Обзор подготовлен	При поддержке

Пример решения: Семейство продуктов Proventia

Вошедшие в обиход межсетевые экраны и антивирусные средства не обеспечивают достаточного уровня защищенности корпоративных сетей, особенно когда речь идет о новых вирусах, червях и атаках. Общее ограничение возможностей межсетевых экранов состоит втом, что они не распознают атаки ине блокируют их.Достаточно известный и распространенный класс защитных средств — системы обнаружения атак (Intrusion Detection Systems, IDS) как ведущая технология информационной безопасности по состоянию на сегодня уже отживает свой век. Дело в том, что просто обнаружения атак уже недостаточно для построения эффективной системы защиты. Такую систему можно сравнить с обычным градусником, который измеряет температуру тела и отображает ее. Да, температура повышена, да это плохо, и больной уже чувствует недомогание, но может ли градусник помочь ему? Нет, не может. Градусник не останавливает развитие болезни.

Но технология не исчезает! Она эволюционирует в новую, современную технологию, в системы предотвращения атак (Intrusion Prevention System, IPS).

Рассматривая ситуацию, сложившуюся на рынке систем информационной безопасности в целом и на рынке средств предотвращения атак в частности, можно выделить несколько безусловных лидеров в этой отрасли: Internet Security Systems (ISS), Symantec, Check Point Software Technologies, Cisco Systems. Компания ISS в свое время совершила резкий скачок в данной области и до сих пор занимает ведущие позиции в создании систем обнаружения и предотвращения атак.

Технология IPS реализована в линейке Proventia компании ISS.

МОДЕЛЬНЫЙ РЯД PROVENTIA

В семейство Proventia входит три серии устройств, которые построены на базе единого ядра — технологии RealSecure, но ориентированы на решение различных задач:

• Proventia A — устройства обнаружения атак (IDS);
• Proventia G — системы предотвращения атак (IPS);
• Proventia M — многофункциональные устройства, построенные по принципу «все в одном» и включающие ряд модулей защиты — IPS, МСЭ, VPN, антивирус, антиспам, систему мониторинга электронной почты и Web-трафика.

Устройства Proventia могут быть установлены в зависимости от решаемых задач:

• на периметре сети;
• в демилитаризованной зоне;
• перед серверным сегментом;
• у сервера удаленного доступа.

Сравнительный анализ моделей

Флагманскими продуктами представленного семейства являются устройства серий G и M.

Proventia G

Proventia Intrusion Prevention Appliances или Proventia G — является одной из самых эффективных реализаций системы предотвращения атак на аппаратной платформе.

Устройства этой серии применяются, как правило, в высокоскоростных каналах и сегментах корпоративных информационных сетей и практически не имеют аналогов в мире по производительности. В ходе последних исследований независимой лаборатории Tolly Group, одной из самых уважаемых в отрасли тестирующих организаций, флагман серии G — устройство Proventia G2000 показало даже некоторое превышение заявленных производителем скоростей (Отчет размещен на сайте http://www.tolly.com/).

Отличительные особенности Proventia G:

• Возможность использования в качестве межсетевого экрана. Устройство можно использовать как самостоятельный и/или как вспомогательный межсетевой экран.
• Аппаратное шунтирование — Механизм отказоустойчивости аппаратного уровня, позволяющий трафику проходить через устройства Proventia G в случае аппаратных сбоев (например, из-за пропадания питания).
• Предотвращение атак на канальном уровне. Устройство Proventia G, работая в активном режиме, не имеет собственного IP-адреса и невидимо для злоумышленников (Stealth-режим).
• Три гибких режима работы — пассивный, активный и режим симуляции. Их наличие позволяет быстро переходить от обнаружения атак к их предотвращению без перерывов в работе сети.
• Пассивный — пассивный мониторинг, (пассивный мониторинг)—устройство только обнаруживает действительные и возможные атаки, не блокируя их.
• Активный — предотвращение атак, (предотвращение атак)—устройство блокирует атаки, контролируя весь входящий трафик на наличие атак и злонамеренного программного кода.
• Имитационный — режим симуляции. (режим симуляции)—устройство сообщает, какой трафик кажется ему подозрительным. Это отладочный режим, позволяющий протестировать точность работы устройства перед тем, как переводить его в активный режим. В этом режиме устройство обнаруживает атаки и сообщает, какую часть трафика оно бы блокировало, если бы было настроено на предотвращение атак. Так потенциальный пользователь может получить представление об эффективности предотвращения атак устройством еще до того, как начнет применять его.

