Stonesoft, a McAfee Group Company: новые угрозы – новые решения

Преимущества и функциональные возможности решений

08 апреля 2014г.

Вид атак

Внедрение SQL-кода

Целевой фишинг

DDoS

Физический доступ

Вредоносные программы

XSS

Атака Watering Hole (букв. «водопой»)

Неизвестная

Означает атаку на местный язык или иностранное отделение

Размер круга показывает относительное воздействие инцидента на стоимость для бизнеса

Резюме: • Количество неизвестных и необнаруженных атак

• Уязвимы все отрасли

• Только известные атаки

Источник: Отчет IBM X-Force о тенденциях и рисках за 2013 г.

2

Взломы в мире за последний год

• 800 CIO в США, Великобритании, Германии, Франции, Австрии, Бразилии и Южной Африке

• 22% подтвердили факт проникновения (+6% не уверены)

–  40% из них верят, что причиной взлома были АЕТ –  За последние 12 месяцев затраты от взлома более 1 млн.$ –  17% были уверены, что у них есть защита от АЕТ

• Специализированные решения (для защиты от АЕТ – например, McAfee NGFW) добавляют новый рубеж защиты

– Принцип эшелонированной обороны

Источник: http://www.mcafee.com/us/about/news/2014/q1/20140331-01.aspx

Статистика вокруг АЕТ

• 40% всех ЛПР уверены, что они не способны детектировать АЕТ

–  2/3 признали, что основная сложность – убедить совет директоров в реальности АЕТ

• 1% от 800 млн. известных техник могут детектироваться «рядовым» МЭ

• Средняя стоимость взлома за последние 12 месяцев – 1 млн.$

– Для финансового сектора – в 2 раза больше – порядка 2 млн.$ –  + потери для репутации и бренда

Источник: http://www.mcafee.com/us/about/news/2014/q1/20140331-01.aspx

Знания и стандарты АЕТ

• Менее 50% могут дать корректное определение АЕТ • 17% из «взломанных» были уверены, что у них есть защита от АЕТ

• На самом деле известно более 800 млн. комбинаций • 80% поддерживают стандартизацию решений по защите от АЕТ

Источник: http://www.mcafee.com/us/resources/reports/rp-security-industry-dirty-little-secret.pdf

Определения

6

APT

ВРЕДОНОСНЫЕ ПРОГРАММЫ ПОВЫШЕННОЙ СЛОЖНОСТИ И С ОБХОДОМ ЗАЩИТЫ ДЛЯ АТАК НА УЗЛЕ

Вредоносные программы повышенной сложности и с обходом защиты

СЛОЖНЫЕ СЕТЕВЫЕ МЕТОДЫ ОБХОДА ЗАЩИТЫ (ADVANCED EVASION TECHNIQUES)

AET

ПОСТОЯННАЯ УГРОЗА ПОВЫШЕННОЙ СЛОЖНОСТИ (ADVANCED PERSISTENT THREAT)

Злоумышленник с высокой мотивацией, осуществляющий целенаправленную атаку. Использует множество методов взлома и сложные вредоносные программы, чтобы проникнуть в сеть и остаться незамеченным в течение длительного периода времени. Для повышения доли успешных попыток проникновения часто использует сложные методы обхода защиты».

Любые вредоносные программы, предназначенные для скрытной деятельности на пораженных конечных точках и целевых узлах.»

Особая техника взлома, предназначенная для обхода всех защитных устройств и незаметной доставки вредоносного кода или эксплойта к цели. Сложные методы обхода защиты могут применяться для доставки эксплойтов и вредоносного содержимого как известного, так и неизвестного характера».

Как защищаются от АЕТ

• 61% уверен, что у них есть решение от АЕТ –  50 % - IPS –  57% - IDS – Endpoint

• Ни одно из них не защищает «по умолчанию» от АЕТ!

