Embed Size (px)
DESCRIPTION
Презентация с семинара "Stonesoft, a McAfee Group Company: новые угрозы – новые решения" 8 апреля 2014 года. Подробнее: http://www.ngsec.ru/events/3292/
Citation preview
Преимущества и функциональные возможности решений
08 апреля 2014г.
Вид атак
Внедрение SQL-кода
Целевой фишинг
DDoS
Физический доступ
Вредоносные программы
XSS
Атака Watering Hole (букв. «водопой»)
Неизвестная
Означает атаку на местный язык или иностранное отделение
Размер круга показывает относительное воздействие инцидента на стоимость для бизнеса
Резюме: • Количество неизвестных и необнаруженных атак
• Уязвимы все отрасли
• Только известные атаки
Источник: Отчет IBM X-Force о тенденциях и рисках за 2013 г.
2
Взломы в мире за последний год
• 800 CIO в США, Великобритании, Германии, Франции, Австрии, Бразилии и Южной Африке
• 22% подтвердили факт проникновения (+6% не уверены)
– 40% из них верят, что причиной взлома были АЕТ – За последние 12 месяцев затраты от взлома более 1 млн.$ – 17% были уверены, что у них есть защита от АЕТ
• Специализированные решения (для защиты от АЕТ – например, McAfee NGFW) добавляют новый рубеж защиты
– Принцип эшелонированной обороны
Источник: http://www.mcafee.com/us/about/news/2014/q1/20140331-01.aspx
Статистика вокруг АЕТ
• 40% всех ЛПР уверены, что они не способны детектировать АЕТ
– 2/3 признали, что основная сложность – убедить совет директоров в реальности АЕТ
• 1% от 800 млн. известных техник могут детектироваться «рядовым» МЭ
• Средняя стоимость взлома за последние 12 месяцев – 1 млн.$
– Для финансового сектора – в 2 раза больше – порядка 2 млн.$ – + потери для репутации и бренда
Источник: http://www.mcafee.com/us/about/news/2014/q1/20140331-01.aspx
Знания и стандарты АЕТ
• Менее 50% могут дать корректное определение АЕТ • 17% из «взломанных» были уверены, что у них есть защита от АЕТ
• На самом деле известно более 800 млн. комбинаций • 80% поддерживают стандартизацию решений по защите от АЕТ
Источник: http://www.mcafee.com/us/resources/reports/rp-security-industry-dirty-little-secret.pdf
Определения
6
APT
ВРЕДОНОСНЫЕ ПРОГРАММЫ ПОВЫШЕННОЙ СЛОЖНОСТИ И С ОБХОДОМ ЗАЩИТЫ ДЛЯ АТАК НА УЗЛЕ
Вредоносные программы повышенной сложности и с обходом защиты
СЛОЖНЫЕ СЕТЕВЫЕ МЕТОДЫ ОБХОДА ЗАЩИТЫ (ADVANCED EVASION TECHNIQUES)
AET
ПОСТОЯННАЯ УГРОЗА ПОВЫШЕННОЙ СЛОЖНОСТИ (ADVANCED PERSISTENT THREAT)
Злоумышленник с высокой мотивацией, осуществляющий целенаправленную атаку. Использует множество методов взлома и сложные вредоносные программы, чтобы проникнуть в сеть и остаться незамеченным в течение длительного периода времени. Для повышения доли успешных попыток проникновения часто использует сложные методы обхода защиты».
Любые вредоносные программы, предназначенные для скрытной деятельности на пораженных конечных точках и целевых узлах.»
Особая техника взлома, предназначенная для обхода всех защитных устройств и незаметной доставки вредоносного кода или эксплойта к цели. Сложные методы обхода защиты могут применяться для доставки эксплойтов и вредоносного содержимого как известного, так и неизвестного характера».
Как защищаются от АЕТ
• 61% уверен, что у них есть решение от АЕТ – 50 % - IPS – 57% - IDS – Endpoint
• Ни одно из них не защищает «по умолчанию» от АЕТ!