Возможные варианты использования:

• защита до четырех полнодуплексных сетевых гигабитных сегментов, в том числе оптоволоконных;
• пассивный мониторинг до восьми несвязанных между собой сетевых сегментов.

Технические характеристики устройства

Proventia M

Proventia Integrated Security Appliances или Proventia М — Идеальное сочетание всех защитных технологий (предотвращения атак, межсетевого экранирования, антивирусной защиты, VPN, контроля содержимого электронной почты и Интернет-трафика) в одном устройстве.

Но устройства Proventia М — это не только объединение всех средств защиты в одном устройстве, но и их истинная, эффективная интеграция. Именно благодаря этому комплексы Proventia M позволяют вести одновременную борьбу со всем спектром существующих угроз, а также противодействовать пока неизвестным атакам и вирусам.

Технические характеристики устройства

Proventia Web Filter

Proventia Web Filter (средства фильтрации Web-контента) — используют базу данных, в которой Web-сайты уже систематизированы по определенным категориям, таким как «эротика», «онлайновый шоппинг», «нелегальная деятельность» и др. Эти устройства безошибочно блокируют нежелательный Web-контент, что способствует увеличению продуктивности бизнеса заказчиков, обеспечивая соблюдение корпоративной политики использования ресурсов Интернета.

Особенности Proventia Web Filter:

• Большая и часто пополняемая база данных для фильтрации контента. База содержит более чем 20 млн Web-сайтов и 2,6 млрд Web-страниц, систематизированных по 58 категориям. Эта база данных более чем в 4 раза превосходит по объему аналогичные ресурсы ближайших конкурентов.
• Автоматическое Web-сканирование и обработка его результатов. Поисковые машины постоянно собирают и анализируют новые данные. Они обрабатывают до 4 миллионов Web-страниц и изображений в день, добавляя их в базу данных. Модуль использует более 10 различных алгоритмов анализа текста и изображений.
• Гибкие настройки. Организации могут легко приспособить Proventia Web Filter к своим специфическим нуждам и предопределить, кто и в какое время вправе иметь доступ к каким Web-ресурсам, а также то, какие действия могут быть предприняты в случае, если тот или иной сотрудник злоупотребит доступом в Интернет.

Proventia Mail Filter

Proventia Mail Filter (средства мониторинга электронной почты) — анализируют входящий и исходящий трафик электронной почты на предмет обнаружения нежелательного контента и спама.

Особенности Proventia Mail Filter:

• В Proventia Mail Filter используется 10 различных технологий анализа, в которых исследованию подвергаются все поля электронного сообщения, его тело и присоединенные файлы.
• Proventia Mail Filter использует обширную базу данных по спаму, которая пополняется при помощи 800 коллекторов информации и содержит 200 тыс. примеров. Они анализируют 20 тысяч сообщений электронной почты в день и обеспечивают заказчиков Proventia Mail Filter обновлениями применяемых баз данных до 4 раз в сутки. Это позволяет заказчикам всегда быть на шаг впереди спамеров, постоянно изобретающих новые жульнические приемы.
• Модуль защиты от спама обнаруживает до 95% спама, а процент ложных срабатываний равен 0,01%

ОСНОВНЫЕ ДОСТОИНСТВА СЕМЕЙСТВА УСТРОЙСТВ PROVENTIA

Упреждающая защита

Вместе с технологией предотвращения атак, впервые предложенной компанией ISS, применение универсальных решений в сфере информационной безопасности — устройств Proventia трансформирует РЕАГИРУЮЩУЮ ЗАЩИТУ от проникновения в информационную инфраструктуру в УПРЕЖДАЮЩУЮ посредством перехода от обнаружения атак к их предотвращению. Устройство Proventia при обнаружении атаки немедленно блокирует ее распространение до того, как она начнет свое разрушительное действие. При этом требуется только минимальное вмешательство персонала подразделений информационной безопасности. Предотвращение атаки происходит посредством отбрасывания пакетов и разрыва сессий, содержащих враждебные сигнатуры.