• 50% ответили, что знают вендора, который предоставляет защиту от АЕТ

–  75% назвали компанию, которая на самом деле защиты не предоставляет!

• В итоге: защищаются в основном от эксплоитов и зловредного ПО (malware)

Источник: http://www.mcafee.com/us/resources/reports/rp-security-industry-dirty-little-secret.pdf

Почему думать надо сегодня?

8

•  Какие результаты показывают ведущие средства сетевой защиты следующего поколения при обнаружении AET?

7 тестовых примеров (червь Conficker) Успешные атаки с использованием AET (не обнаруженные)

Разделение эксплойта на IP-фрагменты 70 % Разделение эксплойта на TCP-фрагменты 90 % Использование «серых» областей протоколов для скрытия эксплойта 90 %

Изменение методов кодирования байтов 40 % Сегментирование и изменение последовательности TCP-пакетов 80 % Сегментирование и изменение последовательности TCP-пакетов + «экстренные» данные 90 % Отправка пакетов TCP со старыми метками времени (PAWS) 80 %

Демонстрация!

Май 5, 2014 9

McAfee Evader

10

ГОТОВАЯ ЛАБОРАТОРИЯ ТЕСТИРОВАНИЯ МЕТОДОВ ПРЕДОТВРАЩЕНИЯ ОБХОДА ЗАЩИТЫ

Загрузить бесплатную версию EVADER

Состав и функциональность решений

11

Архитектура управления и защиты

Май 5, 2014 12

Сервер веб портала

Сервер управления

Сервер сбора событий

Администратор Пользователь| служба поддержки

Веб портал Клиент управления (GUI)

(SMC)

Сторонние устройства

SSL VPN IPS L2 FW NGFW / VPN

Новая эра решений класса Next Generation

Объединенные NGFW…

•  С защитой конечных точек •  С глобальной базой данных по угрозам •  С решениями защиты от проникновений

«продвинутые» NGFWs •  Централизованное управление для больших сетей

•  Высокая доступность •  Защита от техник обхода (АЕТ)

NGFWs первого класса •  инспекция •  Информация о приложениях и пользователях

Традиционные МЭ

время

Полнота

представления

функций

безопасности

2012 2014 2013 2008 1988

Как подружить требования от сети, безопасности и администраторов

«Сетевики» •  Доступность сервиса •  Производительность •  Управляемый QoS •  Избежание простоев сети

«Безопасники» •  Проверенная защита от угроз •  Потоянные обновления и поддержка

•  Отчеты и аналитика •  Высокая точность, подробность

CIO (руководитель) •  Решение должно быть в целом лучшем в своем классе для защиты ключевых активов и напрерывности бизнеса

•  Хорошая цена – соотношение стоимости и вложений

McAfee NGFW удовлетворяет

всем требованиям

Администраторы •  Полноценный (комплексный) взгляд на сеть

•  Простые в использовании утилиты и автоматизация рабочих операций (workflow)

ЦОДы и облачные сервисы

Конфиденциальная информация

Непрерывность бизнеса и приложений

Критичные сетевые объекты

Распределенные и «общие» (MSSP) виды бизнеса

Финансовые транзакции и активы

Соответствие разным требованиям Заказчиков

Отличное решение для распределенных организаций, требующих комплексной безопасности,

масштабируемости и простоты выполнения операций

Что выгодно отличает McAfee NGFW?

Унифицированное

программное ядро

Сильное централизованное управление

Высокая доступность / кластеризация

Защита от техник

обхода (АЕТ)

Концепция «объединенной безопасности»

NEXT GENERATION FIREWALL

FIREWALL LAYER 2 FIREWALL

IPS

Военные

Глобальные

ENTERPRISE

COMMERCIAL

SMB

VPN

ПО Виртуальное решение Устройство

(appliance)

Унифицированное программмное ядро Гибкое решение «с доставкой на дом»

