Transcript Slide 1

TippingPoint Intrusion Prevention System
Обзор продуктовой линейки
TippingPoint – немного истории....
Первый IPS на рынке – 2002 г.
Лидер с 2002 г. – Gartner, IDC, Infonetics
Лучшее качество фильтров – точность и надежность
Gartner Magic Quadrant для сетевых IPS - 1H09
“This Magic Quadrant graphic was published by
Gartner, Inc. as part of a larger research note
and should be evaluated in the context of the
entire report. The Gartner report is available
upon request from TippingPoint.”
* Magic Quadrant Disclaimer
The Magic Quadrant is copyrighted April 14,
2009 by Gartner, Inc. and is reused with
permission. The Magic Quadrant is a graphical
representation of a marketplace at and for a
specific time period. It depicts Gartner’s analysis
of how certain vendors measure against criteria
for that marketplace, as defined by Gartner.
Gartner does not endorse any vendor, product or
service depicted in the Magic Quadrant, and
does not advise technology users to select only
those vendors placed in the “Leaders” quadrant.
The Magic Quadrant is intended solely as a
research tool, and is not meant to be a specific
guide to action. Gartner disclaims all warranties,
express or implied, with respect to this research,
including any warranties of merchantability or
fitness for a particular purpose.
Source: Gartner (April 2009)
The “Magic Quadrant for Network Intrusion Prevention Systems Appliances, 1H09” was authored by Greg Young and John Pescatore April 14, 2009.
Департамент исследований DVLabs:
Быстрейшая реакция на угрозы
Защита от угроз и проблема нулевого дня (Zero Day)
2008 Уязвимости Microsoft
Скорость реакции на угрозы
Infonetics 2008 “IPS Customer Survey”
Zero-Day Threat Coverage
Pre-existing coverage
-30 days; 121/141 Covered
50%
Tipping Point
15%
McAfee
10%
Cisco
8%
IBM ISS
20%
Sourcefire
0%
10%
20%
30%
40%
50%
% of Respondents
Infonetics Research IPS Survey – August 2008
Helps IT stay ahead of the threats
April 24, 2020
4
Широчайший спектр защиты
Защита от внешних и внутренних угроз
2008 Уязвимости Microsoft
Скорость реакции на угрозы
121/141 Covered
86%
84%
Приложения
и ОС
• Microsoft
• Novell
• Cisco
• Oracle
• SAP
• Apple
• EMC
• Citrix
• CA
• Adobe
• Sun
• IBM
• Mozilla
• And others…
Защита от угроз
• Malware – worms, viruses, Trojans, etc.
• Spyware
• Phishing, Whaling and Spear Phishing
• Un-patched devices, O/S and applications
• Web Application Attacks
82%
78%
53%
– XSS, PHP Includes and SQL Injection, etc.
• Unwanted Applications – IM and P2P
• Policy Settings
• Protocol Anomaly Checks
31%
Best-of-breed protection for critical assets
April 24, 2020
5
Что такое TippingPoint?
Лидирующий производитель решений IPS
Сетевая безопасность
Безопасность для пользователей, устройств и сетей связи
Классификация трафика и обеспечение соответствий политикам ИБ
Очищенный
Трафик
Трафик
+ атаки
Worms
Trojans
Viruses
Spyware
DoS
• Специализированный
аппаратно-программный
комплекс (appliance)
• Отказоустойчивость
•Скорости до 10GE
•Не влияет на сеть
• Поддержка миллионов
сессий
• Тысячи фильтров
•Сигнатуры
•Аномалии
•Уязвимости
•Аномалии трафика
Обновления –
Цифровая Вакцина
Digital Vaccine®
Автоматизированная
защита
• Приложений
• ОС
• Сетевые элементы
• VoIP-инфраструктура
•Критическая
инфраструктура
(АСУТП)
IPS задача #1 – Обеспечить доступность
защищаемой инфраструктуры
Все IPS оборудованы встроенным ZPHA
Встроенный bypass-модуль
ZPHA
Два блока питания с горячей
заменой
Обновление ПО без перезагрузки
Авто-мониторинг внутренних
ресурсов
Блока обработки трафика
Индивидуальных фильтров
Коммутация на уровне 2 OSI
Полноценная отказоустойчивость
Отказоустойчивость с поддержкой
сессий
Active-Active или Active-Passive
Прозрачность для протоколов
маршрутизации
HSRP, VRRP, OSPF
IPS Задача #2 - Производительность
Вендоры Network IPS Development
(NIPD) Consortium
Результаты тестирования сетевых IPS*
3 Gbps (84 µsec latency)
TippingPoint
ISS
Fortinet
BroadWeb
350 Mbps (398 µsec latency)
160 Mbps (375 µsec latency)
100 Mbps (441 µsec latency)
* 4 из 13 вендоров прошли тестирование.