• 50% ответили, что знают вендора, который предоставляет защиту от АЕТ
– 75% назвали компанию, которая на самом деле защиты не предоставляет!
• В итоге: защищаются в основном от эксплоитов и зловредного ПО (malware)
Источник: http://www.mcafee.com/us/resources/reports/rp-security-industry-dirty-little-secret.pdf
Почему думать надо сегодня?
8
• Какие результаты показывают ведущие средства сетевой защиты следующего поколения при обнаружении AET?
7 тестовых примеров (червь Conficker) Успешные атаки с использованием AET (не обнаруженные)
Разделение эксплойта на IP-фрагменты 70 % Разделение эксплойта на TCP-фрагменты 90 % Использование «серых» областей протоколов для скрытия эксплойта 90 %
Изменение методов кодирования байтов 40 % Сегментирование и изменение последовательности TCP-пакетов 80 % Сегментирование и изменение последовательности TCP-пакетов + «экстренные» данные 90 % Отправка пакетов TCP со старыми метками времени (PAWS) 80 %
Демонстрация!
Май 5, 2014 9
McAfee Evader
10
ГОТОВАЯ ЛАБОРАТОРИЯ ТЕСТИРОВАНИЯ МЕТОДОВ ПРЕДОТВРАЩЕНИЯ ОБХОДА ЗАЩИТЫ
Загрузить бесплатную версию EVADER
Состав и функциональность решений
11
Архитектура управления и защиты
Май 5, 2014 12
Сервер веб портала
Сервер управления
Сервер сбора событий
Администратор Пользователь| служба поддержки
Веб портал Клиент управления (GUI)
(SMC)
Сторонние устройства
SSL VPN IPS L2 FW NGFW / VPN
Новая эра решений класса Next Generation
Объединенные NGFW…
• С защитой конечных точек • С глобальной базой данных по угрозам • С решениями защиты от проникновений
«продвинутые» NGFWs • Централизованное управление для больших сетей
• Высокая доступность • Защита от техник обхода (АЕТ)
NGFWs первого класса • инспекция • Информация о приложениях и пользователях
Традиционные МЭ
время
Полнота
представления
функций
безопасности
2012 2014 2013 2008 1988
Как подружить требования от сети, безопасности и администраторов
«Сетевики» • Доступность сервиса • Производительность • Управляемый QoS • Избежание простоев сети
«Безопасники» • Проверенная защита от угроз • Потоянные обновления и поддержка
• Отчеты и аналитика • Высокая точность, подробность
CIO (руководитель) • Решение должно быть в целом лучшем в своем классе для защиты ключевых активов и напрерывности бизнеса
• Хорошая цена – соотношение стоимости и вложений
McAfee NGFW удовлетворяет
всем требованиям
Администраторы • Полноценный (комплексный) взгляд на сеть
• Простые в использовании утилиты и автоматизация рабочих операций (workflow)
ЦОДы и облачные сервисы
Конфиденциальная информация
Непрерывность бизнеса и приложений
Критичные сетевые объекты
Распределенные и «общие» (MSSP) виды бизнеса
Финансовые транзакции и активы
Соответствие разным требованиям Заказчиков
Отличное решение для распределенных организаций, требующих комплексной безопасности,
масштабируемости и простоты выполнения операций
Что выгодно отличает McAfee NGFW?