McAfee

Настраиваемые уровни безопасности для удовлетворения требований по внедрению

Высокая производительность даже с функциями инспекции трафика

Унифицированное программное ядро Возможность трансформации между разными ролями

Переключить NGFW между разными режимами

NGFW

IPS

FW/VPN

L2FW

NGFW

Позволяет адаптироваться к динамическим потребностям бизнеса – никаких обновлений лицензий или «железа»

NGFW

IPS

FW/VPN

Унифицированное программное ядро Эффект ТCO

Обычные затраты

McAfee

Изменение ландшафта угроз

Требуется больше производительности

Жесткие требования к безопасности для развития бизнеса

Лицензия по принципу «все в одном» позволяет легко бюджетировать решение и поддерживать «плоский» уровень ТСО

даже в перспективе

Суммарные затраты

Почему управляемость так важна?

20

• Сейчас как никогда ранее

... совокупной стоимости владения средствами защиты составляют эксплуатационные затраты.

И со временем они будут только увеличиваться.

ОБЪЕМ РАБОТЫ РАСТЕТ, А КОЛИЧЕСТВО РЕСУРСОВ

УМЕНЬШАЕТСЯ.

80 %

... инцидентов/нарушений безопасности — это результат влияния человеческого фактора и сложности защитной

инфраструктуры.

СЛОЖНОСТЬ СИСТЕМ РАСТЕТ. ВАША ЗАЩИТА ОСТАНЕТСЯ

НАДЕЖНОЙ, ЕСЛИ ПОЛЬЗОВАТЬСЯ ЕЙ СТАНЕТ ПРОСТО.

4/5

... можно повысить скорость реагирования, если иметь более точные контекстуальные данные и обеспечивать осведомленность о

ситуации. В ЕДИНОМ интерфейсе.

МЫ НЕ ДОЛЖНЫ ОСТАВЛЯТЬ «СЛЕПЫХ ЗОН».

в 4 раза

Одна мощная система управления

21

•  для всех устройств, местоположений и технологий, использующих McAfee Next Generation Firewall

McAfee Security Management Center

(SMC)

МЭ/VPN

Система IPS

Проверка подлинности

МЭ 2 уровня

МЭСП

МЭСП — ОДНО ЕДИНОЕ УСТРОЙСТВО

МЕСТОПОЛОЖЕНИЯ

ДАННЫЕ СТОРОННИХ ЖУРНАЛОВ

ТЕХНОЛОГИИ

— виртуальные

(«облако») физические смешанные

SMC

McAfee Security Management Center

•  Политики безопасности с расширенным контекстом

•  Поддержка MSP/общих служб

•  Визуализация данных и встроенные средства анализа журналов

•  Обнаружение попыток обхода защиты и аномалий

•  Эффективность рабочих процессов •  Иерархия политик и псевдонимов •  Автоматизация настройки и защиты

СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ

ОПТИМИЗАЦИЯ РЕСУРСОВ

ПЕРЕДОВАЯ ЗАЩИТА

22

СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ

Визуализация данных журналов и мощные средства для проведения экспертиз

23

СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ

Обнаружение и оповещение

24

• Отображение местонахождения злоумышленников, предпринявших попытки обхода защиты

Местоположение известно: 82,1 % Частные ресурсы: 15,2 % Неизвестно: 2,7 %

Управление политиками

McAfee

Palo Alto

Check Point

Отличная

Средняя

Плохая

ЭФФЕКТИВНОСТЬ

ПРОДУКТА

Управление VPN Автоматическое обслуживание

Поддержка нескольких

администраторов

Каждый программный модуль управляет своей политикой.

Создание ячеистой VPN занимает 5–10 мин на тоннель.

Не позволяет запланировать удаленную установку новых версий с помощью пользовательского интерфейса.

Ограничивает возможности сопоставления ролей администраторов шаблоном «один к одному».

Сравнение с продуктами конкурентов

ОПТИМИЗАЦИЯ РЕСУРСОВ 25

Спросите у тех, кто знает!

