HP TippingPoint Intrusion Prevention System (IPS) – сетевая система предотвращения атак
Кажется, что каждый день мы открываем новости, чтобы узнать, что еще одна хорошо известная компания или государственная организация была взломана или ее веб-сайт был изменен. Частота успешных атак растет быстрее, чем в любое другое время на нашей памяти и заказчики стоят перед задачей найти эффективное решение. На этой странице описываются те усилия, которые HP прилагает, чтобы защитить своих заказчиков от существующих сегодня и появляющихся постоянно новых угроз различного типа.
Надежная защита
С 2001 г. одной из главных целей компании HP было создание систем предотвращения атак в сети, обеспечивающих своевременную защиту, работающую прозрачно поверх существующего трафика в сети и очищающую его от вредоносных соединений и, одновременно, не мешая работе существующих протоколов.
Специализированная платформа
TippingPoint является полностью аппаратным решением, построенным на сетевых процессорах для каждого уровня обработки данных, начиная с сетевых процессоров на Ethernet интерфейсах и и заканчивая процессорами XLR для параллельного анализа всех протоколов и файлов проходящих сквозь IPS.
Глубокий анализ трафика
TippingPoint IPS может анализировать пакеты на всех сетевых уровнях модели ISO OSI от канального до уровня приложений и файлов передаваемых на этих уровнях. На физическом уровне это устройство выглядит как медный или оптический кабель, прозрачно пропуская через себя сетевые интерфейсы работающие на скоростях 1 или 10 Гбит/сек. IPS не имеет MAC адреса, но перехватывает все фреймы проходящие через него, разбирая также теги VLAN и MPLS и просматривает сессии приложений, что позволяет анализировать и сами протоколы приложений, например HTTP, и веб-приложения, работающие на таких сайтах как facebook.com или youtube.com. Имеющиеся более чем 5000 фильтров позволяют блокировать атаки и обнаруживать другие нарушения межсетевого взаимодействия.
Исследовательская лаборатория Digital Vaccine Labs
Ежедневно получая информацию в среднем о 80 новых уязвимостях найденных различными источниками, нужно обрабатывать эту информацию и принимать меры. Для этого нужна высокопрофессиональная команда специалистов. Благодаря команде DVLabs, вы получаете обновления базы репутации каждые 2 часа и новые базы цифровых вакцин 1-2 раза в неделю. Компания HP взяла курс на проактивный поиск уязвимостей нулевого дня, разработку и распространение защиты заказчиков до официального выхода обновлений безопасности. В результате заказчики TippingPoint защищены от угроз и взломов, в то время как другие – нет.
Проект Zero Day Initiative обеспечивает защиту от неизвестных атак
В программе участвует 1800 исследователей. Благодаря приглашению к поиску неизвестных уязвимостей исследователей всего мира в 2010 году было найдено 310 неизвестных ранее уязвимостей и реализована защита для заказчиков HP, что превышает по данным агенства Frost&Sallivan все найденные вместе взятые уязвимости от других коммерческих исследовательских команд. Второй год подряд лаборатория DVLabs получает награду за лидерство в исследованиях уязвимостей, выдаваемую агенством Frost и Sullivan.
Репутация IP и DNS адресов
Не все адреса в Интернет стоит посещать и не от всех адресов стоит принимать соединения. В этот список входят спамеры, бот-сети, зараженные и фишинговые веб-сайты, и др. всего 15 категорий. Ограничив подключения с таких типов адресов и ограничив свои ресурсы от подключений к ним, HP значительно повышает безопасность своих сети, например, блокирует DDoS атаки от известных бот-сетей или блокирует утечки информации через фишинговые сайты. К сожалению, такие адреса часто перемещаются, поэтому HP обновлеяет список репутации таких адресов каждые 2 часа.
Виртуальный патч
50% уязвимостей в программном обеспечении, которым вы пользуетесь, не имеет обновлений от производителей. Находясь в таких условиях – когда вы вынуждены пользоваться уязвимыми продуктами – системы предотвращения атак защищают такие непропатченные системы так, что хакеры думают, что обновление установлено, хотя его реально может и не существовать. Такая защита от уязвимостей при помощи IPS называется виртуальный патч.