Результаты
№1 по
производительности
Самая низкая задержка
100% точность фильтров
IPS задача #3 – точность защиты
Vulnerability “Fingerprint”
Термин
Значение
Уязвимость
Недостаток в системе,
используя который нарушается
целостность и возникают сбои
Эксплойт
Программа, позволяющая
использовать уязвимость для
получения доступа,
повышенных привилегий или
отказа в обслуживании (DoS)
Фильтр
Эксплойта
• Создан для конкретного
эксплойта
• Зависит от возможностей
системы
• Проблемы: Ложные
срабатывания, пропущенные
атаки и высокий риск для
уязвимостей
Фильтр
Уязвимости
• Фильтр, блокирующий любые
попытки атак на уязвимость,
вне зависимости от
эксплойта
False Positive
(coarse signature)
Simple
“Exploit A”
Filter
“Exploit A”
Fingerprint
“Exploit B”
Fingerprint
(missed by coarse
Exploit A signature)
Виртуальная заплатка
уязвимости
Фильтр уязвимости TippingPoint работает,
как виртуальное обновление ПО, точно и
полноценно защищая уязвимость
Гибкость внедрения от периметра к ядру
Сервис
Digital Vaccine
Централизованные политики и
управление настройками
Атаки выявляются и
блокируются
непосредственно в сети
• Внутренние атаки на:
– Сетевую
инфраструктуру,
включая беспроводные
сети
– Дата-центры
TippingPoint IPS
виртуализирует
обновления (patch)
• Ядро
– Основные элементы
функционирования сетей
• Атаки на периметр
–
–
–
–
Корпоративный периметр
Приложения
Пиринг
Услуги
DVLabs – Лидирующая лаборатория
разработки фильтров защиты
Наиболее полноценная и
точная услуга защиты
уязвимостей и ресурсов
Большой штат исследователей и
инженеров
100% фокус на разработке
фильтров
Лидеры в области защиты
информации
Digital Vaccine® группа
отслеживает новые векторы
угроз и риски
Авторы SANS@ Risk выпусков –
приоритизация критических
уязвимостей и эксплойтов
Фильтры нулевого дня –
виртуальная заплатка для
ОС/приложений
TippingPoint – партнеры
SIEM
VA/VM
NBAD / Forensics
ArcSight
Q1 Labs
Critical Watch
Mazu
Consume IPS/SMS Events
Consume IPS/SMS Events
Detect Vulnerabilities • Recommend Filters
Quarantine Integration
TriGeo
RSA
Qualys
Lancope
Consume IPS/SMS Events
Consume IPS/SMS Events
Detect Vulnerabilities • Recommend Filters
Quarantine Integration
netForensics
Novell
Tenable (Nessus)
Niksun
Consume IPS/SMS Events
Consume IPS/SMS Events
Detect Vulnerabilities • Recommend Filters
Integration of SMS Syslog
Intellitactics
Symantec
Consume IPS/SMS Events
Consume IPS/SMS Events
April 24, 2020
12
Обзор продуктовой линейки
Новая платформа IPS
Автоматизированная, Масштабируемая защита от угроз
Security Management
System
Входящий
трафик
Очищенннный
трафик
IPSплатформа
Новейшая IPS-платформа
Дизайн для обновляющихся угроз и новых услуг
Проактивность
Безопасность
Стоимость
•In-line reliability
•Лидер рынка
•Быстрота внедрения
