HP TippingPoint

Кажется, что каждый день мы открываем новости, чтобы узнать, что еще одна хорошо известная компания или государственная организация была взломана или ее веб-сайт был изменен. Частота успешных атак растет быстрее, чем в любое другое время на нашей памяти и заказчики стоят перед задачей найти эффективное решение. На этой странице описываются те усилия, которые HP прилагает, чтобы защитить своих заказчиков от существующих сегодня и появляющихся постоянно новых угроз различного типа.

 

 

С 2001 г. одной из главных целей компании HP было создание систем предотвращения атак в сети, обеспечивающих своевременную защиту, работающую прозрачно поверх существующего трафика в сети и очищающую его от вредоносных соединений и, одновременно, не мешая работе существующих протоколов.

 

 

TippingPoint является полностью аппаратным решением, построенным на сетевых процессорах для каждого уровня обработки данных, начиная с сетевых процессоров на Ethernet интерфейсах и и заканчивая процессорами XLR для параллельного анализа всех протоколов и файлов проходящих сквозь IPS.

 

 

TippingPoint IPS может анализировать пакеты на всех сетевых уровнях модели ISO OSI от канального до уровня приложений и файлов передаваемых на этих уровнях. На физическом уровне это устройство выглядит как медный или оптический кабель, прозрачно пропуская через себя сетевые интерфейсы работающие на скоростях 1 или 10 Гбит/сек. IPS не имеет MAC адреса, но перехватывает все фреймы проходящие через него, разбирая также теги VLAN и MPLS и просматривает сессии приложений, что позволяет анализировать и сами протоколы приложений, например HTTP, и веб-приложения, работающие на таких сайтах как facebook.com или youtube.com. Имеющиеся более чем 5000 фильтров позволяют блокировать атаки и обнаруживать другие нарушения межсетевого взаимодействия.

 

 

Ежедневно получая информацию в среднем о 80 новых уязвимостях найденных различными источниками, нужно обрабатывать эту информацию и принимать меры. Для этого нужна высокопрофессиональная команда специалистов. Благодаря команде DVLabs, вы получаете обновления базы репутации каждые 2 часа и новые базы цифровых вакцин 1-2 раза в неделю. Компания HP взяла курс на проактивный поиск уязвимостей нулевого дня, разработку и распространение защиты заказчиков до официального выхода обновлений безопасности. В результате заказчики TippingPoint защищены от угроз и взломов, в то время как другие – нет.

 

 

В программе участвует 1800 исследователей. Благодаря приглашению к поиску неизвестных уязвимостей исследователей всего мира в 2010 году было найдено 310 неизвестных ранее уязвимостей и реализована защита для заказчиков HP, что превышает по данным агенства Frost&Sallivan все найденные вместе взятые уязвимости от других коммерческих исследовательских команд. Второй год подряд лаборатория DVLabs получает награду за лидерство в исследованиях уязвимостей, выдаваемую агенством Frost и Sullivan.

 

 

Не все адреса в Интернет стоит посещать и не от всех адресов стоит принимать соединения. В этот список входят спамеры, бот-сети, зараженные и фишинговые веб-сайты, и др. всего 15 категорий. Ограничив подключения с таких типов адресов и ограничив свои ресурсы от подключений к ним, HP значительно повышает безопасность своих сети, например, блокирует DDoS атаки от известных бот-сетей или блокирует утечки информации через фишинговые сайты. К сожалению, такие адреса часто перемещаются, поэтому HP обновлеяет список репутации таких адресов каждые 2 часа.

 

 

50% уязвимостей в программном обеспечении, которым вы пользуетесь, не имеет обновлений от производителей. Находясь в таких условиях – когда вы вынуждены пользоваться уязвимыми продуктами – системы предотвращения атак защищают такие непропатченные системы так, что хакеры думают, что обновление установлено, хотя его реально может и не существовать. Такая защита от уязвимостей при помощи IPS называется виртуальный патч.