Защита от новых угроз

Устройства Proventia используют для обнаружения несанкционированной сетевой активности уникальную комбинацию алгоритмов, анализирующих аномалии в большинстве современных протоколов и обнаруживающих атаки, используя имеющуюся обширную базу сигнатур атак. Такой подход позволяет обнаруживать все известные и многие неизвестные атаки.

Уникальная технология Virtual Patch™ С момента обнаружения уязвимости до выхода патча проходит определенное время — от нескольких дней до нескольких недель. В течение этого периода вы оказываетесь беззащитными перед атаками на новые уязвимости. Справиться с этой проблемой позволяет технология Virtual Patch™, разработанная специалистами компании Internet Security System и используемая в устройствах Proventia.

Virtual Patch начинает работать до официального выпуска заплатки производителем, блокируя атаки, эксплуатирующие данную уязвимость. Скорость выхода обновления для модуля Virtual Patch составляет несколько часов с момента обнаружения первой информации об уязвимости, после чего происходит рассылка обновлений и автоматическая реконфигурация сенсоров системы обнаружения атак. С этого момента вы и ваша информационная система — в безопасности.

Простота внедрения

Простота внедрения устройств Proventia в информационную систему обеспечивается тем, что они поставляются с уже предустановленным и настроенным программным обеспечением (операционной системой и защитными механизмами). Появление устройств Proventia «поднимает планку» требований, предъявляемых к защите информационных систем, поскольку сосредоточение всех функций безопасности современного уровня в единой точке сильно упрощает работу. Установка и активация устройства Proventia занимает до 15 минут. Защита от атак становится удобной процедурой, доступной широкому кругу компаний. Устройства Proventia строятся полностью по принципу plug-and-protect.

Гибкость

Механизм функционирования устройств Proventia позволяет подключать различные модули защиты в зависимости от требований политики безопасности. При этом имеется большой выбор моделей оборудования, способный удовлетворить любым потребностям системы защиты.

Высокая производительность и надежность

Для повышения надежности устройств Proventia из операционной системы, на базе которой они функционируют, убирается все, что не нужно для выполнения главной задачи — обеспечения безопасности. Это не только снижает вероятность отказа, но и уменьшает число уязвимостей, которыми могут воспользоваться злоумышленники для нарушения работоспособности устройств Proventia и выведения их из строя.

Меньше запущенных программ — ниже вероятность отказа, меньше уязвимостей, а, следовательно, и меньше болевых точек, которыми могут воспользоваться злоумышленники для нарушения работоспособности Proventia и выведения их из строя, оставляя защищаемые ресурсы беззащитными.

Удаление лишних сервисов и подсистем позволяет повысить производительность устройств Proventia. Решение одних только задач обеспечения сетевой безопасности не приводит к трате ресурсов на выполнение других функций, например, маршрутизации и т.п.

Одна изключевых тенденцийв развитии информационной безопасности — повышение требовательности клиентов ккачеству инадежности продуктов. Оба этих свойства объединяются в программно-аппаратных средствах защиты Proventia. Качество и надежность подразумевают действительно бесперебойную работу, отказоустойчивость и одновременно абсолютную прозрачность для сетевого трафика. Прежде всего, бесперебойная работа самих по себе продуктов безопасности связана с наличием надежно работающего оборудования и резервированием критичных к отказу блоков питания и запоминающих устройств. Для последних применяются дисковые массивы горячей замены.