•In-line performance
(throughput/latency)
•Самая быстрая
реакция на угрозы
•Автоматизированная
защита
•Filter accuracy
•Широкий диапазон
•Легкость внедрения
Платформа IPS
Инфраструктура для предоставления новых сервисов
NBAD
Forensics
SIEM
VA / VM
Решения Партнеров
Rep DV
ThreatLinQ
ZDI Program
DV Filters
DVLabs / Исследования
Позволяет использовать
множество решений
партнеров
Платформа IPS
April 24, 2020
DLP Filters
Web App Filters
SCADA
VoIP
Новые сервисы
Phishing
/ Adware
Spyware
DV
Reputation
IM Control
P2P Control
Customer DV
DoS / DDoS / SYN
Flood
Фильтры IPS
DV
Web App
Viruses,
Worms,
Trojans
Digital
Vulnerability Filters
Vaccine
Security Management System
Обновленная
структура Extensible
Security –
модульный дизайн
ОС, позволяющий
использовать
множество:
•IPS Фильтров
•Сервисов ИБ
15
Продуктовая линейка
Платформы
Малый бизнес, удаленные
Ядро сети, 10GE
филиалы, провайдеры
сегменты, Защита датауслуг, периметр
центра и провайдеров
Исследования
Управление,
масштабирование
Услуги лаборатории
DVLabs
TippingPoint 10
TippingPoint 660N
Core Controller
Digital Vaccine
20Mbps • 2 Segments
750Mbps • 10 Segments
20Gbps • 3x10GbE
Broadest Coverage • Evergreen
Protection
TippingPoint 110
TippingPoint 1400N
Security Management System (SMS)
Web App DV and Scanning
100Mbps • 4 Segments
1.5Gbps • 10 Segments
Manage Multiple Units • Central
Dashboard
Web Scan• Custom Filters • PCI Report
TippingPoint 330
TippingPoint 2500N
ThreatLinQ
300Mbps • 4 Segments
3Gbps • 11 Segments
Real Time Threat Intelligence
TippingPoint 5100N
Reputation DV
Reputation
DV
5Gbps • 11 Segments
IP Reputation • DNS Reputation
Платформа IPS
Новые возможности
Новейшая архитектура
•Новый механизм Threat Suppression Engine
•DPI – параллельная обработка
•Выделенный процессор для управления
Гибкость внедрения
•До 11 сегментов
•10GE, 1GE медь/оптика
•ZPHA и DC-питание
Гибкое управление политиками
Более тонкое управление
•Политики по CIDR и IP/DNS-репутатции
•Управление VLAN-маркерами
Более безопасное управление
• Поддержка SNMPv3
April 24, 2020
Масштабирование сервисов ИБ
Модульная платформа для сервисов
•Новые фильтры - Web App, DLP
•Новые сервисы - Reputation DV…
•Новые возможности интеграции с партнерами
Производительность
•Одновременная обработка большего кол-ва
фильтров
•Одновременное использование сервисов
Инспекция протоколов
• IPv6 & IPv4 одновременная инспекция
• IPv6 & IPv4 управление
• Инспекция туннелей 4in6, 6in4, 6in6, IPv6 с
VLAN и MPLS-маркерами
• Mobile IPv4
• GRE and GTP (GPRS tunneling)
• Jumbo Frame
17
Платформа IPS - Серия N
Технические данные
TippingPoint 660N
TippingPoint 1400N
TippingPoint 2500N
TippingPoint 5100N
Производительность
Проп. способность
Инспекция
Задержка
Одновр. сессии
•
•
•
•
Контексты
Соединения в сек.
