linha de ips de próxima geração da ibm

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Julho de 2013

ApresentaApresentaçção Tão Téécnicacnica

IBM Security IBM Security NextNext GenerationGeneration IPSIPS

TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.


Siga a TI Safe nas Redes Sociais

• Twitter : @tisafe

• SlideShare : www.slideshare.net/tisafe

• Facebook : www.facebook.com/tisafe

• Flickr : http://www.flickr.com/photos/tisafe


Não precisa copiar

http://www.slideshare.net/tisafe


Agenda

• O Network IPS.

• IPS de próxima geração (NextGen). A Família XGS.

• Principais funcionalidades.

• Conclusão.


O Network IPS


O que é um NIPS?

• NIPS vem Network Intrusion Prevention system ou sistema de detecção de intrusão

em rede.

• Identifica ameaças e envia alertas, bloqueando ataques detectados.

• Caso ocorra uma violação, os dados da conexão de rede podem ser usados no

processo de análise forense.


Entendendo o IBM Security IPS


Protocol Analysis Module (PAM)

• Os Security Appliances da IBM usam o PAM para analisar e interpretar a atividade

de rede e detectar ataques

• O PAM é responsável pelas seguintes tarefas:

• Identifica e analisa protocolos de rede e formatos de dados associados

• Aplica várias técnicas para reportar eventos assim que eles ocorrem

• Além disso, o PAM usa um sistema de análise de protocolo, ao invés de detecção

por padrão, fato que o torna capaz de detectar diversos ataques 0-day


Protocol Analysis Module (PAM)

• Os eventos são divididos em duas categorias

Attacks Audits

Assinaturas são identificadas quando

existem exploits que visam vulnerabilidades no sistema operacional, protocolos ou

aplicações

Assinaturas são identificadas quando são

detectados protocolos válidos que a organização deseja auditar, como IMs

e tráfego P2P


Composição do PAM


Virtual Patch

• Detecta e previne ataques que tem como alvo vulnerabilidades conhecidas

• Faz com que não seja necessário esperar por uma atualização específica do

fornecedor

• Em 2012, 57% das vulnerabilidades descobertas, não tiveram um patch de

correção específico por parte dos fornecedores


Proteção client-side de aplicação

• Protege usuários contra ataques que tem como alvo aplicações como:

• Microsoft Office

• Adobe PDF

• Web browsers

• Este módulo é muito importante, pois as vulnerabilidades em aplicações de

computadores pessoais estão em segundo na escala de vulnerabilidades divulgadas


Proteção de aplicações web

• Protege as aplicações web contra ataques sofisticados como:

• SQL Injection

• XSS

• CSRF

• Ao invés de usar uma detecção por padrão, o X-Force desenvolveu uma

detecção por comportamento das aplicações

• Com um sistema de pontuação sobre palavras-chave, esse módulo pode

detectar e bloquear diversos ataques de injeção


Detecção e prevenção de ameaças

• Protege contra os seguintes vetores de ataque:

• Botnets

• Worms

• Trojans

• Utiliza heurísticas avançadas para detectar ameaças que foram modificadas

para não serem detectadas por IPSs.

• Não necessita de constantes atualizações de assinaturas


Segurança dos dados

• Responsável por inspecionar dados não encriptados passando pela rede, como:

• HTTP

• Adobe PDF e arquivos comprimidos

• E-mail

• Messengers

• Contribui para impedir que dados sensíveis de usuários e da empresa como

números de cartão de crédito, CPF, e-mails, trafeguem inadvertidamente pela

rede


Controle de aplicação

• Trata de diversas aplicações não autorizadas que podem colocar a rede

corporativa em risco, como:

• P2P

• Instant Messenger

• Tunelamento

• Reforça a segurança das aplicações e serviços de rede, baseado na politica e

na governança corporativa


Integrações• Integração com outras soluções:

– AppScan:

• Gestão de vulnerabilidades.

• Identifica vulnerabilidades em aplicações web.

• Integra resultados com o SiteProtector.

– IBM Security SiteProtector:

• Controle centralizado.

• Abertura de tickets para tratamento de vulnerabilidades.

• Analisa ataques destinados a aplicações web vulneráveis.

