НА БАГАХ В CHROME - Xakep Online

Новые доспехи для IT-инфраструктурыния атак (Proventia OpenSignature) и поведенческий анализатор.При этом PAM различает 218 протоколов уровня приложений(атаки через VoIP, RPC, HTTP и т. д.) и такие форматы данных,как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать, куда можетбыть внедрен вредоносный код. Для анализа трафика используетсяболее 3000 алгоритмов, 200 из них «отлавливают» DoS.Функции межсетевого экрана позволяют разрешить доступтолько по определенным портам и IP, исключая необходимостьпривлечения дополнительного устройства. Технология VirtualPatch блокирует вирусы на этапе распространения и защищаеткомпьютеры до установки обновления, устраняющего критическуюуязвимость. При необходимости администратор сам можетсоздать и использовать сигнатуру. Модуль контроля приложенийпозволяет управлять P2P, IM, ActiveX-элементами, средствамиVPN и т. д. и при необходимости блокировать их. Реализован модульDLP, отслеживающий попытки передачи конфиденциальнойинформации и перемещения данных в защищаемой сети, чтопозволяет оценивать риски и блокировать утечку. По умолчаниюраспознается восемь типов данных (номера кредиток, телефоны…),остальную специфическую для организации информациюадмин задает самостоятельно при помощи регулярных выражений.В настоящее время большая часть уязвимостей приходитсяна веб-приложения, поэтому в продукт IBM входит специальныймодуль Web Application Security, который защищает системыот распространенных видов атак: SQL injection, LDAP injection,XSS, JSON hijacking, PHP file-includers, CSRF и т. д.Предусмотрено несколько вариантов действий при обнаруженииатаки — блокировка хоста, отправка предупреждения,запись трафика атаки (в файл, совместимый с tcpdump), помещениеузла в карантин, выполнение настраиваемого пользователемдействия и некоторые другие. Политики прописываютсявплоть до каждого порта, IP-адреса или зоны VLAN. Режим HighAvailability гарантирует, что в случае выхода из строя одногоиз нескольких устройств IPS, имеющихся в сети, трафик пойдетчерез другое, а установленные соединения не прервутся. Всеподсистемы внутри железки — RAID, блок питания, вентиляторохлаждения — дублированы. Настройка, производящаяся припомощи веб-консоли, максимально проста (курсы обучениядлятся всего один день). При наличии нескольких устройствобычно приобретается IBM Security SiteProtector, который обеспечиваетцентрализованное управление, выполняет анализлогов и создает отчеты.ГДЕ РАЗВЕРНУТЬ IDS/IPS?Чтобы максимально эффективно использовать IDS/IPS, нужнопридерживаться следующих рекомендаций:• Систему необходимо разворачивать на входе защищаемой сетиили подсети и обычно за межсетевым экраном (нет смыслаконтролировать трафик, который будет блокирован) — так мыснизим нагрузку. В некоторых случаях датчики устанавливаюти внутри сегмента.• Перед активацией функции IPS следует некоторое времяпогонять систему в режиме, не блокирующем IDS. В дальнейшемпотребуется периодически корректировать правила.• Большинство настроек IPS установлены с расчетомна типичные сети. В определных случаях они могут оказатьсянеэффективными, поэтому необходимо обязательно указать IPвнутренних подсетей и используемые приложения (порты). Этопоможет железке лучше понять, с чем она имеет дело.• Если IPS-система устанавливается «в разрыв», необходимоконтролировать ее работоспособность, иначе выход устройстваиз строя может запросто парализовать всю сеть.Консоль управления StoneGate IPSMCAFEE NETWORK SECURITY PLATFORM 7Разработчик: McAfee Inc.Web: www.mcafee.com.Реализация: программно-аппаратная.Лицензия: коммерческая.IntruShield IPS, выпускавшийся компанией McAfee, в свое времябыл одним из популярных IPS-решений. Теперь на его основе разработанMcAfee Network Security Platform 7 (NSP). В дополнениеко всем функциями классического NIPS новый продукт получилинструменты для анализа пакетов, передаваемых по внутреннейкорпоративной сети, что помогает обнаруживать зловредныйтрафик, инициируемый зараженными компами. В McAfee используетсятехнология Global Threat Intelligence, которая собираетинформацию с сотен тысяч датчиков, установленных по всемумиру, и оценивает репутацию всех проходящих уникальных файлов,IP- и URL-адресов и протоколов. Благодаря этому NSP можетобнаруживать трафик ботнета, выявлять 0day-угрозы и DDoSатаки,а такой широкий охват позволяет свести к нулю вероятностьложного срабатывания.Не каждая IDS/IPS может работать в среде виртуальных машин,ведь весь обмен происходит по внутренним интерфейсам. Но NSPне испытывает проблем с этим, он умеет анализировать трафикмежду VM, а также между VM и физическим хостом. Для наблюденияза узлами используется агентский модуль от компании ReflexSystems, который собирает информацию о трафике в VM и передаетее в физическую среду для анализа.Движок различает более 1100 приложений, работающихна седьмом уровне OSI. Он просматривает трафик при помощи механизмаконтент-анализа и предоставляет простые инструментыуправления.Кроме NIPS, McAfee выпускает и хостовую IPS — Host IntrusionPrevention for Desktop, которая обеспечивает комплексную защитуПК, используя такие методы детектирования угроз, как анализповедения и сигнатур, контроль состояния соединений с помощьюмежсетевого экрана, оценка репутации для блокирования атак.ЗАКЛЮЧЕНИЕПобедителей определять не будем. Выбор в каждом конкретномслучае зависит от бюджета, топологии сети, требуемых функцийзащиты, желания админа возиться с настройками и, конечно же,рисков. Коммерческие решения получают поддержку и снабжаютсясертификатами, что позволяет использовать эти решения в организациях,занимающихся в том числе обработкой персональныхданных Распространяемый по OpenSource-лицензии Snort прекраснодокументирован, имеет достаточно большую базу и хорошийпослужной список, чтобы быть востребованным у сисадминов.Совместимый с ним Suricata вполне может защитить сеть с большимтрафиком и, главное, абсолютно бесплатен. zХАКЕР 02 /157/ 2012 131