Унифицированное
программное ядро
Сильное централизованное управление
Высокая доступность / кластеризация
Защита от техник
обхода (АЕТ)
Концепция «объединенной безопасности»
NEXT GENERATION FIREWALL
FIREWALL LAYER 2 FIREWALL
IPS
Военные
Глобальные
ENTERPRISE
COMMERCIAL
SMB
VPN
ПО Виртуальное решение Устройство
(appliance)
Унифицированное программмное ядро Гибкое решение «с доставкой на дом»
McAfee
Настраиваемые уровни безопасности для удовлетворения требований по внедрению
Высокая производительность даже с функциями инспекции трафика
Унифицированное программное ядро Возможность трансформации между разными ролями
Переключить NGFW между разными режимами
NGFW
IPS
FW/VPN
L2FW
NGFW
Позволяет адаптироваться к динамическим потребностям бизнеса – никаких обновлений лицензий или «железа»
NGFW
IPS
FW/VPN
Унифицированное программное ядро Эффект ТCO
Обычные затраты
McAfee
Изменение ландшафта угроз
Требуется больше производительности
Жесткие требования к безопасности для развития бизнеса
Лицензия по принципу «все в одном» позволяет легко бюджетировать решение и поддерживать «плоский» уровень ТСО
даже в перспективе
Суммарные затраты
Почему управляемость так важна?
20
• Сейчас как никогда ранее
... совокупной стоимости владения средствами защиты составляют эксплуатационные затраты.
И со временем они будут только увеличиваться.
ОБЪЕМ РАБОТЫ РАСТЕТ, А КОЛИЧЕСТВО РЕСУРСОВ
УМЕНЬШАЕТСЯ.
80 %
... инцидентов/нарушений безопасности — это результат влияния человеческого фактора и сложности защитной
инфраструктуры.
СЛОЖНОСТЬ СИСТЕМ РАСТЕТ. ВАША ЗАЩИТА ОСТАНЕТСЯ
НАДЕЖНОЙ, ЕСЛИ ПОЛЬЗОВАТЬСЯ ЕЙ СТАНЕТ ПРОСТО.
4/5
... можно повысить скорость реагирования, если иметь более точные контекстуальные данные и обеспечивать осведомленность о
ситуации. В ЕДИНОМ интерфейсе.
МЫ НЕ ДОЛЖНЫ ОСТАВЛЯТЬ «СЛЕПЫХ ЗОН».
в 4 раза
Одна мощная система управления
21
• для всех устройств, местоположений и технологий, использующих McAfee Next Generation Firewall
McAfee Security Management Center
(SMC)
МЭ/VPN
Система IPS
Проверка подлинности
МЭ 2 уровня
МЭСП
МЭСП — ОДНО ЕДИНОЕ УСТРОЙСТВО
МЕСТОПОЛОЖЕНИЯ
ДАННЫЕ СТОРОННИХ ЖУРНАЛОВ
ТЕХНОЛОГИИ
— виртуальные
(«облако») физические смешанные
SMC
McAfee Security Management Center
• Политики безопасности с расширенным контекстом
• Поддержка MSP/общих служб
• Визуализация данных и встроенные средства анализа журналов
• Обнаружение попыток обхода защиты и аномалий
• Эффективность рабочих процессов • Иерархия политик и псевдонимов • Автоматизация настройки и защиты
СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ
ОПТИМИЗАЦИЯ РЕСУРСОВ
ПЕРЕДОВАЯ ЗАЩИТА
22
СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ
Визуализация данных журналов и мощные средства для проведения экспертиз
23
СИТУАЦИОННАЯ ОСВЕДОМЛЕННОСТЬ
Обнаружение и оповещение
24
• Отображение местонахождения злоумышленников, предпринявших попытки обхода защиты
Местоположение известно: 82,1 % Частные ресурсы: 15,2 % Неизвестно: 2,7 %
Управление политиками
McAfee
Palo Alto
Check Point
Отличная
Средняя
Плохая
ЭФФЕКТИВНОСТЬ
ПРОДУКТА
Управление VPN Автоматическое обслуживание
Поддержка нескольких
администраторов
Каждый программный модуль управляет своей политикой.
Создание ячеистой VPN занимает 5–10 мин на тоннель.
Не позволяет запланировать удаленную установку новых версий с помощью пользовательского интерфейса.
Ограничивает возможности сопоставления ролей администраторов шаблоном «один к одному».