– IBM Security VSP for VMware:

• Proteção de aplicações web no nível da rede virtual

• Bloqueia ataques contra aplicações web

• Proteção de um Web App Firewall

– IBM Security Server Protection:

• Proteção de aplicações web no nível do servidor

• Segurança para servidores web

• Bloqueia ataques contra aplicações web


À Frente das Ameaças

Source: IBM X-Force

“Ahead of the Threat”Mesmo DiaAté 15 Dias

Das 48 top vulnerabilidades divulgadas

Clientes IBM estavam protegidos antes ou em até 24h de um ataque 89% do tempo em 2010

35% (Média 1 ano+) 54%11%

3309

Microsoft Windows SMB Server Remote Code Execution

Microsoft Office Outlook Could Allow Remote Code ExecutionMicrosoft DirectShow Remote Code Execution

Microsoft Windows Shell Could Allow Remote Code Execution

Microsoft Windows has a vulnerability in the IPv6 processing of the TCP/IP

Microsoft Office Word Could Allow Remote Code ExecutionMicrosoft Windows Cinepak Codec Remote Code Execution

Microsoft Office Word Could Allow Remote Code Execution

Microsoft Office RTF Could Allow Remote Code Execution

Microsoft Windows SChannel Could Allow Remote Code ExecutionMS Win Local Sec Auth Subsystem Service Could Allow Remote Code Execution

Vulnerabilities in Microsoft ATL Could Allow Remote Code Execution

Microsoft Windows OTF Driver Could Allow Remote Code Execution

Microsoft Internet Explorer Could Allow Remote Code ExecutionMicrosoft Office (DLL) Could Allow Remote Code Execution

Microsoft Windows OTF Driver Could Allow Remote Code Execution

DoS Conditions in Microsoft Exchange and SMTP Service

Microsoft Movie Maker Buffer OverflowMicrosoft Windows SMB Server Remote Code Execution

Microsoft Excel XLSX Code Execution

Insecure Library in ICSW Could Allow Remote Code Execution

Microsoft Windows Media Encoder Could Allow Remote Code ExecutionMicrosoft Windows OTF Driver Could Allow Remote Code Execution

Microsoft Windows Could Allow Remote Code Execution

MS Windows OpenType CFF Driver Could Allow Elevation of Privilege

Microsoft Office Graphics Filters Could Allow Remote Code ExecutionMicrosoft Windows NetLogon Service Could Allow Denial of Service

Java Plug-in for Internet Explorer Remote Code Execution

Apple QuickTime ActiveX Control Code Execution

Improper Validation of COM Objects in Microsoft OfficeMicrosoft Office Outlook Could Allow Remote Code Execution

Adobe Flash Player, Acrobat, and Reader Remote Code Execution

Microsoft Internet Explorer Use-After-Free Code Execution

Adobe Flash, Reader, and Acrobat Remote Code ExecutionMicrosoft Internet Explorer Freed Object Code Execution

Microsoft Internet Explorer Deleted Object Code Execution

Adobe Flash Player Remote Code ExecutionACCWIZ Release-After-Free Remote Code Execution Vulnerability

Adobe Reader and Acrobat Remote Code Execution

Microsoft Windows Shell Could Allow Remote Code Execution

Microsoft Internet Explorer Could Allow Remote CodeAdobe Shockwave Director rcsL Chunk Remote Code

Microsoft Internet Explorer CSS Remote Code Execution17201685

16721659

16001629

1572

13881446

336581

154

965878

846

988

Microsoft Vulnerability in ASP.NET Could Allow Information Disclosure

Microsoft Windows Help/Support Center Could Allow Remote Code ExecutionJava Web Start Allows Arbitrary Commands to be Passed

Microsoft OpenType CFF Driver Could Allow Remote Code Execution

00

00

00

00

00

00

00

00

00

00

00

00

00

40

1311

15 Adobe Reader Heap Corruption Vulnerability


Proteção avançada contra ameaçasVulnerability

X-Force Advisory

Vendor Disclosure

IBM Protection Shipped

Days Ahead of the Threat

MS13-003: Vulnerabilities in System Center Operations Manager Could Allow Elevation of Privilege (2748552)

JAN 8 2013 JAN 8 2013 NOV 11 2008Cross_Site_Scripting

4 years, 1 month, 28

days

CVE-2012-3342: Oracle Java Runtime Environment RemoteCode Execution

FEB 5 2013 FEB 1 2013 10 OCT 2012HTTP_ContentDisp_SuspiciousChar_Exec

3 months, 22 days

MS13-009: Cumulative Security Update for Internet Explorer (2792100)

FEB 12 2013 FEB 12 2013 MAR 28 2006JavaScript_Shellcode_Detected

6 years, 10 months, 15

days

MS13-013: Vulnerabilities in FAST Search Server 2010 for SharePointParsing Could Allow Remote Code Execution (2784242)

