HP TippingPoint ATA Network и HP TippingPoint ATA Mail
Одной из наиболее актуальных проблем безопасности сегодня являются расширенные постоянные угрозы (APT). Традиционные решения для защиты сетей далеко не всегда способны вовремя предотвратить вторжение и устранить его результаты. Эффективно обезвредить атаку в самом ее начале позволят продукты семейства HP TippingPoint Advanced Threat Appliance
Целевые атаки применяют различные методы, такие как заражение мобильных устройств, зловредное ПО замедленного действия, скрытые нагрузки и другие способы, позволяющие проникнуть через привычные решения безопасности. Обнаружить угрозу позволяет одновременное использование нескольких методов сканирования. Решения HP TippingPoint Advanced Threat Appliance (ATA) использует уникальное программное обеспечение, разработанное в консорциуме Hewlett-Packard и Trend Micro, помогающее находить вредоносное ПО, которое сразу не проявляет активность. Для выявления расширенных угроз используется безопасная тестовая среда. При попадании в сеть каждого подозрительного объекта технология обнаружения проверяет его действие в тестовой виртуальной машине, отслеживает подозрительное поведение и сообщает об этом. Быстро среагировать и локализировать источник угрозы, предотвратив распространение вирусов и нейтрализовав атаку в начальной точке заражения поможет координация с инструментами TippingPoint Next-Generation IPS и NGFW.
Семейство HP TippingPoint ATA включает в себя два решения – HP TippingPoint ATA Network — для сетей и HP TippingPoint ATA Mail — для почты. Продукт для защиты сетей обнаруживает APT-угрозы, осуществляя мониторинг широкого спектра портов и протоколов в широком спектре операционных систем. «Почтарь» работает с почтовым шлюзом для выявления и блокирования вредоносных писем, в том числе и фишинговых, зачастую являющихся начальной стадией целенаправленных атак. Он образует дополнительный «слой» проверки для обнаружения вредоносного контента, вложений и URL-адресов, которые проходят незамеченными через стандартные средства безопасности электронной почты.
На страже сети
Как уже упоминалось, для защиты сетей HP TippingPoint ATA используют настраиваемую тестовую среду – изолированную «песочницу», полностью соответствующую конфигурации сети заказчика. Эмуляция системы позволяет выявить угрозы и оперативно и среагировать на них соответствующих образом. Поскольку ATP-угрозы используют широкий спектр методов проникновения в сеть, HP TippingPoint ATA применяют различные алгоритмы обнаружения, специальные функции отслеживания и правила корреляции, позволяющие выявить все характеристики угрозы, связанные с вредоносным ПО. Система контролирует все порты и более 80 протоколов для выявления атак в любом месте сети. Кроме того, обнаружение угроз происходит независимо от операционной системы устройств, будь то Android, Linux, Mac OS X, Windows или любая другая ОС.
Разумеется, выявление угрозы – это только половина дела. Вторая половина – выполнение действий по ее нейтрализации. Интеграция TippingPoint ATA с системой безопасности HP TippingPoint Security Management System (SMS) обеспечивает быструю информированность о серьезности угрозы путем оценки влияния на пользовательские данные, географического расположения, репутации источника на основе баз ThreatLinQ, сводя все сведения в единую консоль. Это позволяет сформировать новые правила блокирования существующих и потенциальных атак, скоординировав их с инструментами HP TippingPoint NGFW и IPS для ответа на угрозу с применением службы HP TippingPoint Threat Digital Vaccine (ThreatDV).
Сам принцип защиты довольно прост. TippingPoint ATA создает тестовую среду с виртуальными машинами повторяющими типичные конфигурации пользовательских компьютеров внутри компании. В случае проникновения зловредного ПО оно «детонирует» на устройстве ATA внутри одной из виртуальных машин инфицируя «patient-zero». Также внутри песочницы происходит компрессия времени в 10-100 раз до получения более быстрой реакции и выявления инфицированного объекта. После детекции угрозы устройство ATA производит отправку информации о событии в управляющую систему безопасности HP TippingPoint SMS. В свою очередь, SMS обновляет политики безопасности и блокирует угрозу, зараженные хосты и сам источник вторжения.
1) Malware детонирует на ATA-устройстве, инфицируя «patient-zero»
2) ATA посылает событие в TippingPoint SMS
3) SMS обновляет политики, блокируя угрозу, зараженные хосты и источник вторжения
На языке цифр
Линейка HP TippingPoint ATA разрабатывалась в тесном сотрудничестве с компанией Trend Micro, лидером в области расширенных постоянных угроз. В тестах Breach Detection Tests за 2014 год известной независимой лаборатории NSS Labs продукт показал наиболее высокий в отрасли показатель детектирования – 99, 1 % с нулевым результатом ложных срабатываний. Кроме того, отмечена и наиболее низкая общая стоимость владения – на 25 % ниже среднего показателя по всем протестированным продуктам.
Почта под контролем
HP TippingPoint ATA для почты дает возможность обнаружить и нейтрализовать угрозы, которые могут проникнуть в сеть через почтовый шлюз. Решение отслеживает вложения электронных писем, используя различные движки детектирования и тестовую среду. Спектр анализируемых вложений включает в себя исполняемые файлы Windows, Microsoft Office, PDF, веб-контент и сжатые файлы. Специализированные инструменты обнаружения позволяют выявить вредоносные программы и эксплойты в обычных офисных документах.
Помимо вложений, в электронных сообщениях анализируются и URL-адреса. В качестве инструментов для этого используются репутация источников, анализ контента страниц и, уже традиционно, песочница. Кроме того, система производит разблокировку защищенных паролями файлов и архивов с использованием эвристики и предоставленных ключевых слов.
Линейка HP TippingPoint ATA
| ATA — Network 250 |
ATA — Network 500 |
ATA — Network 1000 |
ATA — Network 4000 |
ATA — Mail 6000 |
|
| Производительность |
250 Мбит/с |
500 Мбит/с |
1 Гбит/с |
4 Гбит/с |
400,000 писем/день |
| Форм-фактор |
1U, 48,26 см (19’) |
2U, 48,26 см (19’) |
1U, 48,26 см (19’) |
||
| Вес (макс.) |
16,78 кг |
23,6 кг |
16,78 кг |
||
| Габариты |
43,47x69,85x4,32 см |
44,55x67,94x8,73 см |
43,47x69,85x4,32 см |
||
| Порты |
10/100/1000BASE-T RJ45x4 |
10/100/1000BASE-T RJ45x4, 10GbE SFP+x2 |
10/100/1000BASE-T RJ45x4 |
||
| Входное напряжение |
От 100 до 120 В, от 200 до 240 В |
||||
| Входной ток |
От 2,78 A (100 В) до 1,15 A (240 В) |
От 4,58 A (100 В) до 1,88 A (240 В) |
От 2,78 A (100 В) до 1,15 A (240 В) |
||
| Жесткие диски |
600 ГБ SASх2 |
||||
| Конфигурация RAID |
RAID 1 |
RAID 10 |
RAID 1 |
||
| Питание (hot swap) |
500 Вт |
800 Вт |
500 Вт |
||
| Потребляемая мощность (макс.) |
276,9 Вт |
456,1 Вт |
276,9 Вт |
||
| Тепловыделение (макс.) |
944 BTU/час |
1 556 BTU/час |
944 BTU/час |
||
| Частота |
50/60 Гц |
||||
| Рабочая температура |
10 — 35 °C (50 — 95 °F) |
Дистрибуция решений НР в Украине, Грузии, Таджикистане, странах СНГ.
Учебные курсы по технологиям НР в Киеве (УЦ МУК)