Сравнение с продуктами конкурентов
ОПТИМИЗАЦИЯ РЕСУРСОВ 25
Спросите у тех, кто знает!
26
ИСПЫТАТЕЛЬНЫЕ ЛАБОРАТОРИИ И АНАЛИТИКИ...
«... NGFW — это хорошее решение для многих задач... обычно для обеспечения централизованного управления и в случаях, когда важно обеспечить защиту от атак, в которых используются средства обхода защиты».
«Решение SMC дополняет систему управления межсетевым экраном, интуитивно-понятно и просто в использовании. Развертывание предварительно заданных политик выполняется просто и эффективно. Установка и настройка заняли очень мало времени».
«... это решение позволяет управлять защитой как виртуальных, так и физических сетей, обеспечивая согласованное применение политик безопасности… Рабочие процессы администрирования оптимизированы, что способствует максимальной эффективности повседневных процессов управления средствами защиты».
КЛИЕНТЫ…
85 %
утверждают, что выбрали McAfee
NGFW из-за SMC
утверждают, что остаются клиентами
McAfee из-за McAfee Security
Management Center
92 %
“Я могу обновить кластер МЭ, не потеряв ни одного пакета.” – пользователь МcAfee NGFW
Высокая доступность Встроенная кластеризация «Active-Active-…»
Узел1
Узел 6 …16
Узел 2 Узел 3
Узел 5 Узел 4
.
Разные платформы и версии ПО
MPLS $$$$
за Мбит/с в месяц
28
ADSL/ кабельное подключение
$ за Мбит/с в месяц
29
400 раз
ДО
Разница в стоимости
30
31
Стала ли технология лучше в 400 раз?
32
Увеличилась ли скорость в 400 раз?
Стала ли защита в 400 раз лучше?
34
Единственное отличие лишь в соглашении об уровне обслуживания.
Но что, если...
99,99 % лишь за часть цены?
... вы можете добиться той же степени доступности на уровне
35
ADSL/ кабельное подключение
MPLS
36
37
McAfee Augmented VPN
38
• Качество обслуживания
Головной офис
Удаленное отделение
Удаленное отделение
MPLS
ИНТЕРНЕТ
ИНТЕРНЕТ Низкий приоритет
ERP, CRM…
Высокий приоритет Низкое время задержки
2 Мбит/с
2 Мбит/с
4 Мбит/с 39
Mbps
Mbps
Mbps
= up to Mbps
+
Высокая доступность Технология Мulti-Link и VPN-ы нового поколения
+
Эффективные по затратам и безопасные подключения между сетями с конфигурируемой надежностью и емкостью
41
McAfee Augmented VPN
42
• Высокая степень доступности
Головной офис
Удаленное отделение
MPLS !
ИНТЕРНЕТ
ИНТЕРНЕТ Низкий приоритет
Удаленное отделение
Управление взаимодействием с заказчиками
Высокий приоритет Низкое время задержки
43
Стоимость подключения из расчета на одно удаленное отделение
44
• Совокупная стоимость владения за 5 лет
12 000 000 $
9 000 000 $
6 000 000 $
3 000 000 $
1 8 15 22 29 36 43 50 57 64 71 78 85 92 99
46 %
При стоимости канала MPLS со скоростью 4 Мбит/с (1 800 долл./мес.) и стоимости широкополосного доступа в Интернет (33 долл.) решение FW-1035 в центральном отделении и решение FW-315 в удаленных отделениях, включая систему McAfee Security Management Center с 3-летней базовой поддержкой всех продуктов.
Augmented VPN (MPLS + ADSL)
Количество удаленных отделений
MPLS
Стоимость подключения из расчета на одно удаленное отделение
45
• Совокупная стоимость владения за 5 лет
Количество удаленных отделений
12 000 000 $
9 000 000 $
6 000 000 $
3 000 000 $
1 8 15 22 29 36 43 50 57 64 71 78 85 92 99
Augmented VPN 2x ADSL
95 %
При стоимости канала MPLS со скоростью 4 Мбит/с (1 800 долл./мес.) и стоимости широкополосного доступа в Интернет (33 долл.) решение FW-1035 в центральном отделении и решение FW-315 в удаленных отделениях, включая систему McAfee Security Management Center с 3-летней базовой поддержкой всех продуктов.