FEB 12 2013 FEB 12 2013 DEC 11 2012JPEG_SOF2_Component_Miscount

2 months, 1 day

MS13-020: Vulnerability in OLE Automation Could Allow Remote Code Execution (2802968)

FEB 12 2013 FEB 12 2013 AUG 22 2012Office_Mscomctl_TabStrip_Abuse

5 months, 21 days

MS13-037: Cumulative Security Update for Internet Explorer (2829530)

MAY 14 2013 MAY 14 2013 JUL 14 2009HTML_Script_Extension_Evasion

3 years, 10 months


IBM Network Intrusion Prevention (GX)

IBM Network Protection (XGS)

Ampla proteção para as partes mais críticas da rede, que

exigem segurança e desempenho

Proteção contra ameaças externas, bem como o aumento da segurança interna e da visibilidade

Proteção do Núcleo da Infraestrutura de Rede

Infraestrutura e proteção ao usuário

1

2

3

X-Force® threat intelligence

Site Protector Management

QRadar NetworkAnomaly Detection

4

Router

ProxyFirewall

Switch

GXXGS

Proteção para Redes, Aplicações e Endpoints


Comparativo entre famílias GX e XGS


IPS de próxima geração (NextGen).

A Família XGS


O Estado atual da Segurança de Redes

Sites de mídia social representam riscos à produtividade, privacidade e segurança, incluindo novos vetores de ataque

MÍDIAS SOCIAIS

Sites de streaming de mídia estão consumindo grandes quantidades de largura de banda e afetando a produtividade

MÍDIA EM STREAMING

Soluções pontuais são isoladas, com integração ou compartilhamento de dados mínimos

SOLUÇÕES PONTUAISURL Filtering • IDS / IPS

IM / P2P • Web App Protection Vulnerability Management

Ataques cada vez mais sofisticados estão utilizando múltiplos vetores de ataque e aumentando o risco de exposição

ATAQUES SOFISTICADOS

Stealth Bots • Targeted Attacks Worms • Trojans • Designer Malware


Visibilidade e Controle de RedeOs XGS pode aplicar políticas de controle de acesso sensíveis ao contexto para bloquear

infecções pré-existentes, aplicações maliciosas, e violações de políticas corporativas

397+Protocolos e formatos de arquivo

analisados

2,000+Aplicações e acções identificadas

17 Bilhões+ URLs classificadas em 70

Categorias

Plena consciência de identidade associa usuários e grupos importantes com a sua atividade de rede, uso de aplicativos e ações de aplicativos

Políticas de Controle de Acesso bloqueiam comprometimentos pré-existentes e aplicações maliciosas, bem como reforçam as políticas de uso corporativo

Inspeção profunda de pacotes classifica totalmente o tráfego da rede, independentemente do endereço, porta, protocolo, aplicação, ação ou aplicação de eventos de segurança


Implantação e Integração diretas

• Visibilidade da rede ajuda a identificar fontes de alto consumo de largura de banda

• Ajuda a mitigar ataques conhecidos e desconhecidos

• Melhor análise e correlação em produtos IBM e não-IBM para melhorar a eficiência do analista de segurança

• Licenciamento de performance flexível único resulta em menor custo por gigabit protegido

• Alta densidade de porta com módulos de rede atualizáveis para atender às necessidades de conectividade presentes e futuras

• Bypass e inspeção SSL embutidos eliminam a necessidade de hardware separado, reduzindo o custo e complexidade

O XGS é parte do Framework de segurança da IBM, oferecendo uma abordagem avançada para problemas do mundo de hoje

• Soluções e serviços para praticamente toda necessidade de segurança

• Proteção de pessoas, dados, aplicações e infraestrutura

• Equipe de pesquisa e desenvolvimento avançada em produtos interligados

Implantãção adaptável Integração avançadacom o QRadar

Amplitude e profundidade do

Portfolio


Implementação adaptável e integração superior com

toda a linha de soluções de segurança da IBM

Descobre e bloqueia infecções existentes,

aplicações maliciosas, enquanto aplica as políticas

de acesso

Proteção contra ameaças sofisticadas e em constante evolução, alimentado pelo

X-Force®

PROTEÇÃO AVANÇADA CONTRA AMEAÇAS

VISIBILIDADE E CONTROLE DE REDE

IMPLANTAÇÃO E INTEGRAÇÃO DIRETAS

Introduzindo o IBM Security XGS 5100


Modular Appliance Hardware Platform

Inspeção SSL

� Fornece visibilidade sobre ataques em canais criptografados para conexões de saída