 

 

Для обеспечения точности фильтров HP использует два простых правила — не должно быть ложных сообщений об атаках и не должно быть пропущенных атак. Именно поэтому группа исследователей безопасности компании HP - DVLabs - концентрируется на создании фильтров для защиты всех уязвимостей, а не только предотвращения известных угроз. Фильтры уязвимостей блокируют все возможности использования слабых мест ПО и обеспечивают высочайший уровень точности, благодаря чему системы IPS не блокируют нормальный трафик.

 

 

Для пользователей продукции HP создан специальный портал, где собрана информация от нескольких тысяч пользователей, участующих в программе Lighthouse Program: о трендах в сетевых атаках и о тех настройках которые они сделали в своих IPS, что позволяет заказчикам таким образом анонимно делиться информацией друг с другом и настраивать свои IPS по аналогии с лучшими практиками, используемыми по всему миру. Кроме того, там собрана информация по модулям защиты WebAppDV, RepVD, FileDV и другим постоянно расширяемым функциям TippingPoint.

 

 

При внедрении IPS в уже существующую сеть есть необходимость перенаправить часть VLAN на отдельно стоящие устройства IPS. При помощи технологии трансляции тегов VLAN внутри IPS вы можете подключиться к свитчам любого производителя.

 

 

На конференции RSA 2010 HP объявил о стратегическом сотрудничестве с Vmware. HP активно продвигает вместе с VMware свои продукты HP TippingPoint vController и VMware vShield для защиты сетевых соединений внутри виртуальной среды. Также они разрабатывают следующее поколение систем предотвращения атак для виртуальных и облачных сред.

 

 

Возможность сбора трафика атаки, подключение к различного рода SIEM по syslog и SNMP позволяет удобно включить TippingPoint в имеющуюся инфраструктуру защиты. Собственная система управления Security Management Center позволяет создавать отчеты, просматривать события, настраивать собственную реакцию на события, настраивать одним нажатием кнопки политику защиты по всем IPS в сети, размещенным по всей стране или миру.

 

 

Система IPS не требует изменений существующей сети и легко развертывается без IP- и MAC-адреса, благодаря чему сразу начинает фильтрацию вредоносного и нежелательного трафика в любом сегменте сети, указав его VLAN или адресную маску. Аппаратная система управления SMS или виртульная vSMS осуществляет мониторинг, настраивает, выполняет диагностику и создает отчеты от нескольких устройств IPS. Она имеет простой, современный, безопасный клиентский интерфейс, который обеспечивает анализ общей ситуации с помощью отчетов о тенденциях, корреляций и графиков реального времени о статистике трафика, отфильтрованных атаках, сетевых хостах и службах, а также ресурсах и состоянии IPS. Администрирование возможно из Windows, Lunux и Mac OS.

 

 

Утилита DVToolkit позволяет создавать собственные фильтры, реализуемые затем через TippingPoint IPS. Также в эту систему можно импортировать правила SNORT.

 

 

Системы предотвращения атак могут быть критически важным компонентом любой программы обеспечения соответствия ИТ. Они решают многие задачи, связанные с обеспечением соответствия законодательству и нормативным актам, в том числе осуществляют управление уязвимостями с помощью Digital Vaccine Service и сетевой мониторинг с помощью системы управления безопасностью. Кроме того, IPS может выполнять компенсирующий контроль, когда требования невозможно удовлетворить другими процессами или решениями.

 

 

Используемые в сети решения отличаются по производительности и используемым физическим портам: медным или оптическим, гигабитным или десятигигабитным. Вы можете использовать устройства начиная со скоростей 20 Мбит/сек и заканчивая скоростями 16 Гбит/сек для модели с балансировкой трафика через Core Controller и двух моделей 6100N.

 

Модель	HP S660N	HP S1400N	HP S2500N	HP S5100N	HP S6100N
Скорость IPS	750 Мбит/с	1.5 Гбит/с	3 Гбит/с	5 Гбит/с	8 Гбит/с
Скорость сети	750 Мбит/с	1.5 Гбит/с	15 Гбит/с	15 Гбит/с	15 Гбит/с