MPLS
McAfee ePO Управление хостами
McAfee GTI Репутация в облаке
ESM SIEM
Расширенная защита от угроз (решение АТD)
OTP Аутентификация
McAfee Antivirus/GAM
Стратегия «объединенной безопасности» McAfee Security Connected
McAfee NGFW
Комплексное решение по безопасности, объединяющее защиту от угроз на уровне сети и узла, а также управление
SMC & локальное управление
Web Protection
Social Media Protection
Email Protection
Achieve Cyber Readiness
Intelligence-Driven Response
Protect Critical Infrastructures
Counter Stealth Attacks
Exploding Data
Continuous Monitoring
Compliance Reporting
Protect Devices
Reporting
Real Time Visibility
Targeted Attacks
Identity
Protect IP Identity Protection
Enable the Workforce
BYOD/ Mobile
App Protection
OS Protection (Legacy, Win7/8,
Android, Mac)
Cloud
Virtualization
Servers/ Networks
Database Security
Encryption
Identity and Access Control
Data Protection
Data Loss Prevention Next
Gen IPS
Next Gen Firewall
COMPREHENSIVE MALWARE PROTECTION NEXT
GENERATION ENDPOINT
SITUATIONAL AWARENESS
WEB AND IDENTITY
DATA CENTER TRANSFORMATION
NEXT GENERATION
NETWORK
Web Protection
Social Media Protection
Email Protection
Achieve Cyber Readiness
Intelligence-Driven Response
Protect Critical Infrastructures
Counter Stealth Attacks
Exploding Data
Continuous Monitoring
Compliance Reporting
Protect Devices
Reporting
Real Time Visibility
Targeted Attacks
Identity
Protect IP Identity Protection
Enable the Workforce
BYOD/ Mobile
App Protection
OS Protection (Legacy, Win7/8,
Android, Mac)
Cloud
Virtualization
Servers/ Networks
Database Security
Encryption
Identity and Access Control
Data Protection
Data Loss Prevention Next
Gen IPS
Next Gen Firewall
COMPREHENSIVE MALWARE PROTECTION NEXT
GENERATION ENDPOINT
SITUATIONAL AWARENESS
WEB AND IDENTITY
DATA CENTER TRANSFORMATION
NEXT GENERATION
NETWORK
Intel Security – «большая картина» безопасности
ПЕРЕДОВАЯ ЗАЩИТА
• Пользователи • Приложения • Время • Устройства • Зоны • Местоположения • Уровни доверия при проверке подлинности
• Журналы аудита • Ситуации • Уровень безопасности • Уязвимости
... и многое другое!