• 1,200,000
• 115,000
• 1,200,000
• 115,000
• 2,600,000
• 230,000
• 2,600,000
• 230,000
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
750 Mbps
750 Mbps
< 80 microseconds
6,500,000
•
•
•
•
1.5 Gbps
1.5 Gbps
< 80 microseconds
6,500,000
•
•
•
•
15 Gbps
3 Gbps
< 80 microseconds
10,000,000
•
•
•
•
15 Gbps
5 Gbps
< 80 microseconds
10,000,000
Интерфейсы
10 x 1GbE Copper
10 x 1GbE SFP
10 Total Segments
External ZPHA
10 x 1GbE Copper
10 x 1GbE SFP
10 Total Segments
External ZPHA
1 x 10GbE XFP
Internal ZPHA (10GbE)
10 x 1GbE Copper
10 x 1GbE SFP
10 Total Segments
External ZPHA
1 x 10GbE XFP
Internal ZPHA (10GbE)
10 x 1GbE Copper
10 x 1GbE SFP
10 Total Segments
External ZPHA
Питание
• AC
April 24, 2020
• AC
• AC/DC
• AC/DC
18
Возможности защиты в виртуальной
среде (VmWare)
Security Management
System
IPS Platform
Входящий/внутренний трафик
Очищенный трафик
Virtual Controller
VM
Virtual IPS
Трафик Хост-Хост и VM-VM
Очищенный трафик
Безопасность виртуальной среды
Лидер решений IPS защищает дата-центры
› Возможности
IPS-платформа с поддержкой VLAN
Virtual Controller (vController)
Virtual IPS (vIPS)
SMS / VMC
› Польза
• Активная блокировка угроз
- для виртуальной среды дата-центра
• Единые политики и контроль
TippingPont
vIPS
TIPPINGPOINT
vCONTROLLER
•
•
•
•
- между традиционными и виртуальными системами
• Полноценный контроль вирт. хостов
- Защита VM-VM и от традиционных хостов
• Максимальная прозрачность и контроль
- Интеграция с Reflex VMC
• Оптимизация защиты и производительность
- Опции по локальной инспекции или в IPS
• Безопасность виртуальных машин
- Профили прикреплены к виртуальной машине
• Доказанное качество цифровой вакцины
– Общепризнанный лидер
April 24, 2020
20
TippingPoint Core Controller
Предотвращение вторжений для 10 GЕ сегментов
Core Controller
3 х 10 Gbps
3 х 10 Gbps
TippingPoint IPS
TippingPoint IPS
1 Gbps
TippingPoint IPS
Core Controller
3 х 10 Gbps
3 х 10 Gbps
Использует проверенную технологию IPS
Эффективное масштабирование
Повышенная отказоустойчивость:
Каналы связи
Core Controller
Internal
Network
Core Controller - Высокий уровень
отказоустойчивости
Платформа операторского уровня
N+1 IPS Конфигурация
Коммутация трафика ( L2FB)
Возможность переключения на резервный IPS в
случае отказа
Авто или в ручном режиме
Core Controller отказоустойчивость
Переключение на резервный CoreController
Мониторинг сегментов
Триггеры
Smart ZPHA
Перегрузка канала
Коммутация трафика в случае отказа систем
или блоков
Потеря пакетов или задержки
Доступность IPS
Резервирование блоков питания
Fail open or closed
Для каждого сегмента 10GbE
1+1
Оптика SR/LR
Обновление ПО без перезагрузки
Коммутация трафика во время обновления ПО
Мониторинг субсистем
Питание, температура, процессор, память,
модули
Security Management Server
(SMS)Централизованное управление для
расширенного внедрения
Security Management
Server – сервер
управления
•Упрощенная установка
•Масштабирование
•Отказоустойчивость
•Управление политиками
на уровне организации
По сегменту - По портам По устройствам
•Виртуализация
контекстов
•Аудит
Reputation DV – репутационная информация
Дополнительные возможности для репутационных
политик ИБ
Reputation DV
• Поддержка IPv4 & IPv6
• Поддержка DNS
Настройка политики по:
• Репутационной оценке
• Географической
принадлежности
Security Management
System
• Типу – exploit, malware
host, Botnet CnC, spam
source
Access
Switch
Internet
IPS Platform
Запрет запросов к «плохим» DNS-ресурсам
24
April 24, 2020
Трафик из зловредных источников
блокируется
24
Глобальная клиентская база
7,000+ глобальных клиентов
Все основные вертикали и географические регионы
В РФ и СНГ – с 2006 г.
Клиентская база в РФ – энергетика, связь, медиа, финансы
Automotive
Biotech / Chemicals
Education
Energy
Financial
Food & Bev /
Leisure
Healthcare
M edia
Retail
Technology
Telecom
Transport
Спасибо!
Юлий Демурджян
[email protected]
www.tippingpoint.com