26

ИСПЫТАТЕЛЬНЫЕ ЛАБОРАТОРИИ И АНАЛИТИКИ...

«... NGFW — это хорошее решение для многих задач... обычно для обеспечения централизованного управления и в случаях, когда важно обеспечить защиту от атак, в которых используются средства обхода защиты».

«Решение SMC дополняет систему управления межсетевым экраном, интуитивно-понятно и просто в использовании. Развертывание предварительно заданных политик выполняется просто и эффективно. Установка и настройка заняли очень мало времени».

«... это решение позволяет управлять защитой как виртуальных, так и физических сетей, обеспечивая согласованное применение политик безопасности… Рабочие процессы администрирования оптимизированы, что способствует максимальной эффективности повседневных процессов управления средствами защиты».

КЛИЕНТЫ…

85 %

утверждают, что выбрали McAfee

NGFW из-за SMC

утверждают, что остаются клиентами

McAfee из-за McAfee Security

Management Center

92 %

“Я могу обновить кластер МЭ, не потеряв ни одного пакета.” – пользователь МcAfee NGFW

Высокая доступность Встроенная кластеризация «Active-Active-…»

Узел1

Узел 6 …16

Узел 2 Узел 3

Узел 5 Узел 4

.

Разные платформы и версии ПО

MPLS $$$$

за Мбит/с в месяц

28

ADSL/ кабельное подключение

$ за Мбит/с в месяц

29

400 раз

ДО

Разница в стоимости

30

31

Стала ли технология лучше в 400 раз?

32

Увеличилась ли скорость в 400 раз?

Стала ли защита в 400 раз лучше?

34

Единственное отличие лишь в соглашении об уровне обслуживания.

Но что, если...

99,99 % лишь за часть цены?

... вы можете добиться той же степени доступности на уровне

35

ADSL/ кабельное подключение

MPLS

36

37

McAfee Augmented VPN

38

•  Качество обслуживания

Головной офис

Удаленное отделение

Удаленное отделение

MPLS

ИНТЕРНЕТ

ИНТЕРНЕТ Низкий приоритет

ERP, CRM…

Высокий приоритет Низкое время задержки

2 Мбит/с

2 Мбит/с

4 Мбит/с 39

Mbps

Mbps

Mbps

= up to Mbps

+

Высокая доступность Технология Мulti-Link и VPN-ы нового поколения

+

Эффективные по затратам и безопасные подключения между сетями с конфигурируемой надежностью и емкостью

41

McAfee Augmented VPN

42

• Высокая степень доступности

Головной офис

Удаленное отделение

MPLS !

ИНТЕРНЕТ

ИНТЕРНЕТ Низкий приоритет

Удаленное отделение

Управление взаимодействием с заказчиками

Высокий приоритет Низкое время задержки

43

Стоимость подключения из расчета на одно удаленное отделение

44

• Совокупная стоимость владения за 5 лет

12 000 000 $

9 000 000 $

6 000 000 $

3 000 000 $

1 8 15 22 29 36 43 50 57 64 71 78 85 92 99

46 %

При стоимости канала MPLS со скоростью 4 Мбит/с (1 800 долл./мес.) и стоимости широкополосного доступа в Интернет (33 долл.) решение FW-1035 в центральном отделении и решение FW-315 в удаленных отделениях, включая систему McAfee Security Management Center с 3-летней базовой поддержкой всех продуктов.

Augmented VPN (MPLS + ADSL)

Количество удаленных отделений

MPLS

Стоимость подключения из расчета на одно удаленное отделение

45

• Совокупная стоимость владения за 5 лет

Количество удаленных отделений

12 000 000 $

9 000 000 $

6 000 000 $

3 000 000 $

1 8 15 22 29 36 43 50 57 64 71 78 85 92 99

Augmented VPN 2x ADSL

95 %

При стоимости канала MPLS со скоростью 4 Мбит/с (1 800 долл./мес.) и стоимости широкополосного доступа в Интернет (33 долл.) решение FW-1035 в центральном отделении и решение FW-315 в удаленных отделениях, включая систему McAfee Security Management Center с 3-летней базовой поддержкой всех продуктов.