Расширенный контекст для детальной и адаптивной настройки защиты
48
• Расширьте возможности системы и получите больше возможностей для контроля
Защита от угроз
Май 5, 2014 49
• Защита от угроз в режиме реального времени и контроль приложений для ЦОД, операторов связи, организаций
• Инспекция трафика на основе уязвимостей обеспечивает защиту от известных, «zero-day» и зашифрованных атак
• Защита от методов атак на базе техник обхода
• Anti-Botnet для обнаружения ботнет сетей и широкого покрытия по разным семействам ботнет
FW/VPN, IPS, L2FW
• Переполнение буфера • Инжектирование кода • Cross-site scripting (CSS) • Перебор директорий • Эскалация привилегий • SQL инъекция • Связь с бэкдорами • Обнаружение сканирований
• DoS/DDoS • Обнаружение ботнет
Инспекция потоков
Май 5, 2014 50
• Полная нормализация протоколов – Гарантирует реконструкцию данных для анализа на всех уровнях стека
• Инспекция по сигнатурам в зависимости от протоколов – Возможность инспекции уровня приложений для обнаружения эксплоитов в нормализованных потоках данных
• Инспекция по сигнатурам вне зависимости от прикладного протокола
– Любой TCP или UDP протокол
• Инспекция по регулярным выражениям заданным администратором
– Стандартный синтаксис регулярных выражений – Конвертер сигнатур для Snort ®
• Идентификация приложений – Возможность задания своих настроек для приложений
Internet
Intranet
Data
Services
FW/VPN, IPS, L2FW
Идентификация приложений
Май 5, 2014 51
• Контроль приложения НСД и полоса пропускания
• Идентификация приложений все зависимости от используемого порта
• Привязка приложения к заданному порту
• Журналирование и мониторинг приложений
Идентификация пользователей
Май 5, 2014 52
• Stonesoft User Agent может пересылать информацию об учетной записи из журналов MS AD
– Политики могут оперировать соединениями на основании имени пользователя или группы
– Правило не зависит от IP адреса
Технологий McAfee NGFW Anti-Botnet
Май 5, 2014 53
Расшифрование
• ZeroAccess • Sality P2P • Fareit • Nitol • … А
нализ трафика
• Reveton • Palevo • ...
Сигнатуры
• Conficker • SpyEye • Tedroo • Winwebsec • ...
ZeroAccess Sality Conficker Zeus Palevo Reveton SpyEye Fareit Ramnit Vobfus
Эффективная комбинация методов для обеспечения точного обнаружения и исключения ложных срабатываний
Методы технологии Anti-Botnet
Май 5, 2014 54
• Обнаружение путем расшифрования – Деобфускация или расшифрование канала управления ботнетом – Обнаруживает известные характеристики канала управления, номер порта, несущий протокол, протокол шифрования и ключевой материал
• Анализ последовательности длины сообщений – Извлечение информации о длине сообщения из TCP/UDP потока и передача на модуль анализа последовательности длины сообщений для детектирования C&C каналов
• Анализ на соответствие сигнатурам – Извлечение потоков данных, передаваемых по TCP/UDP анализ их на соответствие сигнатурам бонетов
– Анализ по сигнатурам комбинируется с расшифрованием и анализом последовательностей длин сообщений
SSL/TLS инспекция (сервера)
Май 5, 2014 55
• Защита сервера от зашифрованных атак
• Защита от утечек данных – Раскрытие конфиденциальной информации
– Персональные данные
• Регулятивные требования – PCI DSS
• Нерегулятивные драйверы – Контрактные обязательства – Защита от возможной плохой репутации
10101010101010 01010101010101
10101010101010 01010101010101
Зараженный клиент
FW/VPN, IPS, L2FW
SSL/TLS инспекция (клиента)
Май 5, 2014 56
• Защита клиента от зараженных Web сервисов
• Предотвращение утечек данных – Раскрытие конфиденциальной информации
– Кража интеллектуальной собственности
• Регулятивные требования
• Фильтрация веб-трафика по категориям
– Применение веб-фильтров даже для HTTPS
10101010101010 01010101010101
10101010101010 01010101010101
Зараженный сервер
FW/VPN, IPS, L2FW
URL фильтрация
Май 5, 2014 57
• URL фильтрация на основе категорий • Ручные белые списки • Настраиваемые ответные действия для пользователя • Легкая и точная настройка через стандартные правила и политики
FW/VPN, IPS, L2FW
Детектирование сканирований
Май 5, 2014 58
• Обнаружение сканирований хостов и портов
• ICMP, UDP, TCP (SYN/FIN)
• Поддержка IPv4 и IPv6
• Контролируется через правила доступа
FW/VPN, IPS, L2FW
DoS/DDoS защита
Май 5, 2014 59
• Защита от Syn flood атак • DoS/DDos методы защиты HTTP медленными запросами
• ограничение одновременных соединений
• Автоматический антиспуфинг – правила создаются автоматически (МЭ)
• QoS и TCP SYN ограничения на каждый интерфейс
• Сжатие записей журналов уменьшает количество записей при атаке (без потери информативности)
FW/VPN, IPS, L2FW
Защита от техник обхода Техники обхода – что, почему и когда?
