linha de ips de próxima geração da ibm
TRANSCRIPT
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Julho de 2013
ApresentaApresentaçção Tão Téécnicacnica
IBM Security IBM Security NextNext GenerationGeneration IPSIPS
TI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Siga a TI Safe nas Redes Sociais
• Twitter : @tisafe
• SlideShare : www.slideshare.net/tisafe
• Facebook : www.facebook.com/tisafe
• Flickr : http://www.flickr.com/photos/tisafe
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Não precisa copiar
http://www.slideshare.net/tisafe
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Agenda
• O Network IPS.
• IPS de próxima geração (NextGen). A Família XGS.
• Principais funcionalidades.
• Conclusão.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Network IPS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O que é um NIPS?
• NIPS vem Network Intrusion Prevention system ou sistema de detecção de intrusão
em rede.
• Identifica ameaças e envia alertas, bloqueando ataques detectados.
• Caso ocorra uma violação, os dados da conexão de rede podem ser usados no
processo de análise forense.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Entendendo o IBM Security IPS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Protocol Analysis Module (PAM)
• Os Security Appliances da IBM usam o PAM para analisar e interpretar a atividade
de rede e detectar ataques
• O PAM é responsável pelas seguintes tarefas:
• Identifica e analisa protocolos de rede e formatos de dados associados
• Aplica várias técnicas para reportar eventos assim que eles ocorrem
• Além disso, o PAM usa um sistema de análise de protocolo, ao invés de detecção
por padrão, fato que o torna capaz de detectar diversos ataques 0-day
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Protocol Analysis Module (PAM)
• Os eventos são divididos em duas categorias
Attacks Audits
Assinaturas são identificadas quando
existem exploits que visam vulnerabilidades no sistema operacional, protocolos ou
aplicações
Assinaturas são identificadas quando são
detectados protocolos válidos que a organização deseja auditar, como IMs
e tráfego P2P
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Composição do PAM
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Virtual Patch
• Detecta e previne ataques que tem como alvo vulnerabilidades conhecidas
• Faz com que não seja necessário esperar por uma atualização específica do
fornecedor
• Em 2012, 57% das vulnerabilidades descobertas, não tiveram um patch de
correção específico por parte dos fornecedores
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Proteção client-side de aplicação
• Protege usuários contra ataques que tem como alvo aplicações como:
• Microsoft Office
• Adobe PDF
• Web browsers
• Este módulo é muito importante, pois as vulnerabilidades em aplicações de
computadores pessoais estão em segundo na escala de vulnerabilidades divulgadas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Proteção de aplicações web
• Protege as aplicações web contra ataques sofisticados como:
• SQL Injection
• XSS
• CSRF
• Ao invés de usar uma detecção por padrão, o X-Force desenvolveu uma
detecção por comportamento das aplicações
• Com um sistema de pontuação sobre palavras-chave, esse módulo pode
detectar e bloquear diversos ataques de injeção
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Detecção e prevenção de ameaças
• Protege contra os seguintes vetores de ataque:
• Botnets
• Worms
• Trojans
• Utiliza heurísticas avançadas para detectar ameaças que foram modificadas
para não serem detectadas por IPSs.
• Não necessita de constantes atualizações de assinaturas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Segurança dos dados
• Responsável por inspecionar dados não encriptados passando pela rede, como:
• HTTP
• Adobe PDF e arquivos comprimidos
• Messengers
• Contribui para impedir que dados sensíveis de usuários e da empresa como
números de cartão de crédito, CPF, e-mails, trafeguem inadvertidamente pela
rede
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Controle de aplicação
• Trata de diversas aplicações não autorizadas que podem colocar a rede
corporativa em risco, como:
• P2P
• Instant Messenger
• Tunelamento
• Reforça a segurança das aplicações e serviços de rede, baseado na politica e
na governança corporativa
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Integrações• Integração com outras soluções:
– AppScan:
• Gestão de vulnerabilidades.
• Identifica vulnerabilidades em aplicações web.
• Integra resultados com o SiteProtector.
– IBM Security SiteProtector:
• Controle centralizado.
• Abertura de tickets para tratamento de vulnerabilidades.
• Analisa ataques destinados a aplicações web vulneráveis.
– IBM Security VSP for VMware:
• Proteção de aplicações web no nível da rede virtual
• Bloqueia ataques contra aplicações web
• Proteção de um Web App Firewall
– IBM Security Server Protection:
• Proteção de aplicações web no nível do servidor
• Segurança para servidores web
• Bloqueia ataques contra aplicações web
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
À Frente das Ameaças
Source: IBM X-Force
“Ahead of the Threat”Mesmo DiaAté 15 Dias
Das 48 top vulnerabilidades divulgadas
Clientes IBM estavam protegidos antes ou em até 24h de um ataque 89% do tempo em 2010
35% (Média 1 ano+) 54%11%
3309
Microsoft Windows SMB Server Remote Code Execution
Microsoft Office Outlook Could Allow Remote Code ExecutionMicrosoft DirectShow Remote Code Execution
Microsoft Windows Shell Could Allow Remote Code Execution
Microsoft Windows has a vulnerability in the IPv6 processing of the TCP/IP
Microsoft Office Word Could Allow Remote Code ExecutionMicrosoft Windows Cinepak Codec Remote Code Execution
Microsoft Office Word Could Allow Remote Code Execution
Microsoft Office RTF Could Allow Remote Code Execution
Microsoft Windows SChannel Could Allow Remote Code ExecutionMS Win Local Sec Auth Subsystem Service Could Allow Remote Code Execution
Vulnerabilities in Microsoft ATL Could Allow Remote Code Execution
Microsoft Windows OTF Driver Could Allow Remote Code Execution
Microsoft Internet Explorer Could Allow Remote Code ExecutionMicrosoft Office (DLL) Could Allow Remote Code Execution
Microsoft Windows OTF Driver Could Allow Remote Code Execution
DoS Conditions in Microsoft Exchange and SMTP Service
Microsoft Movie Maker Buffer OverflowMicrosoft Windows SMB Server Remote Code Execution
Microsoft Excel XLSX Code Execution
Insecure Library in ICSW Could Allow Remote Code Execution
Microsoft Windows Media Encoder Could Allow Remote Code ExecutionMicrosoft Windows OTF Driver Could Allow Remote Code Execution
Microsoft Windows Could Allow Remote Code Execution
MS Windows OpenType CFF Driver Could Allow Elevation of Privilege
Microsoft Office Graphics Filters Could Allow Remote Code ExecutionMicrosoft Windows NetLogon Service Could Allow Denial of Service
Java Plug-in for Internet Explorer Remote Code Execution
Apple QuickTime ActiveX Control Code Execution
Improper Validation of COM Objects in Microsoft OfficeMicrosoft Office Outlook Could Allow Remote Code Execution
Adobe Flash Player, Acrobat, and Reader Remote Code Execution
Microsoft Internet Explorer Use-After-Free Code Execution
Adobe Flash, Reader, and Acrobat Remote Code ExecutionMicrosoft Internet Explorer Freed Object Code Execution
Microsoft Internet Explorer Deleted Object Code Execution
Adobe Flash Player Remote Code ExecutionACCWIZ Release-After-Free Remote Code Execution Vulnerability
Adobe Reader and Acrobat Remote Code Execution
Microsoft Windows Shell Could Allow Remote Code Execution
Microsoft Internet Explorer Could Allow Remote CodeAdobe Shockwave Director rcsL Chunk Remote Code
Microsoft Internet Explorer CSS Remote Code Execution17201685
16721659
16001629
1572
13881446
336581
154
965878
846
988
Microsoft Vulnerability in ASP.NET Could Allow Information Disclosure
Microsoft Windows Help/Support Center Could Allow Remote Code ExecutionJava Web Start Allows Arbitrary Commands to be Passed
Microsoft OpenType CFF Driver Could Allow Remote Code Execution
00
00
00
00
00
00
00
00
00
00
00
00
00
40
1311
15 Adobe Reader Heap Corruption Vulnerability
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Proteção avançada contra ameaçasVulnerability
X-Force Advisory
Vendor Disclosure
IBM Protection Shipped
Days Ahead of the Threat
MS13-003: Vulnerabilities in System Center Operations Manager Could Allow Elevation of Privilege (2748552)
JAN 8 2013 JAN 8 2013 NOV 11 2008Cross_Site_Scripting
4 years, 1 month, 28
days
CVE-2012-3342: Oracle Java Runtime Environment RemoteCode Execution
FEB 5 2013 FEB 1 2013 10 OCT 2012HTTP_ContentDisp_SuspiciousChar_Exec
3 months, 22 days
MS13-009: Cumulative Security Update for Internet Explorer (2792100)
FEB 12 2013 FEB 12 2013 MAR 28 2006JavaScript_Shellcode_Detected
6 years, 10 months, 15
days
MS13-013: Vulnerabilities in FAST Search Server 2010 for SharePointParsing Could Allow Remote Code Execution (2784242)
FEB 12 2013 FEB 12 2013 DEC 11 2012JPEG_SOF2_Component_Miscount
2 months, 1 day
MS13-020: Vulnerability in OLE Automation Could Allow Remote Code Execution (2802968)
FEB 12 2013 FEB 12 2013 AUG 22 2012Office_Mscomctl_TabStrip_Abuse
5 months, 21 days
MS13-037: Cumulative Security Update for Internet Explorer (2829530)
MAY 14 2013 MAY 14 2013 JUL 14 2009HTML_Script_Extension_Evasion
3 years, 10 months
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
IBM Network Intrusion Prevention (GX)
IBM Network Protection (XGS)
Ampla proteção para as partes mais críticas da rede, que
exigem segurança e desempenho
Proteção contra ameaças externas, bem como o aumento da segurança interna e da visibilidade
Proteção do Núcleo da Infraestrutura de Rede
Infraestrutura e proteção ao usuário
1
2
3
X-Force® threat intelligence
Site Protector Management
QRadar NetworkAnomaly Detection
4
Router
ProxyFirewall
Switch
GXXGS
Proteção para Redes, Aplicações e Endpoints
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Comparativo entre famílias GX e XGS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
IPS de próxima geração (NextGen).
A Família XGS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
O Estado atual da Segurança de Redes
Sites de mídia social representam riscos à produtividade, privacidade e segurança, incluindo novos vetores de ataque
MÍDIAS SOCIAIS
Sites de streaming de mídia estão consumindo grandes quantidades de largura de banda e afetando a produtividade
MÍDIA EM STREAMING
Soluções pontuais são isoladas, com integração ou compartilhamento de dados mínimos
SOLUÇÕES PONTUAISURL Filtering • IDS / IPS
IM / P2P • Web App Protection Vulnerability Management
Ataques cada vez mais sofisticados estão utilizando múltiplos vetores de ataque e aumentando o risco de exposição
ATAQUES SOFISTICADOS
Stealth Bots • Targeted Attacks Worms • Trojans • Designer Malware
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Visibilidade e Controle de RedeOs XGS pode aplicar políticas de controle de acesso sensíveis ao contexto para bloquear
infecções pré-existentes, aplicações maliciosas, e violações de políticas corporativas
397+Protocolos e formatos de arquivo
analisados
2,000+Aplicações e acções identificadas
17 Bilhões+ URLs classificadas em 70
Categorias
Plena consciência de identidade associa usuários e grupos importantes com a sua atividade de rede, uso de aplicativos e ações de aplicativos
Políticas de Controle de Acesso bloqueiam comprometimentos pré-existentes e aplicações maliciosas, bem como reforçam as políticas de uso corporativo
Inspeção profunda de pacotes classifica totalmente o tráfego da rede, independentemente do endereço, porta, protocolo, aplicação, ação ou aplicação de eventos de segurança
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Implantação e Integração diretas
• Visibilidade da rede ajuda a identificar fontes de alto consumo de largura de banda
• Ajuda a mitigar ataques conhecidos e desconhecidos
• Melhor análise e correlação em produtos IBM e não-IBM para melhorar a eficiência do analista de segurança
• Licenciamento de performance flexível único resulta em menor custo por gigabit protegido
• Alta densidade de porta com módulos de rede atualizáveis para atender às necessidades de conectividade presentes e futuras
• Bypass e inspeção SSL embutidos eliminam a necessidade de hardware separado, reduzindo o custo e complexidade
O XGS é parte do Framework de segurança da IBM, oferecendo uma abordagem avançada para problemas do mundo de hoje
• Soluções e serviços para praticamente toda necessidade de segurança
• Proteção de pessoas, dados, aplicações e infraestrutura
• Equipe de pesquisa e desenvolvimento avançada em produtos interligados
Implantãção adaptável Integração avançadacom o QRadar
Amplitude e profundidade do
Portfolio
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Implementação adaptável e integração superior com
toda a linha de soluções de segurança da IBM
Descobre e bloqueia infecções existentes,
aplicações maliciosas, enquanto aplica as políticas
de acesso
Proteção contra ameaças sofisticadas e em constante evolução, alimentado pelo
X-Force®
PROTEÇÃO AVANÇADA CONTRA AMEAÇAS
VISIBILIDADE E CONTROLE DE REDE
IMPLANTAÇÃO E INTEGRAÇÃO DIRETAS
Introduzindo o IBM Security XGS 5100
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Modular Appliance Hardware Platform
Inspeção SSL
� Fornece visibilidade sobre ataques em canais criptografados para conexões de saída
� Cartão de aceleração de hardware
� Novo appliance em formato 1U
� Módulos de interface de rede plugáveis (7 opções diferentes, de RJ-45 1G Ethernet de alta densidade à 10GbE SFP)
Capacidade do Core XGS 5100
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Top 6 razões para atualizar para ou comprar uma app liance XGS 5100
1.Visibilidade e controle sobre aplicações Web e não Web
2.Capacidade de proteger o tráfego criptografado sem hardware separado (SSL)
3.Larga faixa de desempenho com um simples upgrade de licença (2-6Gbps)
4.Bypass integrado e conexões de rede flexíveis (1GbE/10GbE)
5.Forte integração com QRadar incluindo a capacidade de enviar dados de fluxo
6.Reduz o uso de redes não-comerciais e largura de banda
O IBM Security XGS 5100
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Principais Funcionalidades
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Análise On-box
• Provê diversas opções de análise do fluxo de dados sem necessitar de nenhuma
appliance ou software adicional
• A interface web ou LMI, fornece diversos filtros para análise detalhada, como:
• Detalhes de tráfego por aplicação.