MPLS

McAfee ePO Управление хостами

McAfee GTI Репутация в облаке

ESM SIEM

Расширенная защита от угроз (решение АТD)

OTP Аутентификация

McAfee Antivirus/GAM

Стратегия «объединенной безопасности» McAfee Security Connected

McAfee NGFW

Комплексное решение по безопасности, объединяющее защиту от угроз на уровне сети и узла, а также управление

SMC & локальное управление

Web Protection

Social Media Protection

Email Protection

Achieve Cyber Readiness

Intelligence-Driven Response

Protect Critical Infrastructures

Counter Stealth Attacks

Exploding Data

Continuous Monitoring

Compliance Reporting

Protect Devices

Reporting

Real Time Visibility

Targeted Attacks

Identity

Protect IP Identity Protection

Enable the Workforce

BYOD/ Mobile

App Protection

OS Protection (Legacy, Win7/8,

Android, Mac)

Cloud

Virtualization

Servers/ Networks

Database Security

Encryption

Identity and Access Control

Data Protection

Data Loss Prevention Next

Gen IPS

Next Gen Firewall

COMPREHENSIVE MALWARE PROTECTION NEXT

GENERATION ENDPOINT

SITUATIONAL AWARENESS

WEB AND IDENTITY

DATA CENTER TRANSFORMATION

NEXT GENERATION

NETWORK

Web Protection

Social Media Protection

Email Protection

Achieve Cyber Readiness

Intelligence-Driven Response

Protect Critical Infrastructures

Counter Stealth Attacks

Exploding Data

Continuous Monitoring

Compliance Reporting

Protect Devices

Reporting

Real Time Visibility

Targeted Attacks

Identity

Protect IP Identity Protection

Enable the Workforce

BYOD/ Mobile

App Protection

OS Protection (Legacy, Win7/8,

Android, Mac)

Cloud

Virtualization

Servers/ Networks

Database Security

Encryption

Identity and Access Control

Data Protection

Data Loss Prevention Next

Gen IPS

Next Gen Firewall

COMPREHENSIVE MALWARE PROTECTION NEXT

GENERATION ENDPOINT

SITUATIONAL AWARENESS

WEB AND IDENTITY

DATA CENTER TRANSFORMATION

NEXT GENERATION

NETWORK

Intel Security – «большая картина» безопасности

ПЕРЕДОВАЯ ЗАЩИТА

•  Пользователи •  Приложения •  Время •  Устройства •  Зоны •  Местоположения •  Уровни доверия при проверке подлинности

•  Журналы аудита •  Ситуации •  Уровень безопасности •  Уязвимости

... и многое другое!

Расширенный контекст для детальной и адаптивной настройки защиты

48

• Расширьте возможности системы и получите больше возможностей для контроля

Защита от угроз

Май 5, 2014 49

• Защита от угроз в режиме реального времени и контроль приложений для ЦОД, операторов связи, организаций

• Инспекция трафика на основе уязвимостей обеспечивает защиту от известных, «zero-day» и зашифрованных атак

• Защита от методов атак на базе техник обхода

• Anti-Botnet для обнаружения ботнет сетей и широкого покрытия по разным семействам ботнет

FW/VPN, IPS, L2FW

•  Переполнение буфера •  Инжектирование кода •  Cross-site scripting (CSS) •  Перебор директорий •  Эскалация привилегий •  SQL инъекция •  Связь с бэкдорами •  Обнаружение сканирований

•  DoS/DDoS •  Обнаружение ботнет

Инспекция потоков

Май 5, 2014 50

• Полная нормализация протоколов –  Гарантирует реконструкцию данных для анализа на всех уровнях стека