Май 5, 2014 60
• Способ сокрытия атаки • Цель – обойти устройства безопасности, не оставив следов
• Очень сложно отследить – Неограниченное количество вариантов и комбинаций
• Многие сетевые устройства доказали свою неэффективность
”Attack” McAfee NGFW протестирован на более чем 800 миллионах техник обхода и их комбинациях
Устройство защиты
Уязвимая цель атаки
A c k t a t
Attack A c k t a t
A c k t a t
Защита от техник обхода Принципиальное различие Традиционная архитектура инспекции
ta! t! a!
?
McAfee NGFW полная потоковая нормализация по всему стеку протоколов
Агенты протоколов
ta!
ck!
at!
ck!
attack! !
Эффективность зиждется на полной нормализации трафика перед инспекцией
Что McAfee/StoneSoft делает по-другому?
62
Решения McAfee для защиты сетей Другие продукты для защиты сетей
Видимость всего стека McAfee декодирует и нормализует трафик на всех уровнях протоколов.
Анализ ограниченного набора уровней
Удаление средств обхода защиты в процессе нормализации Процесс нормализации удаляет средства обхода защиты до проверки потока данных.
Проверка отдельных сегментов или «псевдопакетов»
Обнаружение угроз путем анализа потоков данных приложений Для обнаружения эксплойтов в нормализованных потоках данных уровня приложений используются цифровые отпечатки с информацией об уязвимостях.
На основе информации об уязвимостях и эксплойтах, обнаружение шелл-кода, сопоставление баннеров и не более
Внутрифирменные исследования и инструменты Гарантия качества защиты от средств обхода защиты благодаря автоматическому нечеткому тестированию на средства обхода защиты.
Общедоступная информация и сторонние инструменты
Обновления и новые версии Технология противодействия средствам обхода защиты, реализованная в NGFW, обновляется автоматически.
Охват ограниченного количества средств обхода защиты и запаздывающая установка обновлений
63
Возможность удаления средств обхода защиты ограничена или отсутствует. Бо́льшая часть трафика не подвергается очистке от средств обхода защиты и проверяется с использованием ограниченной контекстной информации.
Функции декодирования и проверки протоколов ограничены и не позволяют повысить скорость работы.
Обнаружение и блокирование эксплойтов: если средства обхода защиты не удалены на всех уровнях, то обнаружение эксплойтов ненадежно или невозможно.
Вертикальный контроль
Трафик данных
1 2 3
Уровни протоколов приложений (потоки)
Сегменты уровня TCP, «псевдопакеты»
Пакеты уровня IP
3
2
1
Другие
Что McAfee/StoneSoft делает по-другому?
64
• Процесс нормализации и проверки всего стека на основе горизонтального анализа потока данных
…Область непрерывной проверки…
Нормализация трафика на всех уровнях протоколов как непрерывный процесс
Процесс удаления сложных средств обхода защиты очищает трафик и делает эксплойты видимыми
Обнаружение эксплойтов в потоке данных, полностью очищенном от средств обхода защиты
Оповещения и отчеты об атаках с использованием средств обхода защиты рассылаются через систему управления
Трафик данных
Уровни протоколов приложений (потоки)
Сегменты уровня TCP, «псевдопакеты»
Пакеты уровня IP
1
1
1
2 3 4
1 2 3 4
McAfee NGFW
Что McAfee/StoneSoft делает по-другому?
Защита от техник обхода Насколько сложно сделать технику обхода?
