версия для печати
Пример решения: Radware AMS - платформа противодействия кибератакам

Пример решения: Radware AMS - платформа противодействия кибератакам

Полностью интегрированное решение для борьбы с кибератаками в реальном времени блокирует сложные кибератаки нового поколения, действующие на различных уровнях ИТ инфраструктуры.

AMS (Attack Mitigation System) компании Radware предоставляет наиболее полную из существующих на рынке стратегию и портфель решений для борьбы с современными многоцелевыми атаками, направленными на сетевое оборудование, сервера и приложения.

Современные сетевые угрозы отличает новый уровень координации и технического подхода. Речь не идет о простых массовых нападениях на уязвимости, которые можно легко отразить с помощью сигнатур. Атаки нового типа, происходившие многократно на протяжении 2011 года, являются многоуровневыми и носят трудно предсказуемый характер. Например, неоднократные DDoS атаки на популярный ресурс «Живой Журнал», взбудоражившие активных российских пользователи Интернета, являются на сегодня самыми популярными методами нападения на онлайн-ресурсы и за последние полгода лидируют среди факторов риска для веб-приложений, согласно статистике международной базы данных WHID (Web Hacking Incident Database).

В то же время почти все решения для ИТ безопасности, применяемые сегодня, являются точечными и упускают многоуровневые нападения. Производители специализируются на отдельных видах защиты и поставляют системы анти-DoS, системы предотвращения вторжений (IPS), защитные экраны для веб-приложений (WAF, Web application firewalls), репутационные средства, решения для анализа сетевого поведения (NBA) и управления событиями и информацией о безопасности (SIEM, security information and event management) по отдельности, или же предлагают маломощные версии дополнительной защиты, что оставляет многие сетевые структуры уязвимыми для современных атак.

Платформа Radware AMS консолидирует отдельные инстументы обнаружения атак и технологии противодействия на различных сетевых уровнях, обрабатывая зловредный трафик с помощью интеллектуальных методов. Это позволяет в режиме реального времени идентифицировать и блокировать действия ботов и хакеров, маскирующиеся под обычные транзакции приложений, и не ограничивать деятельность легитимных пользователей. Платформа Radware AMS включает самые лучшие технологии противодействия кибератакам в интегрированном виде, охватывая весь диапазон современной хакерской активности, какой мы ее наблюдали на протяжении последнего года. Только организации, использовавшие Radware AMS, как, например, подвергшаяся атаке Anonymous система PayPal, смогли в этом году устоять перед кибернападением и не понести значительные потери в доходах и репутации.

Что такое Radware AMS

Платформа Radware AMS предназначена для защиты сетей и приложений в крупных корпорациях, у операторов связи, в ЦОДах и различных он-лайн бизнесах.

Кроме непосредственной защиты сети и приложений, решение может применяться для оказания управляемых услуг информационной защиты (MSSA). С помощью Radware AMS поставщики интернет-услуг могут предлагать защиту от атак DDoS в дополнение к интернет-доступу или хостингу, а ЦОДы могут включить в спектр своих сервисов управляемые услуги информационной защиты. Решение актуально и для операторов сотовых магистралей, сети и клиенты которых находятся под угрозой, так как растет число абонентов, пользующихся смартфонами.

Платформа Radware AMS включает устройство сетевой безопасности DefensePro нового поколения, защитный экран AppWall для веб-приложений и панель управления защитой сети и приложений APSolute Vision.

DefensePro - устройство для защиты сетей и серверов приложений

AppWall – защитный экран для веб-приложений (WAF)

APSolute Vision – средство управления и создания отчетов

Аппаратная и программная платформа также дополнена круглосуточно доступной услугой команды быстрого реагирования ERT (Emergency Response Team).

Ключевые функциональные возможности Radware AMS

Radware AMS обладает целым рядом функциональных возможностей.

Во-первых, скоростной и производительный механизм противодействия DoS (DME, DoS Mitigator Engine) на основе специализированной микросхемы, способный останавливать атаки мощностью до 12 миллионов пакетов в секунду без влияния на легитимный трафик пользователей. В решении применяется патентованная технология анти-DoS NBA Radware, позволяющая определять и останавливать любые атаки DDоS. Большие объемы пользовательского трафика инспектируются на наличие медленных и скрытых атак, очищаются и направляются по назначению.

Во-вторых, система многоядерных процессоров с помощью различных методов производит аутентификацию сессий приложений для обнаружения и блокировки сессий, генерируемых ботами.

В-третьих, механизм SME (String Match Engine) на основе микросхемы осуществляет фильтрацию RegEx , определяя и останавливая медленные прямые DDoS атаки на приложения без влияния на их работу.

Кроме технологических функциональных возможностей высокого класса, Radware AMS предоставляет удобные пользовательские инструменты для управления сетевой безопасностью. Встроенная система SEIM (Security Event Information Management) позволяет наблюдать за сетевой безопасностью с помощью единой панели управления.

Отображение атаки в реальном времени

Различные данные собираются и отображаются в общую наглядную картину с возможностью в реальном времени наблюдать за кибератаками, устанавливать приоритеты  реагирования, изучать подробные отчеты и определять причины тех или иных сетевых событий, упрощая взаимодействие между департаментами сетевой безопасности и управления сетью и ускоряя устранение сетевых угроз.

Устройство DefensePro 6.0

Основной элемент платформы Radware AMS – это новая версия 6.0 популярного решения DefensePro для проактивной защиты сетей и приложений от атак различных типов с применением многочисленных методов обнаружения и предупреждения атак, включая многоуровневый анализ аномалий трафика и протоколов, сигнатуры, эвристический и поведенческий анализ и репутационные данные.