• Инспекция по сигнатурам в зависимости от протоколов –  Возможность инспекции уровня приложений для обнаружения эксплоитов в нормализованных потоках данных

• Инспекция по сигнатурам вне зависимости от прикладного протокола

–  Любой TCP или UDP протокол

• Инспекция по регулярным выражениям заданным администратором

–  Стандартный синтаксис регулярных выражений –  Конвертер сигнатур для Snort ®

• Идентификация приложений –  Возможность задания своих настроек для приложений

Internet

Intranet

Data

Services

FW/VPN, IPS, L2FW

Идентификация приложений

Май 5, 2014 51

• Контроль приложения НСД и полоса пропускания

• Идентификация приложений все зависимости от используемого порта

• Привязка приложения к заданному порту

• Журналирование и мониторинг приложений

Идентификация пользователей

Май 5, 2014 52

• Stonesoft User Agent может пересылать информацию об учетной записи из журналов MS AD

–  Политики могут оперировать соединениями на основании имени пользователя или группы

–  Правило не зависит от IP адреса

Технологий McAfee NGFW Anti-Botnet

Май 5, 2014 53

Расшифрование

• ZeroAccess • Sality P2P • Fareit • Nitol • … А

нализ трафика

• Reveton • Palevo • ...

Сигнатуры

• Conficker • SpyEye • Tedroo • Winwebsec • ...

ZeroAccess Sality Conficker Zeus Palevo Reveton SpyEye Fareit Ramnit Vobfus

Эффективная комбинация методов для обеспечения точного обнаружения и исключения ложных срабатываний

Методы технологии Anti-Botnet

Май 5, 2014 54

• Обнаружение путем расшифрования –  Деобфускация или расшифрование канала управления ботнетом –  Обнаруживает известные характеристики канала управления, номер порта, несущий протокол, протокол шифрования и ключевой материал

• Анализ последовательности длины сообщений –  Извлечение информации о длине сообщения из TCP/UDP потока и передача на модуль анализа последовательности длины сообщений для детектирования C&C каналов

• Анализ на соответствие сигнатурам –  Извлечение потоков данных, передаваемых по TCP/UDP анализ их на соответствие сигнатурам бонетов

–  Анализ по сигнатурам комбинируется с расшифрованием и анализом последовательностей длин сообщений

SSL/TLS инспекция (сервера)

Май 5, 2014 55

•  Защита сервера от зашифрованных атак

•  Защита от утечек данных –  Раскрытие конфиденциальной информации

–  Персональные данные

•  Регулятивные требования –  PCI DSS

•  Нерегулятивные драйверы –  Контрактные обязательства –  Защита от возможной плохой репутации

10101010101010 01010101010101

10101010101010 01010101010101

Зараженный клиент

FW/VPN, IPS, L2FW

SSL/TLS инспекция (клиента)

Май 5, 2014 56

•  Защита клиента от зараженных Web сервисов

•  Предотвращение утечек данных –  Раскрытие конфиденциальной информации

–  Кража интеллектуальной собственности

•  Регулятивные требования

•  Фильтрация веб-трафика по категориям

–  Применение веб-фильтров даже для HTTPS

10101010101010 01010101010101

10101010101010 01010101010101

Зараженный сервер

FW/VPN, IPS, L2FW

URL фильтрация

Май 5, 2014 57

• URL фильтрация на основе категорий • Ручные белые списки • Настраиваемые ответные действия для пользователя • Легкая и точная настройка через стандартные правила и политики

FW/VPN, IPS, L2FW

Детектирование сканирований

Май 5, 2014 58

• Обнаружение сканирований хостов и портов

•  ICMP, UDP, TCP (SYN/FIN)

• Поддержка IPv4 и IPv6

• Контролируется через правила доступа

FW/VPN, IPS, L2FW

DoS/DDoS защита

Май 5, 2014 59

• Защита от Syn flood атак • DoS/DDos методы защиты HTTP медленными запросами

• ограничение одновременных соединений

• Автоматический антиспуфинг – правила создаются автоматически (МЭ)

• QoS и TCP SYN ограничения на каждый интерфейс

• Сжатие записей журналов уменьшает количество записей при атаке (без потери информативности)

FW/VPN, IPS, L2FW

Защита от техник обхода Техники обхода – что, почему и когда?