C утилитой Evader получить доступ к “защищенной” сети также легко как: Выбор эксплоита 1
Идентификация цели атаки 2
Cisco Palo Alto Networks Check Point Fortinet Juniper SourceFire Tipping Point
Выбор техники обхода 3
Гибкий портфель устройств McAfee NGFW
Май 5, 2014 66
• Одно устройство для разных задач
• Модульные аппаратные платформы
• Компактные FW/VPN устройства для филиалов (315, 105)
• Усиленный корпус для требовательных инфраструктур
1000 Series
1400 Series
3200 Series
5200 Series
NGFW-MIL-320 2G 20G 60G 120G
SMC (…2000 устройств)
Одно гармонизированное семейство устройств Защита инвестиций за счет модульности и простой
схемы лицензирования
Признание сторонними организациями
Позиционируется VISIONARY в «Enterprise Network Firewall Gartner Magic Quadrant» за 2013г.
Результаты тестирования NSS Labs в 2013г.: RECOMMENDED х 3!
Source: Gartner 2013 Enterprise Network Firewall Gartner Magic Quadrant
ВЕРИФИЦИРОВАН на соответствие качеству защиты, производительности
Заявления независимых экспертов отрасли ИБ
67
Признание отечественными организациями
Первый зарубежный продукт, сертифицированный как самостоятельное СКЗИ (КС1/КС2)
Серийное производство решений: • МЭ 3-го класса • 4-й уровень НДВ
Российские регуляторы отрасли ИБ
68
Решения StoneSoft, a McAfee Company обеспечивают
Эффективная защита от техник обхода и других угроз
Адаптацию к динамической среде безопасности организации
Операционная эффективность и высокая доступность для непрерывности бизнеса
Целостный подход к сетевой безопасности «подключенная безопасность»
Поддержка всего набора ЛПР
McAfee NGFW способен удовлетворить все потребности
Руководство
C-Level
Сетевые инженеры
Network
Специалисты по ИБ
Security
ü Доступность сервиса
ü производительность
ü Управляемый QoS
ü Никаких простоев
Решение сетевых вопросов
71
Доступность, Масштабируемость, Гибкость – Высокая доступность и кластеризация до 16 устройств – Высокая производительность – до 120 Гб/с – VPN нового поколения – подключение без затрат – Интегрированные сервисы балансировки нагрузки – Развертывание в офисах без вмешательства администратора
– Гибкость вложений: аппаратные комплексы, ПО или виртуальные машины
Network
Решение вопросов ИБ (и сети)
72
Единый информационный центр – Управление до 2,000 устройств как если бы оно было всего одно
§ Обнаружение сложных ошибок в политиках в «один клик»
§ Возможность множественного управления для распределенных инфраструктур
§ Единая консоль для ситуационного анализа
Network Security
ü Полная картина сети
ü Легкие в использовании утилиты
ü Легкая автоматизация стандартных операций (workflow)
Решение вопросов ИБ
73
Более сильная защита § Единственное устройство, которые защищает от
800+ миллионов техник обхода § Увеличение уровня безопасности без потерь производительности
§ Интеграция с репутационным сервисом (Global Threat Intelligence) – 1H 2014
§ Интеграция с лучшим решением в части анализа вредоносного ПО в отрасли (Advanced Threat Defense) – 2H 2014
§ Отлично зарекомендовал себя в тестах NSS Labs
Security
ü Проверенная защита от вредоносного ПО
ü Постоянные обновления безопасности и поддержка
ü Отчеты и аналитика
Ответ на требования бизнеса
74
Решение для потребностей «большого бизнеса» § Улучшенная операционная эффективность, доступность (uptime)
§ Уменьшенная сложность § Улучшенный TCO и эффективность вложения инвестиций
§ Улучшенная защита от угроз § Четкие аудируемые отчеты
C-Level
ü Лучшее решение по совокупности факторов для обеспечения непрерывности бизнеса
ü Необходимые функции для защиты ключевых активов
ü выгодно – хорошее соотношение «качество/цена»