Некоторые модели программно-аппаратных средств защиты Proventia могут быть установлены в разрыв сети. В этом случае требования к надежности и отказоустойчивости возрастают «в разы», так как выход из строя устройства повлечет за собой нарушение функционирования сети. Дабы этого избежать, предусмотрены механизмы так называемого аппаратного шунтирования, обеспечивающего беспрепятственный проход сетевого трафика через устройство в случае нарушения в его работе. Одним из действенных способов увеличения надежности является также объединение устройств в кластерные решения — чтобы избежать появления единой точки отказа. Кроме того, устройства могут комплектоваться комплектами холодной замены.

Централизованное управление

Управлять устройствами Proventia, как и всеми другими решениями компании ISS, можно централизованно с помощью унифицированной системы управления SiteProtector™, с которой, помимо этого, осуществляется управление сканерами безопасности и системами обнаружения атак компании ISS, а также межсетевыми экранами Check Point Firewall-1\VPN-1 NG и Cisco Pix Firewall. Система SiteProtector позволяет заказчику производить мониторинг и анализ событий от всех систем производства ISS, предназначенных для защиты сетей, серверов и рабочих станций. Используя эту систему, предприятие может контролировать все имеющиеся у него устройства Proventia из одной точки, наблюдать в режиме реального времени за их работой и анализировать ее результаты, а также обновлять устройства Proventia.

Система SiteProtector включает в себя механизмы агрегации, анализа и корреляции событий, идентификации типа атаки. SiteProtector позволяет управлять устройствами Proventia удаленно. Каждое устройство семейства Proventia или агент системы защиты RealSecure сообщает системе SiteProtector о всех детектируемых событиях, причем модуль корреляции данных применяется на каждом шаге деятельности, что позволяет минимизировать избыточный сетевой трафик сообщений от инфраструктурных устройств безопасности и сфокусировать внимание администраторов на более важных событиях безопасности. Модуль SiteProtector SecurityFusion улучшает и расширяет корреляционные возможности SiteProtector путем добавления двух автоматических и улучшенных методов корреляции: анализа воздействия атак и определения типа атаки. Мощная система генерации отчетов может отображать отчеты как в графическом, так и в текстовом виде; она поддерживает различные форматы представления данных — HTML, Word, RTF.

Блокирование ICQ, P2P и других типов трафика

Комбинация уникальных алгоритмов обнаружения аномалий в сетевом трафике со встроенным межсетевым экраном позволяет эффективно блокировать и использование различных Интернет-пейджеров (ICQ, MSN, Yahoo, AOL), P2P-программ (peer-to-peer) подобных VNC, Kazaa, eDonkey, Gnutella, GoToMyPC и ряда других программ, повышающих риск несанкционированного проникновения в корпоративную сеть (например, pcAnywhere). Это особенно важно ибо P2P-программы могут маскировать свои соединения под легальный трафик, который межсетевые экраны обнаружить и предотвратить не могут.

Сокращение издержек эксплуатации

Устройства Proventia позволяет экономить время и деньги, расходуемые на информационную безопасность, за счет быстрого блокирования атак без вмешательства администратора. Точность этого процесса исключительно высока, поскольку в устройствах Proventia воплощен весь огромный опыт ISS в обнаружении и предотвращении атак.

Используя устройства Proventia, есть возможность снизить свои финансовые затраты за счет отказа:

• от приобретения операционной системы, т.к. она уже установлена на устройстве;
• от приобретения компьютера, т.к. устройства реализуются на готовых серверных платформах;
• от расходов на настройку ОС и дополнительного ПО, т.к. эту операцию уже выполнил производитель;
• от затрат на обучение своих сотрудников работе с разнородным программным и аппаратным обеспечением;
• от затрат, которые возникали бы в случае получения технической поддержки от разных производителей;
• от затрат на приобретение различных устройств управления для разных сегментов сети — за счет использования централизованной системы управления SiteProtector;
• от дополнительных расходов на персонал — за счет сокращения числа управляющих устройств в распределенной сети.