Отсутствие ложных срабатываний
Для обеспечения точности фильтров HP использует два простых правила — не должно быть ложных сообщений об атаках и не должно быть пропущенных атак. Именно поэтому группа исследователей безопасности компании HP - DVLabs - концентрируется на создании фильтров для защиты всех уязвимостей, а не только предотвращения известных угроз. Фильтры уязвимостей блокируют все возможности использования слабых мест ПО и обеспечивают высочайший уровень точности, благодаря чему системы IPS не блокируют нормальный трафик.
Помощь в настройке IPS - портал ThreatLinQ
Для пользователей продукции HP создан специальный портал, где собрана информация от нескольких тысяч пользователей, участующих в программе Lighthouse Program: о трендах в сетевых атаках и о тех настройках которые они сделали в своих IPS, что позволяет заказчикам таким образом анонимно делиться информацией друг с другом и настраивать свои IPS по аналогии с лучшими практиками, используемыми по всему миру. Кроме того, там собрана информация по модулям защиты WebAppDV, RepVD, FileDV и другим постоянно расширяемым функциям TippingPoint.
Подключение к ядру сети на оборудовании любого производителя при помощи VLAN трансляции
При внедрении IPS в уже существующую сеть есть необходимость перенаправить часть VLAN на отдельно стоящие устройства IPS. При помощи технологии трансляции тегов VLAN внутри IPS вы можете подключиться к свитчам любого производителя.
Защита виртуальных сетевых соединений на базе VMWare
На конференции RSA 2010 HP объявил о стратегическом сотрудничестве с Vmware. HP активно продвигает вместе с VMware свои продукты HP TippingPoint vController и VMware vShield для защиты сетевых соединений внутри виртуальной среды. Также они разрабатывают следующее поколение систем предотвращения атак для виртуальных и облачных сред.
Анализ инцидентов
Возможность сбора трафика атаки, подключение к различного рода SIEM по syslog и SNMP позволяет удобно включить TippingPoint в имеющуюся инфраструктуру защиты. Собственная система управления Security Management Center позволяет создавать отчеты, просматривать события, настраивать собственную реакцию на события, настраивать одним нажатием кнопки политику защиты по всем IPS в сети, размещенным по всей стране или миру.
Легкая инсталляция и управление
Система IPS не требует изменений существующей сети и легко развертывается без IP- и MAC-адреса, благодаря чему сразу начинает фильтрацию вредоносного и нежелательного трафика в любом сегменте сети, указав его VLAN или адресную маску. Аппаратная система управления SMS или виртульная vSMS осуществляет мониторинг, настраивает, выполняет диагностику и создает отчеты от нескольких устройств IPS. Она имеет простой, современный, безопасный клиентский интерфейс, который обеспечивает анализ общей ситуации с помощью отчетов о тенденциях, корреляций и графиков реального времени о статистике трафика, отфильтрованных атаках, сетевых хостах и службах, а также ресурсах и состоянии IPS. Администрирование возможно из Windows, Lunux и Mac OS.
Создание собственных фильтров
Утилита DVToolkit позволяет создавать собственные фильтры, реализуемые затем через TippingPoint IPS. Также в эту систему можно импортировать правила SNORT.
Автоматизированное применение политик безопасности для обеспечения соответствия требованиям
Системы предотвращения атак могут быть критически важным компонентом любой программы обеспечения соответствия ИТ. Они решают многие задачи, связанные с обеспечением соответствия законодательству и нормативным актам, в том числе осуществляют управление уязвимостями с помощью Digital Vaccine Service и сетевой мониторинг с помощью системы управления безопасностью. Кроме того, IPS может выполнять компенсирующий контроль, когда требования невозможно удовлетворить другими процессами или решениями.
Широкая линейка продуктов
Используемые в сети решения отличаются по производительности и используемым физическим портам: медным или оптическим, гигабитным или десятигигабитным. Вы можете использовать устройства начиная со скоростей 20 Мбит/сек и заканчивая скоростями 16 Гбит/сек для модели с балансировкой трафика через Core Controller и двух моделей 6100N.
Модель |
HP S660N |
HP S1400N |
HP S2500N |
HP S5100N |
HP S6100N |
Скорость IPS |
750 Мбит/с |
1.5 Гбит/с |
3 Гбит/с |
5 Гбит/с |
8 Гбит/с |
Скорость сети |
750 Мбит/с |
1.5 Гбит/с |
15 Гбит/с |
15 Гбит/с |
15 Гбит/с |