� Cartão de aceleração de hardware

� Novo appliance em formato 1U

� Módulos de interface de rede plugáveis (7 opções diferentes, de RJ-45 1G Ethernet de alta densidade à 10GbE SFP)

Capacidade do Core XGS 5100


Top 6 razões para atualizar para ou comprar uma app liance XGS 5100

1.Visibilidade e controle sobre aplicações Web e não Web

2.Capacidade de proteger o tráfego criptografado sem hardware separado (SSL)

3.Larga faixa de desempenho com um simples upgrade de licença (2-6Gbps)

4.Bypass integrado e conexões de rede flexíveis (1GbE/10GbE)

5.Forte integração com QRadar incluindo a capacidade de enviar dados de fluxo

6.Reduz o uso de redes não-comerciais e largura de banda

O IBM Security XGS 5100


Principais Funcionalidades


Análise On-box

• Provê diversas opções de análise do fluxo de dados sem necessitar de nenhuma

appliance ou software adicional

• A interface web ou LMI, fornece diversos filtros para análise detalhada, como:

• Detalhes de tráfego por aplicação.

• Detalhes de tráfego por usuário

• Detalhes de tráfego por categoria web


IBM Security Network Protection XGS 5100IBM Security Network Protection XGS 5100

Uma Parte Crucial da Defesa da RedeInternet

Everything Else

IBM Security NetworkProtection – segurança para todos os tráfegos, aplicações e usuários

Melhor que um Next Generation Firewall

�Complemento natural ao firewall e VPN existentes

�Funciona com a infraestrutura de segurança e rede existentes

�Maior felxibilidade e profundidade no controle e segurança do uso da rede

Melhor que IPS baseados em assinaturas

�Maior nível de segurança e proteção geral

�Mais efetivo contra ataques de dia-0

�Melhor dos dois mundos – Proteção baseada em heurística e verdadeira análise de protocolos com suporte a assinaturas customizadas

Stealth BotsWorms, Trojans

Targeted Attacks Designer Malware

SegurançaComprovada

Total Visibilidade Controle Completo

Firewall/VPN – filtro por porta e procolo

Web Gateway – segurança apenas para tráfego web

Email Gateway – segurança apenas de mensagens e anexos


Detalhes de tráfego por aplicação


Detalhes de tráfego por usuário


Análise Off-box

• O protocolo Netflow foi desenvolvido especificamente para coleta de informação

sobre tráfego IP

• Aliado às capacidades da análise On-box, o XGS possui a capacidade de

exportar os dados capturados para outras appliances com grande capacidade

de correlacionamento de eventos, como o Q-Radar, diminuindo a capacidade de

falso positivos


Análise Off-box


Mídias sociais

• Possui a capacidade de permitir que um usuário ou grupo de usuários acesse

suas mídias sociais, mas não consiga postar, jogar ou conversar

• Torna possível detectar quais usuários estão usando ou usaram determinada

mídia durante o dia ou neste instante

• Bloqueia acesso à URLs potencialmente perigosas


SSL Inspection

Configurações HTTPS-Validade do certificado-Exceções de origem-Exceções de destino-Notificações de cliente

Armazenamento local de certificados

Handshake usando certificado do

servidor

Handshake usando certificado site alvo


Conclusão


Conclusão

• Com o avanço das ameaças e um numero de ataques novos cada vez mais

sofisticados, é necessário ter uma solução de proteção de perímetro robusta e

inteligente.

• O IBM Next Generation IPS fornece um controle detalhado e inteligente que contribui

de forma significante no que tange a segurança da informação e o controle do fluxo de

dados

• A IBM entende que as empresas possuem diversos perfis de grupos e usuários e que

para isso, é necessária uma maior granularidade do controle e permissão de acesso

• O controle de aplicações web permite bloquear diversos endereços que possam

oferecer perigo à organização, bloqueando e classificando em tempo real novas URLs

• Com o uso comum de diversos tipos mídias sociais, os equipamentos da família IBM

XPS fornecem um controle detalhado sobre quem pode acessar quais aplicações e

sobre quem está acessando quais mídias, mesmo que elas estejam cifradas.


Dúvidas?


ContatosContatos

[email protected]

[email protected]

Rio de Janeiro: +55 (21) 2173-1159

São Paulo: +55 (11) 3040-8656

Twitter: @tisafe

Skype: ti-safe

linha de ips de próxima geração da ibm

Technology