Одной из наиболее актуальных проблем безопасности сегодня являются расширенные постоянные угрозы (APT). Традиционные решения для защиты сетей далеко не всегда способны вовремя предотвратить вторжение и устранить его результаты. Эффективно обезвредить атаку в самом ее начале позволят продукты семейства HP TippingPoint Advanced Threat Appliance
Целевые атаки применяют различные методы, такие как заражение мобильных устройств, зловредное ПО замедленного действия, скрытые нагрузки и другие способы, позволяющие проникнуть через привычные решения безопасности. Обнаружить угрозу позволяет одновременное использование нескольких методов сканирования. Решения HP TippingPoint Advanced Threat Appliance (ATA) использует уникальное программное обеспечение, разработанное в консорциуме Hewlett-Packard и Trend Micro, помогающее находить вредоносное ПО, которое сразу не проявляет активность. Для выявления расширенных угроз используется безопасная тестовая среда. При попадании в сеть каждого подозрительного объекта технология обнаружения проверяет его действие в тестовой виртуальной машине, отслеживает подозрительное поведение и сообщает об этом. Быстро среагировать и локализировать источник угрозы, предотвратив распространение вирусов и нейтрализовав атаку в начальной точке заражения поможет координация с инструментами TippingPoint Next-Generation IPS и NGFW.
Семейство HP TippingPoint ATA включает в себя два решения – HP TippingPoint ATA Network — для сетей и HP TippingPoint ATA Mail — для почты. Продукт для защиты сетей обнаруживает APT-угрозы, осуществляя мониторинг широкого спектра портов и протоколов в широком спектре операционных систем. «Почтарь» работает с почтовым шлюзом для выявления и блокирования вредоносных писем, в том числе и фишинговых, зачастую являющихся начальной стадией целенаправленных атак. Он образует дополнительный «слой» проверки для обнаружения вредоносного контента, вложений и URL-адресов, которые проходят незамеченными через стандартные средства безопасности электронной почты.
На страже сети
Как уже упоминалось, для защиты сетей HP TippingPoint ATA используют настраиваемую тестовую среду – изолированную «песочницу», полностью соответствующую конфигурации сети заказчика. Эмуляция системы позволяет выявить угрозы и оперативно и среагировать на них соответствующих образом. Поскольку ATP-угрозы используют широкий спектр методов проникновения в сеть, HP TippingPoint ATA применяют различные алгоритмы обнаружения, специальные функции отслеживания и правила корреляции, позволяющие выявить все характеристики угрозы, связанные с вредоносным ПО. Система контролирует все порты и более 80 протоколов для выявления атак в любом месте сети. Кроме того, обнаружение угроз происходит независимо от операционной системы устройств, будь то Android, Linux, Mac OS X, Windows или любая другая ОС.
Разумеется, выявление угрозы – это только половина дела. Вторая половина – выполнение действий по ее нейтрализации. Интеграция TippingPoint ATA с системой безопасности HP TippingPoint Security Management System (SMS) обеспечивает быструю информированность о серьезности угрозы путем оценки влияния на пользовательские данные, географического расположения, репутации источника на основе баз ThreatLinQ, сводя все сведения в единую консоль. Это позволяет сформировать новые правила блокирования существующих и потенциальных атак, скоординировав их с инструментами HP TippingPoint NGFW и IPS для ответа на угрозу с применением службы HP TippingPoint Threat Digital Vaccine (ThreatDV).
Сам принцип защиты довольно прост. TippingPoint ATA создает тестовую среду с виртуальными машинами повторяющими типичные конфигурации пользовательских компьютеров внутри компании. В случае проникновения зловредного ПО оно «детонирует» на устройстве ATA внутри одной из виртуальных машин инфицируя «patient-zero». Также внутри песочницы происходит компрессия времени в 10-100 раз до получения более быстрой реакции и выявления инфицированного объекта. После детекции угрозы устройство ATA производит отправку информации о событии в управляющую систему безопасности HP TippingPoint SMS. В свою очередь, SMS обновляет политики безопасности и блокирует угрозу, зараженные хосты и сам источник вторжения.
1) Malware детонирует на ATA-устройстве, инфицируя «patient-zero»
2) ATA посылает событие в TippingPoint SMS
3) SMS обновляет политики, блокируя угрозу, зараженные хосты и источник вторжения
На языке цифр
Линейка HP TippingPoint ATA разрабатывалась в тесном сотрудничестве с компанией Trend Micro, лидером в области расширенных постоянных угроз. В тестах Breach Detection Tests за 2014 год известной независимой лаборатории NSS Labs продукт показал наиболее высокий в отрасли показатель детектирования – 99, 1 % с нулевым результатом ложных срабатываний. Кроме того, отмечена и наиболее низкая общая стоимость владения – на 25 % ниже среднего показателя по всем протестированным продуктам.
Почта под контролем
HP TippingPoint ATA для почты дает возможность обнаружить и нейтрализовать угрозы, которые могут проникнуть в сеть через почтовый шлюз. Решение отслеживает вложения электронных писем, используя различные движки детектирования и тестовую среду. Спектр анализируемых вложений включает в себя исполняемые файлы Windows, Microsoft Office, PDF, веб-контент и сжатые файлы. Специализированные инструменты обнаружения позволяют выявить вредоносные программы и эксплойты в обычных офисных документах.
Помимо вложений, в электронных сообщениях анализируются и URL-адреса. В качестве инструментов для этого используются репутация источников, анализ контента страниц и, уже традиционно, песочница. Кроме того, система производит разблокировку защищенных паролями файлов и архивов с использованием эвристики и предоставленных ключевых слов.
Линейка HP TippingPoint ATA
ATA — Network 250 | ATA — Network 500 | ATA — Network 1000 | ATA — Network 4000 | ATA — Mail 6000 | |
Производительность | 250 Мбит/с | 500 Мбит/с | 1 Гбит/с | 4 Гбит/с | 400,000 писем/день |
Форм-фактор | 1U, 48,26 см (19’) | 2U, 48,26 см (19’) | 1U, 48,26 см (19’) | ||
Вес (макс.) | 16,78 кг | 23,6 кг | 16,78 кг | ||
Габариты | 43,47×69,85×4,32 см | 44,55×67,94×8,73 см | 43,47×69,85×4,32 см | ||
Порты | 10/100/1000BASE-T RJ45x4 | 10/100/1000BASE-T RJ45x4, 10GbE SFP+x2 |
10/100/1000BASE-T RJ45x4 | ||
Входное напряжение | От 100 до 120 В, от 200 до 240 В | ||||
Входной ток | От 2,78 A (100 В) до 1,15 A (240 В) | От 4,58 A (100 В) до 1,88 A (240 В) | От 2,78 A (100 В) до 1,15 A (240 В) | ||
Жесткие диски | 600 ГБ SASх2 | ||||
Конфигурация RAID | RAID 1 | RAID 10 | RAID 1 | ||
Питание (hot swap) |
500 Вт | 800 Вт | 500 Вт | ||
Потребляемая мощность (макс.) | 276,9 Вт | 456,1 Вт | 276,9 Вт | ||
Тепловыделение (макс.) | 944 BTU/час | 1 556 BTU/час | 944 BTU/час | ||
Частота | 50/60 Гц | ||||
Рабочая температура | 10 — 35 °C (50 — 95 °F) |
Дистрибуция решений НР в Украине, Грузии, Таджикистане, странах СНГ.
Учебные курсы по технологиям НР в Киеве (УЦ МУК)
ссылка на оригинал статьи http://habrahabr.ru/post/266907/
Добавить комментарий