Май 5, 2014 60

• Способ сокрытия атаки • Цель – обойти устройства безопасности, не оставив следов

• Очень сложно отследить –  Неограниченное количество вариантов и комбинаций

• Многие сетевые устройства доказали свою неэффективность

”Attack” McAfee NGFW протестирован на более чем 800 миллионах техник обхода и их комбинациях

Устройство защиты

Уязвимая цель атаки

A c k t a t

Attack A c k t a t

A c k t a t

Защита от техник обхода Принципиальное различие Традиционная архитектура инспекции

ta! t! a!

?

McAfee NGFW полная потоковая нормализация по всему стеку протоколов

Агенты протоколов

ta!

ck!

at!

ck!

attack! !

Эффективность зиждется на полной нормализации трафика перед инспекцией

Что McAfee/StoneSoft делает по-другому?

62

Решения McAfee для защиты сетей Другие продукты для защиты сетей

Видимость всего стека McAfee декодирует и нормализует трафик на всех уровнях протоколов.

Анализ ограниченного набора уровней

Удаление средств обхода защиты в процессе нормализации Процесс нормализации удаляет средства обхода защиты до проверки потока данных.

Проверка отдельных сегментов или «псевдопакетов»

Обнаружение угроз путем анализа потоков данных приложений Для обнаружения эксплойтов в нормализованных потоках данных уровня приложений используются цифровые отпечатки с информацией об уязвимостях.

На основе информации об уязвимостях и эксплойтах, обнаружение шелл-кода, сопоставление баннеров и не более

Внутрифирменные исследования и инструменты Гарантия качества защиты от средств обхода защиты благодаря автоматическому нечеткому тестированию на средства обхода защиты.

Общедоступная информация и сторонние инструменты

Обновления и новые версии Технология противодействия средствам обхода защиты, реализованная в NGFW, обновляется автоматически.

Охват ограниченного количества средств обхода защиты и запаздывающая установка обновлений

63

Возможность удаления средств обхода защиты ограничена или отсутствует. Бо́льшая часть трафика не подвергается очистке от средств обхода защиты и проверяется с использованием ограниченной контекстной информации.

Функции декодирования и проверки протоколов ограничены и не позволяют повысить скорость работы.

Обнаружение и блокирование эксплойтов: если средства обхода защиты не удалены на всех уровнях, то обнаружение эксплойтов ненадежно или невозможно.

Вертикальный контроль

Трафик данных

1 2 3

Уровни протоколов приложений (потоки)

Сегменты уровня TCP, «псевдопакеты»

Пакеты уровня IP

3

2

1

Другие

Что McAfee/StoneSoft делает по-другому?

64

• Процесс нормализации и проверки всего стека на основе горизонтального анализа потока данных

…Область непрерывной проверки…

Нормализация трафика на всех уровнях протоколов как непрерывный процесс

Процесс удаления сложных средств обхода защиты очищает трафик и делает эксплойты видимыми

Обнаружение эксплойтов в потоке данных, полностью очищенном от средств обхода защиты

Оповещения и отчеты об атаках с использованием средств обхода защиты рассылаются через систему управления

Трафик данных

Уровни протоколов приложений (потоки)

Сегменты уровня TCP, «псевдопакеты»

Пакеты уровня IP

1

1

1

2 3 4

1 2 3 4

McAfee NGFW

Что McAfee/StoneSoft делает по-другому?

Защита от техник обхода Насколько сложно сделать технику обхода?