Решение состоит из нескольких ключевых компонентов. Во-первых, это модуль IPS статических сигнатур для борьбы с атаками, направленными на уязвимости ПО.

Во-вторых, модуль динамических сигнатур (NBA+ BDoS), генерируемых на основе анализа поведения сети, пользователей и приложений. Анализ позволяет с высокой точностью отделить легитимных пользователей от атакующих хостов. Определяет наличие и тип текущей атаки и вырабатывает динамическую защитную сигнатуру за 18 секунд.

В-третьих, микросхема DoS Mitigation Engine, которая отбивает мощные сетевые атаки до 12 млн. пакетов в сек., не препятствуя легитимному трафику.

Типы отбиваемых атак: флуды TCP (FIN, RESET, SYN+ACK, фрагменты TCP и т.п.), HTTP, SYN, UDP (включая DNS, RTP, SIP и другие), ICMP, IGMP, самораспространяющиеся с большой скоростью черви, медленные атаки (SlowLoris) и любые атаки на уязвимости ПО. Кроме других методов, система проводит Java Script перезапрос подозрительных сессий, что эффективно отсекает атаки ботнетов.
Система позволяет на лицензионной основе наращивать мощность по требованию 1-3 Гбит/с или 4-14 Гбит/с без остановки работы.

Решение может использоваться в 2 режимах: при постоянном подключении «в разрыв», или когда трафик перенаправляется для очистки только в момент атаки.
Решение Defense Pro недавно стало лауреатом конкурса «Продукт года 2011», проводившимся «Журналом сетевых решений/LAN».

Свойства оборудования
Защита на уровне сети
Анализ сетевого поведения Зашита от известных и от zero-minute атак DoS/DDoS, которые переполняют сетевые ресурсы, включая флуды TCP, UDP, ICMP, IGMP и неправильно фрагментированные пакеты
Предупреждение распространения вредоносного ПО и защита от сканирования • Предупреждение внезапного распространения вредоносного ПО заращенными хостами.
• Защита от предварительных разведывательных действий в сети, включая горизональное и вертикальное сканирование TCP & UDP scanning, stealth scanning and ping sweeps.
Данные RSA FraudAction Услуга защиты от троянов и фишинга, для борьбы с финансовыми преступлениями, хищениями данных и распространением вредоносного ПО. Основана на репутационных данных, получаемых в режиме реального времени от Оперативного центра по борьбе с мошенничеством RSA (AFCC)
Защита на уровне сервера
SYN защита • Защита от всех видов SYN флудов с помощью развитого метода SYN Cookies
• Предупреждение атак Reflection SYN-ACK
Противодействие HTTP Защита от переполнения запросами HTTP к веб-странице
Защита от взлома серверов • Блокирование прямого взлома систем аутентификации серверов и взлома с подбором пароля, включая почтовые сервера (SMTP, POP3, IMAP), сервера FTP, SIP, MS-SQL и MYSQL
• Защита от сканирования и нападения на уязвимости веб-приложений
• Предупреждение флудов SIP запросов Invite и Bye
Ограничение соединения Защита от атак на соединение, таких, как создание полуоткрытых соединений SYN, переполнение запросами и целыми сессиями
Защита уязвимостей
Защита на основе сигнатур • Защита известных уязвимостей приложений, включая веб-приложения, почтовые сервера, FTP-сервера, уязвимости DNS, уязвимости SIP, уязвимости SNMP, уязвимости Microsoft, протоколы и сервисы LAN (RPC, NetBIOS, Telnet и т.п.), коды оболочки, удаленное исполнение кода
• Защита от известных видов вредоносного ПО, включая черви и вирусы, трояны и «backdoor», межсайтовый скриптинг, внедрение SQL-кода, шпионское ПО
• Сервис обновлений защиты (SUS) – каждую неделю и в экстренных случаях
• Сигнатуры атак, задаваемые пользователем
Проверка на принадлежность соединению Верификация соответствия RFC и алгоритма «конечный автомат» для многочисленных протоколов, включая TCP, ICMP, DNS, HTTPS, SMTP, IMAP, POP3, FTP, SSH
Stateful Operation Повторная сбока потока TCP, дефрагментация IP
Предупреждение атак на SSL Prevention Поддерживается в DefensePro серий X16 и X412 в сочетании с Alteon
Управление пропускной способностью и контроль доступа
Управление пропускной способностью • Гарантированная пропускная способность на приложение (гранулированная, на пользователя или на сессию)
• Ограничение пропускной способности на приложение/протокол
Контроль доступа Списки доступа на IP-адрес & протокол; «черные»/ «белые» списки на IP-адрес на функцию
Поддерживаемые протоколы Поддержка более 100 протоколов, включая TCP, ICMP, DNS, HTTP, HTTPS, SMTP, IMAP, POP3, FTP, Telnet, SSH, SIP, Skinny (SCCP), H.223, RTP, SNMP, MySQL, MS-SQL (TDS) и LAN (RPC, NetBIOS) и так далее. Дополнительные протоколы могут быть заданы пользователем
Управление
Оповещение SNMP V1, 2C &3, Log File, Syslog, E-mail
Отчеты Регистрация пакетов атаки, глубокий анализ симптомов атаки, детали и статистика атак
Конфигурирование SNMP V1, 2C, 3, HTTP, HTTPS, SSH, Telnet, с консоли (по выбору пользователя)
Синхронизация по времени Synchronization NTP v2.0
Экспорт информации о сигнатурах в режиме реального времени Вышележащий интерфейс XML экспортирует данные о сетевом поведении: • образцы нормального трафика
• поведенческие сигнатуры атак в режиме реального времени для текущих атак DoS/DDoS, распространения вредоносного ПО и сканирования
Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS