Что такое НР TippingPoint простыми словами

Часто сталкиваюсь с тем, что представляя сложный продукт по ИТ-безопасности, многие не помнят с чего все начиналось, как развивалось и т.д. В этом обзоре я хочу напомнить, что у всех процессов есть своя логика, что реактивная модель ИТ-безопасности проигрывает проактивной модели и т.д. Сразу скажу, что TippingPoint может жить по и сам по себе — как отдельный домен, и как часть облачных технологий НР.

b12e3bd17253b68eba712af428e45960.png

Реактивная модель ИТ-безопасности: поставили антивирус и файрволл — и мы считаем себя защищенными Если мы посмотрим на развитие рынка, мы увидим что рынок почти все время прямо «зависел» от уязвимостей. Пройдемся по истории этих багов:

2002 год — в основном это черви и вирусы. С этим справлялся антивирус.

2004 — 2007 гг — в связи с появлением соцсетей, получили развития уязвимости связанные с социальным инжинирингом. Всяческих видов фишинг. Нет проникания в лоб, как вирус. Больше используются обходные пути, более изощренные. Спайвер, статистика и т.д.

2010+ уже в наше время хакеры переключились не на общую информацию, а на что-то конкретное, это эксплойты для приложений. По этой причине начали отказываться от плагина Адоб Флеш Плеер, потому что его выбрали хакеры как идеальную точку взлома.Объекты нынешних атак — не конкретные люди, это атаки на веб (облака), на компании. Всем известно, что существует черный рынок, где можно заказать взлом какой-то компании, что, конечно же, зависит от материальных вливаний заказчиков.

Админ скажет:, а у меня есть файрвол! 81eafd8e949a280351bb625c1705d49c.png

Да, есть, но дело в том, что вредоносный код не ходит по каким-то необычным путям, он ходит по обычному HТTP трафику. Коды идут через 80 порт, который открыт всегда, так как компании, как ни крути нужен интернет — фаейрвол не защищает.

Антивирус — это реактивная защита. Он защищает от уже известных взломов и атак. Вот таблица показывающая, что есть такой софт, который парсит даже антивирус.

cb61f68ee3cd74a00b09bb672be795c1.png

Нашумевшие уязвимости Возьмем самые известные. RSA — компания, которая выдает сертификаты. Достаточно было взломать корневой сертификат, чтобы сгенерить свой, который будет принят во всех компаниях, где RSA давала свои сертификаты — заходи куда хочешь. Причем как осуществлялся взлом — это не было обычной «атакой в лоб», это был социальных инжиниринг. Пришел файл, причем попал в спам, но почему-то один из сотрудников решил посмотреть что там (руки оторвать!), и открыл этот файл. Сработал, неизвестный никакому антивирусу, эксплойт и компания стала заражена. Понятно, как это ударило по бизнесу компании, не говоря уже об имидже. Это привело к тому, что компания меняла даже токены.

Дисклеймер Вообще любой софт, если его пристально ковырять — имеет уязвимости. Потому что люди, а не боги пишут программы. Уже софта написано столько много, что найти дырку, практически не проблема.Что такое NETWORK Intrusion Prevention System? eb1f8d9bab351e58773a704b247c4946.png

Система предотвращения атак — программно-аппаратный комплекс для обнаружения и блокирования тех атак, которые пропускают межсетевые экраны. Современные IPS не только блокируют атаки, но и занимаются контролем сетевых соединений и протоколов. Программные версии IPS используются для защиты виртуализации (и облачных услуг).

Как работает обычный антивирус — он ищет сигнатуры. И, найдя, говорит — это вирус. IPS ищет эксплойты, ищет не уже результаты взломов (что бывает поздно), а подозрительную активность. И смотрит в целом на уязвимость. Так как уязвимости тоже не одинаковые и по разному используются взломщиками. Что имеется в виду: вот есть какая-то N уязвимость, один вирус может использовать 50% этой уязвимости — эту часть нашли, залатали часть «дыры», но другой вирус использует еще 50% не до конца залатанной «дыры» и т.д. IPS — видит сразу все 100% уязвимости.

Он постоянно пропускает через себя весь трафик, работает как фильтр — в него идет «грязный», а из него выходит чистый трафик. В сетевой инфраструктуре он выглядит как виртуальный кабель. И очень прост для администрирования.

Он отслеживает не сам вирус (хотя, конечно же он может отслеживать зараженные ехе-файлы), а отслеживают саму попытку взлома: сканирование портов, сетевые аномалии, и обслуживание в сервисе — когда бомбят сайт.

Кроме того, что он фильтрует интернет, он может исследовать трафик внутри компании — можно узнать кто «шалит» внутри сети компании. Юридически, он также закрывает много проблем — например, компания Visa требует соответствия своим стандартам. При установке IPS вы автоматически закрываете требования по этим стандартам.

Зачем нужна IPS? — Управление предприятием• Своевременное обнаружение проблем в сети

— Финансисту• Снижение затрат на устранение последствий от атак• Снижение затрат на расследование инцидентов• Снижение TCO, CapEx и OpEx

— Внутренний аудит или управление рисками• Снижение рисков

— ИТ безопасности• Обнаружение и отражение атак на различные сервисы и ресурсы предприятия• Контроль сетевых протоколов

— ИТ специалисту• Обеспечение высокой доступности и отказоустойчивости внутренних и внешних Интернет-ресурсов• Управление полосой пропускания

bbaa23564c389b421ab9772fbaefaf00.jpg

edea025a601a14010c0e155bd616dae5.jpg

28a9805cca4098c0cfa964cdbe070c6f.jpg

Легкость установки f207dd70ebdce609d4448763c00a3c6e.jpg

Опрашивали админов о легкости инсталяции TP. Ставим, заходим на сайт, и как в гугл-магазине, можно выбрать что нужно, например: «самые популярные взломы в марте 2014» — и сразу закрыли все уязвимости. Или выбираете что вы хотите защитить: сервер, сайт и т.д.

Происхождение TippingPoint Вначале это был отдельный продукт. Затем его купил 3Com, а когда компания HP приобрела 3Com, продукт получил дальнейшее развитие. Сейчас он входит в квадрант Гартнера.

60f3cf13f90c0aecdec95ad55cbd0971.png

Уязвимость не гомогенна Как я уже писал, с точки зрения хакера «выгоднее» использовать не всю дыру, а только ее часть. Есть уязвимость, под нее что-то пишется: ехе-файл, батник или еще что-то. Это не значит, что используется вся уязвимость, используется только ее часть. Антивирус, если знаком с эксплойтом, будет защищать от известной (части) уязвимости + ложное срабатывание, где он может параноидально банить вполне себе нормальные программы. Новый эксплойт может использовать другую часть этой же уязвимости — антивирус его даже не заметит. TippingPoint лечит не эксплойты, а именно уязвимости. Посредством постоянного мониторинга трафика. Он видит что на такой-то уязвимости (которую он знает) идет такая-то активность (атака) и закрывает всю уязвимость, а не ее часть.

Одним из немаловажных факторов, почему TP вышел в лидеры — это 0-дей инициатива. Есть много своих исследователей, которые постоянно мониторят код. В какой-то момент TP начал просто платить хакерам за нашедшие уязвимости. Например, нашел хакер какую-то уязвимость, ему от этого никакой выгоды, чтобы эту «дырку» продать — ему нужно рискнуть — вдруг это ФБР покупает или еще кто-то плохой. TP «говорит» хакеру — ты сливаешь мне свою уязвимость — я даю тебе 5 000 долларов. Если ты это делаешь постоянно, я тебе буду платить по 10 000 долларов за уязвимость. А если ты мой особый партнер — то по 30 000. Тут хакер сразу получает свою награду — ему не нужно ничего продавать/рисковать. Тогда ему выгодно из хакера стать лаборантом-исследователем уязвимостей.

a7de7fe8ff1f3315a108a395f5f0f7ad.png

Журнал «Хакер» выпустил обзор по проекту ZDI

www.xakep.ru/post/54743/default.aspБронзовый:+10% к денежным наградам за все баги в следующем году$1000 бонус

Серебряный:+15% к денежным наградам за все баги в следующем году+25% к начисляемым очкам вознаграждения в следующем году$5000 бонусОплачиваемая путевка (перелет + регистрация) на DEFCON в Лас-Вегасе

Золотой:+20% к денежным наградам за все баги в следующем году+50% к начисляемым очкам вознаграждения в следующем году$10000 бонусОплачиваемая путевка (перелет + регистрация) на BlackHat и DEFCON в Лас-Вегасе

Платиновый:+25% к денежным наградам за все баги в следующем году+100% к начисляемым очкам вознаграждения в следующем году$20000 бонусОплачиваемая путевка (перелет + регистрация) на BlackHat и DEFCON в Лас-Вегасе + запись на курсы BlackHat

40fa6ffb703992126051e89e4ce224c1.png

ZDI больше всего помогает Майкрософту находить уязвимостиLeading Security Research — DVLabs Microsoft Security Bulletin

701eaa0753aa18bf67a3e36538c40bcf.png

cfc247efa3f6b1bd9c9e3c3f01a2c7cf.jpg

За счет того, что ZDI находит уязвимости, ZDI может сделать т.н. виртуальный патч. На свои устройства он передает инфу об этой уязвимости, и для взломщика система выглядит, что на этой системе этой уязвимости нет. Т.е. закрывает уязвимость на то время, пока Майкрософт сделает патч, где исправит ошибку.

b51b18ca9d871507f6e8dc67eaf3d94f.jpg

158abda06fdfcf9619c2c265562b80f5.png

Как это работает? Нужно закачать пакеты. Ведь само по себе железо бесполезно, оно должно регулярно заходить в базу TP и скачивать все эксплойты от которых оно защищает. Это т.н. дижитал-вакцина. Кроме этого, исследуется все что делается в сети компании: отслеживаются айпишники, подозрительные сайты и пр. Составляется база репутации, которая апдейтится 1 раз в 4 часа (данные не только о внутренней сети, но и вообще об интернете в целом). Вплоть до того, что вы можете зайти на сайт TP вбить свой IP и вам покажут, насколько вы защищены.

bbf25eadfe2f7f9f88b8c25322e824ca.jpg

Это похоже на DNS-север. Показывает где самый опасный трафик. Можно даже узнать через какие IP идет спам, атаки и пр. А внутри сети даже сами устройства могут создавать такие репутационные базы.

84797285137473ca8155b005a237e4d0.png

Внешне устройство похоже на коммутатор

2f65c0baccebf52ccab5092b84cc2a0e.jpg

Спецификация для серии NX

Так как он представляет собой виртуальный кабель, то даже если питание выключено, через него все равно идет траффик.

Что в нем уникального? В нем есть чип, который аппаратное ускоряет фильтрацию трафика (их еще называют ФОП). Триком сделали свой чип, который позволяет быстро мониторить траффик. Если, положим, трафик заходит 1 гб, то мало того что он должен его пропустить, но и еще исследовать, проверить на наличие експлойтов и пр. Следовательно, чип должен работать в два раза больше.

f793b58cbcaa26038d53745919b03893.png

Одно устройство может мониторить сразу несколько сетей.

f23657e24e6300b3107f19bd9beb35d4.png

Широкий спектр интеграции TP. Например с ArcSight, TP может выступать сенсором для ArcSight — он говорит админу, что его взломали (о взломе админ может и не знать) и если хочешь прекратить утечку сделай вот это — дерни этот рубильник, выдерни этот шнур и т.д. Т.е. не просто сообщается что тебя взломали, а защищается, заносится IP в черный список и номер IP сообщается файрволлу. Есть карантинный WLAN — сеть, которая никуда не ведет — пусть вирусы сами там плодятся — они никому не мешают.

Выводы: • TP защищает не от вирусов, а именно от взломов.• Высокая точность — наименьшее количество ложных срабатываний• Высокая доступность за счет архитектуры• Большие скорости с наименьшей кол-во расходы энергии — уникальный чип, заточенный под это• Простота установки и простота настройки. Обучение админа по данной технологии — максимум 3 дня.• Интеграция с виртуальными машинами. Что такое облако — это веб-сайт, который можно взломать, значит для этого нужен свой ИПС

Где это внедрено в Украине: — Телеком— Банковский сектор

Да, конечно, в этом решении само железо — дешевое, а вот обновление — недешевое. Но у нас в Укарине пока безопасностью не очень озаботились. Говорят — «да ломают?! Да вы что? прямо как фильмах…!». Много что зависит от размера компании и характере данных, с которыми она работает — большие компании уже и так защищены. Остальные — пока думают. Должен сказать, у нас не развивается образованность по сетевой безопасности. Все ждут «пока гром грянет». Несмотря на то, что эту нишу пока не очень понимают, но интернет все больше развивается, значит будет развиваться и этот рынок.

© Habrahabr.ru