• Detalhes de tráfego por usuário
• Detalhes de tráfego por categoria web
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
IBM Security Network Protection XGS 5100IBM Security Network Protection XGS 5100
Uma Parte Crucial da Defesa da RedeInternet
Everything Else
IBM Security NetworkProtection – segurança para todos os tráfegos, aplicações e usuários
Melhor que um Next Generation Firewall
�Complemento natural ao firewall e VPN existentes
�Funciona com a infraestrutura de segurança e rede existentes
�Maior felxibilidade e profundidade no controle e segurança do uso da rede
Melhor que IPS baseados em assinaturas
�Maior nível de segurança e proteção geral
�Mais efetivo contra ataques de dia-0
�Melhor dos dois mundos – Proteção baseada em heurística e verdadeira análise de protocolos com suporte a assinaturas customizadas
Stealth BotsWorms, Trojans
Targeted Attacks Designer Malware
SegurançaComprovada
Total Visibilidade Controle Completo
Firewall/VPN – filtro por porta e procolo
Web Gateway – segurança apenas para tráfego web
Email Gateway – segurança apenas de mensagens e anexos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Detalhes de tráfego por aplicação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Detalhes de tráfego por usuário
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Detalhes de tráfego por usuário
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Análise Off-box
• O protocolo Netflow foi desenvolvido especificamente para coleta de informação
sobre tráfego IP
• Aliado às capacidades da análise On-box, o XGS possui a capacidade de
exportar os dados capturados para outras appliances com grande capacidade
de correlacionamento de eventos, como o Q-Radar, diminuindo a capacidade de
falso positivos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Análise Off-box
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Mídias sociais
• Possui a capacidade de permitir que um usuário ou grupo de usuários acesse
suas mídias sociais, mas não consiga postar, jogar ou conversar
• Torna possível detectar quais usuários estão usando ou usaram determinada
mídia durante o dia ou neste instante
• Bloqueia acesso à URLs potencialmente perigosas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
SSL Inspection
Configurações HTTPS-Validade do certificado-Exceções de origem-Exceções de destino-Notificações de cliente
Armazenamento local de certificados
Handshake usando certificado do
servidor
Handshake usando certificado site alvo
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Conclusão
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Conclusão
• Com o avanço das ameaças e um numero de ataques novos cada vez mais
sofisticados, é necessário ter uma solução de proteção de perímetro robusta e
inteligente.
• O IBM Next Generation IPS fornece um controle detalhado e inteligente que contribui
de forma significante no que tange a segurança da informação e o controle do fluxo de
dados
• A IBM entende que as empresas possuem diversos perfis de grupos e usuários e que
para isso, é necessária uma maior granularidade do controle e permissão de acesso
• O controle de aplicações web permite bloquear diversos endereços que possam
oferecer perigo à organização, bloqueando e classificando em tempo real novas URLs
• Com o uso comum de diversos tipos mídias sociais, os equipamentos da família IBM
XPS fornecem um controle detalhado sobre quem pode acessar quais aplicações e
sobre quem está acessando quais mídias, mesmo que elas estejam cifradas.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
Dúvidas?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.
ContatosContatos
Rio de Janeiro: +55 (21) 2173-1159
São Paulo: +55 (11) 3040-8656
Twitter: @tisafe
Skype: ti-safe