были атаки на протяжении времени? Можете ли вы точно сказать - взламывали ли вас или нет?

Где можно посмотреть наши решения? О DDOS атаках –The Evolution of DDoS Attacks –Различные материалы о DDOS –Записанные вебинары, в том числе о решениях: library/enterprise-webinarshttp:// library/enterprise-webinars Система Atlas –DDoS Attack Protection: Arbor Network's ATLAS –Atlas Dashboard О нашей команде Asert –Arbor Networks: Researching DDoS and Advanced Threats –Worldwide Infrastructure Security report –DDoS and the Evolving Advanced Threat Landscape –Asert blog Решения Arbor Networks (Peakflow, Pravail APS, Pravail NSI, Pravail SA, Arbor Cloud) –Comprehensive DDoS Protection Solutions –Video about Pravail family solutions: kbMOSsQKPJGoc1V75fnwhttp:// kbMOSsQKPJGoc1V75fnw –Pravail NSI Product Tour –Cloud-Based DDoS Protection from Arbor Networks –Pravail SA (Packetloop)

Спасибо за внимание! Arbor Networks знает о работе Internet больше чем кто- либо еще (за исключением Агентства Национальной Безопасности). Если Вы хотите узнать, как выглядит актуальный профиль трафика и угроз в Интернете, взгляните на сервис ATLAS.» Алексей Холмов Systems Engineer, CIS