C утилитой Evader получить доступ к “защищенной” сети также легко как: Выбор эксплоита 1

Идентификация цели атаки 2

Cisco Palo Alto Networks Check Point Fortinet Juniper SourceFire Tipping Point

Выбор техники обхода 3

Гибкий портфель устройств McAfee NGFW

Май 5, 2014 66

• Одно устройство для разных задач

• Модульные аппаратные платформы

• Компактные FW/VPN устройства для филиалов (315, 105)

• Усиленный корпус для требовательных инфраструктур

1000 Series

1400 Series

3200 Series

5200 Series

NGFW-MIL-320 2G 20G 60G 120G

SMC (…2000 устройств)

Одно гармонизированное семейство устройств Защита инвестиций за счет модульности и простой

схемы лицензирования

Признание сторонними организациями

Позиционируется VISIONARY в «Enterprise Network Firewall Gartner Magic Quadrant» за 2013г.

Результаты тестирования NSS Labs в 2013г.: RECOMMENDED х 3!

Source: Gartner 2013 Enterprise Network Firewall Gartner Magic Quadrant

ВЕРИФИЦИРОВАН на соответствие качеству защиты, производительности

Заявления независимых экспертов отрасли ИБ

67

Признание отечественными организациями

Первый зарубежный продукт, сертифицированный как самостоятельное СКЗИ (КС1/КС2)

Серийное производство решений: •  МЭ 3-го класса •  4-й уровень НДВ

Российские регуляторы отрасли ИБ

68

Решения StoneSoft, a McAfee Company обеспечивают

Эффективная защита от техник обхода и других угроз

Адаптацию к динамической среде безопасности организации

Операционная эффективность и высокая доступность для непрерывности бизнеса

Целостный подход к сетевой безопасности «подключенная безопасность»

Поддержка всего набора ЛПР

McAfee NGFW способен удовлетворить все потребности

Руководство

C-Level

Сетевые инженеры

Network

Специалисты по ИБ

Security

ü Доступность сервиса

ü производительность

ü Управляемый QoS

ü Никаких простоев

Решение сетевых вопросов

71

Доступность, Масштабируемость, Гибкость –  Высокая доступность и кластеризация до 16 устройств –  Высокая производительность – до 120 Гб/с –  VPN нового поколения – подключение без затрат –  Интегрированные сервисы балансировки нагрузки –  Развертывание в офисах без вмешательства администратора

–  Гибкость вложений: аппаратные комплексы, ПО или виртуальные машины

Network

Решение вопросов ИБ (и сети)

72

Единый информационный центр –  Управление до 2,000 устройств как если бы оно было всего одно

§  Обнаружение сложных ошибок в политиках в «один клик»

§  Возможность множественного управления для распределенных инфраструктур

§  Единая консоль для ситуационного анализа

Network Security

ü Полная картина сети

ü Легкие в использовании утилиты

ü Легкая автоматизация стандартных операций (workflow)

Решение вопросов ИБ

73

Более сильная защита §  Единственное устройство, которые защищает от

800+ миллионов техник обхода §  Увеличение уровня безопасности без потерь производительности

§  Интеграция с репутационным сервисом (Global Threat Intelligence) – 1H 2014

§  Интеграция с лучшим решением в части анализа вредоносного ПО в отрасли (Advanced Threat Defense) – 2H 2014

§  Отлично зарекомендовал себя в тестах NSS Labs

Security

ü Проверенная защита от вредоносного ПО

ü Постоянные обновления безопасности и поддержка

ü Отчеты и аналитика

Ответ на требования бизнеса

74

Решение для потребностей «большого бизнеса» §  Улучшенная операционная эффективность, доступность (uptime)

§  Уменьшенная сложность §  Улучшенный TCO и эффективность вложения инвестиций

§  Улучшенная защита от угроз §  Четкие аудируемые отчеты

C-Level

ü Лучшее решение по совокупности факторов для обеспечения непрерывности бизнеса

ü Необходимые функции для защиты ключевых активов

ü выгодно – хорошее соотношение «качество/цена»